ISSN 1977-0790
Úradný vestník
Európskej únie
L 199
Slovenské vydanie
Právne predpisy
Ročník 64
7. júna 2021
|
ISSN 1977-0790 |
||
|
Úradný vestník Európskej únie |
L 199 |
|
|
|
||
|
Slovenské vydanie |
Právne predpisy |
Ročník 64 |
|
|
|
|
|
(1) Text s významom pre EHP |
|
SK |
Akty, ktoré sú vytlačené obyčajným písmom, sa týkajú každodennej organizácie poľnohospodárskych záležitostí a sú spravidla platné len obmedzenú dobu. Názvy všetkých ostatných aktov sú vytlačené tučným písmom a je pred nimi hviezdička. |
II Nelegislatívne akty
NARIADENIA
|
7.6.2021 |
SK |
Úradný vestník Európskej únie |
L 199/1 |
VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2021/909
z 31. mája 2021
o zatriedení určitého tovaru do kombinovanej nomenklatúry
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) č. 952/2013 z 9. októbra 2013, ktorým sa ustanovuje Colný kódex Únie (1), a najmä na jeho článok 57 ods. 4 a článok 58 ods. 2,
keďže:
|
(1) |
S cieľom zabezpečiť jednotné uplatňovanie kombinovanej nomenklatúry, ktorá tvorí prílohu k nariadeniu Rady (EHS) č. 2658/87 (2), je potrebné prijať opatrenia týkajúce sa zatriedenia tovaru uvedeného v prílohe k tomuto nariadeniu. |
|
(2) |
V nariadení (EHS) č. 2658/87 sa stanovili všeobecné pravidlá na interpretáciu kombinovanej nomenklatúry. Tieto pravidlá sa takisto uplatňujú na akúkoľvek inú nomenklatúru, ktorá sa na kombinovanej nomenklatúre celkovo alebo čiastočne zakladá alebo ktorá k nej pridáva akékoľvek ďalšie rozdelenie a ktorá je stanovená v osobitných ustanoveniach Únie s ohľadom na uplatňovanie colných a iných opatrení vzťahujúcich sa na obchod s tovarom. |
|
(3) |
Podľa uvedených všeobecných pravidiel by sa tovar opísaný v stĺpci 1 tabuľky uvedenej v prílohe mal zatriediť pod číselný znak KN uvedený v stĺpci 2 na základe odôvodnenia uvedeného v stĺpci 3 danej tabuľky. |
|
(4) |
Je potrebné umožniť, aby sa držiteľ záväzných informácií o nomenklatúrnom zatriedení tovaru vydaných v súvislosti s tovarom, na ktorý sa vzťahuje toto nariadenie, ktoré nie sú v súlade s týmto nariadením, mohol na tieto informácie aj naďalej odvolávať počas určitého obdobia v súlade s článkom 34 ods. 9 nariadenia (EÚ) č. 952/2013. Toto obdobie by malo byť stanovené na tri mesiace. |
|
(5) |
Opatrenia stanovené v tomto nariadení sú v súlade so stanoviskom Výboru pre colný kódex, |
PRIJALA TOTO NARIADENIE:
Článok 1
Tovar opísaný v stĺpci 1 tabuľky uvedenej v prílohe sa zatriedi v rámci kombinovanej nomenklatúry pod číselný znak KN uvedený v stĺpci 2 tejto tabuľky.
Článok 2
Na záväzné informácie o nomenklatúrnom zatriedení tovaru, ktoré nie sú v súlade s týmto nariadením, je možné odvolávať sa aj naďalej v súlade s článkom 34 ods. 9 nariadenia (EÚ) č. 952/2013 počas troch mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia.
Článok 3
Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Bruseli 31. mája 2021
Za Komisiu
v mene predsedníčky
Gerassimos THOMAS
generálny riaditeľ
Generálne riaditeľstvo pre dane a colnú úniu
(1) Ú. v. EÚ L 269, 10.10.2013, s. 1.
(2) Nariadenie Rady (EHS) č. 2658/87 z 23. júla 1987 o colnej a štatistickej nomenklatúre a o Spoločnom colnom sadzobníku (Ú. v. ES L 256, 7.9.1987, s. 1).
PRÍLOHA
|
Opis tovaru |
Zatriedenie (číselný znak KN) |
Odôvodnenie |
|
(1) |
(2) |
(3) |
|
Ohybný výrobok (tzv. plávací rezanec – „pool noodle“) vyrobený z ľahčených plastov (plastová pena), v tvare dutej rúrky s dĺžkou približne 1 m a priemerom približne 8 cm. Výrobok pláva na vode a predkladá sa na použitie ako plávacia pomôcka vyhovujúca európskej norme pre plávacie pomôcky na plavecký výcvik (EN 13138–2:2014). Výrobok takisto tlmí nárazy a tepelne izoluje. Pozri obrázky (*1). |
3926 90 97 |
Zatriedenie je určené všeobecnými pravidlami 1 a 6 na interpretáciu kombinovanej nomenklatúry a znením číselných znakov KN 3926 , 3926 90 a 3926 90 97 . Zatriedenie do položky 9506 ako výrobky a potreby na telesné cvičenie, na gymnastiku, atletiku alebo na ostatné športy alebo na hry vonku je vylúčené, pretože výrobok sa vzhľadom na svoj jednoduchý a bežný tvar nedá rozpoznať ako výrobok určený na telesné cvičenie alebo športy položky 9506 , hoci vďaka svojim plávacím schopnostiam vyhovuje norme pre plávacie pomôcky na plavecký výcvik. Okrem toho výrobok by sa vzhľadom na svoj jednoduchý tvar a bežný materiál mohol používať na rôzne účely (napríklad ako ochranné výrobky tlmiace nárazy, ktorými sú obalené tyče, tepelné izolačné výrobky, ktorými sú obalené rúry, výrobky na zábavu detí). Rovnako zatriedenie do položky 9503 ako ostatné hračky je vylúčené, pretože výrobok sa vzhľadom na jeho dizajn nedá jasne rozpoznať ako výrobok určený na zábavu detí alebo dospelých. Výrobok sa preto má zatriediť podľa jeho základného materiálu (plasty). Výrobok sa preto má zatriediť pod číselný znak KN 3926 90 97 ako ostatné výrobky z plastov. |
(*1) Obrázky majú len informačný charakter.
|
7.6.2021 |
SK |
Úradný vestník Európskej únie |
L 199/4 |
VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2021/910
z 31. mája 2021
o zatriedení určitého tovaru do kombinovanej nomenklatúry
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) č. 952/2013 z 9. októbra 2013, ktorým sa ustanovuje Colný kódex Únie (1), a najmä na jeho článok 57 ods. 4 a článok 58 ods. 2,
keďže:
|
(1) |
S cieľom zabezpečiť jednotné uplatňovanie kombinovanej nomenklatúry, ktorá tvorí prílohu k nariadeniu Rady (EHS) č. 2658/87 (2), je potrebné prijať opatrenia týkajúce sa zatriedenia tovaru uvedeného v prílohe k tomuto nariadeniu. |
|
(2) |
V nariadení (EHS) č. 2658/87 sa stanovili všeobecné pravidlá na interpretáciu kombinovanej nomenklatúry. Tieto pravidlá sa takisto uplatňujú na akúkoľvek inú nomenklatúru, ktorá sa na kombinovanej nomenklatúre celkovo alebo čiastočne zakladá alebo ktorá k nej pridáva akékoľvek ďalšie rozdelenie a ktorá je stanovená v osobitných ustanoveniach Únie s ohľadom na uplatňovanie colných a iných opatrení vzťahujúcich sa na obchod s tovarom. |
|
(3) |
Podľa uvedených všeobecných pravidiel by sa tovar opísaný v stĺpci 1 tabuľky uvedenej v prílohe mal zatriediť pod číselný znak KN uvedený v stĺpci 2 na základe odôvodnenia uvedeného v stĺpci 3 danej tabuľky. |
|
(4) |
Je potrebné umožniť, aby sa držiteľ záväzných informácií o nomenklatúrnom zatriedení tovaru vydaných v súvislosti s tovarom, na ktorý sa vzťahuje toto nariadenie, ktoré nie sú v súlade s týmto nariadením, mohol na tieto informácie aj naďalej odvolávať počas určitého obdobia v súlade s článkom 34 ods. 9 nariadenia (EÚ) č. 952/2013. Toto obdobie by malo byť stanovené na tri mesiace. |
|
(5) |
Opatrenia stanovené v tomto nariadení sú v súlade so stanoviskom Výboru pre colný kódex, |
PRIJALA TOTO NARIADENIE:
Článok 1
Tovar opísaný v stĺpci 1 tabuľky uvedenej v prílohe sa zatriedi v rámci kombinovanej nomenklatúry pod číselný znak KN uvedený v stĺpci 2 tejto tabuľky.
Článok 2
Na záväzné informácie o nomenklatúrnom zatriedení tovaru, ktoré nie sú v súlade s týmto nariadením, je možné odvolávať sa aj naďalej v súlade s článkom 34 ods. 9 nariadenia (EÚ) č. 952/2013 počas troch mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia.
Článok 3
Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Bruseli 31. mája 2021
Za Komisiu
v mene predsedníčky
Gerassimos THOMAS
generálny riaditeľ
Generálne riaditeľstvo pre dane a colnú úniu
(1) Ú. v. EÚ L 269, 10.10.2013, s. 1.
(2) Nariadenie Rady (EHS) č. 2658/87 z 23. júla 1987 o colnej a štatistickej nomenklatúre a o Spoločnom colnom sadzobníku (Ú. v. ES L 256, 7.9.1987, s. 1).
PRÍLOHA
|
Opis tovaru |
Zatriedenie (číselný znak KN) |
Odôvodnenie |
|
(1) |
(2) |
(3) |
|
Cermetové tyčinky s rovnomerným okrúhlym prierezom. Výrobky rôznej dĺžky a priemerov môžu byť plné alebo perforované a mať chladiace kanály, s tupými koncami. Niektoré výrobky môžu byť tiež skosené. Výrobky sú vyrobené z cermetu, konkrétne zo spekaného karbidu kovov na základe karbidu volfrámu s kobaltom ako spojivom. Na základe ich nízkeho stupňa spracovania, jednoduchej formy a tvaru sa výrobky môžu používať na širokú škálu použití, napríklad ako vystužujúce prvky. Ak sú výrobky ďalej spracované, možno ich použiť ako časti nástrojov a ako nástroje. |
8113 00 90 |
Zatriedenie je určené všeobecnými pravidlami 1 a 6 na interpretáciu kombinovanej nomenklatúry, poznámkou 4 k XV. triede a znením číselných znakov KN 8113 00 a 8113 00 90 . Zatriedenie pod číselný znak KN 8209 00 80 ako tyčinky a podobné časti nástrojov, nemontované, z cermetov, je vylúčené, keďže výrobky možno použiť ako časti nástrojov a ako nástroje, len ak sú ďalej spracované, a sú vhodné aj na iné použitie. Výrobky patria do položky 8113 , ktorá zahŕňa cermety, tiež neopracované (surové) alebo vo forme výrobkov inde v kombinovanej nomenklatúre nešpecifikovaných (pozri aj vysvetlivky k harmonizovanému systému k položke 8113 , šiesty odsek). Výrobok sa preto má zatriediť pod číselný znak KN 8113 00 90 ako cermety a ostatné výrobky z nich. |
|
7.6.2021 |
SK |
Úradný vestník Európskej únie |
L 199/7 |
VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2021/911
z 31. mája 2021
o zatriedení určitého tovaru do kombinovanej nomenklatúry
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) č. 952/2013 z 9. októbra 2013, ktorým sa ustanovuje Colný kódex Únie (1), a najmä na jeho článok 57 ods. 4 a článok 58 ods. 2,
keďže:
|
(1) |
S cieľom zabezpečiť jednotné uplatňovanie kombinovanej nomenklatúry, ktorá tvorí prílohu k nariadeniu Rady (EHS) č. 2658/87 (2), je potrebné prijať opatrenia týkajúce sa zatriedenia tovaru uvedeného v prílohe k tomuto nariadeniu. |
|
(2) |
V nariadení (EHS) č. 2658/87 sa stanovili všeobecné pravidlá na interpretáciu kombinovanej nomenklatúry. Tieto pravidlá sa takisto uplatňujú na akúkoľvek inú nomenklatúru, ktorá sa na kombinovanej nomenklatúre celkovo alebo čiastočne zakladá alebo ktorá k nej pridáva akékoľvek ďalšie rozdelenie a ktorá je stanovená v osobitných ustanoveniach Únie s ohľadom na uplatňovanie colných a iných opatrení vzťahujúcich sa na obchod s tovarom. |
|
(3) |
Podľa uvedených všeobecných pravidiel by sa tovar opísaný v stĺpci 1 tabuľky uvedenej v prílohe mal zatriediť pod číselný znak KN uvedený v stĺpci 2 na základe odôvodnenia uvedeného v stĺpci 3 danej tabuľky. |
|
(4) |
Je potrebné umožniť, aby sa držiteľ záväzných informácií o nomenklatúrnom zatriedení tovaru vydaných v súvislosti s tovarom, na ktorý sa vzťahuje toto nariadenie, ktoré nie sú v súlade s týmto nariadením, mohol na tieto informácie aj naďalej odvolávať počas určitého obdobia v súlade s článkom 34 ods. 9 nariadenia (EÚ) č. 952/2013. Toto obdobie by malo byť stanovené na tri mesiace. |
|
(5) |
Opatrenia stanovené v tomto nariadení sú v súlade so stanoviskom Výboru pre colný kódex, |
PRIJALA TOTO NARIADENIE:
Článok 1
Tovar opísaný v stĺpci 1 tabuľky uvedenej v prílohe sa zatriedi v rámci kombinovanej nomenklatúry pod číselný znak KN uvedený v stĺpci 2 tejto tabuľky.
Článok 2
Na záväzné informácie o nomenklatúrnom zatriedení tovaru, ktoré nie sú v súlade s týmto nariadením, je možné odvolávať sa aj naďalej v súlade s článkom 34 ods. 9 nariadenia (EÚ) č. 952/2013 počas troch mesiacov odo dňa nadobudnutia účinnosti tohto nariadenia.
Článok 3
Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Bruseli 31. mája 2021
Za Komisiu
v mene predsedníčky
Gerassimos THOMAS
generálny riaditeľ
Generálne riaditeľstvo pre dane a colnú úniu
(1) Ú. v. EÚ L 269, 10.10.2013, s. 1.
(2) Nariadenie Rady (EHS) č. 2658/87 z 23. júla 1987 o colnej a štatistickej nomenklatúre a o Spoločnom colnom sadzobníku (Ú. v. ES L 256, 7.9.1987, s. 1).
PRÍLOHA
|
Opis tovaru |
Zatriedenie (číselný znak KN) |
Odôvodnenie |
||||||||
|
(1) |
(2) |
(3) |
||||||||
|
Pojazdná plošina pozostávajúca z:
Výrobok má úchopový otvor, aby sa výrobok dal niesť, napríklad v rukách, alebo zavesiť na stenu. Výrobok je určený na použitie na prepravu rôznych predmetov, najmä nábytku a akýchkoľvek iných ťažkých predmetov. (Pozri obrázok) (*1) |
4421 99 10 |
Zatriedenie je určené všeobecnými pravidlami 1, 3 b) a 6 na interpretáciu kombinovanej nomenklatúry, poznámkou 3 k 44. kapitole a znením číselných znakov KN 4421 , 4421 99 a 4421 99 10 . Zatriedenie pod číselný znak KN 8716 80 00 ako ostatné vozidlá bez mechanického pohonu je vylúčené, keďže objektívne charakteristické vlastnosti a znaky výrobku úplne nezodpovedajú podmienkam položky 8716 a číselného znaku KN 8716 80 00 . Vzhľadom na jeho objektívne charakteristické vlastnosti a znaky vrátane úchopového otvoru, ktorý sa nepoužíva na tlačenie výrobku nohou alebo rukou, a jeho dizajn na prepravu ťažkých predmetov takých ako nábytok, ich tlačením, výrobok nie je určený na ťahanie inými vozidlami, na tlačenie alebo ťahanie rukou, na tlačenie nohou alebo na ťahanie zvieratami (pozri aj vysvetlivky k harmonizovanému systému k položke 8716 , druhý odsek). Výrobok sa nemôže považovať za vozidlo, pretože mu chýbajú niektoré charakteristické vlastnosti a znaky vozidla s ručným alebo nožným pohonom položky 8716 , pretože nie je károu, vozíkom, fúrikom ani servírovacím stolíkom, ani nepozostáva zo špecifickej časti vozidla takej ako podvozok (chassis). Výrobok sa preto má zatriediť podľa základného materiálu, z ktorého je vyrobený. Výrobok je zloženým výrobkom pozostávajúcim z rôznych materiálov (drevo, plast a kov). Komponent, ktorý dáva výrobku jeho podstatný charakter, je drevo, keďže drevená doska tvorí hlavnú časť zloženého výrobku a drevená doska má najväčší význam pre zamýšľané použitie výrobku. Výrobok sa preto má zatriediť pod číselný znak KN 4421 99 10 ako ostatné výrobky z vláknitých dosiek. |
(*1) Obrázok má len informačný charakter.
|
7.6.2021 |
SK |
Úradný vestník Európskej únie |
L 199/10 |
VYKONÁVACIE NARIADENIE KOMISIE (EÚ) 2021/912
zo 4. júna 2021,
ktorým sa povoľujú zmeny špecifikácií novej potraviny lakto-N-neotetraózy (mikrobiálny zdroj) a ktorým sa mení vykonávacie nariadenie (EÚ) 2017/2470
(Text s významom pre EHP)
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2015/2283 z 25. novembra 2015 o nových potravinách, ktorým sa mení nariadenie Európskeho parlamentu a Rady (EÚ) č. 1169/2011, ktorým sa zrušuje nariadenie Európskeho parlamentu a Rady (ES) č. 258/97 a nariadenie Komisie (ES) č. 1852/2001 (1), a najmä na jeho článok 12,
keďže:
|
(1) |
V nariadení (EÚ) 2015/2283 sa stanovuje, že na trh v Únii možno umiestňovať iba tie nové potraviny, ktoré sú povolené a zaradené do únijného zoznamu. |
|
(2) |
V súlade s článkom 8 nariadenia (EÚ) 2015/2283 bolo prijaté vykonávacie nariadenie Komisie (EÚ) 2017/2470 (2), ktorým sa zriaďuje únijný zoznam povolených nových potravín. |
|
(3) |
Podľa článku 12 nariadenia (EÚ) 2015/2283 má Komisia predložiť návrh vykonávacieho aktu, ktorým sa povoľuje umiestnenie novej potraviny na trh Únie a aktualizuje únijný zoznam. |
|
(4) |
Vykonávacím rozhodnutím Komisie (EÚ) 2016/375 (3) sa v súlade s nariadením Európskeho parlamentu a Rady (ES) č. 258/97 (4) povolilo umiestnenie chemicky syntetizovanej lakto-N-neotetraózy ako novej zložky potravín na trh. |
|
(5) |
V zmysle článku 5 nariadenia (ES) č. 258/97 informovala spoločnosť Glycom A/S (ďalej len „žiadateľ“) 1. septembra 2016 Komisiu o svojom zámere umiestniť na trh lakto-N-neotetraózu z mikrobiálneho zdroja, produkovanú kmeňom K-12 baktérie Escherichia coli, ako novú zložku potravín. |
|
(6) |
V oznámení Komisii predložila spoločnosť Glycom A/S aj správu vydanú príslušným orgánom Írska podľa článku 3 ods. 4 nariadenia (ES) č. 258/97, v ktorej sa na základe vedeckých dôkazov predložených danou spoločnosťou dospelo k záveru, že lakto-N-neotetraóza produkovaná kmeňom K-12 baktérie Escherichia coli je v podstate rovnocenná so syntetickou lakto-N-neotetraózou povolenou vykonávacím rozhodnutím Komisie (EÚ) 2016/375. Preto bola lakto-N-neotetraóza z mikrobiálneho zdroja, zaradená do zoznamu nových potravín Únie. |
|
(7) |
Spoločnosť Chr. Hansen A/S (ďalej len „žiadateľ“) predložila Komisii 23. júna 2019 v súlade s článkom 10 ods. 1 nariadenia (EÚ) 2015/2283 žiadosť o autorizáciu lakto-N-neotetraózy (mikrobiálny zdroj) produkovanej kombinovanou aktivitou derivovaných kmeňov PS-LNnT-JBT a DS-LNnT-JBT baktérie Escherichia coli, kmeňa BL21(DE3), ako novej potraviny za rovnakých podmienok používania, aké sú aktuálne povolené pre lakto-N-neotetraózu syntetického a mikrobiálneho pôvodu. Žiadateľ požiadal o aktualizáciu únijného zoznamu so zreteľom na nový zdroj tejto novej potraviny. |
|
(8) |
Žiadateľ okrem toho navrhol aktualizovať niektoré špecifikácie lakto-N-neotetraózy (mikrobiálny zdroj) produkovanej uvedeným novým zdrojom, keďže sa líšia od špecifikácií povolenej lakto-N-neotetraózy mikrobiálneho zdroja, produkovanej kmeňom K-12 baktérie Escherichia coli, pokiaľ ide o zvýšenie úrovní popola z ≤ 0,4 % na ≤ 1,0 %; zvýšenú úroveň prítomnosti kvasiniek a plesní zo súčasných ≤ 10 jednotiek tvoriacich kolónie (ďalej len „JTK“)/g novej potraviny pre každý typ mikroorganizmu na ≤ 50 JTK/g v prípade kombinácie obidvoch; a neprítomnosť metanolu (zo súčasných ≤ 100 mg/kg) a fruktózového izoméru lakto-N-neotetraózy (zo súčasných ≤ 1,0 %). |
|
(9) |
Komisia 17. januára 2020 požiadala Európsky úrad pre bezpečnosť potravín (ďalej len „úrad“), aby v súlade s požiadavkami článku 11 nariadenia (EÚ) 2015/2283 vykonal posúdenie lakto-N-neotetraózy produkovanej kombinovanou aktivitou derivovaných kmeňov PS-LNnT-JBT a DS-LNnT-JBT kmeňa BL21(DE3) baktérie Escherichia coli. |
|
(10) |
Úrad prijal 22. októbra 2020 vedecké stanovisko s názvom „Bezpečnosť lakto-N-neotetraózy (LNnT) produkovanej kombináciou derivovaných kmeňov BL21 baktérie E. coli ako novej potraviny podľa nariadenia (EÚ) 2015/2283“ (5). |
|
(11) |
Úrad vo svojom vedeckom stanovisku dospel k záveru, že lakto-N-neotetraóza (LNnT) produkovaná kombinovanou aktivitou derivovaných kmeňov PS-LNnT-JBT a DS-LNnT-JBT kmeňa BL21(DE3) baktérie Escherichia coli ako nová potravina podľa nariadenia (EÚ) 2015/2283 je za súčasných povolených podmienok používania bezpečná. Na základe uvedeného vedeckého stanoviska sa preto možno odôvodnene domnievať, že lakto-N-neotetraóza (LNnT) produkovaná kombinovanou aktivitou derivovaných kmeňov PS-LNnT-JBT a DS-LNnT-JBT kmeňa BL21(DE3) baktérie Escherichia coli je v súlade s článkom 12 ods. 1 nariadenia (EÚ) 2015/2283. |
|
(12) |
Preto je vhodné zmeniť špecifikácie lakto-N-neotetraózy vyrábanej mikrobiologickým procesom, zahrnúť derivované kmene PS-LNnT-JBT a DS-LNnT-JBT kmeňa BL21(DE3) baktérie Escherichia coli ako zdroj novej potraviny okrem povoleného kmeňa K-12 baktérie Escherichia coli a zmeniť navrhované úrovne pre prítomnosť popola, plesní a kvasiniek. |
|
(13) |
Príloha k nariadeniu (EÚ) 2017/2470 by sa preto mala zodpovedajúcim spôsobom zmeniť. |
|
(14) |
Opatrenia stanovené v tomto nariadení sú v súlade so stanoviskom Stáleho výboru pre rastliny, zvieratá, potraviny a krmivá, |
PRIJALA TOTO NARIADENIE:
Článok 1
Zápis v únijnom zozname povolených nových potravín, ako sa stanovuje v článku 6 nariadenia (EÚ) 2015/2283, ktorý sa týka látky lakto-N-neotetraózy (mikrobiálny zdroj), sa mení v súlade s prílohou k tomuto nariadeniu.
Článok 2
Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Bruseli 4. júna 2021
Za Komisiu
predsedníčka
Ursula VON DER LEYEN
(1) Ú. v. EÚ L 327, 11.12.2015, s. 1.
(2) Vykonávacie nariadenie Komisie (EÚ) 2017/2470 z 20. decembra 2017, ktorým sa zriaďuje únijný zoznam nových potravín v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2015/2283 o nových potravinách (Ú. v. EÚ L 351, 30.12.2017, s. 72).
(3) Vykonávacie rozhodnutie Komisie (EÚ) 2016/375 z 11. marca 2016, ktorým sa povoľuje umiestnenie lakto-N-neotetraózy ako novej zložky potravín na trh v súlade s nariadením Európskeho parlamentu a Rady (ES) č. 258/97 (Ú. v. EÚ L 70, 16.3.2016, s. 22).
(4) Nariadenie Európskeho parlamentu a Rady (ES) č. 258/97 o nových potravinách a nových prídavných látkach (Ú. v. ES L 43, 14.2.1997, s. 1).
(5) Vestník EFSA (EFSA Journal) (2020) 18(11):6305.
PRÍLOHA
V tabuľke 2 (špecifikácie) prílohy k vykonávaciemu nariadeniu (EÚ) 2017/2470 sa zápis „Lakto-N-neotetraóza (mikrobiálny zdroj)“ nahrádza takto:
|
„Lakto-N-neotetraóza (mikrobiálny zdroj) |
Definícia: Chemický názov: β-D-galaktopyranozyl-(1→4)-2-acetamido-2-deoxy-β-D-glukopyranozyl-(1→3)-β-D-galaktopyranozyl-(1→4)-D-glukopyranóza Chemický vzorec: C26H45NO21 CAS č.: 13007-32-4 Molekulová hmotnosť: 707,63 g/mol Zdroj:
Opis: Lakto-N-neotetraóza je biely až sivobiely prášok vyrábaný mikrobiologickým procesom. Čistota: Kvantitatívna analýza (bez vody): ≥ 80 % D-laktóza: ≤ 10,0 % Lakto-N-trióza II: ≤ 3,0 % para-lakto-N-neohexaóza: ≤ 5,0 % Fruktózový izomér lakto-N-neotetraózy: ≤ 1,0 % Suma sacharidov (lakto-N-neotetraóza, D-laktóza, lakto-N-trióza II, para-Lakto-N-neohexaóza, fruktózový sacharid lakto-N-neotetraózy): ≥ 92 % (hm. % sušiny) pH (20 °C, 5 % roztok): 4,0 – 7,0 Voda: ≤ 9,0 % Sulfátový popol: ≤ 1,0 % Rezíduá rozpúšťadiel (metanol): ≤ 100 mg/kg Rezíduá bielkovín: ≤ 0,01 % Mikrobiologické kritériá: Celkový počet aeróbnych mezofilných baktérií: ≤ 500 JTK/g Kvasinky a plesne: ≤ 50 JTK/g Rezíduá endotoxínov: ≤ 10 EJ/mg JTK: jednotky tvoriace kolónie, EJ: endotoxínové jednotky“ |
ROZHODNUTIA
|
7.6.2021 |
SK |
Úradný vestník Európskej únie |
L 199/13 |
VYKONÁVACIE ROZHODNUTIE KOMISIE (EÚ) 2021/913
z 3. júna 2021
o harmonizovaných normách pre umývačky riadu pre domácnosť vypracovaných na podporu nariadenia (EÚ) 2019/2022 a delegovaného nariadenia (EÚ) 2019/2017
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) č. 1025/2012 z 25. októbra 2012 o európskej normalizácii, ktorým sa menia a dopĺňajú smernice Rady 89/686/EHS a 93/15/EHS a smernice Európskeho parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES a ktorým sa zrušuje rozhodnutie Rady 87/95/EHS a rozhodnutie Európskeho parlamentu a Rady č. 1673/2006/ES (1), a najmä na jeho článok 10 ods. 6,
keďže:
|
(1) |
V súlade s článkom 9 ods. 2 smernice Európskeho parlamentu a Rady 2009/125/ES (2) majú členské štáty považovať výrobok, pri ktorom sa použili harmonizované normy, ktorých referenčné čísla boli uverejnené v Úradnom vestníku Európskej únie, za výrobok, ktorý spĺňa všetky príslušné požiadavky uplatniteľného vykonávacieho opatrenia, ktorého sa tieto normy týkajú V článku 4 nariadenia Komisie (EÚ) 2019/2022 (3) a v prílohe III k uvedenému nariadeniu sú stanovené príslušné požiadavky týkajúce sa metód merania a výpočtov v prípade umývačiek riadu pre domácnosť. |
|
(2) |
V súlade s článkom 13 nariadenia Európskeho parlamentu a Rady (EÚ) 2017/1369 (4) má Komisia po prijatí delegovaného aktu podľa článku 16 uvedeného nariadenia, ktorým sa stanovujú osobitné požiadavky na označovanie, uverejniť v Úradnom vestníku Európskej únie odkazy na harmonizované normy, ktoré sú v súlade s príslušnými požiadavkami delegovaného aktu týkajúcimi sa metód merania a výpočtov. Ak sa tieto harmonizované normy uplatňujú pri posudzovaní zhody výrobku, predpokladá sa, že model je v súlade s príslušnými požiadavkami delegovaného aktu týkajúcimi sa metód merania a výpočtov. V článku 3 delegovaného nariadenia Komisie (EÚ) 2019/2017 (5) a v prílohe IV k uvedenému nariadeniu sú stanovené príslušné požiadavky týkajúce sa metód merania a výpočtov v prípade umývačiek riadu pre domácnosť. |
|
(3) |
Vykonávacím rozhodnutím C(2020) 4329 (6) Komisia požiadala Európsky výbor pre normalizáciu (CEN), Európsky výbor pre normalizáciu v elektrotechnike (Cenelec) a Európsky inštitút pre telekomunikačné normy (ETSI) o revíziu existujúcich harmonizovaných noriem týkajúcich sa umývačiek riadu pre domácnosť, práčok a práčok so sušičkou pre domácnosť na podporu nariadení (EÚ) 2019/2022 a (EÚ) 2019/2023 a delegovaných nariadení (EÚ) 2019/2017 a (EÚ) 2019/2014. |
|
(4) |
Na základe žiadosti uvedenej vo vykonávacom rozhodnutí C(2020) 4329 výbor Cenelec vypracoval harmonizovanú normu EN 60436: 2020, v ktorej zohľadnil technický a vedecký pokrok. Cenelec k uvedenej norme prijal aj zmenu EN 60436: 2020/A11: 2020 a korigendum EN 60436: 2020/AC: 2020-6. |
|
(5) |
Komisia v spolupráci s výborom Cenelec posúdila, či je harmonizovaná norma EN 60436: 2020 zmenená normou EN 60436: 2020/A11: 2020 a opravená normou EN 60436: 2020/AC: 2020-6 v súlade s požiadavkou stanovenou vo vykonávacom rozhodnutí C(2020) 4329. |
|
(6) |
Harmonizovaná norma EN 60436: 2020 zmenená normou EN 60436: 2020/A11: 2020 a opravená normou EN 60436: 2020/AC: 2020-6 spĺňa požiadavky, na ktoré sa má vzťahovať a ktoré sú stanovené v nariadení (EÚ) 2019/2022 a delegovanom nariadení (EÚ) 2019/2017. |
|
(7) |
Treba objasniť, ktoré verzie noriem uvedených v bode „3. Zmena bodu 2. ‚Normatívne odkazy‘“ normy EN 60436: 2020 sa majú uplatňovať na účely predpokladu zhody. |
|
(8) |
Stĺpec „Pripomienky/poznámky*“ v tabuľke ZZA.1 v norme EN 60436: 2020 na účely delegovaného nariadenia (EÚ) 2019/2017, ani stĺpec „Pripomienky/poznámky*“ v tabuľke ZZB.1 v norme EN 60436: 2020 na účely nariadenia (EÚ) 2019/2022 by sa nemali uverejniť pre nesúlad uvedených stĺpcov s požiadavkami v hlavnej normatívnej časti normy a tiež z dôvodu právnej neistoty pri výklade právnych účinkov predpokladu zhody, ktorý sa v týchto stĺpcoch uvádza ako poznámka pod čiarou. |
|
(9) |
Preto je vhodné uverejniť odkaz na harmonizovanú normu EN 60436: 2020 zmenenú normou EN 60436: 2020/A11: 2020 a opravenú normou EN 60436: 2020/AC: 2020-6 v Úradnom vestníku Európskej únie s obmedzením. |
|
(10) |
Harmonizovanou normou EN 60436: 2020 sa nahrádza harmonizovaná norma EN 50242: 2016 uverejnená v oznámení Komisie 2016/C 416/05 (7). Preto je vhodné toto oznámenie zrušiť. |
|
(11) |
Súlad s harmonizovanou normou je základom predpokladu zhody s príslušnými požiadavkami stanovenými v harmonizačných právnych predpisoch Únie odo dňa uverejnenia odkazu na takúto normu v Úradnom vestníku Európskej únie. Toto rozhodnutie by preto malo nadobudnúť účinnosť dňom jeho uverejnenia, |
PRIJALA TOTO ROZHODNUTIE:
Článok 1
Odkaz na harmonizovanú normu pre energetické označovanie umývačiek riadu pre domácnosť vypracovanú na podporu delegovaného nariadenia (EÚ) 2019/2017 a uvedený v prílohe I k tomuto rozhodnutiu sa týmto uverejňuje v Úradnom vestníku Európskej únie s obmedzením.
Odkaz na harmonizovanú normu pre ekodizajn umývačiek riadu pre domácnosť vypracovanú na podporu nariadenia (EÚ) 2019/2022 a uvedený v prílohe II k tomuto rozhodnutiu sa týmto uverejňuje v Úradnom vestníku Európskej únie s obmedzením.
Článok 2
Oznámenie 2016/C 416/05 sa zrušuje.
Článok 3
Toto rozhodnutie nadobúda účinnosť dňom jeho uverejnenia v Úradnom vestníku Európskej únie.
V Bruseli 3. júna 2021
Za Komisiu
predsedníčka
Ursula VON DER LEYEN
(1) Ú. v. EÚ L 316, 14.11.2012, s. 12.
(2) Smernica Európskeho parlamentu a Rady 2009/125/ES z 21. októbra 2009 o vytvorení rámca na stanovenie požiadaviek na ekodizajn energeticky významných výrobkov (Ú. v. EÚ L 285, 31.10.2009, s. 10).
(3) Nariadenie Komisie (EÚ) 2019/2022 z 1. októbra 2019, ktorým sa stanovujú požiadavky na ekodizajn umývačiek riadu pre domácnosť podľa smernice Európskeho parlamentu a Rady 2009/125/ES, ktorým sa mení nariadenie Komisie (ES) č. 1275/2008 a ktorým sa zrušuje nariadenie Komisie (EÚ) č. 1016/2010 (Ú. v. EÚ L 315, 5.12.2019, s. 267).
(4) Nariadenie Európskeho parlamentu a Rady (EÚ) 2017/1369 zo 4. júla 2017, ktorým sa stanovuje rámec pre energetické označovanie a zrušuje smernica 2010/30/EÚ (Ú. v. EÚ L 198, 28.7.2017, s. 1).
(5) Delegované nariadenie Komisie (EÚ) 2019/2017 z 11. marca 2019, ktorým sa dopĺňa nariadenie Európskeho parlamentu a Rady (EÚ) 2017/1369, pokiaľ ide o energetické označovanie umývačiek riadu pre domácnosť, a ktorým sa zrušuje delegované nariadenie Komisie (EÚ) č. 1059/2010 (Ú. v. EÚ L 315, 5.12.2019, s. 134).
(6) Vykonávacie rozhodnutie Komisie C(2020) 4329 z 1. júla 2020 o žiadosti o normalizáciu adresovanej Európskemu výboru pre normalizáciu, Európskemu výboru pre normalizáciu v elektrotechnike a Európskemu inštitútu pre telekomunikačné normy, pokiaľ ide o požiadavky na ekodizajn a energetické označovanie umývačiek riadu pre domácnosť, práčok a práčok so sušičkou pre domácnosť na podporu nariadení Komisie (EÚ) 2019/2022 a (EÚ) 2019/2023 a delegovaných nariadení Komisie (EÚ) 2019/2017 a (EÚ) 2019/2014.
(7) Oznámenie Komisie v rámci vykonávania nariadenia Komisie (EÚ) č. 1016/2010, ktorým sa vykonáva smernica Európskeho parlamentu a Rady 2009/125/ES, pokiaľ ide o požiadavky na ekodizajn umývačiek riadu pre domácnosť, a delegované nariadenie Komisie (EÚ) č. 1059/2010, ktorým sa dopĺňa smernica Európskeho parlamentu a Rady 2010/30/EÚ, pokiaľ ide o označovanie práčok pre domácnosť energetickými štítkami (Uverejnenie názvov a odkazov harmonizovaných noriem podľa harmonizačného právneho predpisu Únie) (Ú. v. EÚ C 416, 11.11.2016, s. 14).
PRÍLOHA I
Odkaz na harmonizovanú normu vypracovanú na podporu delegovaného nariadenia (EÚ) 2019/2017
|
EN 60436: 2020 Elektrické umývačky riadu pre domácnosť. Metódy merania funkčných vlastností. EN 60436: 2020/A11: 2020 EN 60436: 2020/AC: 2020-6 Obmedzenia:
|
PRÍLOHA II
Odkaz na harmonizovanú normu vypracovanú na podporu delegovaného nariadenia (EÚ) 2019/2022
|
EN 60436: 2020 Elektrické umývačky riadu pre domácnosť. Metódy merania funkčných vlastností. EN 60436: 2020/A11: 2020 EN 60436: 2020/AC: 2020-6 Obmedzenia:
|
|
7.6.2021 |
SK |
Úradný vestník Európskej únie |
L 199/18 |
VYKONÁVACIE ROZHODNUTIE KOMISIE (EÚ) 2021/915
zo 4. júna 2021
o štandardných zmluvných doložkách medzi prevádzkovateľmi a sprostredkovateľmi podľa článku 28 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 a článku 29 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725
(Text s významom pre EHP)
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (1), a najmä na jeho článok 28 ods. 7,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (2), a najmä na jeho článok 29 ods. 7,
keďže:
|
(1) |
pojmy prevádzkovateľ a sprostredkovateľ zohrávajú zásadnú úlohu pri uplatňovaní nariadenia (EÚ) 2016/679 a nariadenia (EÚ) 2018/1725. Prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Na účely nariadenia (EÚ) 2018/1725 je prevádzkovateľ inštitúcia alebo orgán Únie, alebo generálne riaditeľstvo alebo akákoľvek iná organizačná zložka, ktorá sama alebo spoločne s ostatnými určuje účely a prostriedky spracúvania osobných údajov. V prípade, že sa účely a prostriedky tohto spracúvania stanovujú v konkrétnom akte Únie, prevádzkovateľ alebo konkrétne kritériá jeho menovania môžu byť stanovené Úniou. Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. |
|
(2) |
Rovnaký súbor štandardných zmluvných doložiek by sa mal uplatňovať v súvislosti so vzťahom medzi prevádzkovateľmi a sprostredkovateľmi, na ktorých sa vzťahuje nariadenie (EÚ) 2016/679, ako aj v prípadoch, keď sa na nich vzťahuje nariadenie (EÚ) 2018/1725. Dôvodom je, že v záujme jednotného prístupu k ochrane osobných údajov v celej Únii a k voľnému pohybu osobných údajov v Únii boli v čo najväčšej možnej miere vzájomne zosúladené pravidlá ochrany údajov stanovené v nariadení (EÚ) 2016/679, ktoré sa vzťahujú na verejný sektor v členských štátoch, a pravidlá ochrany údajov stanovené v nariadení (EÚ) 2018/1725, ktoré sa vzťahujú na inštitúcie, orgány, úrady a agentúry Únie. |
|
(3) |
S cieľom zabezpečiť súlad s požiadavkami nariadení (EÚ) 2016/679 a (EÚ) 2018/1725 by mal prevádzkovateľ pri poverovaní sprostredkovateľa spracovateľskými činnosťami využívať len takých sprostredkovateľov, ktorí poskytujú dostatočné záruky, najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje, na to, že prijmú technické a organizačné opatrenia, ktoré budú spĺňať požiadavky nariadenia (EÚ) 2016/679 a nariadenia (EÚ) 2018/1725, vrátane požiadavky na bezpečnosť spracúvania. |
|
(4) |
Spracúvanie sprostredkovateľom sa má riadiť zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovujú prvky uvedené v článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679 alebo v článku 29 ods. 3 a 4 nariadenia (EÚ) 2018/1725. Uvedená zmluva alebo akt sa vypracujú v písomnej podobe vrátane elektronickej podoby. |
|
(5) |
V súlade s článkom 28 ods. 6 nariadenia (EÚ) 2016/679 a článkom 29 ods. 6 nariadenia (EÚ) 2018/1725 sa prevádzkovateľ a sprostredkovateľ môžu rozhodnúť, že použijú individuálnu zmluvu obsahujúcu povinné prvky jednotlivo stanovené v článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679 alebo v článku 29 ods. 3 a 4 nariadenia (EÚ) 2018/1725, alebo úplne alebo čiastočne použijú štandardné zmluvné doložky prijaté Komisiou podľa článku 28 ods. 7 nariadenia (EÚ) 2016/679 a článku 29 ods. 7 nariadenia (EÚ) 2018/1725. |
|
(6) |
Prevádzkovateľ a sprostredkovateľ by mali mať možnosť zahrnúť štandardné zmluvné doložky stanovené v tomto rozhodnutí do širšej zmluvy a pridať ďalšie doložky alebo dodatočné záruky, pokiaľ nie sú priamo alebo nepriamo v rozpore so štandardnými zmluvnými doložkami alebo pokiaľ sa nedotýkajú základných práv alebo slobôd dotknutých osôb. Uplatňovaním štandardných zmluvných doložiek nie sú dotknuté zmluvné povinnosti prevádzkovateľa a/alebo sprostredkovateľa zabezpečiť dodržiavanie príslušných výsad a imunít. |
|
(7) |
Štandardné zmluvné doložky by mali zahŕňať hmotnoprávne aj procesnoprávne pravidlá. V súlade s článkom 28 ods. 3 nariadenia (EÚ) 2016/679 a článkom 29 ods. 3 nariadenia (EÚ) 2018/1725 by sa v štandardných zmluvných doložkách malo od prevádzkovateľa a sprostredkovateľa tiež vyžadovať, aby stanovili predmet a obdobie spracúvania, jeho povahu a účel, typ príslušných osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. |
|
(8) |
Podľa článku 28 ods. 3 nariadenia (EÚ) 2016/679 a podľa článku 29 ods. 3 nariadenia (EÚ) 2018/1725 musí sprostredkovateľ bezodkladne informovať prevádzkovateľa, ak sa podľa jeho názoru pokynom prevádzkovateľa porušuje nariadenie (EÚ) 2016/679, nariadenie (EÚ) 2018/1725 alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov. |
|
(9) |
Ak sprostredkovateľ zapojí do vykonávania osobitných činností ďalšieho sprostredkovateľa, mali by sa uplatňovať osobitné požiadavky uvedené v článku 28 ods. 2 a 4 nariadenia (EÚ) 2016/679 alebo v článku 29 ods. 2 a 4 nariadenia (EÚ) 2018/1725. Vyžaduje sa najmä predchádzajúce osobitné alebo všeobecné písomné povolenie. Bez ohľadu na to, či je toto predchádzajúce povolenie osobitné alebo všeobecné, prvý sprostredkovateľ by mal pravidelne aktualizovať zoznam ďalších sprostredkovateľov. |
|
(10) |
S cieľom splniť požiadavky článku 46 ods. 1 nariadenia (EÚ) 2016/679 Komisia prijala štandardné zmluvné doložky podľa článku 46 ods. 2 písm. c) nariadenia (EÚ) 2016/679. Uvedené doložky spĺňajú aj požiadavky článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679, pokiaľ ide o prenos údajov od prevádzkovateľov podliehajúcich nariadeniu (EÚ) 2016/679 sprostredkovateľom mimo územného rozsahu pôsobnosti uvedeného nariadenia alebo od sprostredkovateľov podliehajúcich nariadeniu (EÚ) 2016/679 ďalším sprostredkovateľom mimo územného rozsahu pôsobnosti uvedeného nariadenia. Tieto štandardné zmluvné doložky nemôžu byť použité ako štandardné zmluvné doložky na účely kapitoly V nariadenia (EÚ) 2016/679. |
|
(11) |
Tretie strany by mali mať možnosť stať sa zmluvnou stranou štandardných zmluvných doložiek počas celého životného cyklu zmluvy. |
|
(12) |
Fungovanie štandardných zmluvných doložiek by sa malo hodnotiť v rámci podčasti pravidelného hodnotenia nariadenia (EÚ) 2016/679 podľa článku 97 uvedeného nariadenia. |
|
(13) |
V súlade s článkom 42 ods. 1 a 2 nariadenia (EÚ) 2018/1725 sa uskutočnili konzultácie s európskym dozorným úradníkom pre ochranu údajov a Európskym výborom pre ochranu údajov, ktorí 14. januára 2021 vydali spoločné stanovisko (3), ktoré bolo pri príprave tohto rozhodnutia zohľadnené. |
|
(14) |
Opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 93 nariadenia (EÚ) 2016/679 a článku 96 ods. 2 nariadenia (EÚ) 2018/1725. |
PRIJALA TOTO ROZHODNUTIE:
Článok 1
Štandardné zmluvné doložky stanovené v prílohe spĺňajú požiadavky na zmluvy medzi prevádzkovateľmi a sprostredkovateľmi stanovené v článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679 a článku 29 ods. 3 a 4 nariadenia (EÚ) 2018/1725.
Článok 2
Štandardné zmluvné doložky stanovené v prílohe sa môžu použiť v prípade zmlúv medzi prevádzkovateľom a sprostredkovateľom, ktorý spracúva osobné údaje v mene prevádzkovateľa.
Článok 3
V rámci pravidelného hodnotenia podľa článku 97 nariadenia (EÚ) 2016/679 Komisia hodnotí praktické uplatňovanie štandardných zmluvných doložiek stanovených v prílohe na základe všetkých dostupných informácií.
Článok 4
Toto rozhodnutie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
V Bruseli 4. júna 2021
Za Komisiu
predsedníčka
Ursula VON DER LEYEN
(1) Ú. v. EÚ L 119, 4.5.2016, s. 1.
(2) Ú. v. EÚ L 295, 21.11.2018, s. 39.
(3) Spoločné stanovisko EDPB – EDPS 1/2021 k vykonávaciemu rozhodnutiu Európskej komisie o štandardných zmluvných doložkách medzi prevádzkovateľmi a sprostredkovateľmi pre záležitosti uvedené v článku 28 ods. 7 nariadenia (EÚ) 2016/679 a článku 29 ods. 7 nariadenia (EÚ) 2018/1725.
PRÍLOHA
Štandardné zmluvné doložky
ODDIEL I
Doložka 1
Účel a rozsah pôsobnosti
|
a) |
Účelom týchto štandardných zmluvných doložiek (ďalej len „doložky“) je zabezpečiť súlad s [vyberte príslušnú možnosť – MOŽNOSŤ 1: článkom 28 ods. 3 a 4 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)]/[MOŽNOSŤ 2: článkom 29 ods. 3 a 4 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES]. |
|
b) |
Prevádzkovatelia a sprostredkovatelia uvedení v prílohe I súhlasili s týmito doložkami s cieľom zabezpečiť súlad s článkom 28 ods. 3 a 4 nariadenia (EÚ) 2016/679 a/alebo s článkom 29 ods. 3 a 4 nariadenia (EÚ) 2018/1725. |
|
c) |
Tieto doložky sa vzťahujú na spracúvanie osobných údajov, ako sa uvádza v prílohe II. |
|
d) |
Prílohy I až IV sú neoddeliteľnou súčasťou doložiek. |
|
e) |
Týmito doložkami nie sú dotknuté povinnosti, ktoré sa vzťahujú na prevádzkovateľa podľa nariadenia (EÚ) 2016/679 a/alebo nariadenia (EÚ) 2018/1725. |
|
f) |
Tieto doložky samy osebe nezabezpečujú dodržiavanie povinností týkajúcich sa medzinárodných prenosov v súlade s kapitolou V nariadenia (EÚ) 2016/679 a/alebo nariadenia (EÚ) 2018/1725. |
Doložka 2
Nemennosť doložiek
|
a) |
Zmluvné strany sa zaväzujú, že neupravia doložky s výnimkou doplnenia alebo aktualizácie informácií v prílohách. |
|
b) |
To zmluvným stranám nebráni v tom, aby zahrnuli štandardné zmluvné doložky uvedené v tomto rozhodnutí do širšej zmluvy alebo aby doplnili iné doložky alebo dodatočné záruky za predpokladu, že nie sú priamo ani nepriamo v rozpore s doložkami ani neobmedzujú základné práva alebo slobody dotknutých osôb. |
Doložka 3
Výklad
|
a) |
Ak sa v týchto doložkách používajú pojmy vymedzené v nariadení (EÚ) 2016/679 alebo v nariadení (EÚ) 2018/1725, tieto pojmy majú rovnaký význam ako v uvedenom nariadení. |
|
b) |
Tieto doložky sa chápu a vykladajú so zreteľom na ustanovenia nariadenia (EÚ) 2016/679 alebo nariadenia (EÚ) 2018/1725. |
|
c) |
Tieto doložky sa nesmú vykladať spôsobom, ktorý je v rozpore s právami a povinnosťami stanovenými v nariadení (EÚ) 2016/679/nariadení (EÚ) 2018/1725, ani tak, aby boli dotknuté základné práva alebo slobody dotknutých osôb. |
Doložka 4
Hierarchia
V prípade rozporu medzi týmito doložkami a ustanoveniami súvisiacich dohôd medzi zmluvnými stranami, ktoré existovali v čase, keď sa dohodli tieto doložky, alebo ktoré sa uzavreli neskôr, majú prednosť tieto doložky.
Doložka 5 – Nepovinná
Doložka o pristúpení
|
a) |
Každý subjekt, ktorý nie je zmluvnou stranou týchto doložiek, môže so súhlasom všetkých zmluvných strán kedykoľvek pristúpiť k týmto doložkám buď ako prevádzkovateľ, alebo ako sprostredkovateľ vyplnením príloh a podpísaním prílohy I. |
|
b) |
Po vyplnení a podpísaní príloh uvedených v písmene a) sa pristupujúci subjekt považuje za zmluvnú stranu týchto doložiek a má práva a povinnosti prevádzkovateľa alebo sprostredkovateľa v súlade s jeho určením v prílohe I. |
|
c) |
Pristupujúci subjekt nemá žiadne práva ani povinnosti vyplývajúce z týchto doložiek z obdobia pred tým, ako sa stal zmluvnou stranou. |
ODDIEL II
POVINNOSTI ZMLUVNÝCH STRÁN
Doložka 6
Opis spracúvania
Podrobnosti o operáciách spracovania, a najmä kategórie osobných údajov a účely, na ktoré sa osobné údaje spracúvajú v mene prevádzkovateľa, sú uvedené v prílohe II.
Doložka 7
Povinnosti zmluvných strán
7.1. Pokyny
|
a) |
Sprostredkovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha. V tom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ to dané právo nezakazuje zo závažných dôvodov verejného záujmu. Prevádzkovateľ môže počas celého trvania spracúvania osobných údajov vydávať aj následné pokyny. Tieto pokyny sa vždy zdokumentujú. |
|
b) |
Sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynmi vydanými prevádzkovateľom porušuje nariadenie (EÚ) 2016/679/nariadenie (EÚ) 2018/1725 alebo uplatniteľné ustanovenia Únie alebo členského štátu o ochrane údajov. |
7.2. Obmedzenie účelu
Sprostredkovateľ spracúva osobné údaje len na konkrétny účel, resp. účely spracúvania, ako sa stanovuje v prílohe II, pokiaľ nedostane od prevádzkovateľa ďalšie pokyny.
7.3. Trvanie spracúvania osobných údajov
Spracúvanie sprostredkovateľom sa uskutoční len počas obdobia uvedeného v prílohe II.
7.4. Bezpečnosť spracúvania
|
a) |
Sprostredkovateľ prijme aspoň technické a organizačné opatrenia uvedené v prílohe III s cieľom zaistiť bezpečnosť osobných údajov. To zahŕňa ochranu údajov pred narušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene či neoprávnenému zverejneniu údajov alebo prístupu k údajom (porušenie ochrany osobných údajov). Pri posudzovaní primeranej úrovne bezpečnosti zmluvné strany náležite zohľadnia najnovšie poznatky, náklady na vykonanie opatrení, ako aj povahu, rozsah, kontext a účely spracúvania a súvisiace riziká pre dotknuté osoby. |
|
b) |
Sprostredkovateľ poskytne svojim zamestnancom prístup k osobným údajom, ktoré sa spracúvajú, len v rozsahu, ktorý je nevyhnutne potrebný na plnenie, riadenie a monitorovanie zmluvy. Sprostredkovateľ zabezpečí, aby sa osoby oprávnené spracúvať poskytnuté osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu. |
7.5. Citlivé údaje
Ak spracúvanie zahŕňa osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické údaje alebo biometrické údaje na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby alebo údaje týkajúce sa odsúdení za trestné činy a trestných činov (ďalej len „citlivé údaje“), sprostredkovateľ uplatní osobitné obmedzenia a/alebo dodatočné záruky.
7.6. Dokumentácia a súlad
|
a) |
Zmluvné strany musia byť schopné preukázať súlad s týmito doložkami. |
|
b) |
Sprostredkovateľ bezodkladne a primerane rieši otázky prevádzkovateľa týkajúce sa spracúvania údajov v súlade s týmito doložkami. |
|
c) |
Sprostredkovateľ sprístupní prevádzkovateľovi všetky informácie potrebné na preukázanie súladu s povinnosťami, ktoré sú stanovené v týchto doložkách a vyplývajú priamo z nariadenia (EÚ) 2016/679 a/alebo nariadenia (EÚ) 2018/1725. Na žiadosť prevádzkovateľa sprostredkovateľ takisto povolí audity spracovateľských činností, na ktoré sa vzťahujú tieto doložky, a prispeje k nim v primeraných intervaloch alebo ak existujú náznaky nesúladu. Pri rozhodovaní o preskúmaní alebo audite môže prevádzkovateľ zohľadniť príslušné osvedčenia, ktorými disponuje sprostredkovateľ. |
|
d) |
Prevádzkovateľ sa môže rozhodnúť vykonať audit sám alebo jeho vykonaním poveriť nezávislého audítora. Audity môžu zahŕňať aj inšpekcie v priestoroch alebo fyzických zariadeniach sprostredkovateľa a v prípade potreby sa primeraným spôsobom oznámi ich vykonanie. |
|
e) |
Zmluvné strany na požiadanie sprístupnia príslušnému dozornému orgánu informácie uvedené v tejto doložke vrátane výsledkov všetkých auditov. |
7.7. Využívanie služieb ďalších sprostredkovateľov
|
a) |
MOŽNOSŤ 1 – PREDCHÁDZAJÚCE OSOBITNÉ POVOLENIE: Sprostredkovateľ nesmie bez predchádzajúceho osobitného písomného povolenia prevádzkovateľa postúpiť ďalšiemu sprostredkovateľovi žiadnu zo svojich spracovateľských operácií vykonávaných v mene prevádzkovateľa v súlade s týmito doložkami. Sprostredkovateľ predloží žiadosť o osobitné povolenie aspoň [UVEĎTE OBDOBIE] pred zapojením príslušného ďalšieho sprostredkovateľa spolu s informáciami potrebnými na to, aby prevádzkovateľ mohol rozhodnúť o povolení. Zoznam ďalších sprostredkovateľov schválených prevádzkovateľom sa nachádza v prílohe IV. Zmluvné strany aktualizujú prílohu IV. MOŽNOSŤ 2 – VŠEOBECNÉ PÍSOMNÉ POVOLENIE: Sprostredkovateľ má všeobecné povolenie prevádzkovateľa na zapojenie ďalších sprostredkovateľov z dohodnutého zoznamu. Sprostredkovateľ osobitne a písomne informuje prevádzkovateľa o všetkých zamýšľaných zmenách uvedeného zoznamu prostredníctvom doplnenia alebo nahradenia ďalších sprostredkovateľov aspoň [UVEĎTE OBDOBIE] vopred, čím poskytne prevádzkovateľovi dostatočný čas na to, aby mohol proti takýmto zmenám vzniesť námietky pred zapojením príslušného ďalšieho sprostredkovateľa, resp. príslušných ďalších sprostredkovateľov. Sprostredkovateľ poskytne prevádzkovateľovi informácie potrebné na to, aby mohol uplatniť svoje právo namietať. |
|
b) |
Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností (v mene prevádzkovateľa) ďalšieho sprostredkovateľa, uloží tomuto ďalšiemu sprostredkovateľovi prostredníctvom zmluvy v podstate rovnaké povinnosti v oblasti ochrany údajov, ako sú povinnosti uložené sprostredkovateľovi v súlade s týmito doložkami. Sprostredkovateľ zabezpečí, aby ďalší sprostredkovateľ dodržiaval povinnosti, ktoré sa na sprostredkovateľa vzťahujú podľa týchto doložiek a nariadenia (EÚ) 2016/679 a/alebo nariadenia (EÚ) 2018/1725. |
|
c) |
Sprostredkovateľ poskytne prevádzkovateľovi na jeho žiadosť kópiu takejto dohody s ďalším sprostredkovateľom a všetkých následných zmien. Sprostredkovateľ môže pred poskytnutím kópie upraviť znenie dohody v rozsahu potrebnom na ochranu obchodného tajomstva alebo ostatných dôverných informácií vrátane osobných údajov. |
|
d) |
Sprostredkovateľ zostáva plne zodpovedný voči prevádzkovateľovi za plnenie povinností ďalšieho sprostredkovateľa v súlade so zmluvou, ktorú s ním uzatvoril ďalší sprostredkovateľ. Sprostredkovateľ informuje prevádzkovateľa o akomkoľvek porušení zmluvných povinností ďalším sprostredkovateľom. |
|
e) |
Sprostredkovateľ sa dohodne s ďalším sprostredkovateľom na doložke o oprávnenosti tretej strany, podľa ktorej – v prípade, že sprostredkovateľ fakticky zmizne, prestal právne existovať alebo sa stal platobne neschopným – má prevádzkovateľ právo vypovedať zmluvu uzavretú s ďalším sprostredkovateľom a nariadiť ďalšiemu sprostredkovateľovi, aby vymazal alebo vrátil osobné údaje. |
7.8. Medzinárodné prenosy
|
a) |
Každý prenos údajov do tretej krajiny alebo medzinárodnej organizácii sprostredkovateľom sa realizuje len na základe zdokumentovaných pokynov prevádzkovateľa alebo s cieľom splniť konkrétnu požiadavku podľa práva Únie alebo práva členského štátu, ktoré sa vzťahuje na sprostredkovateľa, a uskutočňuje sa v súlade s kapitolou V nariadenia (EÚ) 2016/679 alebo nariadenia (EÚ) 2018/1725. |
|
b) |
Prevádzkovateľ súhlasí s tým, že ak sprostredkovateľ zapojí v súlade s doložkou 7.7 do vykonávania osobitných spracovateľských činností (v mene prevádzkovateľa) ďalšieho sprostredkovateľa, pričom tieto spracovateľské činnosti zahŕňajú prenos osobných údajov v zmysle kapitoly V nariadenia (EÚ) 2016/679, sprostredkovateľ a ďalší sprostredkovateľ môžu zabezpečiť súlad s kapitolou V nariadenia (EÚ) 2016/679 použitím štandardných zmluvných doložiek prijatých Komisiou na základe článku 46 ods. 2 nariadenia (EÚ) 2016/679 za predpokladu, že sú splnené podmienky týkajúce sa používania uvedených štandardných zmluvných doložiek. |
Doložka 8
Pomoc prevádzkovateľovi
|
a) |
Sprostredkovateľ bezodkladne informuje prevádzkovateľa o každej žiadosti, ktorú dostal od dotknutej osoby. Na žiadosť neodpovie sám, pokiaľ k tomu nedostal oprávnenie od prevádzkovateľa. |
|
b) |
Sprostredkovateľ pomáha prevádzkovateľovi pri plnení jeho povinnosti reagovať na žiadosti dotknutých osôb o výkon ich práv, pričom zohľadní povahu spracúvania. Sprostredkovateľ pri plnení svojich povinností v súlade s písmenami a) a b) dodržiava pokyny prevádzkovateľa. |
|
c) |
Okrem povinnosti pomáhať prevádzkovateľovi podľa doložky 8 písm. b) sprostredkovateľ pomáha prevádzkovateľovi zabezpečiť plnenie týchto povinností, pričom zohľadňuje povahu spracúvania údajov a informácie, ktoré má k dispozícii:
|
|
d) |
Zmluvné strany stanovia v prílohe III primerané technické a organizačné opatrenia, ktorými sa od sprostredkovateľa vyžaduje, aby pomáhal prevádzkovateľovi pri uplatňovaní tejto doložky, ako aj rozsah požadovanej pomoci. |
Doložka 9
Oznámenie porušenia ochrany osobných údajov
V prípade porušenia ochrany osobných údajov sprostredkovateľ spolupracuje s prevádzkovateľom a pomáha mu pri plnení jeho povinností podľa článkov 33 a 34 nariadenia (EÚ) 2016/679 alebo podľa článkov 34 a 35 nariadenia (EÚ) 2018/1725, pričom zohľadňuje povahu spracúvania a informácie, ktoré má k dispozícii.
9.1. Porušenie ochrany údajov spracúvaných prevádzkovateľom
V prípade porušenia ochrany osobných údajov spracúvaných prevádzkovateľom sprostredkovateľ pomáha prevádzkovateľovi:
|
a) |
pri oznamovaní porušenia ochrany osobných údajov príslušnému dozornému orgánu, a to bez zbytočného odkladu po tom, ako sa o ňom prevádzkovateľ dozvedel, ak je to relevantné/(s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb); |
|
b) |
pri získavaní informácií, ktoré sa podľa článku 33 ods. 3 nariadenia (EÚ) 2016/679 [MOŽNOSŤ 1]/článku 34 ods. 3 nariadenia (EÚ) 2018/1725 [MOŽNOSŤ 2] uvedú v oznámení prevádzkovateľa, pričom sa musia uviesť aspoň tieto informácie:
|
Pokiaľ nie je možné poskytnúť všetky uvedené informácie súčasne, pôvodné oznámenie obsahuje informácie, ktoré sú v tom čase k dispozícii, a ďalšie informácie sa následne poskytnú bez zbytočného odkladu hneď, ako budú k dispozícii;
|
c) |
pri dodržiavaní povinnosti stanovenej v článku 34 nariadenia (EÚ) 2016/679 [MOŽNOSŤ 1]/v článku 35 nariadenia (EÚ) 2018/1725 [MOŽNOSŤ 2], t. j. povinnosti bez zbytočného odkladu oznámiť porušenie ochrany osobných údajov dotknutej osobe, ak je pravdepodobné, že porušenie ochrany osobných údajov povedie k vysokému riziku pre práva a slobody fyzických osôb. |
9.2. Porušenie ochrany údajov spracúvaných sprostredkovateľom
V prípade porušenia ochrany osobných údajov spracúvaných sprostredkovateľom sprostredkovateľ informuje prevádzkovateľa bez zbytočného odkladu po tom, ako sa dozvedel o porušení. Takéto oznámenie obsahuje aspoň:
|
a) |
opis povahy porušenia (podľa možnosti vrátane kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch); |
|
b) |
údaje o kontaktnom mieste, na ktorom možno získať viac informácií o porušení ochrany osobných údajov; |
|
c) |
pravdepodobné následky porušenia a prijaté alebo navrhované opatrenia na jeho riešenie vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov. |
Pokiaľ nie je možné poskytnúť všetky uvedené informácie súčasne, pôvodné oznámenie obsahuje informácie, ktoré sú v tom čase k dispozícii, a ďalšie informácie sa následne poskytnú bez zbytočného odkladu hneď, ako budú k dispozícii.
Zmluvné strany stanovia v prílohe III všetky ostatné prvky, ktoré má poskytnúť sprostredkovateľ pri poskytovaní pomoci prevádzkovateľovi pri plnení jeho povinností podľa článkov 33 a 34 nariadenia (EÚ) 2016/679 [MOŽNOSŤ 1]/článkov 34 a 35 nariadenia (EÚ) 2018/1725 [MOŽNOSŤ 2].
ODDIEL III
ZÁVEREČNÉ USTANOVENIA
Doložka 10
Nedodržiavanie doložiek a vypovedanie zmluvy
|
a) |
Bez toho, aby boli dotknuté akékoľvek ustanovenia nariadenia (EÚ) 2016/679 a/alebo nariadenia (EÚ) 2018/1725, môže prevádzkovateľ v prípade, že sprostredkovateľ porušuje svoje povinnosti stanovené v týchto doložkách, nariadiť sprostredkovateľovi, aby pozastavil spracúvanie osobných údajov dovtedy, kým nedodrží tieto doložky alebo kým sa nevypovedá zmluva. Sprostredkovateľ bezodkladne informuje prevádzkovateľa v prípade, že z akéhokoľvek dôvodu nie je schopný dodržiavať tieto doložky. |
|
b) |
Prevádzkovateľ je oprávnený vypovedať zmluvu, pokiaľ ide o spracúvanie osobných údajov v súlade s týmito doložkami, ak:
|
|
c) |
Sprostredkovateľ je oprávnený vypovedať zmluvu, pokiaľ ide o spracúvanie osobných údajov podľa týchto doložiek, ak prevádzkovateľ po tom, ako ho informoval, že jeho pokyny sú v rozpore s platnými právnymi požiadavkami podľa doložky 7.1 písm. b), trvá na dodržiavaní pokynov. |
|
d) |
Po vypovedaní zmluvy sprostredkovateľ podľa rozhodnutia prevádzkovateľa vymaže všetky osobné údaje spracované v mene prevádzkovateľa a prevádzkovateľovi potvrdí, že tak urobil, alebo vráti všetky osobné údaje prevádzkovateľovi a vymaže existujúce kópie, pokiaľ sa v práve Únie alebo členského štátu nevyžaduje uchovávanie osobných údajov. Sprostredkovateľ zabezpečuje dodržiavanie týchto doložiek dovtedy, kým nedôjde k vymazaniu alebo vráteniu údajov. |
PRÍLOHA I
Zoznam zmluvných strán
Prevádzkovateľ (prevádzkovatelia): [Totožnosť a kontaktné údaje prevádzkovateľa (prevádzkovateľov) a v príslušných prípadoch zodpovednej osoby]
|
1. |
Meno/názov: … |
|
|
Adresa: … |
|
|
Meno, funkcia a kontaktné údaje kontaktnej osoby: … |
|
|
Podpis a dátum pristúpenia: … |
|
2. |
|
…
Sprostredkovateľ (sprostredkovatelia): [Totožnosť a kontaktné údaje sprostredkovateľa (sprostredkovateľov) a v príslušných prípadoch zodpovednej osoby]
|
1. |
Meno/názov: … |
|
|
Adresa: … |
|
|
Meno, funkcia a kontaktné údaje kontaktnej osoby: … |
|
|
Podpis a dátum pristúpenia: … |
|
2. |
|
…
PRÍLOHA II
Opis spracúvania
Kategórie dotknutých osôb, ktorých osobné údaje sa spracúvajú
…
Kategórie spracúvaných osobných údajov
…
Spracúvané citlivé údaje (v relevantných prípadoch) a uplatňované obmedzenia alebo záruky, ktoré v plnej miere zohľadňujú povahu údajov a súvisiace riziká, ako napríklad prísne obmedzenie účelu, obmedzenia prístupu (vrátane prístupu len pre zamestnancov, ktorí absolvovali špecializovanú odbornú prípravu), vedenie záznamov o prístupe k údajom, obmedzenia následných prenosov alebo dodatočné bezpečnostné opatrenia.
…
Povaha spracúvania
…
Účel(-y), na ktorý(-é) sa osobné údaje spracúvajú v mene prevádzkovateľa
…
Trvanie spracúvania
…
…
V prípade spracúvania ďalšími sprostredkovateľmi uveďte aj predmet, povahu a trvanie spracúvania.
PRÍLOHA III
Technické a organizačné opatrenia vrátane technických a organizačných opatrení na zaistenie bezpečnosti údajov
VYSVETLIVKA:
Technické a organizačné opatrenia je potrebné opísať konkrétne, a nie všeobecným spôsobom.
Opis technických a organizačných bezpečnostných opatrení zavedených sprostredkovateľom (sprostredkovateľmi) (vrátane všetkých príslušných osvedčení) s cieľom zaistiť primeranú úroveň bezpečnosti, pričom sa zohľadní povaha, rozsah, kontext a účel spracúvania, ako aj riziká pre práva a slobody fyzických osôb. Príklady možných opatrení:
|
|
Opatrenia zamerané na pseudonymizáciu a šifrovanie osobných údajov |
|
|
Opatrenia na zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov a služieb spracúvania |
|
|
Opatrenia na zabezpečenie schopnosti včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu |
|
|
Procesy pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení v záujme zaistenia bezpečnosti spracúvania |
|
|
Opatrenia na identifikáciu používateľov a poskytovanie používateľských povolení |
|
|
Opatrenia na ochranu údajov počas prenosu |
|
|
Opatrenia na ochranu údajov počas uchovávania |
|
|
Opatrenia na zaistenie fyzickej bezpečnosti miest, na ktorých sa spracúvajú osobné údaje |
|
|
Opatrenia na zabezpečenie zaznamenávania udalostí |
|
|
Opatrenia na zabezpečenie konfigurácie systému vrátane predvolenej konfigurácie |
|
|
Opatrenia na vnútorné riadenie IT a bezpečnosti IT |
|
|
Opatrenia na certifikáciu/zabezpečenie procesov a produktov |
|
|
Opatrenia na zabezpečenie minimalizácie údajov |
|
|
Opatrenia na zabezpečenie kvality údajov |
|
|
Opatrenia na zabezpečenie obmedzeného uchovávania údajov |
|
|
Opatrenia na zabezpečenie zodpovednosti |
|
|
Opatrenia na umožnenie prenosnosti údajov a zabezpečenie výmazu |
V prípade prenosov ďalším sprostredkovateľom opíšte aj konkrétne technické a organizačné opatrenia, ktoré má prijať ďalší sprostredkovateľ, aby mohol poskytnúť pomoc prevádzkovateľovi.
Opis konkrétnych technických a organizačných opatrení, ktoré má sprostredkovateľ prijať, aby mohol poskytnúť pomoc prevádzkovateľovi.
PRÍLOHA IV
Zoznam ďalších sprostredkovateľov
VYSVETLIVKA:
Túto prílohu je potrebné vyplniť v prípade osobitného povolenia pre ďalších sprostredkovateľov [doložka 7.7 písm. a), možnosť 1].
Prevádzkovateľ povolil využitie služieb týchto ďalších sprostredkovateľov:
|
1. |
Meno/názov: … |
|
|
Adresa: … |
|
|
Meno, funkcia a kontaktné údaje kontaktnej osoby: … |
|
|
Opis spracúvania (vrátane jasného vymedzenia povinností v prípade, že je schválených niekoľko ďalších sprostredkovateľov): … |
|
2. |
… |
|
7.6.2021 |
SK |
Úradný vestník Európskej únie |
L 199/31 |
VYKONÁVACIE ROZHODNUTIE KOMISIE (EÚ) 2021/914
zo 4. júna 2021
o štandardných zmluvných doložkách pre prenos osobných údajov do tretích krajín podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679
(Text s významom pre EHP)
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (1), a najmä na jeho článok 28 ods. 7 a článok 46 ods. 2 písm. c),
keďže:
|
(1) |
Technologický vývoj uľahčuje cezhraničné toky údajov, ktoré sú potrebné na rozširovanie medzinárodnej spolupráce a medzinárodného obchodu. Zároveň je potrebné zabezpečiť, aby úroveň ochrany fyzických osôb zaručená nariadením (EÚ) 2016/679 nebola ohrozená, ak sa osobné údaje prenášajú do tretích krajín, a to aj v prípadoch následných prenosov (2). Cieľom ustanovení o prenose údajov v kapitole V nariadenia (EÚ) 2016/679 je zabezpečiť kontinuitu tejto vysokej úrovne ochrany v prípade prenosu osobných údajov do tretej krajiny (3). |
|
(2) |
Podľa článku 46 ods. 1 nariadenia (EÚ) 2016/679 môže prevádzkovateľ alebo sprostredkovateľ v prípade, že Komisia neprijala rozhodnutie o primeranosti podľa článku 45 ods. 3, preniesť osobné údaje do tretej krajiny, len ak poskytol primerané záruky, a pod podmienkou, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy. Takéto záruky možno stanoviť v štandardných doložkách o ochrane údajov prijatých Komisiou podľa článku 46 ods. 2 písm. c). |
|
(3) |
Úloha štandardných zmluvných doložiek sa obmedzuje na zabezpečenie primeraných záruk ochrany údajov pri medzinárodných prenosoch údajov. Prevádzkovateľ alebo sprostredkovateľ prenášajúci osobné údaje do tretej krajiny (ďalej len „vývozca údajov“) a prevádzkovateľ alebo sprostredkovateľ prijímajúci osobné údaje (ďalej len „dovozca údajov“) preto môžu zahrnúť tieto štandardné zmluvné doložky do širšej zmluvy a pridať ďalšie doložky alebo dodatočné záruky za predpokladu, že nie sú priamo ani nepriamo v rozpore so štandardnými zmluvnými doložkami ani nepoškodzujú základné práva alebo slobody dotknutých osôb. Prevádzkovateľom a sprostredkovateľom sa odporúča, aby poskytovali dodatočné záruky prostredníctvom zmluvných záväzkov, ktoré doplnia štandardné zmluvné doložky (4). Používaním štandardných zmluvných doložiek nie sú dotknuté zmluvné povinnosti vývozcu a/alebo dovozcu údajov zabezpečovať dodržiavanie platných výsad a imunít. |
|
(4) |
Nad rámec používania štandardných zmluvných doložiek na účely poskytovania primeraných záruk pre prenosy podľa článku 46 ods. 1 nariadenia (EÚ) 2016/679 musí vývozca údajov plniť svoje všeobecné povinnosti prevádzkovateľa alebo sprostredkovateľa podľa nariadenia (EÚ) 2016/679. Tieto povinnosti zahŕňajú povinnosť prevádzkovateľa poskytnúť dotknutým osobám informáciu o tom, že zamýšľa preniesť ich osobné údaje do tretej krajiny podľa článku 13 ods. 1 písm. f) a článku 14 ods. 1 písm. f) nariadenia (EÚ) 2016/679. V prípade prenosov podľa článku 46 nariadenia (EÚ) 2016/679 musí táto informácia zahŕňať odkaz na primerané záruky a prostriedky, pomocou ktorých možno získať ich kópiu alebo informáciu o tom, kde boli sprístupnené. |
|
(5) |
Rozhodnutia Komisie 2001/497/ES (5) a 2010/87/EÚ (6) obsahujú štandardné zmluvné doložky na uľahčenie prenosu osobných údajov od prevádzkovateľa usadeného v Únii k prevádzkovateľovi alebo sprostredkovateľovi usadenému v tretej krajine, ktorí neposkytujú primeranú úroveň ochrany. Tieto rozhodnutia boli založené na smernici Európskeho parlamentu a Rady 95/46/ES (7). |
|
(6) |
Podľa článku 46 ods. 5 nariadenia (EÚ) 2016/679 zostáva rozhodnutie 2001/497/ES a rozhodnutie 2010/87/EÚ v platnosti dovtedy, kým ich nebude potrebné zmeniť, nahradiť alebo zrušiť rozhodnutím Komisie prijatým podľa článku 46 ods. 2 uvedeného nariadenia. Štandardné zmluvné doložky v týchto rozhodnutiach si vzhľadom na nové požiadavky v nariadení (EÚ) 2016/679 vyžadovali aktualizáciu. Navyše od prijatia týchto rozhodnutí došlo v digitálnom hospodárstve k značnému vývoju charakterizovanému širokým využívaním nových a zložitejších spracovateľských operácií, ktoré často zahŕňajú viacerých dovozcov a vývozcov údajov, dlhými a zložitými spracovateľskými reťazcami, ako aj rozvíjajúcimi sa obchodnými vzťahmi. Preto treba modernizovať štandardné zmluvné doložky tak, aby lepšie odrážali tieto skutočnosti, a to rozšírením ich pôsobnosti na ďalšie situácie v oblasti spracúvania a prenosu, a aby umožňovali pružnejší prístup, napríklad pokiaľ ide o počet subjektov, ktoré sa môžu stať zmluvnými stranami. |
|
(7) |
Prevádzkovateľ alebo sprostredkovateľ môžu použiť štandardné zmluvné doložky uvedené v prílohe k tomuto rozhodnutiu s cieľom poskytnúť primerané záruky v zmysle článku 46 ods. 1 nariadenia (EÚ) 2016/679 na prenos osobných údajov sprostredkovateľovi alebo prevádzkovateľovi usadenému v tretej krajine bez toho, aby tým bol dotknutý výklad pojmu medzinárodný prenos v nariadení (EÚ) 2016/679. Štandardné zmluvné doložky sa môžu na takéto prenosy použiť len v rozsahu, v akom spracúvanie dovozcom nepatrí do rozsahu pôsobnosti nariadenia (EÚ) 2016/679. Zahŕňa to aj prenos osobných údajov prevádzkovateľom alebo sprostredkovateľom, ktorí nie sú usadení v Únii, pokiaľ sa na spracúvanie vzťahuje nariadenie (EÚ) 2016/679 (podľa článku 3 ods. 2 tohto nariadenia) z dôvodu, že sa týka ponuky tovaru alebo služieb dotknutým osobám v Únii alebo monitorovania ich správania, ak k nemu dochádza v rámci Únie. |
|
(8) |
Vzhľadom na všeobecné zosúladenie nariadení Európskeho parlamentu a Rady (EÚ) 2016/679 a 2018/1725 (8) by malo byť možné použiť štandardné zmluvné doložky aj v kontexte zmluvy, ako sa to uvádza v článku 29 ods. 4 nariadenia (EÚ) 2018/1725, na prenos osobných údajov k ďalšiemu sprostredkovateľovi v tretej krajine od sprostredkovateľa, ktorý nie je inštitúciou ani orgánom Únie, ale na ktorého sa vzťahuje nariadenie (EÚ) 2016/679 a ktorý spracúva osobné údaje v mene inštitúcie alebo orgánu Únie v súlade s článkom 29 nariadenia (EÚ) 2018/1725. Ak zmluva odráža rovnaké povinnosti v oblasti ochrany údajov, ako sú stanovené v zmluve alebo inom právnom akte medzi prevádzkovateľom a sprostredkovateľom podľa článku 29 ods. 3 nariadenia (EÚ) 2018/1725, pričom sa ňou najmä poskytujú dostatočné záruky pre technické a organizačné opatrenia s cieľom zabezpečiť, aby spracúvanie spĺňalo požiadavky uvedeného nariadenia, zabezpečí sa tým súlad s článkom 29 ods. 4 nariadenia (EÚ) 2018/1725. Bude to platiť najmä v prípade, keď prevádzkovateľ a sprostredkovateľ používajú štandardné zmluvné doložky vo vykonávacom rozhodnutí Komisie o štandardných zmluvných doložkách medzi prevádzkovateľmi a sprostredkovateľmi podľa článku 28 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 a článku 29 ods. 7 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 (9). |
|
(9) |
Ak spracúvanie zahŕňa prenosy údajov od prevádzkovateľov, na ktorých sa vzťahuje nariadenie (EÚ) 2016/679, k sprostredkovateľom mimo jeho územnej pôsobnosti, alebo od sprostredkovateľov, na ktorých sa vzťahuje nariadenie (EÚ) 2016/679, k ďalším sprostredkovateľom mimo jeho územnej pôsobnosti, štandardné zmluvné doložky stanovené v prílohe k tomuto rozhodnutiu by mali takisto umožňovať splnenie požiadaviek článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679. |
|
(10) |
Štandardné zmluvné doložky uvedené v prílohe k tomuto rozhodnutiu kombinujú všeobecné doložky s modulárnym prístupom na zohľadnenie rôznych scenárov prenosu a zložitosti spracovateľských reťazcov súčasnosti. Okrem všeobecných doložiek by prevádzkovatelia a sprostredkovatelia mali vybrať modul uplatniteľný na ich situáciu tak, aby svoje povinnosti vyplývajúce zo štandardných zmluvných doložiek prispôsobili svojej úlohe a zodpovednosti v súvislosti s daným spracúvaním údajov. Malo by byť možné, aby k štandardným zmluvným doložkám pristúpili viac ako dve zmluvné strany. Okrem toho by dodatoční prevádzkovatelia a sprostredkovatelia mali mať možnosť pristúpiť k štandardným zmluvným doložkám ako vývozcovia alebo dovozcovia údajov počas celého životného cyklu zmluvy, ktorej sú súčasťou. |
|
(11) |
Na účely poskytnutia primeraných záruk by štandardné zmluvné doložky mali zabezpečovať, aby sa osobným údajom prenášaným na tomto základe poskytovala úroveň ochrany, ktorá je v zásade rovnocenná úrovni ochrany zaručenej v rámci Únie (10). S cieľom zabezpečiť transparentnosť spracúvania by sa dotknutým osobám mala poskytnúť kópia štandardných zmluvných doložiek a mali by byť informované najmä o kategóriách spracúvaných osobných údajov, práve na získanie kópie štandardných zmluvných doložiek a o každom následnom prenose. Následné prenosy od dovozcu údajov k tretej strane v inej tretej krajine by sa mali povoliť len vtedy, ak tretia strana pristúpi k štandardným zmluvným doložkám, ak je kontinuita ochrany zabezpečená inak alebo v osobitných situáciách, napríklad na základe výslovného informovaného súhlasu dotknutej osoby. |
|
(12) |
S určitými výnimkami, najmä pokiaľ ide o niektoré povinnosti, ktoré sa týkajú výlučne vzťahu medzi vývozcom údajov a dovozcom údajov, by dotknuté osoby mali mať ako oprávnené tretie strany možnosť odvolávať sa na štandardné zmluvné doložky a v prípade potreby sa domáhať ich presadzovania. Aj keď by teda zmluvné strany mali mať možnosť zvoliť si právo niektorého členského štátu, ktorým sa budú riadiť štandardné zmluvné doložky, toto právo musí priznávať účinok právam oprávnenej tretej strany. V záujme uľahčenia individuálnej nápravy by sa v štandardných zmluvných doložkách malo od dovozcu údajov vyžadovať, aby informoval dotknuté osoby o kontaktnom mieste a urýchlene vybavoval sťažnosti alebo žiadosti. V prípade sporu medzi dovozcom údajov a dotknutou osobou, ktorá sa dovoláva svojich práv oprávnenej tretej strany, by dotknutá osoba mala mať možnosť podať sťažnosť príslušnému dozornému orgánu alebo sa so sporom obrátiť na príslušný súd v EÚ. |
|
(13) |
S cieľom zabezpečiť účinné presadzovanie by sa od dovozcu údajov malo vyžadovať, aby sa podriadil jurisdikcii takéhoto orgánu a súdov a zaviazal sa dodržiavať akékoľvek záväzné rozhodnutie podľa uplatniteľného práva členského štátu. Dovozca údajov by sa mal predovšetkým zaviazať, že bude odpovedať na otázky, podrobí sa auditom a bude dodržiavať opatrenia prijaté dozorným orgánom vrátane nápravných a kompenzačných opatrení. Dovozca údajov by mal mať navyše možnosť ponúknuť dotknutým osobám bezplatnú možnosť domáhať sa nápravy na nezávislom orgáne riešenia sporov. V súlade s článkom 80 ods. 1 nariadenia (EÚ) 2016/679 by dotknuté osoby mali mať možnosť nechať sa zastupovať združeniami alebo inými orgánmi v sporoch proti dovozcovi údajov, ak si to želajú. |
|
(14) |
Štandardné zmluvné doložky by mali obsahovať pravidlá zodpovednosti medzi zmluvnými stranami a vo vzťahu k dotknutým osobám, ako aj pravidlá týkajúce sa odškodnenia medzi zmluvnými stranami. Ak dotknutá osoba utrpí majetkovú alebo nemajetkovú ujmu v dôsledku akéhokoľvek porušenia práv oprávnenej tretej strany podľa štandardných zmluvných doložiek, mala by mať nárok na náhradu ujmy. Tým by nemala byť dotknutá zodpovednosť podľa nariadenia (EÚ) 2016/679. |
|
(15) |
V prípade prenosu k dovozcovi údajov v postavení sprostredkovateľa alebo ďalšieho sprostredkovateľa by sa mali uplatňovať osobitné požiadavky v súlade s článkom 28 ods. 3 nariadenia (EÚ) 2016/679. V štandardných zmluvných doložkách by sa od dovozcu údajov malo vyžadovať, aby sprístupňoval všetky informácie potrebné na preukázanie plnenia povinností stanovených v doložkách, umožňoval audity svojich spracovateľských činností zo strany vývozcu údajov a poskytoval pri nich potrebnú súčinnosť. Pokiaľ ide o zapojenie ďalšieho sprostredkovateľa zo strany dovozcu údajov v súlade s článkom 28 ods. 2 a 4 nariadenia (EÚ) 2016/679, v štandardných zmluvných doložkách by mal byť stanovený najmä postup všeobecného alebo osobitného povoľovania zo strany vývozcu údajov, ako aj požiadavka na písomnú zmluvu s ďalším sprostredkovateľom, ktorou sa zabezpečuje rovnaká úroveň ochrany ako podľa doložiek. |
|
(16) |
V štandardných zmluvných doložkách je vhodné stanoviť rôzne záruky vzťahujúce sa na špecifickú situáciu, akou je prenos osobných údajov od sprostredkovateľa v Únii k prevádzkovateľovi v tretej krajine, a premietnuť do nich obmedzené samostatné povinnosti sprostredkovateľov podľa nariadenia (EÚ) 2016/679. V štandardných zmluvných doložkách by sa predovšetkým malo vyžadovať, aby sprostredkovateľ informoval prevádzkovateľa, keď nie je schopný dodržiavať jeho pokyny, a to aj v prípade, že takéto pokyny porušujú právne predpisy Únie v oblasti ochrany údajov, a vyžadovať od prevádzkovateľa, aby sa zdržal akéhokoľvek konania, ktoré by sprostredkovateľovi bránilo v plnení jeho povinností podľa nariadenia (EÚ) 2016/679. Malo by sa v nich tiež vyžadovať, aby si zmluvné strany navzájom pomáhali pri reagovaní na otázky a žiadosti dotknutých osôb podľa miestneho práva uplatniteľného na dovozcu údajov alebo, pokiaľ ide o spracúvanie údajov v Únii, podľa nariadenia (EÚ) 2016/679. Dodatočné požiadavky týkajúce sa riešenia prípadných účinkov právnych predpisov tretej krajiny určenia na dodržiavanie štandardných zmluvných doložiek prevádzkovateľom, najmä pokiaľ ide o vybavovanie záväzných žiadostí orgánov verejnej moci v tretej krajine o poskytnutie prenesených osobných údajov, by sa mali uplatňovať v prípade, keď sprostredkovateľ z Únie kombinuje osobné údaje prijaté od prevádzkovateľa v tretej krajine s osobnými údajmi, ktoré získal sprostredkovateľ v Únii. Naopak, žiadne takéto požiadavky nie sú odôvodnené, ak outsourcing zahŕňa len spracúvanie a spätný prenos osobných údajov prijatých od prevádzkovateľa, pričom v každom prípade podlieha a naďalej bude podliehať právomoci dotknutej tretej krajiny. |
|
(17) |
Strany by mali byť schopné preukázať, že sa riadia štandardnými zmluvnými doložkami. Od dovozcu údajov by sa malo najmä vyžadovať, aby viedol príslušnú dokumentáciu o spracovateľských činnostiach, za ktoré je zodpovedný, a aby bezodkladne informoval vývozcu údajov, ak z akéhokoľvek dôvodu nie je schopný doložky dodržiavať. Na druhej strane by mal vývozca údajov pozastaviť prenos a v obzvlášť závažných prípadoch by mal mať právo vypovedať zmluvu, pokiaľ ide o spracúvanie osobných údajov podľa štandardných zmluvných doložiek, ak dovozca údajov doložky porušuje alebo nie je schopný ich dodržiavať. Ak majú miestne právne predpisy vplyv na dodržiavanie týchto doložiek, mali by sa uplatňovať osobitné pravidlá. Osobné údaje, ktoré už boli pred vypovedaním zmluvy prenesené, ako aj všetky ich kópie, by sa mali vrátiť vývozcovi údajov alebo v celom rozsahu zničiť, a to podľa toho, pre ktorú z možností sa vývozca údajov rozhodne. |
|
(18) |
Štandardné zmluvné doložky by mali predovšetkým vzhľadom na judikatúru Súdneho dvora (11) poskytovať konkrétne záruky, pokiaľ ide o reakciu na účinky právnych predpisov tretej krajiny určenia na dodržiavanie doložiek zo strany dovozcu údajov, a to najmä s ohľadom na spôsob vybavovania záväzných žiadostí orgánov verejnej moci v danej krajine o poskytnutie prenesených osobných údajov. |
|
(19) |
Prenos a spracúvanie osobných údajov podľa štandardných zmluvných doložiek by sa nemali uskutočňovať, ak právne predpisy a prax tretej krajiny určenia bránia dovozcovi údajov v dodržiavaní doložiek. V tejto súvislosti by sa nemal prijať záver, že právne predpisy a prax, ktoré rešpektujú podstatu základných práv a slobôd a neprekračujú rámec toho, čo je nevyhnutné a primerané v demokratickej spoločnosti na zabezpečenie niektorého z cieľov uvedených v článku 23 ods. 1 nariadenia (EÚ) 2016/679, sú v rozpore so štandardnými zmluvnými doložkami. Zmluvné strany by mali poskytnúť záruku, že v čase vyjadrenia súhlasu so štandardnými zmluvnými doložkami nemajú žiadny dôvod domnievať sa, že právne predpisy a prax, ktoré sa vzťahujú na dovozcu údajov, nie sú v súlade s týmito požiadavkami. |
|
(20) |
Zmluvné strany by mali zohľadňovať najmä špecifické okolnosti prenosu (ako je obsah a trvanie zmluvy, povaha prenášaných údajov, typ príjemcu, účel spracúvania), právne predpisy a prax tretej krajiny určenia, ktoré sú relevantné vzhľadom na okolnosti prenosu, ako aj všetky záruky zavedené na doplnenie záruk podľa štandardných zmluvných doložiek (vrátane príslušných zmluvných, technických a organizačných opatrení vzťahujúcich sa na prenos osobných údajov a ich spracúvanie v krajine určenia). Pokiaľ ide o vplyv takýchto právnych predpisov a praxe na dodržiavanie štandardných zmluvných doložiek, za súčasť celkového posúdenia možno považovať rôzne prvky vrátane spoľahlivých informácií o uplatňovaní práva v praxi (napríklad judikatúra a správy nezávislých orgánov dohľadu), existencie alebo neexistencie žiadostí v rámci toho istého odvetvia a pri splnení prísnych podmienok aj vrátane zdokumentovaných praktických skúseností vývozcu údajov a/alebo dovozcu údajov. |
|
(21) |
Príjemca údajov by mal vývozcovi údajov zaslať oznámenie v prípade, že po vyjadrení súhlasu so štandardnými zmluvnými doložkami má dôvod domnievať sa, že nie je schopný dodržiavať štandardné zmluvné doložky. Ak vývozca údajov dostane takéto oznámenie alebo sa inak dozvie, že dovozca údajov už nie je schopný dodržiavať štandardné zmluvné doložky, mal by určiť vhodné opatrenia na riešenie situácie, v prípade potreby po konzultácii s príslušným dozorným orgánom. Takéto opatrenia môžu zahŕňať dodatočné opatrenia prijaté vývozcom a/alebo dovozcom údajov, ako sú technické alebo organizačné opatrenia na zaistenie bezpečnosti a dôvernosti. Od vývozcu údajov by sa malo vyžadovať, aby pozastavil prenos, ak sa domnieva, že nemožno zabezpečiť primerané záruky, alebo ak mu na to dá pokyn príslušný dozorný orgán. |
|
(22) |
Ak je to možné, dovozca údajov by mal vývozcovi údajov a dotknutej osobe zaslať oznámenie, ak dostane právne záväznú žiadosť od verejného (vrátane súdneho) orgánu podľa práva krajiny určenia o poskytnutie osobných údajov prenesených podľa štandardných zmluvných doložiek. Podobne by im mal oznámiť, ak sa dozvie o akomkoľvek priamom prístupe orgánov verejnej moci k takýmto osobným údajom v súlade s právom tretej krajiny určenia. Ak dovozca údajov nie je napriek svojmu maximálnemu úsiliu schopný oznámiť vývozcovi údajov a/alebo dotknutej osobe konkrétne žiadosti o poskytnutie údajov, mal by o žiadostiach poskytnúť vývozcovi údajov čo najviac relevantných informácií. Dovozca údajov by mal navyše v pravidelných intervaloch poskytovať vývozcovi údajov súhrnné informácie. Od dovozcu údajov by sa tiež malo vyžadovať, aby zdokumentoval každú prijatú žiadosť o poskytnutie údajov a poskytnutú odpoveď a aby na požiadanie poskytol tieto informácie vývozcovi údajov alebo príslušnému dozornému orgánu, alebo obom. Ak po preskúmaní zákonnosti takejto žiadosti podľa právnych predpisov krajiny určenia dovozca údajov dospeje k záveru, že existujú opodstatnené dôvody domnievať sa, že žiadosť je podľa právnych predpisov tretej krajiny určenia nezákonná, mal by ju napadnúť, pokiaľ možno aj vyčerpaním dostupných možností odvolania. V každom prípade, ak dovozca údajov už nie je schopný dodržiavať štandardné zmluvné doložky, mal by o tom informovať vývozcu údajov, a to aj vtedy, ak je to dôsledkom žiadosti o poskytnutie údajov. |
|
(23) |
Keďže potreby zainteresovaných strán, technológie a spracovateľské operácie sa môžu meniť, Komisia by mala hodnotiť fungovanie štandardných zmluvných doložiek na základe skúseností v rámci pravidelného hodnotenia nariadenia (EÚ) 2016/679 podľa článku 97 uvedeného nariadenia. |
|
(24) |
Rozhodnutie 2001/497/ES a rozhodnutie 2010/87/EÚ by mali byť zrušené tri mesiace po nadobudnutí účinnosti tohto rozhodnutia. Počas uvedeného obdobia by vývozcovia údajov a dovozcovia údajov mali mať na účely článku 46 ods. 1 nariadenia (EÚ) 2016/679 stále možnosť používať štandardné zmluvné doložky stanovené v rozhodnutiach 2001/497/ES a 2010/87/EÚ. Počas dodatočného obdobia 15 mesiacov by vývozcovia údajov a dovozcovia údajov mali mať na účely článku 46 ods. 1 nariadenia (EÚ) 2016/679 možnosť naďalej uplatňovať štandardné zmluvné doložky stanovené v rozhodnutiach 2001/497/ES a 2010/87/EÚ na účely plnenia zmlúv uzavretých medzi nimi pred dátumom zrušenia uvedených rozhodnutí za predpokladu, že spracovateľské operácie, ktoré sú predmetom zmluvy, zostávajú nezmenené a uplatňovaním uvedených doložiek sa zabezpečuje, aby sa na prenos osobných údajov vzťahovali primerané záruky v zmysle článku 46 ods. 1 nariadenia (EÚ) 2016/679. V prípade relevantných zmien zmluvy by sa od vývozcu údajov malo vyžadovať, aby sa pri prenosoch údajov podľa zmluvy opieral o nový základ, konkrétne v dôsledku nahradenia existujúcich štandardných zmluvných doložiek štandardnými zmluvnými doložkami uvedenými v prílohe k tomuto rozhodnutiu. To isté by malo platiť pre všetky zadania subdodávok spracovateľských operácií, na ktoré sa vzťahuje zmluva, (ďalšiemu) sprostredkovateľovi. |
|
(25) |
V súlade s článkom 42 ods. 1 a 2 nariadenia (EÚ) 2018/1725 sa uskutočnili konzultácie s európskym dozorným úradníkom pre ochranu údajov a Európskym výborom pre ochranu údajov, ktorí 14. januára 2021 (12) vydali spoločné stanovisko, ktoré bolo pri príprave tohto rozhodnutia zohľadnené. |
|
(26) |
Opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 93 nariadenia (EÚ) 2016/679. |
PRIJALA TOTO ROZHODNUTIE:
Článok 1
1. Štandardné zmluvné doložky uvedené v prílohe sa považujú za doložky, ktoré poskytujú primerané záruky v zmysle článku 46 ods. 1 a článku 46 ods. 2 písm. c) nariadenia (EÚ) 2016/679 pre prenos osobných údajov od prevádzkovateľa alebo sprostredkovateľa, na ktorých sa vzťahuje uvedené nariadenie (vývozca údajov), k prevádzkovateľovi, sprostredkovateľovi alebo ďalšiemu sprostredkovateľovi, na ktorých sa pri spracúvaní údajov nevzťahuje uvedené nariadenie (dovozca údajov).
2. V štandardných zmluvných doložkách sa stanovujú aj práva a povinnosti prevádzkovateľov a sprostredkovateľov v súvislosti so záležitosťami uvedenými v článku 28 ods. 3 a 4 nariadenia (EÚ) 2016/679, pokiaľ ide o prenos osobných údajov od prevádzkovateľa k sprostredkovateľovi alebo od sprostredkovateľa k ďalšiemu sprostredkovateľovi.
Článok 2
Ak príslušné orgány členského štátu vykonávajú nápravné právomoci podľa článku 58 nariadenia (EÚ) 2016/679 v reakcii na to, že na dovozcu údajov sa vzťahujú alebo začínajú vzťahovať právne predpisy alebo prax v tretej krajine určenia, ktoré mu bránia v dodržiavaní štandardných zmluvných doložiek uvedených v prílohe, čo vedie k pozastaveniu alebo zákazu prenosov údajov do tretích krajín, dotknutý členský štát o tom bezodkladne informuje Komisiu, ktorá túto informáciu postúpi ostatným členským štátom.
Článok 3
Komisia vyhodnotí praktické uplatňovanie štandardných zmluvných doložiek uvedených v prílohe na základe všetkých dostupných informácií v rámci pravidelného hodnotenia, ktoré sa vyžaduje podľa článku 97 nariadenia (EÚ) 2016/679.
Článok 4
1. Toto rozhodnutie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
2. Rozhodnutie 2001/497/ES sa zrušuje s účinnosťou od 27. septembra 2021.
3. Rozhodnutie 2010/87/EÚ sa zrušuje s účinnosťou od 27. septembra 2021.
4. Zmluvy uzavreté pred 27. septembrom 2021 na základe rozhodnutia 2001/497/ES alebo rozhodnutia 2010/87/EÚ sa považujú za zmluvy poskytujúce primerané záruky v zmysle článku 46 ods. 1 nariadenia (EÚ) 2016/679 do 27. decembra 2022 za predpokladu, že spracovateľské operácie, ktoré sú predmetom zmluvy, zostanú nezmenené a že uplatňovaním uvedených doložiek sa zabezpečuje, aby sa na prenos osobných údajov vzťahovali primerané záruky.
V Bruseli 4. júna 2021
Za Komisiu
predsedníčka
Ursula VON DER LEYEN
(1) Ú. v. EÚ L 119, 4.5.2016, s. 1.
(2) Článok 44 nariadenia (EÚ) 2016/679.
(3) Pozri aj rozsudok Súdneho dvora zo 16. júla 2020 vo veci C-311/18, Data Protection Commissioner/Facebook Ireland Ltd a Maximillian Schrems („Schrems II“), ECLI:EU:C:2020:559, bod 93.
(4) Odôvodnenie 109 nariadenia (EÚ) 2016/679.
(5) Rozhodnutie Komisie 2001/497/ES z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES (Ú. v. ES L 181, 4.7.2001, s. 19).
(6) Rozhodnutie Komisie 2010/87/EÚ z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (Ú. v. EÚ L 39, 12.2.2010, s. 5).
(7) Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995, s. 31).
(8) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39); pozri odôvodnenie 5.
(9) C(2021)3701.
(10) Schrems II, body 96 a 103. Pozri aj nariadenie (EÚ) 2016/679, odôvodnenia 108 a 114.
(11) Schrems II.
(12) Spoločné stanovisko EDPB – EDPS 2/2021 k vykonávaciemu rozhodnutiu Európskej komisie o štandardných zmluvných doložkách na účely prenosu osobných údajov do tretích krajín v záležitostiach uvedených v článku 46 ods. 2 písm. c) nariadenia (EÚ) 2016/679.
PRÍLOHA
ŠTANDARDNÉ ZMLUVNÉ DOLOŽKY
ODDIEL I
Doložka 1
Účel a rozsah pôsobnosti
|
a) |
Účelom týchto štandardných zmluvných doložiek je zabezpečiť súlad s požiadavkami nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) (1) pri prenose osobných údajov do tretej krajiny. |
|
b) |
Zmluvné strany:
sa dohodli na týchto štandardných zmluvných doložkách (ďalej len „doložky“). |
|
c) |
Tieto doložky sa uplatňujú na prenos osobných údajov podľa prílohy I časti B. |
|
d) |
Dodatok k týmto doložkám obsahujúci prílohy, na ktoré sa v týchto doložkách odkazuje, tvorí neoddeliteľnú súčasť týchto doložiek. |
Doložka 2
Účinok a nemennosť doložiek
|
a) |
V týchto doložkách sa stanovujú primerané záruky vrátane vymáhateľných práv dotknutých osôb a účinných právnych prostriedkov nápravy podľa článku 46 ods. 1 a článku 46 ods. 2 písm. c) nariadenia (EÚ) 2016/679, a pokiaľ ide o prenosy údajov od prevádzkovateľov sprostredkovateľom a/alebo od sprostredkovateľov sprostredkovateľom, štandardné zmluvné doložky podľa článku 28 ods. 7 nariadenia (EÚ) 2016/679, pokiaľ nie sú zmenené, okrem prípadu, keď sa vyberá vhodný modul/moduly, prípadne keď sa dopĺňajú alebo aktualizujú informácie v dodatku. To zmluvným stranám nebráni v tom, aby zahrnuli štandardné zmluvné doložky stanovené v týchto doložkách do širšej zmluvy a/alebo doplnili iné doložky či dodatočné záruky za predpokladu, že nie sú v priamom ani nepriamom rozpore s týmito doložkami ani neobmedzujú základné práva alebo slobody dotknutých osôb. |
|
b) |
Týmito doložkami nie sú dotknuté povinnosti, ktoré sa vzťahujú na vývozcu údajov na základe nariadenia (EÚ) 2016/679. |
Doložka 3
Oprávnené tretie strany
|
a) |
Dotknuté osoby sa môžu týchto doložiek dovolávať a vymáhať ich ako oprávnené tretie strany vo vzťahu k vývozcovi údajov a/alebo dovozcovi údajov s týmito výnimkami:
|
|
b) |
Písmenom a) nie sú dotknuté práva dotknutých osôb podľa nariadenia (EÚ) 2016/679. |
Doložka 4
Výklad
|
a) |
Ak sa v týchto doložkách používajú pojmy vymedzené v nariadení (EÚ) 2016/679, tieto pojmy majú rovnaký význam ako v uvedenom nariadení. |
|
b) |
Tieto doložky sa vykladajú v zmysle ustanovení nariadenia (EÚ) 2016/679. |
|
c) |
Tieto doložky sa nesmú vykladať spôsobom, ktorý je v rozpore s právami a povinnosťami stanovenými v nariadení (EÚ) 2016/679. |
Doložka 5
Hierarchia
V prípade rozporu medzi týmito doložkami a ustanoveniami súvisiacich dohôd medzi zmluvnými stranami, ktoré existovali v čase, keď sa dohodli tieto doložky, alebo ktoré sa uzavreli neskôr, majú prednosť tieto doložky.
Doložka 6
Opis prenosu
Informácie o prenose a najmä kategórie prenášaných osobných údajov a účel, na ktorý sa prenášajú, sú uvedené v prílohe I časti B.
Doložka 7 – nepovinná
Doložka o pristúpení
|
a) |
Subjekt, ktorý nie je zmluvnou stranou týchto doložiek, môže so súhlasom zmluvných strán kedykoľvek pristúpiť k týmto doložkám ako vývozca alebo dovozca údajov vyplnením dodatku a podpísaním prílohy I časti A. |
|
b) |
Po vyplnení dodatku a podpísaní prílohy I časti A sa pristupujúci subjekt stane zmluvnou stranou týchto doložiek a bude mať práva a povinnosti vývozcu alebo dovozcu údajov v súlade s označením v prílohe I časti A. |
|
c) |
Pristupujúci subjekt nemá žiadne práva ani povinnosti vyplývajúce z týchto doložiek, pokiaľ ide o obdobie pred tým, ako sa stal zmluvnou stranou. |
ODDIEL II – POVINNOSTI ZMLUVNÝCH STRÁN
Doložka 8
Záruky v oblasti ochrany údajov
Vývozca údajov vyhlasuje, že vynaložil primerané úsilie, na základe ktorého možno konštatovať, že dovozca údajov je vďaka prijatiu vhodných technických a organizačných opatrení schopný plniť svoje povinnosti podľa týchto doložiek.
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
8.1. Obmedzenie účelu
Dovozca údajov je oprávnený spracúvať osobné údaje len na osobitné účely prenosu stanovené v prílohe I časti B. Osobné údaje môže spracúvať na iný účel len vtedy, ak:
|
i) |
získal predchádzajúci súhlas dotknutej osoby; |
|
ii) |
je to nevyhnutné na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie; alebo |
|
iii) |
je to nevyhnutné v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby. |
8.2. Transparentnosť
|
a) |
S cieľom umožniť dotknutým osobám účinne uplatňovať práva podľa doložky 10 ich dovozca údajov priamo alebo prostredníctvom vývozcu údajov informuje:
|
|
b) |
Písmeno a) sa neuplatňuje, ak po prvé dotknutá osoba už má informácie vrátane prípadu, keď takéto informácie už poskytol vývozca údajov, alebo ak sa po druhé poskytnutie informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie dovozcu údajov. V druhom prípade dovozca údajov v čo najväčšej možnej miere sprístupní tieto informácie verejnosti. |
|
c) |
Zmluvné strany sprístupnia dotknutej osobe na požiadanie a bezplatne kópiu týchto doložiek vrátane nimi vyplneného dodatku. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môžu zmluvné strany pred poskytnutím kópie dodatku odstrániť časť jeho textu, pričom však poskytnú zmysluplné zhrnutie, ak by dotknutá osoba inak nebola schopná pochopiť jeho obsah alebo uplatňovať svoje práva. Zmluvné strany na požiadanie oznámia dotknutej osobe dôvody odstránenia textu, pokiaľ možno bez toho, aby došlo k prezradeniu odstránených informácií. |
|
d) |
Písmenami a) až c) nie sú dotknuté povinnosti vývozcu údajov podľa článkov 13 a 14 nariadenia (EÚ) 2016/679. |
8.3. Správnosť a minimalizácia údajov
|
a) |
Každá zmluvná strana zabezpečí, aby osobné údaje boli správne a v prípade potreby aktualizované. Dovozca údajov prijme všetky primerané opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov spracúvania, bezodkladne vymazali alebo opravili. |
|
b) |
Ak jedna zo zmluvných strán zistí, že osobné údaje, ktoré preniesla alebo získala, sú nesprávne alebo neaktuálne, bez zbytočného odkladu o tom informuje druhú zmluvnú stranu. |
|
c) |
Dovozca údajov zabezpečí, aby osobné údaje boli primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely spracúvania. |
8.4. Minimalizácia uchovávania
Dovozca údajov nesmie uchovávať osobné údaje dlhšie než je nevyhnutné na účely, na ktoré sa spracúvajú. Na účely splnenia si tejto povinnosti zavedie vhodné technické alebo organizačné opatrenia vrátane výmazu alebo anonymizácie (2) údajov a všetkých záloh v momente uplynutia obdobia uchovávania.
8.5. Bezpečnosť spracúvania
|
a) |
Dovozca údajov a počas prenosu aj vývozca údajov prijmú vhodné technické a organizačné opatrenia na zaistenie bezpečnosti osobných údajov vrátane ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti náležite zohľadnia najnovšie poznatky, náklady na vykonanie, povahu, rozsah, kontext a účely spracúvania, ako aj riziká pre dotknutú osobu, ktoré súvisia so spracúvaním. Zmluvné strany zvážia najmä použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania. |
|
b) |
Zmluvné strany sa dohodli na technických a organizačných opatreniach uvedených v prílohe II. Dovozca údajov je povinný vykonávať pravidelné kontroly s cieľom zabezpečiť, aby tieto opatrenia nepretržite poskytovali primeranú úroveň bezpečnosti. |
|
c) |
Dovozca údajov zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov. |
|
d) |
V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných dovozcom údajov podľa týchto doložiek prijme dovozca údajov primerané opatrenia na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov. |
|
e) |
V prípade porušenia ochrany osobných údajov, ktoré môže predstavovať riziko pre práva a slobody fyzických osôb, zašle o tom dovozca údajov bez zbytočného odkladu oznámenie vývozcovi údajov a príslušnému dozornému orgánu podľa doložky 13. Takéto oznámenie obsahuje i) opis povahy porušenia (podľa možnosti vrátane kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch); ii) pravdepodobné následky porušenia; iii) prijaté alebo navrhované opatrenia s cieľom napraviť porušenie a iv) údaje kontaktného miesta, kde možno získať viac informácií. V rozsahu, v akom nie je možné, aby dovozca údajov poskytol všetky informácie súčasne, možno ich poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu. |
|
f) |
V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, dovozca údajov bez zbytočného odkladu oznámi dotknutým osobám porušenie ochrany osobných údajov a povahu tohto porušenia, v prípade potreby v spolupráci s vývozcom údajov, spolu s informáciami uvedenými v písmene e) bodoch ii) až iv), okrem prípadov, ak dovozca údajov prijal opatrenia na výrazné zníženie rizika pre práva alebo slobody fyzických osôb, alebo ak by si oznámenie vyžadovalo neprimerané úsilie. Vtedy dovozca údajov namiesto toho uverejní oznámenie alebo prijme podobné opatrenie na informovanie verejnosti o porušení ochrany osobných údajov. |
|
g) |
Dovozca údajov zdokumentuje všetky relevantné skutočnosti týkajúce sa porušenia ochrany osobných údajov vrátane jeho účinkov a všetkých prijatých opatrení na nápravu a vedie o nich záznamy. |
8.6. Citlivé údaje
Ak prenos zahŕňa osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy (ďalej len „citlivé údaje“), uplatňuje dovozca údajov osobitné obmedzenia a/alebo dodatočné záruky prispôsobené osobitnej povahe údajov a súvisiacim rizikám. Môže to zahŕňať obmedzenie okruhu zamestnancov, ktorí majú prístup k osobným údajom, dodatočné bezpečnostné opatrenia (napríklad pseudonymizácia) a/alebo dodatočné obmedzenia v súvislosti s ďalším poskytnutím.
8.7. Následné prenosy
Dovozca údajov poskytne osobné údaje tretej strane nachádzajúcej sa mimo Európskej únie (3) (v rovnakej krajine ako dovozca údajov alebo v inej tretej krajine, ďalej len „následný prenos“) len vtedy, ak je táto tretia strana viazaná týmito doložkami alebo súhlasí s tým, že bude týmito doložkami viazaná, a to v súlade s príslušným modulom. Inak môže dovozca údajov uskutočniť následný prenos len v týchto prípadoch:
|
i) |
uskutočňuje sa do krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti podľa článku 45 nariadenia (EÚ) 2016/679, ktorého predmetom je následný prenos; |
|
ii) |
tretia strana inak zabezpečuje primerané záruky podľa článkov 46 alebo 47 nariadenia (EÚ) 2016/679 v súvislosti s predmetným spracúvaním; |
|
iii) |
tretia strana uzavrie s dovozcom údajov dohodu o záväznom nástroji zabezpečujúcom rovnakú úroveň ochrany údajov ako podľa týchto doložiek a dovozca údajov poskytne kópiu týchto záruk vývozcovi údajov; |
|
iv) |
je to nevyhnutné na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie; |
|
v) |
je to potrebné v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby; alebo |
|
vi) |
ak sa neuplatňuje žiadna z uvedených podmienok, dovozca údajov získal výslovný súhlas dotknutej osoby s následným prenosom v konkrétnej situácii po tom, ako ju informoval o jeho účele, totožnosti príjemcu a možných rizikách takéhoto prenosu pre ňu z dôvodu nedostatku primeraných záruk v oblasti ochrany údajov. V tomto prípade dovozca údajov informuje vývozcu údajov a na jeho žiadosť mu odovzdá kópiu informácií poskytnutých dotknutej osobe. |
Na účely akéhokoľvek následného prenosu sa vyžaduje, aby dovozca údajov dodržiaval všetky ostatné záruky podľa týchto doložiek, osobitne obmedzenie účelu.
8.8. Spracúvanie na základe poverenia dovozcu údajov
Dovozca údajov zabezpečí, aby akákoľvek osoba konajúca na základe jeho poverenia vrátane sprostredkovateľa spracúvala údaje výlučne podľa jeho pokynov.
8.9. Dokumentácia a splnenie povinností
|
a) |
Každá zmluvná strana musí byť schopná preukázať splnenie svojich povinností podľa týchto doložiek. Dovozca údajov uchováva najmä príslušnú dokumentáciu týkajúcu sa spracovateľských činností vykonávaných v rámci jeho zodpovednosti. |
|
b) |
Dovozca údajov na požiadanie sprístupní túto dokumentáciu príslušnému dozornému orgánu. |
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
8.1. Pokyny
|
a) |
Dovozca údajov spracúva osobné údaje len na základe zdokumentovaných pokynov vývozcu údajov. Vývozca údajov môže udeľovať takéto pokyny počas celého trvania zmluvy. |
|
b) |
Dovozca údajov bezodkladne informuje vývozcu údajov, ak nie je schopný tieto pokyny dodržať. |
8.2. Obmedzenie účelu
Dovozca údajov je oprávnený spracúvať osobné údaje len na osobitné účely prenosu stanovené v prílohe I časti B, ak vývozca údajov neudelí iné pokyny.
8.3. Transparentnosť
Vývozca údajov sprístupní dotknutej osobe na požiadanie a bezplatne kópiu týchto doložiek vrátane dodatku, ktorý vyplnili zmluvné strany. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane opatrení uvedených v prílohe II a osobných údajov môže vývozca údajov pred poskytnutím kópie dodatku k týmto doložkám odstrániť časť jeho textu, pričom poskytne zmysluplné zhrnutie, ak by dotknutá osoba inak nebola schopná pochopiť jeho obsah alebo uplatňovať svoje práva. Zmluvné strany na požiadanie oznámia dotknutej osobe dôvody odstránenia textu, pokiaľ možno bez toho, aby došlo k prezradeniu odstránených informácií. Touto doložkou nie sú dotknuté povinnosti vývozcu údajov podľa článkov 13 a 14 nariadenia (EÚ) 2016/679.
8.4. Správnosť
Ak dovozca údajov zistí, že osobné údaje, ktoré získal, sú nesprávne alebo neaktuálne, bez zbytočného odkladu o tom informuje vývozcu údajov. V takom prípade je dovozca údajov povinný spolupracovať s vývozcom údajov na účely výmazu alebo opravy údajov.
8.5. Obdobie spracúvania, výmaz alebo vrátenie údajov
Dovozca údajov je oprávnený spracúvať údaje len počas obdobia uvedeného v prílohe I časti B. Po ukončení poskytovania spracovateľských služieb dovozca údajov vymaže všetky osobné údaje spracúvané v mene vývozcu údajov a vývozcovi údajov túto skutočnosť potvrdí, alebo vývozcovi údajov vráti všetky osobné údaje spracúvané v jeho mene a vymaže existujúce kópie, a to podľa toho, pre ktorú z možností sa vývozca údajov rozhodne. Dovozca údajov zabezpečuje dodržiavanie týchto doložiek dovtedy, kým nedôjde k vymazaniu alebo vráteniu údajov. Pokiaľ ide o miestne právne predpisy uplatniteľné na dovozcu údajov, ktorými sa zakazuje vrátenie alebo vymazanie osobných údajov, dovozca údajov vyhlasuje, že bude naďalej zabezpečovať súlad s týmito doložkami a bude ich spracúvať len v takom rozsahu a tak dlho, ako to vyžaduje uvedené miestne právo. Tým nie je dotknutá doložka 14, najmä povinnosť dovozcu údajov podľa doložky 14 písm. e) zasielať počas trvania zmluvy vývozcovi údajov oznámenia v prípade, keď má dôvod domnievať sa, že sa naň vzťahujú alebo začali vzťahovať právne predpisy alebo prax, ktoré nie sú v súlade s požiadavkami uvedenými v doložke 14 písm. a).
8.6. Bezpečnosť spracúvania
|
a) |
Dovozca údajov a počas prenosu aj vývozca údajov prijmú vhodné technické a organizačné opatrenia na zaistenie bezpečnosti údajov vrátane ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu k týmto údajom (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti zmluvné strany náležite zohľadnia najnovšie poznatky, náklady na vykonanie, povahu, rozsah, kontext a účely spracúvania, ako aj riziká pre dotknuté osoby, ktoré súvisia so spracúvaním. Zmluvné strany zvážia najmä použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania. V prípade pseudonymizácie zostávajú dodatočné informácie na priradenie osobných údajov ku konkrétnej dotknutej osobe, ak je to možné, pod výlučnou kontrolou vývozcu údajov. Pri plnení si povinností podľa tohto písmena je dovozca údajov povinný prijať prinajmenšom technické a organizačné opatrenia uvedené v prílohe II. Dovozca údajov je povinný vykonávať pravidelné kontroly s cieľom zabezpečiť, aby tieto opatrenia nepretržite poskytovali primeranú úroveň bezpečnosti. |
|
b) |
Dovozca údajov poskytne prístup k osobným údajom svojim zamestnancom len v rozsahu, ktorý je nevyhnutne potrebný na plnenie, riadenie a monitorovanie zmluvy. Zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov. |
|
c) |
V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných dovozcom údajov podľa týchto doložiek prijme dovozca údajov primerané opatrenia na nápravu porušenia vrátane opatrení na zmiernenie jeho nepriaznivých účinkov. Dovozca údajov zašle vývozcovi údajov aj oznámenie o porušení bez zbytočného odkladu po tom, ako sa o tomto porušení dozvedel. Takéto oznámenie obsahuje údaje kontaktného miesta, kde možno získať viac informácií, opis povahy porušenia (podľa možnosti vrátane kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch), pravdepodobné následky porušenia, ako aj prijaté alebo navrhované opatrenia s cieľom napraviť porušenie, v prípade potreby vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov. Pokiaľ nemožno poskytnúť všetky informácie súčasne, pôvodné oznámenie musí obsahovať informácie, ktoré boli v danom čase dostupné, pričom ďalšie informácie sa poskytnú bez zbytočného odkladu po tom, ako budú k dispozícii. |
|
d) |
Dovozca údajov spolupracuje s vývozcom údajov a poskytuje mu pomoc pri plnení si povinností podľa nariadenia (EÚ) 2016/679, najmä pokiaľ ide o podávanie oznámení príslušnému dozornému orgánu a dotknutým osobám, ktoré sú ovplyvnené, pričom zohľadní povahu spracúvania a informácie, ktoré má k dispozícii dovozca údajov. |
8.7. Citlivé údaje
Ak prenos zahŕňa osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy (ďalej len „citlivé údaje“), uplatňuje dovozca údajov osobitné obmedzenia a/alebo dodatočné záruky uvedené v prílohe I časti B.
8.8. Následné prenosy
Dovozca údajov poskytuje osobné údaje tretej strane len na základe zdokumentovaných pokynov vývozcu údajov. Údaje možno navyše poskytnúť tretej strane nachádzajúcej sa mimo Európskej únie (4) (v rovnakej krajine ako dovozca údajov alebo v inej tretej krajine, ďalej len „následný prenos“) len vtedy, ak je táto tretia strana viazaná týmito doložkami alebo súhlasí s tým, že bude týmito doložkami viazaná, a to v súlade s príslušným modulom, alebo ak:
|
i) |
následný prenos sa uskutočňuje do krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti podľa článku 45 nariadenia (EÚ) 2016/679, ktorého predmetom je následný prenos; |
|
ii) |
tretia strana inak zabezpečuje primerané záruky podľa článkov 46 alebo 47 nariadenia (EÚ) 2016/679 v súvislosti s predmetným spracúvaním; |
|
iii) |
následný prenos je nevyhnutný na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie; alebo |
|
iv) |
následný prenos je potrebný v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby. |
Na účely akéhokoľvek následného prenosu sa vyžaduje, aby dovozca údajov dodržiaval všetky ostatné záruky podľa týchto doložiek, osobitne obmedzenie účelu.
8.9. Dokumentácia a splnenie povinností
|
a) |
Dovozca údajov sa bezodkladne a primerane zaoberá žiadosťami vývozcu údajov, ktoré sa týkajú spracúvania podľa týchto doložiek. |
|
b) |
Zmluvné strany musia byť schopné preukázať, že si splnili povinnosti podľa týchto doložiek. Dovozca údajov uchováva najmä príslušnú dokumentáciu týkajúcu sa spracovateľských činností vykonávaných v mene vývozcu údajov. |
|
c) |
Dovozca údajov sprístupní vývozcovi údajov všetky informácie potrebné na preukázanie splnenia povinností stanovených v týchto doložkách a na žiadosť vývozcu údajov umožní audity spracovateľských činností, na ktoré sa vzťahujú tieto doložky, a poskytne pri nich potrebnú súčinnosť v primeraných intervaloch alebo ak existujú náznaky nesplnenia povinností. Pri rozhodovaní o preskúmaní alebo audite môže vývozca údajov zohľadniť relevantné certifikácie, ktorými disponuje dovozca údajov. |
|
d) |
Vývozca údajov sa môže rozhodnúť, či vykoná audit sám alebo poverí nezávislého audítora. Audity môžu zahŕňať inšpekcie v priestoroch alebo fyzických zariadeniach dovozcu údajov a v prípade potreby sa vykonávajú po primeranom upovedomení. |
|
e) |
Zmluvné strany sprístupnia príslušnému dozornému orgánu na požiadanie informácie uvedené v písmenách b) a c) vrátane výsledkov všetkých auditov. |
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
8.1. Pokyny
|
a) |
Vývozca údajov informoval dovozcu údajov, že koná ako sprostredkovateľ podľa pokynov prevádzkovateľa, ktoré dá vývozca údajov pred spracúvaním k dispozícii dovozcovi údajov. |
|
b) |
Dovozca údajov spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, ktoré dovozcovi údajov oznámil vývozca údajov, a akýchkoľvek dodatočných zdokumentovaných pokynov vývozcu údajov. Takéto dodatočné pokyny nesmú byť v rozpore s pokynmi prevádzkovateľa. Prevádzkovateľ alebo vývozca údajov môže udeľovať ďalšie zdokumentované pokyny týkajúce sa spracúvania údajov počas celého trvania zmluvy. |
|
c) |
Dovozca údajov bezodkladne informuje vývozcu údajov, ak nie je schopný tieto pokyny dodržať. Ak dovozca údajov nie je schopný dodržať pokyny prevádzkovateľa, vývozca údajov bezodkladne zašle oznámenie prevádzkovateľovi. |
|
d) |
Vývozca údajov vyhlasuje, že dovozcovi údajov uložil rovnaké povinnosti v oblasti ochrany údajov, ako sú stanovené v zmluve alebo inom právnom akte podľa práva Únie alebo členského štátu, ktoré boli uzatvorené medzi prevádzkovateľom a vývozcom údajov (5). |
8.2. Obmedzenie účelu
Dovozca údajov je oprávnený spracúvať osobné údaje len na osobitné účely prenosu stanovené v prílohe I časti B, ak neexistujú iné pokyny prevádzkovateľa, ktoré vývozca údajov oznámil dovozcovi údajov, ani iné pokyny vývozcu údajov.
8.3. Transparentnosť
Vývozca údajov sprístupní dotknutej osobe na požiadanie a bezplatne kópiu týchto doložiek vrátane dodatku, ktorý vyplnili zmluvné strany. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môže vývozca údajov pred poskytnutím kópie dodatku odstrániť časť jeho textu, pričom však poskytne zmysluplné zhrnutie, ak by dotknutá osoba inak nebola schopná pochopiť jeho obsah alebo uplatňovať svoje práva. Zmluvné strany na požiadanie oznámia dotknutej osobe dôvody odstránenia textu, pokiaľ možno bez toho, aby došlo k prezradeniu odstránených informácií.
8.4. Správnosť
Ak dovozca údajov zistí, že osobné údaje, ktoré získal, sú nesprávne alebo neaktuálne, bez zbytočného odkladu o tom informuje vývozcu údajov. V takom prípade je dovozca údajov povinný spolupracovať s vývozcom údajov na účely opravy alebo výmazu údajov.
8.5. Obdobie spracúvania, výmaz alebo vrátenie údajov
Dovozca údajov je oprávnený spracúvať údaje len počas obdobia uvedeného v prílohe I časti B. Po ukončení poskytovania spracovateľských služieb dovozca údajov vymaže všetky osobné údaje spracúvané v mene prevádzkovateľa a vývozcovi údajov túto skutočnosť potvrdí, alebo vývozcovi údajov vráti všetky osobné údaje spracúvané v jeho mene a vymaže existujúce kópie, a to podľa toho, pre ktorú z možností sa vývozca údajov rozhodne. Dovozca údajov zabezpečuje dodržiavanie týchto doložiek dovtedy, kým nedôjde k vymazaniu alebo vráteniu údajov. Pokiaľ ide o miestne právne predpisy uplatniteľné na dovozcu údajov, ktorými sa zakazuje vrátenie alebo vymazanie osobných údajov, dovozca údajov vyhlasuje, že bude naďalej zabezpečovať súlad s týmito doložkami a bude ich spracúvať len v takom rozsahu a tak dlho, ako to vyžaduje uvedené miestne právo. Tým nie je dotknutá doložka 14, najmä povinnosť dovozcu údajov podľa doložky 14 písm. e) zasielať počas trvania zmluvy vývozcovi údajov oznámenia v prípade, keď má dôvod domnievať sa, že sa naň vzťahujú alebo začali vzťahovať právne predpisy alebo prax, ktoré nie sú v súlade s požiadavkami uvedenými v doložke 14 písm. a).
8.6. Bezpečnosť spracúvania
|
a) |
Dovozca údajov a počas prenosu aj vývozca údajov prijmú vhodné technické a organizačné opatrenia na zaistenie bezpečnosti údajov vrátane ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu k týmto údajom (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti náležite zohľadnia najnovšie poznatky, náklady na vykonanie, povahu, rozsah, kontext a účely spracúvania, ako aj riziká pre dotknutú osobu, ktoré súvisia so spracúvaním. Zmluvné strany zvážia najmä použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania. V prípade pseudonymizácie zostávajú dodatočné informácie na priradenie osobných údajov ku konkrétnej dotknutej osobe, ak je to možné, pod výlučnou kontrolou vývozcu údajov alebo prevádzkovateľa. Pri plnení si povinností podľa tohto písmena je dovozca údajov povinný prijať prinajmenšom technické a organizačné opatrenia uvedené v prílohe II. Dovozca údajov je povinný vykonávať pravidelné kontroly s cieľom zabezpečiť, aby tieto opatrenia nepretržite poskytovali primeranú úroveň bezpečnosti. |
|
b) |
Dovozca údajov poskytne prístup k údajom svojim zamestnancom len v rozsahu, ktorý je nevyhnutne potrebný na plnenie, riadenie a monitorovanie zmluvy. Zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov. |
|
c) |
V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných dovozcom údajov podľa týchto doložiek prijme dovozca údajov primerané opatrenia na nápravu porušenia vrátane opatrení na zmiernenie jeho nepriaznivých účinkov. Dovozca údajov bez zbytočného odkladu zašle oznámenie vývozcovi údajov a v prípade potreby, ak je to možné, aj prevádzkovateľovi po tom, ako sa dozvedel o porušení. Takéto oznámenie obsahuje údaje kontaktného miesta, kde možno získať viac informácií, opis povahy porušenia (podľa možnosti vrátane kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch), pravdepodobné následky porušenia, ako aj prijaté alebo navrhované opatrenia s cieľom napraviť porušenie ochrany údajov vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov. Pokiaľ nemožno poskytnúť všetky informácie súčasne, pôvodné oznámenie musí obsahovať informácie, ktoré boli v danom čase dostupné, pričom ďalšie informácie sa poskytnú bez zbytočného odkladu po tom, ako budú k dispozícii. |
|
d) |
Dovozca údajov spolupracuje s vývozcom údajov a poskytuje mu pomoc pri plnení si povinností podľa nariadenia (EÚ) 2016/679, najmä pokiaľ ide o podávanie oznámení prevádzkovateľovi tak, aby mohol tento prevádzkovateľ následne zaslať oznámenie príslušnému dozornému orgánu a dotknutým osobám, ktoré sú ovplyvnené, pričom zohľadní povahu spracúvania a informácie, ktoré má k dispozícii dovozca údajov. |
8.7. Citlivé údaje
Ak prenos zahŕňa osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy (ďalej len „citlivé údaje“), uplatňuje dovozca údajov osobitné obmedzenia a/alebo dodatočné záruky stanovené v prílohe I časti B.
8.8. Následné prenosy
Dovozca údajov poskytuje osobné údaje tretej strane len na základe zdokumentovaných pokynov prevádzkovateľa, ktoré dovozcovi údajov oznámil vývozca údajov. Údaje možno navyše poskytnúť tretej strane nachádzajúcej sa mimo Európskej únie (6) (v rovnakej krajine ako dovozca údajov alebo v inej tretej krajine, ďalej len „následný prenos“) len vtedy, ak je táto tretia strana viazaná týmito doložkami alebo súhlasí s tým, že bude týmito doložkami viazaná, a to v súlade s príslušným modulom, alebo ak:
|
i) |
následný prenos sa uskutočňuje do krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti podľa článku 45 nariadenia (EÚ) 2016/679, ktorého predmetom je následný prenos; |
|
ii) |
tretia strana inak zabezpečuje primerané záruky podľa článkov 46 alebo 47 nariadenia (EÚ) 2016/679; |
|
iii) |
následný prenos je nevyhnutný na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie; alebo |
|
iv) |
následný prenos je potrebný v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby. |
Na účely akéhokoľvek následného prenosu sa vyžaduje, aby dovozca údajov dodržiaval všetky ostatné záruky podľa týchto doložiek, osobitne obmedzenie účelu.
8.9. Dokumentácia a splnenie povinností
|
a) |
Dovozca údajov sa bezodkladne a primerane zaoberá žiadosťami vývozcu údajov alebo prevádzkovateľa, ktoré sa týkajú spracúvania podľa týchto doložiek. |
|
b) |
Zmluvné strany musia byť schopné preukázať, že si splnili povinnosti podľa týchto doložiek. Dovozca údajov uchováva najmä príslušnú dokumentáciu týkajúcu sa spracovateľských činností vykonávaných v mene prevádzkovateľa. |
|
c) |
Dovozca údajov sprístupní vývozcovi údajov všetky informácie potrebné na preukázanie splnenia povinností stanovených v týchto doložkách, pričom vývozca údajov ich poskytne prevádzkovateľovi. |
|
d) |
Dovozca údajov umožní vývozcovi údajov audity spracovateľských činností, na ktoré sa vzťahujú tieto doložky, a poskytne pri nich potrebnú súčinnosť v primeraných intervaloch alebo ak existujú náznaky nesplnenia povinností. To isté platí aj v prípade, keď vývozca údajov žiada o audit na základe pokynov prevádzkovateľa. Pri rozhodovaní o audite môže vývozca údajov zohľadniť relevantné certifikácie, ktorými disponuje dovozca údajov. |
|
e) |
Ak sa audit vykonáva na základe pokynov prevádzkovateľa, vývozca údajov sprístupní výsledky prevádzkovateľovi. |
|
f) |
Vývozca údajov sa môže rozhodnúť, či vykoná audit sám alebo poverí nezávislého audítora. Audity môžu zahŕňať inšpekcie v priestoroch alebo fyzických zariadeniach dovozcu údajov a v prípade potreby sa vykonávajú po primeranom upovedomení. |
|
g) |
Zmluvné strany sprístupnia príslušnému dozornému orgánu na požiadanie informácie uvedené v písmenách b) a c) vrátane výsledkov všetkých auditov. |
MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi
8.1. Pokyny
|
a) |
Vývozca údajov spracúva osobné údaje len na základe zdokumentovaných pokynov dovozcu údajov v postavení prevádzkovateľa. |
|
b) |
Vývozca údajov bezodkladne informuje dovozcu údajov, ak nie je schopný dodržať predmetné pokyny, a to aj v prípade, že dané pokyny porušujú nariadenie (EÚ) 2016/679 alebo iné právne predpisy Únie alebo členského štátu o ochrane údajov. |
|
c) |
Dovozca údajov sa zdrží akéhokoľvek konania, ktoré by vývozcovi údajov bránilo v plnení povinností podľa nariadenia (EÚ) 2016/679, a to aj v kontexte ďalšieho sprostredkovania alebo pokiaľ ide o spoluprácu s príslušnými dozornými orgánmi. |
|
d) |
Po ukončení poskytovania spracovateľských služieb vývozca údajov vymaže všetky osobné údaje spracúvané v mene dovozcu údajov a dovozcovi údajov túto skutočnosť potvrdí, alebo dovozcovi údajov vráti všetky osobné údaje spracúvané v jeho mene a vymaže existujúce kópie, a to podľa toho, pre ktorú z možností sa dovozca údajov rozhodne. |
8.2. Bezpečnosť spracúvania
|
a) |
Zmluvné strany prijmú primerané technické a organizačné opatrenia na zaistenie bezpečnosti údajov, a to aj počas prenosu, ako aj ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti náležite zohľadňujú najnovšie poznatky, náklady na vykonanie opatrení, povahu osobných údajov (7), povahu, rozsah, kontext a účel spracúvania a riziká spojené so spracúvaním pre dotknuté osoby, pričom najmä zvážia použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania. |
|
b) |
Vývozca údajov pomáha dovozcovi údajov zabezpečiť primeranú bezpečnosť údajov v súlade s písmenom a). V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných vývozcom údajov podľa týchto doložiek zašle vývozca údajov oznam dovozcovi údajov bez zbytočného odkladu po tom, ako sa o tejto skutočnosti dozvie, a dovozcovi údajov poskytne pomoc pri náprave porušenia. |
|
c) |
Vývozca údajov zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov. |
8.3. Dokumentácia a splnenie povinností
|
a) |
Zmluvné strany musia byť schopné preukázať, že si splnili povinnosti podľa týchto doložiek. |
|
b) |
Vývozca údajov sprístupní dovozcovi údajov všetky informácie potrebné na preukázanie, že si splnil povinnosti podľa týchto doložiek, umožní audity a poskytne pri nich potrebnú súčinnosť. |
Doložka 9
Využívanie ďalších sprostredkovateľov
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
|
a) |
MOŽNOSŤ 1: OSOBITNÉ PREDCHÁDZAJÚCE POVOLENIE Dovozca údajov nie je oprávnený zadať žiadnu zo svojich spracovateľských činností vykonávaných v mene vývozcu údajov podľa týchto doložiek ďalšiemu sprostredkovateľovi bez predchádzajúceho osobitného písomného povolenia vývozcu údajov. Dovozca údajov predloží žiadosť o osobitné povolenie najmenej [uveďte časové obdobie] pred zapojením ďalšieho sprostredkovateľa spolu s informáciami umožňujúcimi vývozcovi údajov rozhodnúť o povolení. Zoznam ďalších sprostredkovateľov, vo vzťahu ku ktorým už vývozca údajov vydal povolenie, je uvedený v prílohe III. Zmluvné strany sú povinné prílohu III aktualizovať. MOŽNOSŤ 2: VŠEOBECNÉ PÍSOMNÉ POVOLENIE Dovozca údajov má všeobecné povolenie vývozcu údajov na zapojenie ďalších sprostredkovateľov z dohodnutého zoznamu. Dovozca údajov osobitne písomne informuje vývozcu údajov o všetkých zamýšľaných zmenách v tomto zozname, pokiaľ ide o pridanie alebo nahradenie ďalších sprostredkovateľov, a to najmenej [uveďte časové obdobie] vopred, čím poskytne vývozcovi údajov dostatočný čas na to, aby mohol proti takýmto zmenám vzniesť námietky pred zapojením ďalšieho sprostredkovateľa. Dovozca údajov poskytne vývozcovi údajov informácie, na základe ktorých môže uplatniť svoje právo namietať. |
|
b) |
Ak dovozca údajov zapojí ďalšieho sprostredkovateľa do vykonávania konkrétnych spracovateľských činností (v mene vývozcu údajov), urobí to na základe písomnej zmluvy, v ktorej sa v podstate stanovujú rovnaké povinnosti v oblasti ochrany údajov ako sú tie, ktoré má dovozca údajov podľa týchto doložiek, a to aj pokiaľ ide o práva oprávnenej tretej strany v prípade dotknutých osôb (8). Zmluvné strany vyhlasujú, že splnením povinností v zmysle tejto doložky si dovozca údajov zároveň splní aj povinnosti v zmysle doložky 8.8. Dovozca údajov zabezpečí, aby ďalší sprostredkovateľ dodržiaval povinnosti, ktoré sa podľa týchto doložiek vzťahujú na dovozcu údajov. |
|
c) |
Dovozca údajov poskytne vývozcovi údajov na jeho žiadosť kópiu dohody s ďalším sprostredkovateľom, ako aj neskorších zmien tejto dohody. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môže dovozca údajov pred poskytnutím kópie tejto dohody odstrániť časti jej textu. |
|
d) |
Dovozca údajov naďalej v plnom rozsahu zodpovedá vývozcovi údajov za plnenie povinností ďalšieho sprostredkovateľa podľa zmluvy, ktorú uzatvoril s dovozcom údajov. Dovozca údajov zašle vývozcovi údajov oznámenie o každom porušení povinností ďalšieho sprostredkovateľa v zmysle uvedenej zmluvy. |
|
e) |
Dovozca údajov sa dohodne s ďalším sprostredkovateľom na doložke o oprávnenosti tretej strany, podľa ktorej má vývozca údajov v prípade, že dovozca údajov fakticky zanikol, prestal podľa práva existovať alebo sa stal insolventným, právo vypovedať zmluvu s ďalším sprostredkovateľom a ďalšiemu sprostredkovateľovi dať pokyn, aby osobné údaje vymazal alebo vrátil. |
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
|
a) |
MOŽNOSŤ 1: OSOBITNÉ PREDCHÁDZAJÚCE POVOLENIE Dovozca údajov nie je oprávnený zadať žiadnu zo svojich spracovateľských činností vykonávaných v mene vývozcu údajov podľa týchto doložiek ďalšiemu sprostredkovateľovi bez osobitného predchádzajúceho písomného povolenia prevádzkovateľa. Dovozca údajov predloží žiadosť o osobitné povolenie najmenej [uveďte časové obdobie] pred zapojením ďalšieho sprostredkovateľa spolu s informáciami umožňujúcimi prevádzkovateľovi rozhodnúť o povolení. O tomto zapojení informuje vývozcu údajov. Zoznam ďalších sprostredkovateľov, vo vzťahu ku ktorým už prevádzkovateľ vydal povolenie, je uvedený v prílohe III. Zmluvné strany sú povinné prílohu III aktualizovať. MOŽNOSŤ 2: VŠEOBECNÉ PÍSOMNÉ POVOLENIE Dovozca údajov má všeobecné povolenie prevádzkovateľa na zapojenie ďalších sprostredkovateľov z dohodnutého zoznamu. Dovozca údajov osobitne písomne informuje prevádzkovateľa o všetkých zamýšľaných zmenách v tomto zozname, pokiaľ ide o pridanie alebo nahradenie ďalších sprostredkovateľov, a to najmenej [uveďte časové obdobie] vopred, čím poskytne prevádzkovateľovi dostatočný čas na to, aby mohol proti takýmto zmenám vzniesť námietky pred zapojením ďalšieho sprostredkovateľa. Dovozca údajov poskytne prevádzkovateľovi informácie, na základe ktorých môže uplatniť svoje právo namietať. Dovozca údajov informuje vývozcu údajov o zapojení ďalšieho sprostredkovateľa. |
|
b) |
Ak dovozca údajov zapojí ďalšieho sprostredkovateľa do vykonávania konkrétnych spracovateľských činností (v mene prevádzkovateľa), urobí to na základe písomnej zmluvy, v ktorej sa v podstate stanovujú rovnaké povinnosti v oblasti ochrany údajov ako sú tie, ktoré má dovozca údajov podľa týchto doložiek, a to aj pokiaľ ide o práva oprávnenej tretej strany v prípade dotknutých osôb (9). Zmluvné strany vyhlasujú, že splnením povinností v zmysle tejto doložky si dovozca údajov zároveň splní aj povinnosti v zmysle doložky 8.8. Dovozca údajov zabezpečí, aby ďalší sprostredkovateľ dodržiaval povinnosti, ktoré sa podľa týchto doložiek vzťahujú na dovozcu údajov. |
|
c) |
Dovozca údajov poskytne vývozcovi údajov na jeho žiadosť alebo na žiadosť prevádzkovateľa kópiu dohody s ďalším sprostredkovateľom, ako aj neskorších zmien tejto dohody. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môže dovozca údajov pred poskytnutím kópie tejto dohody odstrániť časti jej textu. |
|
d) |
Dovozca údajov naďalej v plnom rozsahu zodpovedá vývozcovi údajov za plnenie povinností ďalšieho sprostredkovateľa podľa zmluvy, ktorú uzatvoril s dovozcom údajov. Dovozca údajov zašle vývozcovi údajov oznámenie o každom porušení povinností ďalšieho sprostredkovateľa v zmysle uvedenej zmluvy. |
|
e) |
Dovozca údajov sa dohodne s ďalším sprostredkovateľom na doložke o oprávnenosti tretej strany, podľa ktorej má vývozca údajov v prípade, že dovozca údajov fakticky zanikol, prestal podľa práva existovať alebo sa stal insolventným, právo vypovedať zmluvu s ďalším sprostredkovateľom a ďalšiemu sprostredkovateľovi dať pokyn, aby osobné údaje vymazal alebo vrátil. |
Doložka 10
Práva dotknutých osôb
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
|
a) |
Dovozca údajov sa prípadne s pomocou vývozcu údajov zaoberá všetkými otázkami a žiadosťami, ktoré dostane od dotknutej osoby a ktoré sa týkajú spracúvania jej osobných údajov a uplatňovania jej práv podľa týchto doložiek, a to bez zbytočného odkladu a najneskôr do jedného mesiaca od prijatia predmetnej otázky alebo žiadosti. (10) Dovozca údajov prijme vhodné opatrenia na uľahčenie týchto otázok, žiadostí a uplatňovania práv dotknutej osoby. Všetky informácie poskytnuté dotknutej osobe musia byť v zrozumiteľnej a ľahko dostupnej forme, pričom musia byť formulované jasne a jednoducho. |
|
b) |
Na žiadosť dotknutej osoby dovozca údajov predovšetkým bezplatne:
|
|
c) |
Ak dovozca údajov spracúva osobné údaje na účely priameho marketingu, spracúvanie na tieto účely ukončí, ak dotknutá osoba proti tomu namieta. |
|
d) |
Dovozca údajov nie je oprávnený založiť rozhodnutie len na automatizovanom spracúvaní prenášaných osobných údajov (ďalej len „automatizované rozhodnutie“), ktoré by vyvolávalo právne účinky týkajúce sa dotknutej osoby alebo by ju podobne významne ovplyvňovalo, okrem prípadu, že by s tým dotknutá osoba výslovne súhlasila alebo dovozca údajov má na to oprávnenie podľa právnych predpisov krajiny určenia, pokiaľ sa v týchto právnych predpisoch stanovujú vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby. V takom prípade je dovozca údajov samostatne alebo v spolupráci s vývozcom údajov povinný:
|
|
e) |
Ak sú žiadosti dotknutej osoby neprimerané najmä z dôvodu ich opakujúcej sa povahy, dovozca údajov môže buď vyúčtovať primeraný poplatok zohľadňujúci administratívne náklady v súvislosti s vybavením žiadosti, alebo žiadosť odmietnuť. |
|
f) |
Dovozca údajov môže žiadosť dotknutej osoby zamietnuť, ak takéto zamietnutie povoľujú právne predpisy krajiny určenia, pričom je to nevyhnutné a primerané v demokratickej spoločnosti na ochranu jedného z cieľov uvedených v článku 23 ods. 1 nariadenia (EÚ) 2016/679. |
|
g) |
Ak má dovozca údajov v úmysle zamietnuť žiadosť dotknutej osoby, informuje dotknutú osobu o dôvodoch zamietnutia a možnosti podať sťažnosť príslušnému dozornému orgánu a/alebo domáhať sa nápravy na súde. |
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
|
a) |
Dovozca údajov bezodkladne oznámi vývozcovi údajov každú žiadosť, ktorú dostal od dotknutej osoby. Na túto žiadosť nie je oprávnený sám reagovať, pokiaľ mu to vývozca údajov nepovolil. |
|
b) |
Dovozca údajov pomáha vývozcovi údajov pri plnení povinnosti reagovať na žiadosti dotknutých osôb o výkon ich práv podľa nariadenia (EÚ) 2016/679. V tejto súvislosti zmluvné strany stanovia v prílohe II vhodné technické a organizačné opatrenia na poskytnutie pomoci, ako aj rozsah potrebnej pomoci, a to s ohľadom na povahu spracúvania. |
|
c) |
Dovozca údajov dodržiava pri plnení svojich povinností podľa písmen a) a b) pokyny vývozcu údajov. |
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
|
a) |
Dovozca údajov bezodkladne oznámi vývozcovi údajov a v prípade potreby aj prevádzkovateľovi každú žiadosť, ktorú dostal od dotknutej osoby, a to bez toho, aby na ňu reagoval, pokiaľ na to nebol poverený prevádzkovateľom. |
|
b) |
Dovozca údajov v prípade potreby v spolupráci s vývozcom údajov pomáha prevádzkovateľovi pri plnení povinnosti reagovať na žiadosti dotknutých osôb o výkon ich práv podľa nariadenia (EÚ) 2016/679, prípadne nariadenia (EÚ) 2018/1725. V tejto súvislosti zmluvné strany stanovia v prílohe II vhodné technické a organizačné opatrenia na poskytnutie pomoci, ako aj rozsah potrebnej pomoci, a to s ohľadom na povahu spracúvania. |
|
c) |
Dovozca údajov dodržiava pri plnení svojich povinností podľa písmen a) a b) pokyny prevádzkovateľa, ktoré mu oznámil vývozca údajov. |
MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi
Zmluvné strany si navzájom poskytujú pomoc pri reagovaní na otázky a žiadosti dotknutých osôb podľa miestneho práva uplatniteľného na dovozcu údajov alebo v prípade spracúvania údajov vývozcom údajov v EÚ podľa nariadenia (EÚ) 2016/679.
Doložka 11
Náprava
|
a) |
Dovozca údajov informuje dotknuté osoby v transparentnom a ľahko dostupnom formáte prostredníctvom individuálneho oznámenia alebo na svojom webovom sídle o kontaktnom mieste, ktoré je oprávnené vybavovať sťažnosti. Bezodkladne sa zaoberá všetkými sťažnosťami, ktoré dostane od dotknutej osoby. [MOŽNOSŤ: Dovozca údajov súhlasí s tým, aby dotknuté osoby podávali sťažnosti aj nezávislému orgánu riešenia sporov (11) bez toho, aby dotknutá osoba znášala náklady. O tomto mechanizme nápravy, o tom, že jeho využitie nie je povinné, alebo o tom, že pri domáhaní sa nápravy nie je potrebné postupovať žiadnym konkrétnym spôsobom, informuje dotknuté osoby spôsobom stanoveným v písmene a).] |
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
|
b) |
V prípade sporu medzi dotknutou osobou a jednou zo zmluvných strán, ktorý sa týka dodržiavania ustanovení týchto doložiek, vynaloží táto zmluvná strana maximálne úsilie na rýchle vyriešenie sporu formou zmieru. Zmluvné strany sa navzájom informujú o takýchto sporoch a v prípade potreby spolupracujú na ich riešení. |
|
c) |
Ak sa dotknutá osoba odvoláva na právo oprávnenej tretej strany podľa doložky 3, dovozca údajov akceptuje rozhodnutie dotknutej osoby:
|
|
d) |
Zmluvné strany súhlasia s tým, aby dotknutú osobu zastupoval neziskový subjekt, organizácia alebo združenie za podmienok stanovených v článku 80 ods. 1 nariadenia (EÚ) 2016/679. |
|
e) |
Dovozca údajov je povinný riadiť sa rozhodnutím, ktoré je záväzné podľa platných právnych predpisov EÚ alebo členského štátu. |
|
f) |
Dovozca údajov vyjadruje súhlas s tým, že rozhodnutie dotknutej osoby nebude mať vplyv na jej hmotné a procesné práva domáhať sa nápravy v súlade s platnými právnymi predpismi. |
Doložka 12
Zodpovednosť
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi
|
a) |
Každá zmluvná strana je zodpovedná voči druhej zmluvnej strane za akúkoľvek ujmu, ktorú jej spôsobí v dôsledku porušenia týchto doložiek. |
|
b) |
Každá zmluvná strana je zodpovedná voči dotknutej osobe za akúkoľvek majetkovú alebo nemajetkovú ujmu, ktorú spôsobí dotknutej osobe porušením práv oprávnenej tretej strany podľa týchto doložiek, pričom dotknutá osoba má nárok na náhradu uvedenej ujmy. Tým nie je dotknutá zodpovednosť vývozcu údajov podľa nariadenia (EÚ) 2016/679. |
|
c) |
Ak je za ujmu spôsobenú dotknutej osobe v dôsledku porušenia týchto doložiek zodpovedná viac ako jedna zmluvná strana, tieto zmluvné strany zodpovedajú spoločne a nerozdielne, pričom dotknutá osoba je oprávnená podať žalobu na súd proti ktorejkoľvek z týchto zmluvných strán. |
|
d) |
Zmluvné strany sa dohodli, že v prípade, keď nesie zodpovednosť podľa písmena c) jedna zmluvná strana, je oprávnená žiadať od druhej zmluvnej strany vrátenie časti náhrady vyjadrujúcej jej zodpovednosť za ujmu. |
|
e) |
Dovozca údajov sa nemôže odvolávať na konanie sprostredkovateľa alebo ďalšieho sprostredkovateľa s cieľom zbaviť sa svojej vlastnej zodpovednosti. |
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
|
a) |
Každá zmluvná strana je zodpovedná voči druhej zmluvnej strane za akúkoľvek ujmu, ktorú jej spôsobí v dôsledku porušenia týchto doložiek. |
|
b) |
Dovozca údajov je zodpovedný voči dotknutej osobe za akúkoľvek majetkovú alebo nemajetkovú ujmu, ktorú spôsobí on sám alebo ďalší sprostredkovateľ dotknutej osobe porušením práv oprávnenej tretej strany podľa týchto doložiek, pričom dotknutá osoba má nárok na náhradu uvedenej ujmy. |
|
c) |
Bez ohľadu na písmeno b) je vývozca údajov zodpovedný voči dotknutej osobe za akúkoľvek majetkovú alebo nemajetkovú ujmu, ktorú on sám alebo dovozca údajov (prípadne ďalší sprostredkovateľ) spôsobí dotknutej osobe porušením práv oprávnenej tretej strany podľa týchto doložiek, pričom dotknutá osoba má nárok na náhradu uvedenej ujmy. Tým nie je dotknutá zodpovednosť vývozcu údajov a v prípade, že vývozca údajov je sprostredkovateľom konajúcim v mene prevádzkovateľa, ani zodpovednosť prevádzkovateľa podľa nariadenia (EÚ) 2016/679, prípadne nariadenia (EÚ) 2018/1725. |
|
d) |
Zmluvné strany sa dohodli, že v prípade, keď nesie zodpovednosť za ujmu spôsobenú dovozcom údajov (alebo ďalším sprostredkovateľom) podľa písmena c) vývozca údajov, je oprávnený žiadať od dovozcu údajov vrátenie časti náhrady vyjadrujúcej jeho zodpovednosť za ujmu. |
|
e) |
Ak je za ujmu spôsobenú dotknutej osobe v dôsledku porušenia týchto doložiek zodpovedná viac ako jedna zmluvná strana, tieto zmluvné strany zodpovedajú spoločne a nerozdielne, pričom dotknutá osoba je oprávnená podať žalobu na súd proti ktorejkoľvek z týchto zmluvných strán. |
|
f) |
Zmluvné strany sa dohodli, že v prípade, keď nesie zodpovednosť jedna zmluvná strana podľa písmena e), je oprávnená žiadať od druhej zmluvnej strany vrátenie časti náhrady vyjadrujúcej jej zodpovednosť za ujmu. |
|
g) |
Dovozca údajov sa nemôže odvolávať na konanie ďalšieho sprostredkovateľa s cieľom zbaviť sa svojej vlastnej zodpovednosti. |
Doložka 13
Dohľad
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
|
a) |
[Ak je vývozca údajov usadený v členskom štáte EÚ:] Dozorný orgán zodpovedný za zabezpečenie toho, aby vývozca údajov dodržiaval ustanovenia nariadenia (EÚ) 2016/679 v oblasti prenosu údajov podľa prílohy I časti C, má postavenie príslušného dozorného orgánu. [Ak vývozca údajov nie je usadený v členskom štáte EÚ, ale patrí do územnej pôsobnosti nariadenia (EÚ) 2016/679 v súlade s článkom 3 ods. 2, pričom určí zástupcu podľa článku 27 ods. 1 nariadenia (EÚ) 2016/679:] Dozorný orgán členského štátu, v ktorom je podľa prílohy I časti C usadený zástupca v zmysle článku 27 ods. 1 nariadenia (EÚ) 2016/679, má postavenie príslušného dozorného orgánu. [Ak vývozca údajov nie je usadený v členskom štáte EÚ, ale patrí do územnej pôsobnosti nariadenia (EÚ) 2016/679 v súlade s článkom 3 ods. 2 bez toho, aby musel určiť zástupcu podľa článku 27 ods. 2 nariadenia (EÚ) 2016/679:] Dozorný orgán jedného z členských štátov, v ktorom sa nachádzajú dotknuté osoby, ktorých osobné údaje sa prenášajú v súlade s týmito doložkami v súvislosti s tovarom alebo službami, ktoré sa im ponúkajú, alebo ktorých správanie sa monitoruje, ako sa to uvádza v prílohe I časti C, má postavenie príslušného dozorného orgánu. |
|
b) |
Dovozca údajov sa zaväzuje, že sa podriadi jurisdikcii príslušného dozorného orgánu a bude s ním spolupracovať v rámci akýchkoľvek konaní, ktorých cieľom je zabezpečiť dodržiavanie týchto doložiek. Dovozca údajov sa najmä zaväzuje reagovať na otázky, podriadiť sa auditom a konať v súlade s opatreniami prijatými dozorným orgánom vrátane nápravných a kompenzačných opatrení. Dozornému orgánu poskytne písomné potvrdenie, že boli prijaté potrebné opatrenia. |
ODDIEL III – MIESTNE PRÁVNE PREDPISY A POVINNOSTI V PRÍPADE PRÍSTUPU ORGÁNOV VEREJNEJ MOCI
Doložka 14
Miestne právne predpisy a prax, ktoré majú vplyv na dodržiavanie doložiek
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi (ak sprostredkovateľ v EÚ kombinuje osobné údaje prijaté od prevádzkovateľa z tretej krajiny s osobnými údajmi, ktoré získal sprostredkovateľ v EÚ)
|
a) |
Zmluvné strany vyhlasujú, že nemajú žiadny dôvod považovať právne predpisy a prax v tretej krajine určenia, pokiaľ ide o spracúvanie osobných údajov dovozcom údajov vrátane akýchkoľvek požiadaviek na poskytovanie osobných údajov alebo opatrení, ktorými sa povoľuje prístup orgánov verejnej moci, za prekážku, ktorá by bránila dovozcovi údajov v plnení jeho povinností vyplývajúcich z týchto doložiek. Uvedené vychádza z výkladu, podľa ktorého právne predpisy a prax, ktoré rešpektujú podstatu základných práv a slobôd a neprekračujú rámec toho, čo je nevyhnutné a primerané v demokratickej spoločnosti na zabezpečenie jedného z cieľov uvedených v článku 23 ods. 1 nariadenia (EÚ) 2016/679, nie sú v rozpore s týmito doložkami. |
|
b) |
Zmluvné strany deklarujú, že v súvislosti s vyhlásením v písmene a) náležite zohľadnili najmä tieto prvky:
|
|
c) |
Dovozca údajov vyhlasuje, že pri vykonávaní posúdenia podľa písmena b) vynaložil maximálne úsilie na to, aby poskytol vývozcovi údajov relevantné informácie, a zaväzuje sa naďalej spolupracovať s vývozcom údajov tak, aby sa zabezpečilo dodržiavanie týchto doložiek. |
|
d) |
Zmluvné strany sa zaväzujú zdokumentovať posúdenie podľa písmena b) a na požiadanie túto dokumentáciu sprístupniť príslušnému dozornému orgánu. |
|
e) |
Dovozca údajov sa zaväzuje bezodkladne oznámiť vývozcovi údajov, či má po vyjadrení súhlasu s týmito doložkami počas trvania zmluvy dôvod domnievať sa, že sa na neho vzťahujú alebo začali vzťahovať právne predpisy alebo prax, ktoré nie sú v súlade s požiadavkami podľa písmena a), a to aj po zmene právnych predpisov tretej krajiny alebo prijatí opatrenia (ako je žiadosť o poskytnutie údajov) týkajúceho sa uplatnenia takýchto právnych predpisov v praxi, ktoré nie je v súlade s požiadavkami podľa písmena a). [V prípade modulu č. 3: Vývozca údajov postúpi oznámenie prevádzkovateľovi.] |
|
f) |
V nadväznosti na oznámenie podľa písmena e) alebo ak má vývozca údajov inak dôvod domnievať sa, že dovozca údajov už nemôže plniť svoje povinnosti podľa týchto doložiek, vývozca údajov bezodkladne určí vhodné opatrenia (napríklad technické alebo organizačné opatrenia na zaistenie bezpečnosti a dôvernosti), ktoré má prijať vývozca údajov a/alebo dovozca údajov na riešenie situácie [v prípade modulu č. 3: v prípade potreby po konzultácii s prevádzkovateľom]. Vývozca údajov preruší prenos údajov, ak sa domnieva, že nie je možné zabezpečiť primerané záruky pre takýto prenos, alebo ak mu dá na to pokyn [v prípade modulu č. 3: prevádzkovateľ alebo] príslušný dozorný orgán. V takom prípade je vývozca údajov oprávnený vypovedať zmluvu, pokiaľ ide o spracúvanie osobných údajov podľa týchto doložiek. Ak má zmluva viac ako dve zmluvné strany, vývozca údajov ju môže vypovedať len vo vzťahu k príslušnej zmluvnej strane, pokiaľ sa zmluvné strany nedohodli inak. V prípade vypovedania zmluvy podľa tejto doložky sa uplatní doložka 16 písm. d) a e). |
Doložka 15
Povinnosti dovozcu údajov v prípade prístupu orgánov verejnej moci
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi (ak sprostredkovateľ v EÚ kombinuje osobné údaje prijaté od prevádzkovateľa z tretej krajiny s osobnými údajmi, ktoré získal sprostredkovateľ v EÚ)
15.1. Oznámenie
|
a) |
Dovozca údajov sa zaväzuje bezodkladne zaslať oznámenie vývozcovi údajov a prípadne dotknutej osobe (v prípade potreby s pomocou vývozcu údajov), ak:
[V prípade modulu č. 3: Vývozca údajov postúpi oznámenie prevádzkovateľovi.] |
|
b) |
Ak sa dovozcovi údajov zakazuje podľa právnych predpisov krajiny určenia zaslať oznámenie vývozcovi údajov a/alebo dotknutej osobe, dovozca údajov sa zaväzuje vynaložiť maximálne úsilie na získanie výnimky zo zákazu s cieľom oznámiť čo najviac informácií a čo najskôr. Dovozca údajov sa zaväzuje zdokumentovať svoje maximálne úsilie tak, aby ho mohol na žiadosť vývozcu údajov preukázať. |
|
c) |
Ak to právne predpisy krajiny určenia umožňujú, dovozca údajov sa zaväzuje, že počas trvania zmluvy bude vývozcovi údajov v pravidelných intervaloch poskytovať čo najviac relevantných informácií o prijatých žiadostiach (najmä počet žiadostí, druh požadovaných údajov, žiadajúci orgán, či boli žiadosti napadnuté a výsledok súvisiacich konaní atď.). [V prípade modulu č. 3: Vývozca údajov postúpi informáciu prevádzkovateľovi.] |
|
d) |
Dovozca údajov sa zaväzuje, že informácie podľa písmen a) až c) uchová počas trvania zmluvy a na požiadanie ich sprístupní príslušnému dozornému orgánu. |
|
e) |
Písmená a) až c) sa uplatňujú bez toho, aby bola dotknutá povinnosť dovozcu údajov podľa doložky 14 písm. e) a doložky 16, a to bezodkladne informovať vývozcu údajov, ak nie je schopný konať v súlade s týmito doložkami. |
15.2. Preskúmanie zákonnosti a minimalizácia údajov
|
a) |
Dovozca údajov sa zaväzuje preskúmať zákonnosť žiadosti o poskytnutie údajov, najmä či je zachovaná právomoc žiadajúceho orgánu verejnej moci, a žiadosť napadnúť, ak po dôkladnom posúdení dospeje k záveru, že existujú opodstatnené dôvody domnievať sa, že žiadosť je nezákonná podľa právnych predpisov krajiny určenia, platných záväzkov podľa medzinárodného práva a zásad ústretovosti v medzinárodných vzťahoch. Dovozca údajov je za rovnakých podmienok povinný využívať možnosti odvolania. Pri napadnutí žiadosti dovozca údajov navrhne nariadenie predbežných opatrení s cieľom pozastaviť účinky žiadosti dovtedy, kým príslušný súdny orgán nerozhodne vo veci samej. Požadované osobné údaje poskytne až vtedy, keď je na to povinný podľa platných procesných pravidiel. Týmito požiadavkami nie sú dotknuté povinnosti dovozcu údajov podľa doložky 14 písm. e). |
|
b) |
Dovozca údajov sa zaväzuje zdokumentovať príslušné právne posúdenie, ako aj akékoľvek napadnutie žiadosti o poskytnutie údajov, a v rozsahu povolenom právnymi predpismi krajiny určenia sprístupní dokumentáciu vývozcovi údajov. Na požiadanie sprístupní túto dokumentáciu aj príslušnému dozornému orgánu. [V prípade modulu č. 3: Vývozca údajov sprístupní posúdenie prevádzkovateľovi.] |
|
c) |
Dovozca údajov sa zaväzuje, že v rámci odpovede na žiadosť o poskytnutie údajov poskytne minimálne dovolené množstvo informácií, a to na základe primeraného výkladu žiadosti. |
ODDIEL IV – ZÁVEREČNÉ USTANOVENIA
Doložka 16
Nedodržanie doložiek a ukončenie platnosti
|
a) |
Dovozca údajov bezodkladne informuje vývozcu údajov, ak nie je schopný tieto pokyny z akéhokoľvek dôvodu dodržať. |
|
b) |
V prípade, že dovozca údajov porušuje tieto doložky alebo nie je schopný plniť si povinnosti podľa týchto doložiek, vývozca údajov pozastaví prenos osobných údajov dovozcovi údajov, kým sa opäť nedosiahne súlad alebo nedôjde k ukončeniu platnosti zmluvy. Doložka 14 písm. f) tým nie je dotknutá. |
|
c) |
Vývozca údajov je oprávnený vypovedať zmluvu v rozsahu, v akom sa týka spracúvania osobných údajov podľa týchto doložiek, ak:
V týchto prípadoch informuje o tomto porušení príslušný dozorný orgán [v prípade modulu č. 3: a prevádzkovateľa]. Ak má zmluva viac ako dve zmluvné strany, vývozca údajov ju môže vypovedať len vo vzťahu k príslušnej zmluvnej strane, pokiaľ sa zmluvné strany nedohodli inak. |
|
d) |
[V prípade modulov č. 1, 2 a 3: Osobné údaje, ktoré boli prenesené pred vypovedaním zmluvy podľa písmena c), sa bezodkladne vrátia vývozcovi údajov alebo v celom rozsahu vymažú, a to podľa toho, pre ktorú z možností sa vývozca údajov rozhodne. To isté platí v prípade kópií údajov.] [V prípade modulu č. 4: Osobné údaje získané vývozcom údajov v EÚ, ktoré boli prenesené pred vypovedaním zmluvy podľa písmena c), sa bezodkladne v celom rozsahu vymažú, vrátane ich kópií.] Dovozca údajov vydá vývozcovi údajov potvrdenie o tom, že údaje boli vymazané. Dovozca údajov zabezpečuje dodržiavanie týchto doložiek dovtedy, kým nedôjde k vymazaniu alebo vráteniu údajov. Pokiaľ ide o miestne právne predpisy uplatniteľné na dovozcu údajov, ktorými sa zakazuje vrátenie alebo vymazanie prenesených osobných údajov, dovozca údajov vyhlasuje, že bude naďalej zabezpečovať súlad s týmito doložkami a údaje bude spracúvať len v takom rozsahu a tak dlho, ako to vyžaduje uvedené miestne právo. |
|
e) |
Ktorákoľvek zo zmluvných strán môže odvolať svoj súhlas s tým, že bude viazaná týmito doložkami, ak i) Európska komisia prijme rozhodnutie podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 týkajúce sa prenosu osobných údajov, na ktoré sa vzťahujú tieto doložky, alebo ii) nariadenie (EÚ) 2016/679 sa stane súčasťou právneho rámca krajiny, do ktorej sa osobné údaje prenášajú. Tým nie sú dotknuté ostatné povinnosti vzťahujúce sa na predmetné spracúvanie podľa nariadenia (EÚ) 2016/679. |
Doložka 17
Rozhodné právo
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
[MOŽNOSŤ 1: Tieto doložky sa riadia právom členského štátu Európskej únie, ak toto právo priznáva účinok právam oprávnenej tretej strany. Zmluvné strany sa dohodli, že týmto právom je právny poriadok ___ (uveďte členský štát).]
[MOŽNOSŤ 2 (v prípade modulov č. 2 a 3): Tieto doložky sa riadia právom členského štátu EÚ, v ktorom je usadený vývozca údajov. Ak takéto právo nepriznáva účinok právam oprávnenej tretej strany, riadia sa právom iného členského štátu Európskej únie, ktoré účinok právam oprávnenej tretej strany priznáva. Zmluvné strany sa dohodli, že týmto právom je právny poriadok ___ (uveďte členský štát).]
MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi
Tieto doložky sa riadia právom krajiny, ktoré priznáva účinok právam oprávnenej tretej strany. Zmluvné strany sa dohodli, že týmto právom je právny poriadok ___ (uveďte členský štát).
Doložka 18
Voľba súdu a právomoci
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
|
a) |
Na rozhodovanie sporov vyplývajúcich z týchto doložiek sú príslušné súdy členského štátu EÚ. |
|
b) |
Zmluvné strany sa dohodli, že týmito súdmi sú súdy ___ (uveďte členský štát). |
|
c) |
Dotknutá osoba môže podať návrh na začatie konania proti vývozcovi údajov a/alebo dovozcovi údajov aj na súdoch členského štátu, v ktorom má obvyklý pobyt. |
|
d) |
Zmluvné strany sa dohodli, že sa podriadia právomoci týchto súdov. |
MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi
|
|
Na rozhodovanie sporov vyplývajúcich z týchto doložiek sú príslušné súdy _____ (uveďte krajinu). |
(1) Ak je vývozca údajov sprostredkovateľom, na ktorého sa vzťahuje nariadenie (EÚ) 2016/679 a ktorý koná v mene inštitúcie alebo orgánu Únie ako prevádzkovateľ, tak uplatňovaním týchto doložiek sa pri zapojení iného sprostredkovateľa (ďalšie sprostredkovanie), na ktorého sa nevzťahuje nariadenie (EÚ) 2016/679, zabezpečuje aj súlad s článkom 29 ods. 4 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39), pokiaľ sú tieto doložky a povinnosti v oblasti ochrany údajov, ktoré sú stanovené v zmluve alebo inom právnom akte uzavretom medzi prevádzkovateľom a sprostredkovateľom podľa článku 29 ods. 3 nariadenia (EÚ) 2018/1725, vo vzájomnom súlade. Platí to najmä v prípade, keď sa prevádzkovateľ a sprostredkovateľ odvolávajú na štandardné zmluvné doložky uvedené v rozhodnutí 2021/915.
(2) Je teda nevyhnutné, aby boli údaje anonymizované tak, aby nikto nemohol jednotlivca identifikovať, ako sa to uvádza v odôvodnení 26 nariadenia (EÚ) 2016/679, pričom tento postup musí byť nezvratný.
(3) Dohodou o Európskom hospodárskom priestore (ďalej len „Dohoda o EHP“) sa vnútorný trh Európskej únie rozširuje o tri štáty EHP – Island, Lichtenštajnsko a Nórsko. Na právne predpisy Únie v oblasti ochrany osobných údajov vrátane nariadenia (EÚ) 2016/679 sa vzťahuje Dohoda o EHP a tieto predpisy boli začlenené do prílohy XI k tejto dohode. Preto akékoľvek poskytnutie údajov zo strany dovozcu údajov tretej strane nachádzajúcej sa v EHP sa na účely týchto doložiek nepovažuje za následný prenos.
(4) Dohodou o Európskom hospodárskom priestore (ďalej len „Dohoda o EHP“) sa vnútorný trh Európskej únie rozširuje o tri štáty EHP – Island, Lichtenštajnsko a Nórsko. Na právne predpisy Únie v oblasti ochrany osobných údajov vrátane nariadenia (EÚ) 2016/679 sa vzťahuje Dohoda o EHP a tieto predpisy boli začlenené do prílohy XI k tejto dohode. Preto akékoľvek poskytnutie údajov zo strany dovozcu údajov tretej strane nachádzajúcej sa v EHP sa na účely týchto doložiek nepovažuje za následný prenos.
(5) Pozri článok 28 ods. 4 nariadenia (EÚ) 2016/679 a v prípade, že prevádzkovateľom je inštitúcia alebo orgán EÚ, článok 29 ods. 4 nariadenia (EÚ) 2018/1725.
(6) Dohodou o Európskom hospodárskom priestore (ďalej len „Dohoda o EHP“) sa vnútorný trh Európskej únie rozširuje o tri štáty EHP – Island, Lichtenštajnsko a Nórsko. Na právne predpisy Únie v oblasti ochrany osobných údajov vrátane nariadenia (EÚ) 2016/679 sa vzťahuje Dohoda o EHP a tieto predpisy boli začlenené do prílohy XI k tejto dohode. Preto akékoľvek poskytnutie údajov zo strany dovozcu údajov tretej strane nachádzajúcej sa v EHP sa na účely týchto doložiek nepovažuje za následný prenos.
(7) Vrátane toho, či prenos a ďalšie spracúvanie zahŕňajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy.
(8) Túto požiadavku môže ďalší sprostredkovateľ, ktorý pristupuje k týmto doložkám v súlade s príslušným modulom, splniť podľa doložky 7.
(9) Túto požiadavku môže ďalší sprostredkovateľ, ktorý pristupuje k týmto doložkám v súlade s príslušným modulom, splniť podľa doložky 7.
(10) Túto lehotu možno predĺžiť najviac o dva mesiace, a to v nevyhnutnom rozsahu a s ohľadom na zložitosť a počet žiadostí. Dovozca údajov náležite a bezodkladne informuje dotknutú osobu o každom takomto predĺžení.
(11) Dovozca údajov môže ponúknuť nezávislé riešenie sporov na rozhodcovskom orgáne len vtedy, ak je usadený v krajine, ktorá ratifikovala Newyorský dohovor o výkone rozhodcovských rozhodnutí.
(12) Pokiaľ ide o vplyv týchto právnych predpisov a praxe na dodržiavanie týchto doložiek, v rámci celkového posúdenia možno zohľadniť rôzne prvky. Medzi tieto prvky možno zahrnúť relevantné a zdokumentované praktické skúsenosti s predchádzajúcimi prípadmi žiadostí orgánov verejnej moci o poskytnutie údajov alebo neexistenciu takýchto žiadostí, ktoré sa vzťahujú na dostatočne reprezentatívny časový rámec. Ide najmä o interné záznamy alebo inú dokumentáciu, ktoré boli vypracúvané priebežne v súlade s náležitou starostlivosťou a certifikované na úrovni vyššieho manažmentu, ak možno tieto informácie zákonne poskytovať tretím stranám. Pokiaľ možno na základe týchto praktických skúseností dospieť k záveru, že dovozcovi údajov nič nebráni v dodržiavaní týchto doložiek, treba uviesť aj ďalšie relevantné objektívne prvky, pričom zmluvným stranám prináleží dôkladne posúdiť, či tieto prvky ako celok majú dostatočnú váhu na podporu tohto záveru, pokiaľ ide o ich spoľahlivosť a reprezentatívnosť. Zmluvné strany musia predovšetkým prihliadnuť na to, či sú ich praktické skúsenosti potvrdené, a teda nie v rozpore s verejnými alebo inak dostupnými a spoľahlivými informáciami o existencii alebo neexistencii žiadostí v rámci toho istého odvetvia a/alebo uplatňovaním právnych predpisov v praxi, ako je napríklad judikatúra a správy nezávislých orgánov dohľadu.
DODATOK
VYSVETLIVKA:
Musí byť možné jasne rozlišovať informácie uplatniteľné na jednotlivé prenosy alebo kategórie prenosov a v tomto ohľade identifikovať úlohy jednotlivých zmluvných strán v postavení vývozcov údajov a/alebo dovozcov údajov. V tomto ohľade nie je nevyhnutné, aby došlo k vyplneniu a podpisu osobitných dodatkov pre každý prevod/kategóriu prevodov a/alebo zmluvný vzťah, ak túto transparentnosť možno dosiahnuť prostredníctvom jedného dodatku. Ak je však potrebné zabezpečiť dostatočnú jasnosť, mali by sa použiť samostatné dodatky.
PRÍLOHA I
A. ZOZNAM ZMLUVNÝCH STRÁN
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi
Vývozca údajov: [Totožnosť a kontaktné údaje vývozcu údajov a prípadne jeho zodpovednej osoby a/alebo zástupcu v Európskej únii]
|
1. |
Meno/názov: …
Adresa: … Meno, funkcia a kontaktné údaje kontaktnej osoby: … Činnosti súvisiace s údajmi prenášanými podľa týchto doložiek: … Podpis a dátum: … Postavenie (prevádzkovateľ/sprostredkovateľ): … |
|
2. |
… |
Dovozca údajov: [Identita a kontaktné údaje dovozcu údajov vrátane akejkoľvek kontaktnej osoby zodpovednej za ochranu údajov]
|
1. |
Meno/názov: …
Adresa: … Meno, funkcia a kontaktné údaje kontaktnej osoby: … Činnosti súvisiace s údajmi prenášanými podľa týchto doložiek: … Podpis a dátum: … Postavenie (prevádzkovateľ/sprostredkovateľ): … |
|
2. |
… |
B. OPIS PRENOSU
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi
Kategórie dotknutých osôb, ktorých osobné údaje sa prenášajú
…
Kategórie prenášaných osobných údajov
…
Prenášané citlivé údaje (v relevantných prípadoch) a uplatňované obmedzenia alebo záruky, ktoré v plnej miere zohľadňujú povahu údajov a súvisiace riziká, ako napríklad prísne obmedzenie účelu, obmedzenia prístupu (vrátane prístupu len pre personál, ktorý absolvoval špecializovanú odbornú prípravu), vedenie záznamov o prístupe k údajom, obmedzenia následných prenosov alebo dodatočné bezpečnostné opatrenia.
…
Frekvencia prenosu (napríklad či sa údaje prenášajú jednorazovo alebo sústavne).
…
Povaha spracúvania
…
Účel prenosu a ďalšieho spracúvania údajov
…
Obdobie uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jeho určenie
…
V prípade prevodov sprostredkovateľom alebo ďalším sprostredkovateľom uveďte aj predmet, povahu a trvanie spracúvania
…
C. PRÍSLUŠNÝ DOZORNÝ ORGÁN
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
Uveďte príslušný dozorný orgán v súlade s doložkou 13
…
PRÍLOHA II
TECHNICKÉ A ORGANIZAČNÉ OPATRENIA VRÁTANE TECHNICKÝCH A ORGANIZAČNÝCH OPATRENÍ NA ZAISTENIE BEZPEČNOSTI ÚDAJOV
MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
VYSVETLIVKA:
Technické a organizačné opatrenia treba opísať konkrétne, nie všeobecne. Pozri aj všeobecnú poznámku na prvej strane dodatku, najmä pokiaľ ide o potrebu jasne uviesť, ktoré opatrenia sa vzťahujú na konkrétny prevod/súbor presunov.
Opis technických a organizačných opatrení prijatých dovozcom údajov (vrátane všetkých príslušných certifikácií) s cieľom zabezpečiť primeranú úroveň bezpečnosti, pričom sa zohľadní povaha, rozsah, kontext a účel spracúvania, ako aj riziká pre práva a slobody fyzických osôb.
[Príklady možných opatrení:
Opatrenia v oblasti pseudonymizácie a šifrovania osobných údajov
Opatrenia na zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov a služieb spracúvania
Opatrenia na zabezpečenie schopnosti včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu
Procesy pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania
Opatrenia na identifikáciu a povoľovanie používateľov
Opatrenia na ochranu údajov počas prenosu
Opatrenia na ochranu údajov počas uchovávania
Opatrenia na zabezpečenie fyzickej bezpečnosti miest, na ktorých sa spracúvajú osobné údaje
Opatrenia na zabezpečenie zaznamenávania udalostí
Opatrenia na zabezpečenie konfigurácie systému vrátane predvolenej konfigurácie
Opatrenia na vnútornú správu a riadenie IT a bezpečnosti IT
Opatrenia na certifikáciu/zabezpečenie procesov a produktov
Opatrenia na zabezpečenie minimalizácie údajov
Opatrenia na zabezpečenie kvality údajov
Opatrenia na zabezpečenie obmedzeného uchovávania údajov
Opatrenia na zabezpečenie zodpovednosti
Opatrenia na umožnenie prenosnosti údajov a zabezpečenie výmazu]
V prípade prenosov sprostredkovateľom alebo ďalším sprostredkovateľom opíšte aj osobitné technické a organizačné opatrenia, ktoré má prijať sprostredkovateľ alebo ďalší sprostredkovateľ, aby mohol poskytnúť pomoc prevádzkovateľovi, a v prípade prenosov od sprostredkovateľa k ďalšiemu sprostredkovateľovi vývozcovi údajov
PRÍLOHA III
ZOZNAM ĎALŠÍCH SPROSTREDKOVATEĽOV
MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi
MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi
VYSVETLIVKA:
Túto prílohu je potrebné vyplniť v prípade modulov č. 2 a 3, pokiaľ ide o osobitné povolenie pre ďalších sprostredkovateľov [doložka 9 písm. a) možnosť 1].
Prevádzkovateľ povolil využitie týchto ďalších sprostredkovateľov:
|
1. |
Meno/názov: …
Adresa: … Meno, funkcia a kontaktné údaje kontaktnej osoby: … Opis spracúvania (vrátane jasného vymedzenia zodpovedností v prípade povolenia niekoľkých ďalších sprostredkovateľov): … |
|
2. |
… |