˄˅

Standardne ugovorne odredbe

ODJELJAK I.

Klauzula 1. Svrha i područje primjene

(a) Svrha je ovih standardnih ugovornih klauzula osigurati usklađenost sa zahtjevima Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka) (1) pri prijenosu osobnih podataka u treću zemlju.

(b) Stranke:

(i) fizičke ili pravne osobe, tijela javne vlasti, agencije ili druga tijela (dalje u tekstu „subjekt(i)”) koji prenose osobne podatke, kako je navedeno u Prilogu I.A. (dalje u tekstu pojedinačno „izvoznik podataka”); i

(ii) subjekt(i) u trećoj zemlji koji primaju osobne podatke od izvoznika podataka, izravno ili neizravno preko drugog subjekta koji je stranka ovih klauzula, kako je navedeno u Prilogu I.A. (dalje u tekstu „uvoznik podataka”)

suglasne su s ovim standardnim ugovornim klauzulama (dalje u tekstu: „klauzule”).

(d) Dodatak ovim klauzulama koji sadržava priloge na koje se u njima upućuje sastavni je dio ovih klauzula.

Klauzula 2. Učinak i nepromjenjivost klauzula

(a) Ovim se klauzulama utvrđuju odgovarajuće zaštitne mjere, uključujući provediva prava ispitanika i učinkovite pravne lijekove, u skladu s člankom 46. stavkom1. i člankom 46. stavkom 2. točkom (c) Uredbe (EU) 2016/679 te, kad je riječ o prijenosima podataka od voditelja obrade do izvršitelja obrade i/ili od izvršitelja obrade do izvršitelja obrade, standardne ugovorne klauzule u skladu s člankom 28. stavkom 7. Uredbe (EU) 2016/679, pod uvjetom da nisu izmijenjene, osim u svrhu odabira odgovarajućih modula ili dodavanja odnosno ažuriranja informacija u Dodatku. To ne sprečava stranke da standardne ugovorne klauzule utvrđene u ovim klauzulama uključe u širi ugovor i/ili da dodaju druge klauzule ili dodatne zaštitne mjere pod uvjetom da one izravno ili neizravno ne proturječe ovim klauzulama niti ne dovode u pitanje temeljna prava ili slobode ispitanika.

(b) Ove klauzule ne dovode u pitanje obveze izvoznika podataka na temelju Uredbe (EU) 2016/679.

Odredba 3. Korisnika treće strane

(a) Ispitanici se mogu pozvati na ove klauzule i provoditi ih kao treće strane protiv izvoznika podataka i/ili uvoznika podataka, uz sljedeće iznimke:

i. klauzula 1., klauzula 2., klauzula 3., klauzula 6., klauzula 7.;

klauzula 8. – modul 1.: klauzula 8.5. točka (e) i klauzula 8.9. točka (b); modul 2.: klauzula 8.1. točka (b), klauzula 8.9. točke (a), (c), (d) i (e); modul 3.: klauzula 8.1. točke (a), (c) i (d) i klauzula 8.9. točke (a), (c), (d), (e), (f) i (g); modul 4.: klauzula 8.1. točka (b) i klauzula 8.3. točka (b);

iii. klauzula 9. – modul 2.: klauzula 9. točke (a), (c), (d) i (e); modul 3.: klauzula 9. točke (a), (c), (d) i (e);

iv. klauzula 12. – modul 1.: klauzula 12. točke (a) i (d); modul 2. i modul 3.: klauzula 12. točke (a), (d) i (f);

v. klauzula 13.;

vi. klauzula 15.1. točke (c), (d) i (e);

vii. klauzula 16. točka (e);

viii. klauzula 18. – moduli 1., 2. i 3.: klauzula 18. točke (a) i (b); modul 4.: klauzula 18.

(b) Točkom (a) ne dovode se u pitanje prava ispitanika na temelju Uredbe (EU) 2016/679.

Klauzula 4. Tumačenje

(a) Ako se u ovim klauzulama upotrebljavaju pojmovi definirani u Uredbi (EU) 2016/679, ti pojmovi imaju isto značenje kao u toj uredbi.

(b) Ove se klauzule čitaju i tumače u skladu s odredbama Uredbe (EU) 2016/679.

Klauzula 5. Hijerarhija

U slučaju da su ove klauzule u suprotnosti s odredbama povezanih sporazuma među strankama koji postoje u trenutku dogovaranja ovih klauzula ili su sklopljeni nakon toga, prednost imaju ove klauzule.

Klauzula 6. Opis prijenosa

Pojedinosti prijenosa, a posebno kategorije osobnih podataka koji se prenose i svrhe prijenosa, navedene su u Prilogu I.B.

Klauzula 7. – neobvezna Klauzula o pristupanju

(a) Subjekt koji nije stranka ovih klauzula može uz suglasnost stranaka pristupiti ovim klauzulama u bilo kojem trenutku kao izvoznik podataka ili uvoznik podataka popunjavanjem Dodatka i potpisivanjem Priloga I.A.

(b) Nakon što popuni Dodatak i potpiše Prilog I.A., subjekt koji pristupa postaje stranka ovih klauzula te ima prava i obveze izvoznika podataka ili uvoznika podataka u skladu sa svojom oznakom iz Priloga I.A.

(c) Subjekt koji pristupa nema prava ni obveze koji proizlaze iz ovih klauzula za razdoblje prije nego što je postao stranka.

ODJELJAK II. – OBVEZE STRANAKA

Klauzula 8 Mjere za zaštitu podataka

Izvoznik podataka jamči da je poduzeo sve razumne mjere kako bi utvrdio sposobnost uvoznika podataka da provedbom odgovarajućih tehničkih i organizacijskih mjera ispuni svoje obveze iz ovih klauzula.

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

8.1. Ograničenje svrhe

Uvoznik podataka obrađuje osobne podatke samo u posebne svrhe prijenosa kako je utvrđeno u Prilogu I.B. Može obrađivati osobne podatke u druge svrhe isključivo:

i. ako je dobio prethodnu privolu ispitanika;

ii. ako je to potrebno za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka; ili

iii. ako je to potrebno za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe.

8.2. Transparentnost

(a) Kako bi se ispitanicima omogućilo da učinkovito ostvare svoja prava u skladu s klauzulom 10., uvoznik podataka obavješćuje ih, izravno ili preko izvoznika podataka:

i. o svojem identitetu i podacima za kontakt;

ii. o kategorijama osobnih podataka koji se obrađuju;

iii. o pravu na dobivanje kopije ovih klauzula;

iv. ako namjerava dalje prenositi osobne podatke bilo kojoj trećoj strani o primatelju ili kategorijama primatelja (kako je prikladno za pružanje smislenih informacija), svrsi takvog daljnjeg prijenosa i osnovi za takav prijenos u skladu s klauzulom 8.7.

(b) Točka (a) ne primjenjuje se ako ispitanik već raspolaže informacijama, među ostalim ako je izvoznik podataka već pružio takve informacije, ili ako pružanje tih informacija nije moguće ili bi zahtijevalo nerazmjeran napor od uvoznika podataka. U potonjem slučaju uvoznik podataka u mjeri u kojoj je to moguće stavlja te informacije na raspolaganje javnosti.

(c) Stranke će ispitaniku na zahtjev besplatno staviti na raspolaganje kopiju ovih klauzula, uključujući Dodatak kako su ga popunile. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, stranke mogu ispustiti dio teksta Dodatka prije dijeljenja kopije, ali moraju dostaviti smislen sažetak ako ispitanik inače ne bi mogao razumjeti njegov sadržaj ili ostvariti svoja prava. Stranke ispitaniku na zahtjev priopćuju razloge za ispuštanje, u mjeri u kojoj je to moguće bez otkrivanja ispuštenih informacija. Stranke ispitaniku na zahtjev priopćuju razloge za ispuštanje, u mjeri u kojoj je to moguće bez otkrivanja ispuštenih informacija. Ovom se klauzulom ne dovode u pitanje obveze izvoznika podataka u skladu s člancima 13. i 14.

(d) Točke od (a) do (c) ne dovode u pitanje obveze izvoznika podataka u skladu s člancima 13. i 14. Uredbe (EU) 2016/679.

8.3. Točnost i smanjenje količine podataka

(a) Svaka stranka osigurava da su osobni podaci točni i prema potrebi ažurirani. Uvoznik podataka poduzima sve razumne mjere kako bi osigurao da se osobni podaci koji nisu točni s obzirom na svrhe obrade bez odgode izbrišu ili isprave.

(b) Ako jedna od stranaka utvrdi da su osobni podaci koje je prenijela ili primila netočni ili zastarjeli, o tome bez nepotrebne odgode obavješćuje drugu stranku.

(c) Uvoznik podataka osigurava da su osobni podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe obrade.

8.4. Ograničenje pohrane

Uvoznik podataka ne čuva osobne podatke dulje nego što je potrebno za svrhe u koje se obrađuju. Uvodi odgovarajuće tehničke ili organizacijske mjere kako bi se osiguralo poštovanje te obveze, uključujući brisanje ili anonimizaciju (2) podataka i svih sigurnosnih kopija na kraju razdoblja zadržavanja.

8.5. Sigurnost obrade

(a) Uvoznik podataka, a pri prijenosu i izvoznik podataka, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao sigurnost osobnih podataka, uključujući zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti uzima u obzir najnovija dostignuća, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanika povezane s obradom. Stranke posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način.

(b) Stranke su postigle dogovor o tehničkim i organizacijskim mjerama navedenima u Prilogu II. Uvoznik podataka izvršava redovite provjere kako bi osigurao da te mjere i dalje pružaju odgovarajuću razinu sigurnosti.

(c) Osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti.

(d) U slučaju povrede osobnih podataka koje uvoznik podataka obrađuje u skladu s ovim klauzulama, uvoznik podataka poduzima odgovarajuće mjere za uklanjanje povrede osobnih podataka, uključujući mjere za ublažavanje mogućih štetnih posljedica.

(e) U slučaju povrede osobnih podataka koja će vjerojatno prouzročiti rizik za prava i slobode fizičkih osoba uvoznik podataka bez nepotrebne odgode obavješćuje izvoznika podataka i nadležno nadzorno tijelo u skladu s klauzulom 13. Takva obavijest sadržava i. opis prirode povrede (uključujući, ako je moguće, kategorije i približan broj predmetnih ispitanika i evidencija osobnih podataka); ii. vjerojatne posljedice; iii. mjere koje su poduzete ili predložene za uklanjanje povrede; i iv. podatke o kontaktnoj točki od koje se može dobiti još informacija. Ako uvoznik podataka ne može istodobno pružiti sve informacije, može ih postupno pružati bez nepotrebne daljnje odgode.

(f) U slučaju povrede osobnih podataka koja će vjerojatno prouzročiti znatan rizik za prava i slobode fizičkih osoba uvoznik podataka bez nepotrebne odgode obavješćuje i predmetne ispitanike o povredi osobnih podataka i njezinoj prirodi, prema potrebi u suradnji s izvoznikom podataka, te o informacijama iz točke (e), podtočaka od ii. do iv., osim ako je uvoznik podataka proveo mjere za znatno smanjenje rizika za prava ili slobode fizičkih osoba ili ako bi za obavješćivanje bio potreban nerazmjeran napor. U potonjem slučaju uvoznik podataka umjesto toga izdaje priopćenje ili poduzima sličnu mjeru kako bi obavijestio javnost o povredi osobnih podataka.

(g) Uvoznik podataka dokumentira sve relevantne činjenice povezane s povredom osobnih podataka, uključujući njezine učinke i sve poduzete korektivne mjere, te vodi evidenciju o tome.

8.6. Osjetljivi podaci

Ako prijenos uključuje osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske podatke ili biometrijske podatke u svrhu jedinstvene identifikacije pojedinca, podatke koji se odnose na zdravlje, spolni život ili spolnu orijentaciju osobe ili podatke koji se odnose na osuđujuće presude ili kaznena djela (dalje u tekstu „osjetljivi podaci”), uvoznik podataka primjenjuje posebna ograničenja i/ili dodatne zaštitne mjere prilagođene posebnoj prirodi podataka i povezanim rizicima. To može uključivati ograničavanje osoblja kojem je dopušten pristup osobnim podacima, dodatne sigurnosne mjere (kao što je pseudonimizacija) i/ili dodatna ograničenja u pogledu daljnjeg otkrivanja.

8.7. Daljnji prijenosi

Uvoznik podataka ne otkriva osobne podatke trećoj strani koja se nalazi izvan Europske unije (3) (u istoj zemlji kao uvoznik podataka ili u drugoj trećoj zemlji, dalje u tekstu „daljnji prijenos”) osim ako je treća strana obvezana ovim klauzulama ili pristane biti obvezana njima u skladu s odgovarajućim modulom. U protivnom uvoznik podataka može obavljati daljnji prijenos isključivo:

i. ako je riječ o prijenosu u zemlju na koju se primjenjuje odluka o primjerenosti u skladu s člankom 45. Uredbe (EU) 2016/679 kojom je obuhvaćen daljnji prijenos;

ii. ako treća strana na drugi način osigurava odgovarajuće zaštitne mjere u skladu s člancima 46. ili 47. Uredbe (EU) 2016/679 u pogledu predmetne obrade;

iii. ako treća strana sklopi obvezujući instrument s uvoznikom podataka kojim se osigurava jednaka razina zaštite podataka kao i ovim klauzulama, a uvoznik podataka dostavi kopiju tih zaštitnih mjera izvozniku podataka;

iv. ako je to potrebno za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka;

v. ako je to potrebno za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe; ili

vi. u slučaju se de ne primjenjuje ni jedan od ostalih uvjeta, ako je uvoznik podataka dobio izričitu privolu ispitanika za daljnji prijenos u određenoj situaciji nakon što ga je obavijestio o svrhama prijenosa, identitetu primatelja i mogućim rizicima takvog prijenosa za ispitanika zbog nedostatka odgovarajućih mjera za zaštitu podataka. U tom slučaju uvoznik podataka obavješćuje izvoznika podataka i na njegov zahtjev šalje mu kopiju informacija dostavljenih ispitaniku.

Daljnji prijenos može se izvršiti pod uvjetom da uvoznik podataka poštuje sve druge zaštitne mjere iz ovih klauzula, a posebno ograničenje svrhe.

8.8. Obrada pod vodstvom uvoznika podataka

Uvoznik podataka osigurava da bilo koja osoba koja djeluje pod njegovim vodstvom, uključujući voditelje obrade, obrađuje podatke isključivo ako on to zatraži.

8.9. Dokumentacija i usklađenost

(a) Svaka stranka mora moći dokazati da ispunjava svoje obveze iz ovih klauzula. Uvoznik podataka vodi odgovarajuću dokumentaciju o aktivnostima obrade za koje je odgovoran.

(b) Uvoznik podataka na zahtjev stavlja tu dokumentaciju na raspolaganje nadležnom nadzornom tijelu.

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

8.1. Upute

(a) Uvoznik podataka obrađuje osobne podatke samo prema zabilježenim uputama izvoznika podataka. Izvoznik podataka može dati takve upute za cijelo vrijeme trajanja ugovora.

(b) Uvoznik podataka odmah obavješćuje izvoznika podataka ako ne može slijediti te upute.

8.2. Ograničenje svrhe

Uvoznik podataka obrađuje osobne podatke samo u posebne svrhe prijenosa kako je utvrđeno u Prilogu I.B., osim ako izvoznik podataka izda nove upute.

8.3. Transparentnost

Izvoznik podataka ispitaniku će na zahtjev besplatno staviti na raspolaganje kopiju ovih klauzula, uključujući Dodatak kako su ga popunile stranke. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući mjere opisane u Prilogu II. i osobne podatke, izvoznik podataka može ispustiti dio teksta Dodatka ovim klauzulama prije dijeljenja kopije, ali mora dostaviti smislen sažetak ako ispitanik inače ne bi mogao razumjeti njegov sadržaj ili ostvariti svoja prava. Stranke ispitaniku na zahtjev priopćuju razloge za ispuštanje, u mjeri u kojoj je to moguće bez otkrivanja ispuštenih informacija. Ovom se klauzulom ne dovode u pitanje obveze izvoznika podataka u skladu s člancima 13. i 14. Ovom se klauzulom ne dovode u pitanje obveze izvoznika podataka u skladu s člancima 13. i 14. Uredbe (EU) 2016/679.

8.4. Točnost

Ako uvoznik podataka utvrdi da su osobni podaci koje je primio netočni ili zastarjeli, o tome bez nepotrebne odgode obavješćuje izvoznika podataka. U tom slučaju uvoznik podataka surađuje s izvoznikom podataka kako bi se podaci izbrisali ili ispravili.

8.5. Trajanje obrade i brisanje ili vraćanje podataka

Uvoznik podataka obrađuje podatke samo u trajanju navedenom u Prilogu I.B. Nakon završetka pružanja usluga obrade uvoznik podataka ovisno o odluci izvoznika podataka briše sve osobne podatke obrađene u ime izvoznika podataka i potvrđuje izvozniku podataka da je to učinio ili mu vraća sve osobne podatke koji su obrađeni u njegovo ime i briše postojeće kopije. Dok se podaci ne izbrišu ili ne vrate, uvoznik podataka nastavlja osiguravati usklađenost s ovim klauzulama. Kad se na uvoznika podataka primjenjuju lokalni propisi kojima se zabranjuje vraćanje ili brisanje osobnih podataka, uvoznik podataka jamči da će nastaviti osiguravati usklađenost s ovim klauzulama i da će obrađivati podatke samo u mjeri i trajanju koji su u skladu s tim lokalnim zakonodavstvom. Time se ne dovodi u pitanje klauzula 14., osobito zahtjev da uvoznik podataka u skladu s klauzulom 14. točkom (e) za trajanja ugovora obavijesti izvoznika podataka ako ima razloga vjerovati da se na njega primjenjuju ili su se počeli primjenjivati zakoni ili prakse koji nisu u skladu sa zahtjevima iz klauzule 14. točke (a).

8.6. Sigurnost obrade

(a) Uvoznik podataka, a pri prijenosu i izvoznik podataka, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao sigurnost podataka, uključujući zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene i neovlaštenog otkrivanja tih podataka ili pristupa njima (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti stranke uzimaju u obzir najnovija dostignuća, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanike povezane s obradom. Stranke posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način. U slučaju pseudonimizacije dodatne informacije za pripisivanje osobnih podataka određenom ispitaniku ostaju pod isključivom kontrolom izvoznika podataka kad god je to moguće. Pri ispunjavanju obveza iz ovog stavka uvoznik podataka provodi barem tehničke i organizacijske mjere navedene u Prilogu II. Uvoznik podataka izvršava redovite provjere kako bi osigurao da te mjere i dalje pružaju odgovarajuću razinu sigurnosti.

(b) Uvoznik podataka članovima svojeg osoblja odobrava pristup osobnim podacima samo u mjeri nužnoj za provedbu i praćenje ugovora te upravljanje njime. Osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti.

(c) U slučaju povrede osobnih podataka koje uvoznik podataka obrađuje u skladu s ovim klauzulama, uvoznik podataka poduzima odgovarajuće mjere za uklanjanje povrede, uključujući mjere za ublažavanje njezinih štetnih posljedica. Uvoznik podataka bez nepotrebne odgode obavješćuje i izvoznika podataka o povredi nakon što sazna za nju. Takva obavijest sadržava pojedinosti o kontaktnoj točki od koje se može dobiti još informacija, opis prirode povrede (uključujući, ako je moguće, kategorije i približan broj predmetnih ispitanika i evidencija osobnih podataka), vjerojatne posljedice i poduzete ili predložene mjere za uklanjanje povrede, uključujući, prema potrebi, mjere za ublažavanje njezinih mogućih štetnih posljedica. Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti sve informacije, prvotna obavijest sadržava informacije koje su dostupne u tom trenutku, a daljnje informacije pružaju se naknadno bez nepotrebne odgode čim postanu dostupne.

(d) Uvoznik podataka surađuje s izvoznikom podataka i pomaže mu u ispunjavanju njegovih obveza na temelju Uredbe (EU) 2016/679, a posebno obveze da obavijesti nadležno nadzorno tijelo i pogođene ispitanike, vodeći računa o prirodi obrade i informacijama koje su dostupne uvozniku podataka.

8.7. Osjetljivi podaci

8.8. Daljnji prijenosi

Uvoznik podataka otkriva osobne podatke trećoj strani isključivo prema zabilježenim uputama izvoznika podataka. Osim toga, podaci se smiju otkriti trećoj strani koja se nalazi izvan Europske unije (4) (u istoj zemlji kao uvoznik podataka ili u drugoj trećoj zemlji, dalje u tekstu „daljnji prijenos”) samo ako je treća strana obvezana ovim klauzulama ili pristane biti obvezana njima u skladu s odgovarajućim modulom, ili:

i. ako je riječ o daljnjem prijenosu u zemlju na koju se primjenjuje odluka o primjerenosti u skladu s člankom 45. Uredbe (EU) 2016/679 kojom je obuhvaćen daljnji prijenos;

ii. ako treća strana na drugi način osigurava odgovarajuće zaštitne mjere u skladu s člancima 46. ili 47. Uredbe (EU) 2016/679 u pogledu predmetne obrade;

iii. ako je daljnji prijenos potreban za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka; ili

iv. ako je daljnji prijenos potreban za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe.

Daljnji prijenos može se izvršiti pod uvjetom da uvoznik podataka poštuje sve druge zaštitne mjere iz ovih klauzula, a posebno ograničenje svrhe.

8.9. Dokumentacija i usklađenost

(a) Uvoznik podataka odmah i na odgovarajući način odgovara na upite izvoznika podataka koji se odnose na obradu u skladu s ovim klauzulama.

(b) Stranke moraju moći dokazati usklađenost s ovim klauzulama. Uvoznik podataka vodi odgovarajuću dokumentaciju o aktivnostima obrade provedenima u ime izvoznika podataka.

(c) Uvoznik podataka izvozniku podataka stavlja na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenima u ovim klauzulama te na zahtjev izvoznika podataka omogućuje provedbu revizija aktivnosti obrade obuhvaćenih ovim klauzulama i pridonosi im u razumnim vremenskim razmacima ili ako postoje naznake neusklađenosti. Pri odlučivanju o preispitivanju ili reviziji izvoznik podataka može uzeti u obzir relevantne certifikate uvoznika podataka.

(d) Izvoznik podataka može sam provesti reviziju ili za to ovlastiti neovisnog revizora. Revizije mogu uključivati inspekcije u prostorima ili fizičkim objektima uvoznika podataka te se, kad je to primjereno, provode uz prethodnu obavijest.

(e) Stranke nadležnom nadzornom tijelu na zahtjev stavljaju na raspolaganje informacije iz točki (b) i (c), uključujući rezultate svih revizija.

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

8.1. Upute

(a) Izvoznik podataka obavijestio je uvoznika podataka da djeluje kao izvršitelj obrade prema uputama svojih voditelja obrade, koje izvoznik podataka prije obrade stavlja na raspolaganje uvozniku podataka.

(b) Uvoznik podataka obrađuje osobne podatke isključivo prema zabilježenim uputama voditelja obrade, koje mu dostavlja izvoznik podataka, i prema svim dodatnim zabilježenim uputama izvoznika podataka. Takve dodatne upute ne smiju biti u suprotnosti s uputama voditelja obrade. Voditelj obrade ili izvoznik podataka može dati daljnje zabilježene upute za obradu podataka za trajanja ugovora.

(c) Uvoznik podataka odmah obavješćuje izvoznika podataka ako ne može slijediti te upute. Ako uvoznik podataka ne može slijediti upute voditelja obrade, izvoznik podataka odmah obavješćuje voditelja obrade.

(d) Izvoznik podataka jamči da je uvozniku podataka nametnuo iste obveze zaštite podataka kao one koje su utvrđene ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice između voditelja obrade i izvoznika podataka (5).

8.2. Ograničenje svrhe

Uvoznik podataka obrađuje osobne podatke samo u posebne svrhe prijenosa kako je utvrđeno u Prilogu I.B., osim ako uvoznik podataka dobije nove upute od voditelja obrade preko izvoznika podataka ili od samog izvoznika podataka.

8.3. Transparentnost

Izvoznik podataka ispitaniku će na zahtjev besplatno staviti na raspolaganje kopiju ovih klauzula, uključujući Dodatak kako su ga popunile stranke. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, izvoznik podataka može ispustiti dio teksta Dodatka prije dijeljenja kopije, ali mora dostaviti smislen sažetak ako ispitanik inače ne bi mogao razumjeti njegov sadržaj ili ostvariti svoja prava. Stranke ispitaniku na zahtjev priopćuju razloge za ispuštanje, u mjeri u kojoj je to moguće bez otkrivanja ispuštenih informacija. Ovom se klauzulom ne dovode u pitanje obveze izvoznika podataka u skladu s člancima 13. i 14.

8.4. Točnost

8.5. Trajanje obrade i brisanje ili vraćanje podataka

Uvoznik podataka obrađuje podatke samo u trajanju navedenom u Prilogu I.B. Nakon završetka pružanja usluga obrade uvoznik podataka ovisno o odluci izvoznika podataka briše sve osobne podatke obrađene u ime voditelja obrade i potvrđuje izvozniku podataka da je to učinio ili mu vraća sve osobne podatke koji su obrađeni u njegovo ime i briše postojeće kopije. Dok se podaci ne izbrišu ili ne vrate, uvoznik podataka nastavlja osiguravati usklađenost s ovim klauzulama. Kad se na uvoznika podataka primjenjuju lokalni propisi kojima se zabranjuje vraćanje ili brisanje osobnih podataka, uvoznik podataka jamči da će nastaviti osiguravati usklađenost s ovim klauzulama i da će obrađivati podatke samo u mjeri i trajanju koji su u skladu s tim lokalnim zakonodavstvom. Time se ne dovodi u pitanje klauzula 14., osobito zahtjev da uvoznik podataka u skladu s klauzulom 14. točkom (e) za trajanja ugovora obavijesti izvoznika podataka ako ima razloga vjerovati da se na njega primjenjuju ili su se počeli primjenjivati zakoni ili prakse koji nisu u skladu sa zahtjevima iz klauzule 14. točke (a).

8.6. Sigurnost obrade

(a) Uvoznik podataka, a pri prijenosu i izvoznik podataka, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao sigurnost podataka, uključujući zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene i neovlaštenog otkrivanja tih podataka ili pristupa njima (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti uzima u obzir najnovija dostignuća, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanika povezane s obradom. Stranke posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način. U slučaju pseudonimizacije dodatne informacije za pripisivanje osobnih podataka određenom ispitaniku ostaju pod isključivom kontrolom izvoznika podataka ili voditelja obrade kad god je to moguće. Pri ispunjavanju obveza iz ovog stavka uvoznik podataka provodi barem tehničke i organizacijske mjere navedene u Prilogu II. Uvoznik podataka izvršava redovite provjere kako bi osigurao da te mjere i dalje pružaju odgovarajuću razinu sigurnosti.

(b) Uvoznik podataka članovima svojeg osoblja odobrava pristup podacima samo u mjeri nužnoj za provedbu i praćenje ugovora te upravljanje njime. Osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti.

(c) U slučaju povrede osobnih podataka koje uvoznik podataka obrađuje u skladu s ovim klauzulama, uvoznik podataka poduzima odgovarajuće mjere za uklanjanje povrede, uključujući mjere za ublažavanje njezinih štetnih posljedica. Uvoznik podataka bez nepotrebne odgode obavješćuje i izvoznika podataka i, ako je to primjereno i izvedivo, voditelja obrade o povredi nakon što sazna za nju. Takva obavijest sadržava pojedinosti o kontaktnoj točki od koje se može dobiti još informacija, opis prirode povrede (uključujući, ako je moguće, kategorije i približan broj predmetnih ispitanika i evidencija osobnih podataka), vjerojatne posljedice i poduzete ili predložene mjere za uklanjanje povrede osobnih podataka, uključujući mjere za ublažavanje njezinih mogućih štetnih posljedica. Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti sve informacije, prvotna obavijest sadržava informacije koje su dostupne u tom trenutku, a daljnje informacije pružaju se naknadno bez nepotrebne odgode čim postanu dostupne.

(d) Uvoznik podataka surađuje s izvoznikom podataka i pomaže mu u ispunjavanju njegovih obveza na temelju Uredbe (EU) 2016/679, a posebno obveze da obavijesti svojeg voditelja obrade kako bi on mogao obavijestiti nadležno nadzorno tijelo i pogođene ispitanike, vodeći računa o prirodi obrade i informacijama koje su dostupne uvozniku podataka.

8.7. Osjetljivi podaci

8.8. Daljnji prijenosi

Uvoznik podataka otkriva osobne podatke trećoj strani isključivo prema zabilježenim uputama voditelja obrade koje mu dostavlja izvoznik podataka. Osim toga, podaci se smiju otkriti trećoj strani koja se nalazi izvan Europske unije (6) (u istoj zemlji kao uvoznik podataka ili u drugoj trećoj zemlji, dalje u tekstu „daljnji prijenos”) samo ako je treća strana obvezana ovim klauzulama ili pristane biti obvezana njima u skladu s odgovarajućim modulom, ili:

i. ako je riječ o daljnjem prijenosu u zemlju na koju se primjenjuje odluka o primjerenosti u skladu s člankom 45. Uredbe (EU) 2016/679 kojom je obuhvaćen daljnji prijenos;

ii. ako treća strana na drugi način osigurava odgovarajuće zaštitne mjere u skladu s člancima 46. ili 47. Uredbe (EU) 2016/679;

iii. ako je daljnji prijenos potreban za postavljanje, ostvarivanje ili obranu pravnih zahtjeva u kontekstu posebnih upravnih, regulatornih ili sudskih postupaka; ili

iv. ako je daljnji prijenos potreban za zaštitu životno važnih interesa ispitanika ili druge fizičke osobe.

Daljnji prijenos može se izvršiti pod uvjetom da uvoznik podataka poštuje sve druge zaštitne mjere iz ovih klauzula, a posebno ograničenje svrhe.

8.9. Dokumentacija i usklađenost

(a) Uvoznik podataka odmah i na odgovarajući način odgovara na upite izvoznika podataka ili voditelja obrade koji se odnose na obradu u skladu s ovim klauzulama.

(b) Stranke moraju moći dokazati usklađenost s ovim klauzulama. Uvoznik podataka vodi odgovarajuću dokumentaciju o aktivnostima obrade provedenima u ime voditelja obrade.

(c) Uvoznik podataka stavlja na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenima u ovim klauzulama izvozniku podataka, koji ih dostavlja voditelju obrade.

(d) Uvoznik podataka omogućuje izvozniku podataka provedbu revizija aktivnosti obrade koje su obuhvaćene ovim klauzulama i pridonosi im u razumnim vremenskim razmacima ili ako postoje naznake neusklađenosti. Isto vrijedi i u slučaju da izvoznik podataka zatraži reviziju na temelju uputa voditelja obrade. Pri odlučivanju o reviziji izvoznik podataka može uzeti u obzir relevantne certifikate uvoznika podataka.

(e) Ako se revizija provodi prema uputama voditelja obrade, izvoznik podataka stavlja rezultate na raspolaganje voditelju obrade.

(f) Izvoznik podataka može sam provesti reviziju ili za to ovlastiti neovisnog revizora. Revizije mogu uključivati inspekcije u prostorima ili fizičkim objektima uvoznika podataka te se, kad je to primjereno, provode uz prethodnu obavijest.

(g) Stranke nadležnom nadzornom tijelu na zahtjev stavljaju na raspolaganje informacije iz točki (b) i (c), uključujući rezultate svih revizija.

MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade

8.1. Upute

(a) Izvoznik podataka obrađuje osobne podatke samo prema zabilježenim uputama uvoznika podataka koji djeluje kao njegov voditelj obrade.

(b) Izvoznik podataka odmah obavješćuje uvoznika podataka ako ne može slijediti te upute, među ostalim ako se takvim uputama krši Uredba (EU) 2016/679 ili drugo zakonodavstvo Unije ili države članice o zaštiti podataka.

(c) Uvoznik podataka suzdržava se od svih radnji kojima bi se izvršitelja obrade spriječilo u ispunjavanju njegovih obveza u skladu s Uredbom (EU) 2016/679, među ostalim u kontekstu podobrade ili u pogledu suradnje s nadležnim nadzornim tijelima.

(d) Nakon završetka pružanja usluga obrade izvoznik podataka ovisno o odluci uvoznika podataka briše sve osobne podatke obrađene u ime uvoznika podataka i potvrđuje uvozniku podataka da je to učinio ili mu vraća sve osobne podatke koji su obrađeni u njegovo ime i briše postojeće kopije.

8.2. Sigurnost obrade

(b) Stranke provode odgovarajuće tehničke i organizacijske mjere kako bi osigurale sigurnost podataka, među ostalim pri prijenosu, i zaštitu od povrede sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa (dalje u tekstu „povreda osobnih podataka”). Pri procjeni odgovarajuće razine sigurnosti uzimaju u obzir najnovija dostignuća, troškove provedbe, prirodu osobnih podataka (7), prirodu, opseg, kontekst i svrhe obrade te rizike za ispitanike povezane s obradom, a posebno razmatraju primjenu enkripcije ili pseudonimizacije, među ostalim pri prijenosu, ako se svrha obrade može ispuniti na taj način.

(b) Izvoznik podataka pomaže uvozniku podataka osigurati odgovarajuću sigurnost podataka u skladu s točkom (a). U slučaju povrede osobnih podataka koje izvoznik podataka obrađuje u skladu s ovim klauzulama, izvoznik podataka bez nepotrebne odgode obavješćuje uvoznika podataka o povredi nakon što sazna za nju i pomaže mu u uklanjanju povrede.

(c) Izvoznik podataka osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti.

8.3. Dokumentacija i usklađenost

(a) Stranke moraju moći dokazati usklađenost s ovim klauzulama.

(b) Izvoznik podataka uvozniku podataka stavlja na raspolaganje sve informacije potrebne za dokazivanje usklađenosti s obvezama utvrđenima u ovim klauzulama te omogućuje provedbu revizija i pridonosi im.

Klauzula 9. Angažiranje podizvršitelja obrade

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

Uvoznik podataka ima opće odobrenje izvoznika podataka za angažiranje podizvršitelja obrade s dogovorenog popisa. Uvoznik podataka pisanim putem izričito obavješćuje izvoznika podataka o svim planiranim izmjenama tog popisa dodavanjem ili zamjenom podizvršitelja obrade najmanje [navesti razdoblje] unaprijed kako bi izvozniku podataka omogućio dovoljno vremena da uloži prigovor na takve izmjene prije angažiranja podizvršitelja obrade. Uvoznik podataka izvozniku podataka dostavlja informacije potrebne da bi izvoznik podataka mogao ostvariti svoje pravo na prigovor.

Ako uvoznik podataka angažira podizvršitelja obrade za obavljanje određenih aktivnosti obrade (u ime izvoznika podataka), to čini pisanim ugovorom u kojem su predviđene sadržajno iste obveze zaštite podataka kao one koje obvezuju uvoznika podataka u skladu s ovim klauzulama, među ostalim u smislu prava u korist treće strane za ispitanike. (8) Stranke dogovaraju da uvoznik podataka postupanjem u skladu s ovom klauzulom ispunjava svoje obveze u skladu s klauzulom 8.8. Uvoznik podataka osigurava da podizvršitelj obrade poštuje obveze koje se primjenjuju na uvoznika podataka u skladu s ovim klauzulama.

(c) Uvoznik podataka na zahtjev izvoznika podataka dostavlja kopiju takvog ugovora s podizvršiteljem obrade i sve naknadne izmjene izvozniku podataka. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, uvoznik podataka može ispustiti tekst sporazuma prije dijeljenja kopije.

(d) Uvoznik podataka ostaje u potpunosti odgovoran izvozniku podataka za izvršavanje obveza podizvršitelja obrade na temelju njegova ugovora s uvoznikom podataka. Uvoznik podataka obavješćuje izvoznika podataka o svakom neispunjavanju obveza podizvršitelja obrade iz tog ugovora.

(e) Uvoznik podataka dogovara klauzulu u korist treće strane s podizvršiteljem obrade u skladu s kojom, u slučaju da je uvoznik podataka prestao postojati ili prestao postojati pred zakonom ili postao nesolventan, izvoznik podataka ima pravo raskinuti ugovor s podizvršiteljem obrade i zatražiti od podizvršitelja obrade da izbriše ili vrati osobne podatke.

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

(a) Uvoznik podataka ima opće odobrenje voditelja obrade za angažiranje podizvršitelja obrade s dogovorenog popisa. Uvoznik podataka pisanim putem izričito obavješćuje voditelja obrade o svim planiranim izmjenama tog popisa dodavanjem ili zamjenom podizvršitelja obrade najmanje [navesti razdoblje] unaprijed kako bi voditelju obrade omogućio dovoljno vremena da uloži prigovor na takve izmjene prije angažiranja podizvršitelja obrade. Uvoznik podataka voditelju obrade dostavlja informacije potrebne da bi voditelj obrade mogao ostvariti svoje pravo na prigovor. Uvoznik podataka obavješćuje izvoznika podataka o angažiranju podizvršitelja obrade.

Ako uvoznik podataka angažira podizvršitelja obrade za obavljanje određenih aktivnosti obrade (u ime voditelja obrade), to čini pisanim ugovorom u kojem su predviđene sadržajno iste obveze zaštite podataka kao one koje obvezuju uvoznika podataka u skladu s ovim klauzulama, među ostalim u smislu prava u korist treće strane za ispitanike. (9) Stranke dogovaraju da uvoznik podataka postupanjem u skladu s ovom klauzulom ispunjava svoje obveze u skladu s klauzulom 8.8. Uvoznik podataka osigurava da podizvršitelj obrade poštuje obveze koje se primjenjuju na uvoznika podataka u skladu s ovim klauzulama.

(c) Uvoznik podataka na zahtjev izvoznika podataka ili voditelja obrade dostavlja kopiju takvog ugovora s podizvršiteljem obrade i sve naknadne izmjene. Ako je to potrebno za zaštitu poslovnih tajni ili drugih povjerljivih informacija, uključujući osobne podatke, uvoznik podataka može ispustiti tekst sporazuma prije dijeljenja kopije.

Klauzula 10. Prava ispitanika

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

(a) Uvoznik podataka, prema potrebi uz pomoć izvoznika podataka, odgovara na sve upite i zahtjeve koje primi od ispitanika u vezi s obradom njegovih osobnih podataka i ostvarivanjem njegovih prava u skladu s ovim klauzulama bez nepotrebne odgode i najkasnije u roku od mjesec dana od primitka upita ili zahtjeva. (10) Uvoznik podataka poduzima odgovarajuće mjere kako bi olakšao takve upite, zahtjeve i ostvarivanje prava ispitanika. Sve informacije koje se pružaju ispitaniku moraju biti u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika.

(b) Uvoznik podataka na zahtjev ispitanika besplatno:

i. ispitaniku potvrđuje obrađuju li se osobni podaci koji se odnose na njega te, ako se takvi podaci obrađuju, dostavlja kopiju podataka koji se odnose na njega i informacije iz Priloga I.; ako su osobni podaci preneseni ili će biti dalje preneseni, pruža informacije o primateljima ili kategorijama primatelja (kako je prikladno za pružanje smislenih informacija) kojima su osobni podaci preneseni ili će biti dalje preneseni, svrsi takvih daljnjih prijenosa i njihovoj osnovi u skladu s klauzulom 8.7.; te pruža informacije o pravu na podnošenje pritužbe nadzornom tijelu u skladu s klauzulom 12. točkom (c) podtočkom i.;

ii. ispravlja netočne ili nepotpune osobne podatke koji se odnose na ispitanika;

iii. briše osobne podatke koji se odnose na ispitanika ako se takvi podaci obrađuju ili su se obrađivali protivno bilo kojoj od ovih klauzula kojima se osiguravaju prava u korist treće strane ili ako ispitanik povuče privolu na kojoj se obrada temelji.

(c) Uvoznik podataka prestaje obrađivati osobne podatke za potrebe izravnog marketinga ako se ispitanik protivi takvoj obradi.

(d) Uvoznik podataka ne donosi odluke koje se temelje isključivo na automatiziranoj obradi prenesenih osobnih podataka (dalje u tekstu „automatizirana odluka”) koje bi proizvele pravne učinke za ispitanika ili na sličan način znatno utjecale na njega, osim uz izričitu privolu ispitanika ili ako je za to ovlašten u skladu s propisima zemlje odredišta, pod uvjetom da su tim propisima predviđene prikladne mjere zaštite ispitanikovih prava i legitimnih interesa. U tom slučaju uvoznik podataka, prema potrebi u suradnji s izvoznikom podataka:

(i) obavješćuje ispitanika o predviđenoj automatiziranoj odluci, predviđenim posljedicama te o tome o kojoj je logici riječ; i

(ii) provodi odgovarajuće zaštitne mjere, barem tako da ispitaniku osigura pravo na osporavanje odluke, izražavanje vlastitog stajališta i ljudsko preispitivanje.

(e) Ako su zahtjevi ispitanika pretjerani, osobito zbog učestalog ponavljanja, uvoznik podataka može naplatiti razumnu naknadu na temelju administrativnih troškova ispunjavanja zahtjeva ili odbiti postupiti po zahtjevu.

(f) Uvoznik podataka može odbiti zahtjev ispitanika ako je takvo odbijanje dopušteno u skladu sa zakonima zemlje odredišta te ako je nužno i razmjerno u demokratskom društvu radi zaštite jednog od ciljeva navedenih u članku 23. stavku 1. Uredbe (EU) 2016/679.

(g) Ako uvoznik podataka namjerava odbiti zahtjev ispitanika, obavješćuje ispitanika o razlozima odbijanja i mogućnosti podnošenja pritužbe nadležnom nadzornom tijelu i/ili traženja sudske zaštite.

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

(a) Uvoznik podataka odmah obavješćuje izvoznika podataka o svakom zahtjevu koji je primio od ispitanika. On sam ne odgovara na taj zahtjev osim ako ga je za to ovlastio izvoznik podataka.

(b) Uvoznik podataka pomaže izvozniku podataka u ispunjavanju njegove obveze da odgovori na zahtjeve ispitanika za ostvarivanje njihovih prava na temelju Uredbe (EU) 2016/679. U tom pogledu stranke u Prilogu II., vodeći računa o prirodi obrade, utvrđuju odgovarajuće tehničke i organizacijske mjere za pružanje pomoći te opseg i razmjere potrebne pomoći.

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

(a) Uvoznik podataka odmah obavješćuje izvoznika podataka i, ako je to potrebno, voditelja obrade o svakom zahtjevu koji je primio od ispitanika bez odgovaranja na taj zahtjev osim ako ga je za to ovlastio voditelj obrade.

(b) Uvoznik podataka pomaže voditelju obrade, prema potrebi u suradnji s izvoznikom podataka, u ispunjavanju njegove obveze da odgovori na zahtjeve ispitanika za ostvarivanje njihovih prava na temelju Uredbe (EU) 2016/679 ili Uredbe (EU) 2018/1725, ovisno o tome koja je uredba primjenjiva. U tom pogledu stranke u Prilogu II., vodeći računa o prirodi obrade, utvrđuju odgovarajuće tehničke i organizacijske mjere za pružanje pomoći te opseg i razmjere potrebne pomoći.

(c) Pri ispunjavanju svojih obveza iz točki (a) i (b) uvoznik podataka postupa u skladu s uputama voditelja obrade koje mu dostavlja izvoznik podataka.

MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade

Stranke jedna drugoj pomažu u odgovaranju na upite i zahtjeve ispitanika u skladu s lokalnim pravom koje se primjenjuje na uvoznika podataka ili, za obradu podataka koju provodi izvoznik podataka u EU-u, u skladu s Uredbom (EU) 2016/679.

Klauzula 11. Pravna zaštita

(a) Uvoznik podataka obavješćuje ispitanike o kontaktnoj točki ovlaštenoj za rješavanje pritužbi pojedinačnim obavijestima ili na svojim internetskim stranicama u transparentnom i lako dostupnom obliku. Odmah odgovara na sve pritužbe koje primi od ispitanika.

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

(b) U slučaju spora između ispitanika i jedne od stranaka u vezi s poštovanjem ovih klauzula ta stranka nastoji sporazumno i pravodobno riješiti taj problem. Stranke se redovito međusobno obavješćuju o takvim sporovima i prema potrebi surađuju u njihovu rješavanju.

(c) Ako se ispitanik pozove na pravo u korist treće strane u skladu s klauzulom 3., uvoznik podataka prihvaća odluku ispitanika:

(i) da podnese pritužbu nadzornom tijelu u državi članici u kojoj ima uobičajeno boravište ili mjesto rada ili nadležnom nadzornom tijelu u skladu s klauzulom 13.;

(ii) da uputi spor nadležnim sudovima u smislu klauzule 18.

(d) Stranke prihvaćaju da ispitanika može zastupati neprofitno tijelo, organizacija ili udruženje pod uvjetima utvrđenima u članku 80. stavku 1. Uredbe (EU) 2016/679.

(e) Uvoznik podataka dužan je poštovati odluku koja je obvezujuća u skladu s primjenjivim pravom EU-a ili države članice.

(f) Uvoznik podataka suglasan je s tim da izbor ispitanika neće dovesti u pitanje njegova materijalna i postupovna prava na traženje pravnih lijekova u skladu s primjenjivim zakonima.

Odredba 12. Odgovornost

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade

(a) Svaka stranka odgovorna je drugim strankama za bilo kakvu štetu koju prouzroči drugim strankama bilo kakvom povredom ovih klauzula.

(b) Svaka stranka odgovorna je ispitaniku, a ispitanik ima pravo na naknadu za svaku materijalnu ili nematerijalnu štetu koju mu stranka prouzroči povredom prava u korist treće strane u okviru ovih klauzula. Time se ne dovodi u pitanje odgovornost izvoznika podataka u skladu s Uredbom (EU) 2016/679.

(c) Ako je više od jedne stranke odgovorno za bilo koju štetu nanesenu ispitaniku zbog povrede ovih klauzula, sve su predmetne stranke solidarno odgovorne, a ispitanik ima pravo pokrenuti sudski postupak protiv bilo koje od tih stranaka.

(d) Stranke su suglasne s tim da, ako se jedna stranka smatra odgovornom u skladu s točkom (e), ona ima pravo od drugih stranaka tražiti povrat dijela naknade koji odgovara njihovoj odgovornosti za štetu.

(e) Uvoznik podataka ne može se pozvati na ponašanje izvršitelja obrade ili podizvršitelja obrade kako bi izbjegao vlastitu odgovornost.

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

(a) Svaka stranka odgovorna je drugim strankama za bilo kakvu štetu koju prouzroči drugim strankama bilo kakvom povredom ovih klauzula.

(b) Uvoznik podataka odgovoran je ispitaniku, a ispitanik ima pravo na naknadu za svaku materijalnu ili nematerijalnu štetu koju mu prouzroči uvoznik podataka ili njegov podizvršitelj obrade povredom prava u korist treće strane u okviru ovih klauzula.

(c) Neovisno o točki (b) izvoznik podataka odgovoran je ispitaniku, a ispitanik ima pravo na naknadu za svaku materijalnu ili nematerijalnu štetu koju mu prouzroči izvoznik podataka ili uvoznik podataka (ili njegov podizvršitelj obrade) povredom prava u korist treće strane u okviru ovih klauzula. Time se ne dovodi u pitanje odgovornost izvoznika podataka i, ako je izvoznik podataka izvršitelj obrade koji djeluje u ime voditelja obrade, odgovornost voditelja obrade u skladu s Uredbom (EU) 2016/679 ili Uredbom (EU) 2018/1725, ovisno o tome koja je uredba primjenjiva.

(d) Stranke su suglasne s tim da, ako se izvoznik podataka u skladu s točkom (c) smatra odgovornim za štetu koju je prouzročio uvoznik podataka (ili njegov podizvršitelj obrade), on ima pravo od uvoznika podataka tražiti povrat dijela naknade koji odgovara odgovornosti uvoznika podataka za štetu.

(e) Ako je više od jedne stranke odgovorno za bilo koju štetu nanesenu ispitaniku zbog povrede ovih klauzula, sve su predmetne stranke solidarno odgovorne, a ispitanik ima pravo pokrenuti sudski postupak protiv bilo koje od tih stranaka.

(f) Stranke su suglasne s tim da, ako se jedna stranka smatra odgovornom u skladu s točkom (e), ona ima pravo od drugih stranaka tražiti povrat dijela naknade koji odgovara njihovoj odgovornosti za štetu.

(g) Uvoznik podataka ne može se pozvati na ponašanje podizvršitelja obrade kako bi izbjegao vlastitu odgovornost.

Klauzula 13. Nadzor

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

(a) [Ako izvoznik podataka ima poslovni nastan u državi članici EU-a:] Nadzorno tijelo odgovorno za osiguravanje da izvoznik podataka poštuje Uredbu (EU) 2016/679 u pogledu prijenosa podataka, kako je navedeno u Prilogu I.C., djeluje kao nadležno nadzorno tijelo.

[Ako izvoznik podataka nema poslovni nastan u državi članici EU-a, ali je obuhvaćen teritorijalnim područjem primjene Uredbe (EU) 2016/679 u skladu s njezinim člankom 3. stavkom 2. i imenovao je predstavnika u skladu s člankom 27. stavkom 1. Uredbe (EU) 2016/679:] Nadzorno tijelo države članice u kojoj predstavnik u smislu članka 27. stavka 1. Uredbe (EU) 2016/679 ima poslovni nastan, kako je navedeno u Prilogu I.C., djeluje kao nadležno nadzorno tijelo.

[Ako izvoznik podataka nema poslovni nastan u državi članici EU-a, ali je obuhvaćen teritorijalnim područjem primjene Uredbe (EU)2016/679 u skladu s njezinim člankom3. stavkom 2. a da ne mora imenovati predstavnika u skladu s člankom 27. stavkom 2. Uredbe (EU) 2016/679:] Nadzorno tijelo jedne od država članica u kojoj se nalaze ispitanici čiji se osobni podaci prenose u skladu s ovim klauzulama u vezi s nuđenjem robe ili usluga ili čije se ponašanje prati, kako je navedeno u Prilogu I.C., djeluje kao nadležno nadzorno tijelo.

(b) Uvoznik podataka prihvaća nadležnost nadležnog nadzornog tijela i suglasan je surađivati s njim u svim postupcima kojima je cilj osigurati usklađenost s ovim klauzulama. Uvoznik podataka suglasan je s tim da odgovara na upite, da se podvrgava revizijama i da postupa u skladu s mjerama koje je donijelo nadzorno tijelo, uključujući korektivne i kompenzacijske mjere. Nadzornom tijelu dostavlja pisanu potvrdu o tome da su poduzete potrebne mjere.

ODJELJAK III. – LOKALNI PROPISI I OBVEZE U SLUČAJU PRISTUPA TIJELA JAVNE VLASTI

Klauzula 14. Lokalni propisi i prakse koji utječu na usklađenost s klauzulama

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade (ako izvršitelj obrade iz EU-a kombinira osobne podatke primljene od voditelja obrade iz treće zemlje s osobnim podacima koje je izvršitelj obrade prikupio u EU-u)

(a) Stranke jamče da nemaju razloga vjerovati da zakoni i prakse u trećoj zemlji odredišta koji se primjenjuju na obradu osobnih podataka koju provodi uvoznik podataka, uključujući sve zahtjeve za otkrivanje osobnih podataka ili mjere kojima se odobrava pristup tijelima javne vlasti, sprečavaju uvoznika podataka u ispunjavanju njegovih obveza u skladu s ovim klauzulama. To se temelji na pretpostavci da zakoni i prakse kojima se poštuje bit temeljnih prava i sloboda i koji ne prelaze ono što je nužno i razmjerno u demokratskom društvu za zaštitu jednog od ciljeva navedenih u članku 23. stavku 1. Uredbe (EU) 2016/679 nisu u suprotnosti sa standardnim ugovornim klauzulama.

(b) Stranke izjavljuju da su pri pružanju jamstva iz točke (a) posebno uzele u obzir sljedeće elemente:

i. posebne okolnosti prijenosa, uključujući duljinu lanca obrade, broj uključenih sudionika i upotrijebljene prijenosne kanale; planirane daljnje prijenose; vrstu primatelja; svrhu obrade; kategorije i format prenesenih osobnih podataka; gospodarski sektor u kojem se odvija prijenos; mjesto pohrane prenesenih podataka;

ii. zakone i prakse treće zemlje odredišta, uključujući one kojima se zahtijeva otkrivanje podataka tijelima javne vlasti ili odobrava pristup takvim tijelima, koji su relevantni s obzirom na posebne okolnosti prijenosa te primjenjiva ograničenja i zaštitne mjere (12);

iii. sve relevantne ugovorne, tehničke ili organizacijske zaštitne mjere koje su uvedene kako bi se dopunile zaštitne mjere iz ovih klauzula, uključujući mjere koje se primjenjuju pri prijenosu i obradi osobnih podataka u zemlji odredišta.

(c) Uvoznik podataka jamči da je pri provedbi procjene iz točke (b) učinio sve što je u njegovoj moći kako bi izvozniku podataka dostavio relevantne informacije i suglasan je s tim da će nastaviti surađivati s izvoznikom podataka kako bi osigurao usklađenost s ovim klauzulama.

(d) Stranke su suglasne s tim da će dokumentirati procjenu iz točke (b) i na zahtjev je staviti na raspolaganje nadležnom nadzornom tijelu.

(e) Uvoznik podataka suglasan je s tim da će odmah obavijestiti izvoznika podataka ako, nakon što je pristao na ove klauzule i za vrijeme trajanja ugovora ima razloga vjerovati da se na njega primjenjuju ili su se počeli primjenjivati zakoni ili prakse koji nisu u skladu sa zahtjevima iz točke (a), među ostalim zbog promjene zakona treće zemlje ili mjere (kao što je zahtjev za otkrivanje) koja podrazumijeva primjenu takvih zakona u praksi koja nije u skladu sa zahtjevima iz točke (a). [Za modul 3.: Izvoznik podataka prosljeđuje obavijest voditelju obrade.]

(f) Ako primi obavijest u skladu s točkom (e) ili ima drugog razloga vjerovati da uvoznik podataka više ne može ispunjavati svoje obveze u skladu s ovim klauzulama, izvoznik podataka odmah utvrđuje odgovarajuće mjere (na primjer tehničke ili organizacijske mjere za osiguravanje sigurnosti i povjerljivosti) koje izvoznik podataka i/ili uvoznik podataka treba donijeti za rješavanje tog problema [za modul 3.:, prema potrebi uz savjetovanje s voditeljem obrade]. Izvoznik podataka obustavlja prijenos podataka ako smatra da nije moguće osigurati odgovarajuće zaštitne mjere za takav prijenos ili ako to zatraži [za modul 3.: voditelj obrade ili] nadležno nadzorno tijelo. U tom slučaju izvoznik podataka ima pravo raskinuti ugovor ako se odnosi na obradu osobnih podataka u skladu s ovim klauzulama. Ako u ugovoru sudjeluje više od dvije stranke, izvoznik podataka može iskoristiti to pravo na raskid samo u odnosu na relevantnu stranku, osim ako su se stranke drukčije dogovorile. Kad se ugovor raskine u skladu s ovom klauzulom, primjenjuje se klauzula 16. točke (d) i (e).

Klauzula 15. Obveze uvoznika podataka u slučaju pristupa tijela javne vlasti

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

15.1. Obavijest

(a) Uvoznik podataka suglasan je s tim da će odmah obavijestiti izvoznika podataka i, ako je moguće, ispitanika (ako je potrebno uz pomoć izvoznika podataka):

(i) ako od tijela javne vlasti, uključujući pravosudna tijela, u skladu s pravom zemlje odredišta primi pravno obvezujući zahtjev za otkrivanje osobnih podataka prenesenih u skladu s ovim klauzulama; takva obavijest uključuje informacije o zatraženim osobnim podacima, tijelu koje podnosi zahtjev, pravnoj osnovi zahtjeva i dostavljenom odgovoru; ili

(ii) ako sazna za izravan pristup tijela javne vlasti osobnim podacima prenesenima na temelju ovih klauzula u skladu s pravom zemlje odredišta; takva obavijest uključuje sve informacije dostupne uvozniku.

[Za modul 3.: Izvoznik podataka prosljeđuje obavijest voditelju obrade.]

(b) Ako je uvozniku podataka u skladu sa zakonima zemlje odredišta zabranjeno obavijestiti izvoznika podataka i/ili ispitanika, uvoznik podataka suglasan je s tim da će učiniti sve što je u njegovoj moći da dobije izuzeće od zabrane kako bi što prije dostavio što više informacija. Uvoznik podataka suglasan je s tim da će dokumentirati taj proces kako bi ga mogao dokazati na zahtjev izvoznika podataka.

(c) Ako je to dopušteno zakonima zemlje odredišta, uvoznik podataka suglasan je s tim da će izvozniku podataka za vrijeme trajanja ugovora u redovitim vremenskim razmacima dostavljati najveću moguću količinu relevantnih informacija o primljenim zahtjevima (osobito broj zahtjeva, vrstu traženih podataka, tijelo ili tijela koja su podnijela zahtjev, jesu li zahtjevi osporavani i ishod takvih osporavanja itd.). [Za modul 3.: Izvoznik podataka prosljeđuje informacije voditelju obrade.]

(d) Uvoznik podataka suglasan je s tim da će za vrijeme trajanja ugovora čuvati informacije u skladu s točkama od (a) do (c) i na zahtjev ih staviti na raspolaganje nadležnom nadzornom tijelu.

(e) Točkama od (a) do (c) ne dovodi se u pitanje obveza uvoznika podataka u skladu s klauzulom 14. točkom (e) i klauzulom 16. da odmah obavijesti izvoznika podataka ako ne može poštovati ove klauzule.

15.2. Preispitivanje zakonitosti i smanjenje količine podataka

(a) Uvoznik podataka suglasan je preispitati zakonitost zahtjeva za otkrivanje, a posebno je li on obuhvaćen ovlastima tijela javne vlasti koje je podnijelo zahtjev, te osporiti zahtjev ako nakon pažljive procjene zaključi da postoje opravdani razlozi na temelju kojih se može smatrati da je zahtjev u suprotnosti sa zakonima zemlje odredišta, primjenjivim obvezama u skladu s međunarodnim pravom i načelima međunarodne kurtoazije. Uvoznik podataka pod istim uvjetima iskorištava mogućnosti žalbe. Pri osporavanju zahtjeva uvoznik podataka traži privremene mjere kako bi se odgodili učinci zahtjeva dok nadležno pravosudno tijelo ne odluči o njegovoj osnovanosti. Ne otkriva tražene osobne podatke sve dok se to ne zahtijeva na temelju primjenjivih postupovnih pravila. Ti zahtjevi ne dovode u pitanje obveze uvoznika podataka u skladu s klauzulom 14. točkom (e).

(b) Uvoznik podataka suglasan je s tim da će dokumentirati svoju pravnu ocjenu i svako osporavanje zahtjeva za otkrivanje te tu dokumentaciju staviti na raspolaganje izvozniku podataka ako je to dopušteno zakonima zemlje odredišta. Tu dokumentaciju na zahtjev stavlja na raspolaganje i nadležnom nadzornom tijelu. [Za modul 3.: Izvoznik podataka stavlja ocjenu na raspolaganje voditelju obrade.]

(c) Uvoznik podataka suglasan je s tim da će pružiti najmanju dopuštenu količinu informacija pri odgovaranju na zahtjev za otkrivanje na temelju razumnog tumačenja zahtjeva.

ODJELJAK IV. – ZAVRŠNE ODREDBE

Klauzula 16. Neusklađenost s klauzulama i raskid

(a) Uvoznik podataka odmah obavješćuje izvoznika podataka ako zbog bilo kojeg razloga ne može poštovati klauzule.

(b) U slučaju da je uvoznik podataka prekršio ove klauzule ili ih ne može poštovati, izvoznik podataka obustavlja prijenos osobnih podataka uvozniku podataka dok se ponovno ne osigura poštovanje klauzula ili dok se ugovor ne raskine. To ne dovodi u pitanje klauzulu 14. točku (f).

(c) Izvoznik podataka ima pravo raskinuti ugovor u dijelu koji se odnosi na obradu osobnih podataka u skladu s ovim klauzulama:

(i) ako je izvoznik podataka obustavio prijenos osobnih podataka uvozniku podataka u skladu s točkom (b), a usklađenost s ovim klauzulama nije ponovno uspostavljena u razumnom roku, u svakom slučaju u roku od mjesec dana od obustave;

(ii) ako uvoznik podataka znatno ili trajno krši ove klauzule; ili

(iii) ako uvoznik podataka ne postupi u skladu s obvezujućom odlukom nadležnog suda ili nadzornog tijela u pogledu svojih obveza iz ovih klauzula.

U tim slučajevima obavješćuje nadležno nadzorno tijelo [za modul 3.: i voditelja obrade] o takvoj neusklađenosti. Ako u ugovoru sudjeluje više od dvije stranke, izvoznik podataka može iskoristiti to pravo na raskid samo u odnosu na relevantnu stranku, osim ako su se stranke drukčije dogovorile.

(d) [Za module 1., 2. i 3.: Osobni podaci koji su preneseni prije raskida ugovora u skladu s točkom (c) ovisno o odluci izvoznika podataka odmah se vraćaju izvozniku podataka ili u cijelosti brišu. Isto se primjenjuje na sve kopije podataka.] [Za modul 4.: Osobni podaci koje je izvoznik podataka prikupio u EU-u i koji su preneseni prije raskida ugovora u skladu s točkom (c) odmah se u cijelosti brišu zajedno sa svim njihovim kopijama.] Uvoznik podataka izvozniku podataka potvrđuje da su podaci izbrisani. Dok se podaci ne izbrišu ili ne vrate, uvoznik podataka nastavlja osiguravati usklađenost s ovim klauzulama. Kad se na uvoznika podataka primjenjuju lokalni propisi kojima se zabranjuje vraćanje ili brisanje prenesenih osobnih podataka, uvoznik podataka jamči da će nastaviti osiguravati usklađenost s ovim klauzulama i da će obrađivati podatke samo u mjeri i trajanju koji su u skladu s tim lokalnim zakonodavstvom.

Svaka stranka može povući svoju suglasnost s tim da bude obvezana ovim klauzulama ako i. Europska komisija donese odluku u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 koja obuhvaća prijenos osobnih podataka na koji se ove klauzule primjenjuju; ili ii. Uredba (EU) 2016/679 postane dio pravnog okvira zemlje u koju se osobni podaci prenose. Time se ne dovode u pitanje druge obveze koje se odnose na predmetnu obradu u skladu s Uredbom (EU) 2016/679.

Odredba 17. Mjerodavno pravo

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

Ove su klauzule uređene pravom jedne od država članica EU-a pod uvjetom da se tim pravom omogućuju prava u korist treće strane. Stranke su suglasne s tim da je ovo zakon kako je definirano u Uvjetima.

MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade

Ove su klauzule uređene pravom zemlje koja omogućuje prava u korist treće strane. Stranke su suglasne s tim da je ovo zakon kako je definirano u Uvjetima.

Klauzula 18. Odabir suda i nadležnosti

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

(a) Sve sporove koji proizlaze iz ovih klauzula rješavaju sudovi države članice EU-a.

(b) Stranke su suglasne da su to sudovi kako su definirani u Uvjetima.

(c) Ispitanik može i pokrenuti sudski postupak protiv izvoznika podataka i/ili uvoznika podataka pred sudovima države članice u kojoj ispitanik ima uobičajeno boravište.

(d) Stranke prihvaćaju nadležnost tih sudova.

MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade

Svaki spor koji proizlazi iz ovih klauzula rješavaju sudovi kako je definirano u Uvjetima.

DODATAK

OBJAŠNJENJE: Mora biti moguće jasno razlikovati informacije koje se primjenjuju na svaki prijenos ili kategoriju prijenosa i u tom pogledu utvrditi odgovarajuće uloge stranaka kao izvoznika podataka i/ili uvoznika podataka. Za to nije nužno popuniti i potpisati zasebne dodatke za svaki prijenos/kategoriju prijenosa i/ili ugovorni odnos ako se ta transparentnost može postići jednim dodatkom. No ako je to potrebno da bi se osigurala dostatna jasnoća, trebalo bi primjenjivati zasebne dodatke.

PRILOG I.

A POPIS STRANAKA

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade

Izvoznik/izvoznici podataka: [Identitet i podaci za kontakt izvoznika podataka i, ako je primjenjivo, njegova službenika za zaštitu podataka i/ili predstavnika izvoznika podataka u Europskoj uniji]

1. Voditelj obrade kako je definirano u Ugovoru o obradi podataka

2. Izvršitelj obrade kako je definirano u Ugovoru o obradi podataka

(na temelju toka podataka)

Uvoznik/uvoznici podataka: [Identitet i podaci za kontakt uvoznika podataka, uključujući sve osobe za kontakt odgovorne za zaštitu podataka]

1. Voditelj obrade kako je definirano u Ugovoru o obradi podataka

2. Izvršitelj obrade kako je definirano u Ugovoru o obradi podataka

(na temelju toka podataka)

B OPIS PRIJENOSA

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

MODUL 4.: Prijenos od izvršitelja obrade do voditelja obrade

Kategorije ispitanika čiji se osobni podaci prenose: Kako je definirano u Ugovoru o obradi podataka.

Kategorije osobnih podataka koji se prenose: Kako je definirano u Ugovoru o obradi podataka i Pravilima privatnosti.

Osjetljivi podaci koji se prenose (ako je primjenjivo) i primijenjena ograničenja ili zaštitne mjere kojima se u potpunosti uzimaju u obzir priroda podataka i povezani rizici, kao što su stroga ograničenja svrhe, ograničenja pristupa (uključujući pristup samo za osoblje koje je prošlo posebno osposobljavanje), vođenje evidencije o pristupu podacima, ograničenja za daljnje prijenose ili dodatne sigurnosne mjere: Kako je definirano u Ugovoru o obradi podataka i Pravilima privatnosti.

Učestalost prijenosa (npr. prenose li se podaci jednokratno ili kontinuirano): Kontinuirano.

Priroda obrade: Automatizirano.

Svrha/svrhe prijenosa podataka i daljnje obrade: Davanje usluge kako je definirano u Uvjetima, njihovim Prilozima, Pravilima privatnosti i dokumentaciji koja se odnosi na uslugu.

Razdoblje u kojem će se osobni podaci čuvati ili, ako to nije moguće, kriteriji na temelju kojih se utvrđuje to razdoblje: Kako je definirano u Ugovoru o obradi podataka.

Za prijenose (pod)izvršiteljima obrade isto tako navesti predmet, prirodu i trajanje obrade: Kako je definirano u Ugovoru o obradi podataka.

C NADLEŽNO NADZORNO TIJELO

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

Navesti nadležna nadzorna tijela u skladu s klauzulom 13.: Kako je definirano u Pravilima privatnosti

PRILOG II. TEHNIČKE I ORGANIZACIJSKE MJERE, UKLJUČUJUĆI TEHNIČKE I ORGANIZACIJSKE MJERE ZA JAMČENJE SIGURNOSTI PODATAKA

MODUL 1.: Prijenos od voditelja obrade do voditelja obrade

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

OBJAŠNJENJE: Tehničke i organizacijske mjere moraju biti opisane na konkretan (a ne na općenit) način. Vidjeti i opću napomenu na prvoj stranici Dodatka, a posebno dio o potrebi za jasnim navođenjem mjera koje se primjenjuju na svaki prijenos/skup prijenosa.

Opis tehničkih i organizacijskih mjera koje provode uvoznici podataka (uključujući sve relevantne certifikate) kako bi se zajamčila odgovarajuća razina sigurnosti, vodeći računa o prirodi, opsegu, kontekstu i svrsi obrade te riziku za prava i slobode pojedinaca: Kako je definirano u Sigurnosnim pravilima

Za prijenose (pod)izvršiteljima obrade opisati i posebne tehničke i organizacijske mjere koje (pod)izvršitelj obrade treba poduzeti kako bi mogao pružiti pomoć voditelju obrade i, u slučaju prijenosa s izvršitelja na podizvršitelja obrade, izvozniku podataka

PRILOG III. POPIS PODIZVRŠITELJA OBRADE

MODUL 2.: Prijenos od voditelja obrade do izvršitelja obrade

MODUL 3.: Prijenos od izvršitelja obrade do izvršitelja obrade

OBJAŠNJENJE: Ovaj Prilog mora se popuniti za modul 2. i modul 3. u slučaju posebnog odobrenja podizvršitelja obrade (klauzula 9. točka (a), mogućnost 1.).

Voditelj obrade odobrio je angažiranje sljedećih podizvršitelja obrade: Kako je definirano u Ugovoru o obradi podataka

Upućivanja:

(1) Ako je izvoznik podataka izvršitelj obrade na kojeg se primjenjuje Uredba (EU) 2016/679 i koji djeluje u ime institucije ili tijela Unije kao voditelj obrade, oslanjanjem na ove klauzule pri angažiranju drugog izvršitelja obrade (podobrada) na kojeg se ne primjenjuje Uredba (EU) 2016/679 osigurava se i poštovanje članka 29. stavka 4. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EU) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.) u mjeri u kojoj su usklađene ove klauzule i obveze zaštite podataka utvrđene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade u skladu s člankom 29. stavkom 3. Uredbe (EU) 2018/1725. To će posebno biti slučaj kad se voditelj obrade i izvršitelj obrade oslanjaju na standardne ugovorne klauzule iz Odluke 2021/915.

(2) Za to je potrebno anonimizirati podatke tako da nitko više ne može utvrditi identitet pojedinca u skladu s uvodnom izjavom 26. Uredbe (EU) 2016/679.

(3) U Sporazumu o Europskom gospodarskom prostoru (Sporazum o EGP-u) predviđeno je proširenje unutarnjeg tržišta Europske unije na tri države EGP-a: Island, Lihtenštajn i Norvešku. Zakonodavstvo Unije o zaštiti podataka, uključujući Uredbu (EU) 2016/679, obuhvaćeno je Sporazumom o EGP-u i uključeno u Prilog XI. tom sporazumu. Stoga se bilo kakvo otkrivanje uvoznika podataka trećoj strani koja se nalazi u EGP-u ne smatra daljnjim prijenosom za potrebe ovih klauzula.

(4) U Sporazumu o Europskom gospodarskom prostoru (Sporazum o EGP-u) predviđeno je proširenje unutarnjeg tržišta Europske unije na tri države EGP-a: Island, Lihtenštajn i Norvešku. Zakonodavstvo Unije o zaštiti podataka, uključujući Uredbu (EU) 2016/679, obuhvaćeno je Sporazumom o EGP-u i uključeno u Prilog XI. tom sporazumu. Stoga se bilo kakvo otkrivanje uvoznika podataka trećoj strani koja se nalazi u EGP-u ne smatra daljnjim prijenosom za potrebe ovih klauzula.

(5) Vidjeti članak 28. stavak 4. Uredbe (EU) 2016/679 i, ako je voditelj obrade institucija ili tijelo EU-a, članak 29. stavak 4. Uredbe (EU) 2018/1725.

(6) U Sporazumu o Europskom gospodarskom prostoru (Sporazum o EGP-u) predviđeno je proširenje unutarnjeg tržišta Europske unije na tri države EGP-a: Island, Lihtenštajn i Norvešku. Zakonodavstvo Unije o zaštiti podataka, uključujući Uredbu (EU) 2016/679, obuhvaćeno je Sporazumom o EGP-u i uključeno u Prilog XI. tom sporazumu. Stoga se bilo kakvo otkrivanje uvoznika podataka trećoj strani koja se nalazi u EGP-u ne smatra daljnjim prijenosom za potrebe ovih klauzula.

(7) To uključuje i procjenu obuhvaćaju li prijenos li daljnja obrada osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu, genetske podatke ili biometrijske podatke u svrhu jedinstvene identifikacije pojedinca, podatke koji se odnose na zdravlje, spolni život ili spolnu orijentaciju osobe ili podatke koji se odnose na osuđujuće presude ili kaznena djela.

(8) Ovaj zahtjev može ispuniti podizvršitelj obrade koji pristupa ovim klauzulama prema odgovarajućem modulu, u skladu s klauzulom 7.

(9) Ovaj zahtjev može ispuniti podizvršitelj obrade koji pristupa ovim klauzulama prema odgovarajućem modulu, u skladu s klauzulom 7.

(10) Taj se rok može produljiti za najviše dva dodatna mjeseca ako je to potrebno s obzirom na složenost i broj zahtjeva. Uvoznik podataka propisno i bez odgode obavješćuje ispitanika o svakom takvom produljenju.

(11) Uvoznik podataka može ponuditi neovisno rješavanje sporova pred arbitražnim sudom samo ako ima poslovni nastan u zemlji koja je ratificirala Njujoršku konvenciju o priznanju i izvršenju inozemnih arbitražnih odluka.

(12) Kad je riječ o učinku takvih zakona i praksi na usklađenost s ovim klauzulama, u okviru ukupne procjene mogu se razmatrati različiti elementi. Ti elementi mogu uključivati relevantno i zabilježeno praktično iskustvo s prethodnim zahtjevima tijela javne vlasti za otkrivanje ili izostankom takvih zahtjeva u dovoljno reprezentativnom vremenskom okviru. To se posebno odnosi na internu evidenciju ili drugu dokumentaciju koja se kontinuirano izrađuje s dužnom pažnjom i potvrđuje na razini višeg rukovodstva, pod uvjetom da se te informacije mogu zakonito dijeliti s trećim stranama. Ako se na temelju tog praktičnog iskustva zaključi da uvozniku podataka neće biti onemogućeno usklađivanje s ovim klauzulama, to je potrebno potkrijepiti drugim relevantnim i objektivnim elementima, a stranke trebaju pažljivo razmotriti jesu li ti elementi zajedno dovoljno pouzdani i reprezentativni da bi potkrijepili taj zaključak. Stranke posebno moraju uzeti u obzir je li njihovo praktično iskustvo potkrijepljeno i u skladu s javno ili na drugi način dostupnim pouzdanim informacijama o postojanju ili nepostojanju zahtjeva unutar istog sektora i/ili primjenom zakona u praksi, kao što su sudska praksa i izvješća neovisnih nadzornih tijela.

˄˅