ESET Online pomocník

Vyhľadať English
Vyberte kapitolu

Štandardné zmluvné doložky

ODDIEL I

Doložka 1 Účel a rozsah pôsobnosti

Účelom týchto štandardných zmluvných doložiek je zabezpečiť súlad s požiadavkami nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) (1) pri prenose osobných údajov do tretej krajiny.

b) Zmluvné strany:

fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný orgán (ďalej len „subjekt“), ktoré uskutočňujú prenos osobných údajov, ako sa uvádza v prílohe I časti A (ďalej len „vývozca údajov“), a

subjekt v tretej krajine, ktorý prijíma osobné údaje od vývozcu údajov, a to priamo alebo nepriamo prostredníctvom iného subjektu, ktorý je tiež zmluvnou stranou týchto doložiek, ako sa uvádza v prílohe I časti A (ďalej len „dovozca údajov“),

sa dohodli na týchto štandardných zmluvných doložkách (ďalej len „doložky“).

Tieto doložky sa uplatňujú na prenos osobných údajov podľa prílohy I časti B.

Dodatok k týmto doložkám obsahujúci prílohy, na ktoré sa v týchto doložkách odkazuje, tvorí neoddeliteľnú súčasť týchto doložiek.

Doložka 2 Účinok a nemennosť doložiek

a) V týchto doložkách sa stanovujú primerané záruky vrátane vymáhateľných práv dotknutých osôb a účinných právnych prostriedkov nápravy podľa článku 46 ods.1 a článku 46 ods. 2 písm. c) nariadenia (EÚ) 2016/679, a pokiaľ ide o prenosy údajov od prevádzkovateľov sprostredkovateľom a/alebo od sprostredkovateľov sprostredkovateľom, štandardné zmluvné doložky podľa článku 28 ods. 7 nariadenia (EÚ) 2016/679, pokiaľ nie sú zmenené, okrem prípadu, keď sa vyberá vhodný modul/moduly, prípadne keď sa dopĺňajú alebo aktualizujú informácie v dodatku. To zmluvným stranám nebráni v tom, aby zahrnuli štandardné zmluvné doložky stanovené v týchto doložkách do širšej zmluvy a/alebo doplnili iné doložky či dodatočné záruky za predpokladu, že nie sú v priamom ani nepriamom rozpore s týmito doložkami ani neobmedzujú základné práva alebo slobody dotknutých osôb.

b) Týmito doložkami nie sú dotknuté povinnosti, ktoré sa vzťahujú na vývozcu údajov na základe nariadenia (EÚ) 2016/679.

Doložka 3 Oprávnenosť tretích strán

a) Dotknuté osoby sa môžu týchto doložiek dovolávať a vymáhať ich ako oprávnené tretie strany vo vzťahu k vývozcovi údajov a/alebo dovozcovi údajov s týmito výnimkami:

i) doložka 1, doložka 2, doložka 3, doložka 6, doložka 7;

ii) doložka 8 – modul č. 1: doložka 8 – modul č. 1: doložka 8.5 písm. e) a doložka 8.9 písm. b); modul č. 2: doložka 8.1 písm. b), doložka 8.9 písm. a), c), d) a e); modul č. 3: doložka 8.1 písm. a), c) a d), ako aj doložka 8.9 písm. a), c), d), e), f) a g); modul č. 4: doložka 8.1 písm. b) a doložka 8.3 písm. b);

iii) doložka 9 – modul č. 2: doložka 9 písm. a), c), d) a e); modul č. 3: doložka 9 písm. a), c), d) a e);

iv) doložka 12 – modul č. 1: doložka 12 písm. a) a d); moduly č. 2 a 3: doložka 12 písm. a), d) a f);

v) doložka 13;

vi) doložka 15.1 písm. c), d) a e);

vii) doložka 16 písm. e);

viii) doložka 18 – moduly č. 1, 2 a 3: doložka 18 písm. a) a b); modul č. 4: doložka 18.

b) Písmenom a) nie sú dotknuté práva dotknutých osôb podľa nariadenia (EÚ) 2016/679.

Doložka 4 Výklad

a) Ak sa v týchto doložkách používajú pojmy vymedzené v nariadení (EÚ) 2016/679, tieto pojmy majú rovnaký význam ako v uvedenom nariadení.

b) Tieto doložky sa vykladajú v zmysle ustanovení nariadenia (EÚ) 2016/679.

c) Tieto doložky sa nesmú vykladať spôsobom, ktorý je v rozpore správami a povinnosťami stanovenými v nariadení (EÚ) 2016/679.

Doložka 5 Hierarchia

V prípade rozporu medzi týmito doložkami a ustanoveniami súvisiacich dohôd medzi zmluvnými stranami, ktoré existovali v čase, keď sa dohodli tieto doložky, alebo ktoré sa uzavreli neskôr, majú prednosť tieto doložky.

Doložka 6 Opis prenosu

Informácie o prenose a najmä kategórie prenášaných osobných údajov a účel, na ktorý sa prenášajú, sú uvedené v prílohe I časti B.

Doložka 7 – nepovinná Doložka o pristúpení

a) Subjekt, ktorý nie je zmluvnou stranou týchto doložiek, môže so súhlasom zmluvných strán kedykoľvek pristúpiť k týmto doložkám ako vývozca alebo dovozca údajov vyplnením dodatku a podpísaním prílohy I časti A.

b) Po vyplnení dodatku a podpísaní prílohy I časti A sa pristupujúci subjekt stane zmluvnou stranou týchto doložiek a bude mať práva a povinnosti vývozcu alebo dovozcu údajov v súlade s označením v prílohe I časti A.

c) Pristupujúci subjekt nemá žiadne práva ani povinnosti vyplývajúce z týchto doložiek, pokiaľ ide o obdobie pred tým, ako sa stal zmluvnou stranou.

ODDIEL II – POVINNOSTI ZMLUVNÝCH STRÁN

Doložka 8 Záruky v oblasti ochrany údajov

Vývozca údajov vyhlasuje, že vynaložil primerané úsilie, na základe ktorého možno konštatovať, že dovozca údajov je vďaka prijatiu vhodných technických a organizačných opatrení schopný plniť svoje povinnosti podľa týchto doložiek.

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

8.1. Obmedzenie účelu

Dovozca údajov je oprávnený spracúvať osobné údaje len na osobitné účely prenosu stanovené v prílohe I časti B. Osobné údaje môže spracúvať na iný účel len vtedy, ak:

i) získal predchádzajúci súhlas dotknutej osoby;

ii) je to nevyhnutné na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie; alebo

iii) je to nevyhnutné v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.

8.2. Transparentnosť

a) S cieľom umožniť dotknutým osobám účinne uplatňovať práva podľa doložky 10 ich dovozca údajov priamo alebo prostredníctvom vývozcu údajov informuje:

i) o svojej totožnosti a kontaktných údajoch;

ii) o kategóriách spracúvaných osobných údajov;

iii) o práve získať kópiu týchto doložiek

iv) v prípade úmyslu uskutočniť následný prenos osobných údajov akejkoľvek tretej strane o príjemcovi alebo kategóriách príjemcov (podľa potreby s cieľom poskytnúť zmysluplné informácie), účele a dôvode tohto následného prenosu podľa doložky 8.7.

b) Písmeno a) sa neuplatňuje, ak po prvé dotknutá osoba už má informácie vrátane prípadu, keď takéto informácie už poskytol vývozca údajov, alebo ak sa po druhé poskytnutie informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie dovozcu údajov. V druhom prípade dovozca údajov v čo najväčšej možnej miere sprístupní tieto informácie verejnosti.

c) Zmluvné strany sprístupnia dotknutej osobe na požiadanie a bezplatne kópiu týchto doložiek vrátane nimi vyplneného dodatku. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môžu zmluvné strany pred poskytnutím kópie dodatku odstrániť časť jeho textu, pričom však poskytnú zmysluplné zhrnutie, ak by dotknutá osoba inak nebola schopná pochopiť jeho obsah alebo uplatňovať svoje práva. Zmluvné strany na požiadanie oznámia dotknutej osobe dôvody odstránenia textu, pokiaľ možno bez toho, aby došlo k prezradeniu odstránených informácií.

d) Písmenami a) až c) nie sú dotknuté povinnosti vývozcu údajov podľa článkov 13 a14 nariadenia (EÚ) 2016/679.

8.3. Správnosť a minimalizácia údajov

a) Každá zmluvná strana zabezpečí, aby osobné údaje boli správne a v prípade potreby aktualizované. Dovozca údajov prijme všetky primerané opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov spracúvania, bezodkladne vymazali alebo opravili.

b) Ak jedna zo zmluvných strán zistí, že osobné údaje, ktoré preniesla alebo získala, sú nesprávne alebo neaktuálne, bez zbytočného odkladu o tom informuje druhú zmluvnú stranu.

c) Dovozca údajov zabezpečí, aby osobné údaje boli primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely spracúvania.

8.4. Minimalizácia uchovávania

Dovozca údajov nesmie uchovávať osobné údaje dlhšie než je nevyhnutné na účely, na ktoré sa spracúvajú. Na účely splnenia si tejto povinnosti zavedie vhodné technické alebo organizačné opatrenia vrátane výmazu alebo anonymizácie (2) údajov a všetkých záloh v momente uplynutia obdobia uchovávania.

8.5. Bezpečnosť spracúvania

a) Dovozca údajov a počas prenosu aj vývozca údajov prijmú vhodné technické a organizačné opatrenia na zaistenie bezpečnosti osobných údajov vrátane ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti náležite zohľadnia najnovšie poznatky, náklady na vykonanie, povahu, rozsah, kontext a účely spracúvania, ako aj riziká pre dotknutú osobu, ktoré súvisia so spracúvaním. Zmluvné strany zvážia najmä použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania.

b) Zmluvné strany sa dohodli na technických a organizačných opatreniach uvedených v prílohe II. Dovozca údajov je povinný vykonávať pravidelné kontroly s cieľom zabezpečiť, aby tieto opatrenia nepretržite poskytovali primeranú úroveň bezpečnosti.

c) Zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov.

d) V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných dovozcom údajov podľa týchto doložiek prijme dovozca údajov primerané opatrenia na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov.

e) V prípade porušenia ochrany osobných údajov, ktoré môže predstavovať riziko pre práva a slobody fyzických osôb, zašle o tom dovozca údajov bez zbytočného odkladu oznámenie vývozcovi údajov a príslušnému dozornému orgánu podľa doložky 13. Takéto oznámenie obsahuje i) opis povahy porušenia (podľa možnosti vrátane kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch); ii) pravdepodobné následky porušenia; iii) prijaté alebo navrhované opatrenia s cieľom napraviť porušenie a iv) údaje kontaktného miesta, kde možno získať viac informácií. V rozsahu, v akom nie je možné, aby dovozca údajov poskytol všetky informácie súčasne, možno ich poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

f) V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, dovozca údajov bez zbytočného odkladu oznámi dotknutým osobám porušenie ochrany osobných údajov a povahu tohto porušenia, v prípade potreby v spolupráci s vývozcom údajov, spolu s informáciami uvedenými v písmene e) bodoch ii) až iv), okrem prípadov, ak dovozca údajov prijal opatrenia na výrazné zníženie rizika pre práva alebo slobody fyzických osôb, alebo ak by si oznámenie vyžadovalo neprimerané úsilie. Vtedy dovozca údajov namiesto toho uverejní oznámenie alebo prijme podobné opatrenie na informovanie verejnosti o porušení ochrany osobných údajov.

g) Dovozca údajov zdokumentuje všetky relevantné skutočnosti týkajúce sa porušenia ochrany osobných údajov vrátane jeho účinkov a všetkých prijatých opatrení na nápravu a vedie o nich záznamy.

8.6. Citlivé údaje

Ak prenos zahŕňa osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy (ďalej len „citlivé údaje“), uplatňuje dovozca údajov osobitné obmedzenia a/alebo dodatočné záruky prispôsobené osobitnej povahe údajov a súvisiacim rizikám. Môže to zahŕňať obmedzenie okruhu zamestnancov, ktorí majú prístup k osobným údajom, dodatočné bezpečnostné opatrenia (napríklad pseudonymizácia) a/alebo dodatočné obmedzenia v súvislosti s ďalším poskytnutím.

8.7. Následné prenosy

Dovozca údajov poskytne osobné údaje tretej strane nachádzajúcej sa mimo Európskej únie (3) (v rovnakej krajine ako dovozca údajov alebo v inej tretej krajine, ďalej len „následný prenos“) len vtedy, ak je táto tretia strana viazaná týmito doložkami alebo súhlasí s tým, že bude týmito doložkami viazaná, a to v súlade s príslušným modulom. Inak môže dovozca údajov uskutočniť následný prenos len v týchto prípadoch:

i) uskutočňuje sa do krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti podľa článku 45 nariadenia (EÚ) 2016/679, ktorého predmetom je následný prenos;

ii) tretia strana inak zabezpečuje primerané záruky podľa článkov 46 alebo 47 nariadenia (EÚ) 2016/679 v súvislosti s predmetným spracúvaním;

iii) tretia strana uzavrie s dovozcom údajov dohodu o záväznom nástroji zabezpečujúcom rovnakú úroveň ochrany údajov ako podľa týchto doložiek a dovozca údajov poskytne kópiu týchto záruk vývozcovi údajov;

iv) je to nevyhnutné na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie;

v) je to potrebné v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby; alebo

vi) ak sa neuplatňuje žiadna z uvedených podmienok, dovozca údajov získal výslovný súhlas dotknutej osoby s následným prenosom v konkrétnej situácii po tom, ako ju informoval o jeho účele, totožnosti príjemcu a možných rizikách takéhoto prenosu pre ňu z dôvodu nedostatku primeraných záruk v oblasti ochrany údajov. V tomto prípade dovozca údajov informuje vývozcu údajov a na jeho žiadosť mu odovzdá kópiu informácií poskytnutých dotknutej osobe.

Na účely akéhokoľvek následného prenosu sa vyžaduje, aby dovozca údajov dodržiaval všetky ostatné záruky podľa týchto doložiek, osobitne obmedzenie účelu.

8.8. Spracúvanie na základe poverenia dovozcu údajov

Dovozca údajov zabezpečí, aby akákoľvek osoba konajúca na základe jeho poverenia vrátane sprostredkovateľa spracúvala údaje výlučne podľa jeho pokynov.

8.9. Dokumentácia a splnenie povinností

a) Každá zmluvná strana musí byť schopná preukázať splnenie svojich povinností podľa týchto doložiek. Dovozca údajov uchováva najmä príslušnú dokumentáciu týkajúcu sa spracovateľských činností vykonávaných v rámci jeho zodpovednosti.

b) Dovozca údajov na požiadanie sprístupní túto dokumentáciu príslušnému dozornému orgánu.

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

8.1. Pokyny

a) Dovozca údajov spracúva osobné údaje len na základe zdokumentovaných pokynov vývozcu údajov. Vývozca údajov môže udeľovať takéto pokyny počas celého trvania zmluvy.

b) Dovozca údajov bezodkladne informuje vývozcu údajov, ak nie je schopný tieto pokyny dodržať.

8.2. Obmedzenie účelu

Dovozca údajov je oprávnený spracúvať osobné údaje len na osobitné účely prenosu stanovené v prílohe I časti B, ak vývozca údajov neudelí iné pokyny.

8.3. Transparentnosť

Vývozca údajov sprístupní dotknutej osobe na požiadanie a bezplatne kópiu týchto doložiek vrátane dodatku, ktorý vyplnili zmluvné strany. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane opatrení uvedených v prílohe II a osobných údajov môže vývozca údajov pred poskytnutím kópie dodatku k týmto doložkám odstrániť časť jeho textu, pričom poskytne zmysluplné zhrnutie, ak by dotknutá osoba inak nebola schopná pochopiť jeho obsah alebo uplatňovať svoje práva. Zmluvné strany na požiadanie oznámia dotknutej osobe dôvody odstránenia textu, pokiaľ možno bez toho, aby došlo k prezradeniu odstránených informácií. Touto doložkou nie sú dotknuté povinnosti vývozcu údajov podľa článkov 13 a 14 nariadenia (EÚ) 2016/679.

8.4. Správnosť

Ak dovozca údajov zistí, že osobné údaje, ktoré získal, sú nesprávne alebo neaktuálne, bez zbytočného odkladu o tom informuje vývozcu údajov. V takom prípade je dovozca údajov povinný spolupracovať s vývozcom údajov na účely výmazu alebo opravy údajov.

8.5. Obdobie spracúvania, výmaz alebo vrátenie údajov

Dovozca údajov je oprávnený spracúvať údaje len počas obdobia uvedeného v prílohe I časti B. Po ukončení poskytovania spracovateľských služieb dovozca údajov vymaže všetky osobné údaje spracúvané v mene vývozcu údajov a vývozcovi údajov túto skutočnosť potvrdí, alebo vývozcovi údajov vráti všetky osobné údaje spracúvané v jeho mene a vymaže existujúce kópie, a to podľa toho, pre ktorú z možností sa vývozca údajov rozhodne. Dovozca údajov zabezpečuje dodržiavanie týchto doložiek dovtedy, kým nedôjde k vymazaniu alebo vráteniu údajov. Pokiaľ ide o miestne právne predpisy uplatniteľné na dovozcu údajov, ktorými sa zakazuje vrátenie alebo vymazanie osobných údajov, dovozca údajov vyhlasuje, že bude naďalej zabezpečovať súlad s týmito doložkami a bude ich spracúvať len v takom rozsahu a tak dlho, ako to vyžaduje uvedené miestne právo. Tým nie je dotknutá doložka 14, najmä povinnosť dovozcu údajov podľa doložky 14 písm. e) zasielať počas trvania zmluvy vývozcovi údajov oznámenia v prípade, keď má dôvod domnievať sa, že sa naň vzťahujú alebo začali vzťahovať právne predpisy alebo prax, ktoré nie sú v súlade s požiadavkami uvedenými v doložke 14 písm. a).

8.6. Bezpečnosť spracúvania

a) Dovozca údajov a počas prenosu aj vývozca údajov prijmú vhodné technické a organizačné opatrenia na zaistenie bezpečnosti údajov vrátane ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu k týmto údajom (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti zmluvné strany náležite zohľadnia najnovšie poznatky, náklady na vykonanie, povahu, rozsah, kontext a účely spracúvania, ako aj riziká pre dotknuté osoby, ktoré súvisia so spracúvaním. Zmluvné strany zvážia najmä použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania. V prípade pseudonymizácie zostávajú dodatočné informácie na priradenie osobných údajov ku konkrétnej dotknutej osobe, ak je to možné, pod výlučnou kontrolou vývozcu údajov. Pri plnení si povinností podľa tohto písmena je dovozca údajov povinný prijať prinajmenšom technické a organizačné opatrenia uvedené v prílohe II. Dovozca údajov je povinný vykonávať pravidelné kontroly s cieľom zabezpečiť, aby tieto opatrenia nepretržite poskytovali primeranú úroveň bezpečnosti.

b) Dovozca údajov poskytne prístup k osobným údajom svojim zamestnancom len v rozsahu, ktorý je nevyhnutne potrebný na plnenie, riadenie a monitorovanie zmluvy. Zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov.

c) V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných dovozcom údajov podľa týchto doložiek prijme dovozca údajov primerané opatrenia na nápravu porušenia vrátane opatrení na zmiernenie jeho nepriaznivých účinkov. Dovozca údajov zašle vývozcovi údajov aj oznámenie o porušení bez zbytočného odkladu po tom, ako sa o tomto porušení dozvedel. Takéto oznámenie obsahuje údaje kontaktného miesta, kde možno získať viac informácií, opis povahy porušenia (podľa možnosti vrátane kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch), pravdepodobné následky porušenia, ako aj prijaté alebo navrhované opatrenia s cieľom napraviť porušenie, v prípade potreby vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov. Pokiaľ nemožno poskytnúť všetky informácie súčasne, pôvodné oznámenie musí obsahovať informácie, ktoré boli v danom čase dostupné, pričom ďalšie informácie sa poskytnú bez zbytočného odkladu po tom, ako budú k dispozícii.

d) Dovozca údajov spolupracuje s vývozcom údajov a poskytuje mu pomoc pri plnení si povinností podľa nariadenia (EÚ) 2016/679, najmä pokiaľ ide o podávanie oznámení príslušnému dozornému orgánu a dotknutým osobám, ktoré sú ovplyvnené, pričom zohľadní povahu spracúvania a informácie, ktoré má k dispozícii dovozca údajov.

8.7. Citlivé údaje

Ak prenos zahŕňa osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy (ďalej len „citlivé údaje“), uplatňuje dovozca údajov osobitné obmedzenia a/alebo dodatočné záruky stanovené v prílohe I časti B.

8.8. Následné prenosy

Dovozca údajov poskytuje osobné údaje tretej strane len na základe zdokumentovaných pokynov vývozcu údajov. Údaje možno navyše poskytnúť tretej strane nachádzajúcej sa mimo Európskej únie (4) (v rovnakej krajine ako dovozca údajov alebo v inej tretej krajine, ďalej len „následný prenos“) len vtedy, ak je táto tretia strana viazaná týmito doložkami alebo súhlasí s tým, že bude týmito doložkami viazaná, a to v súlade s príslušným modulom, alebo ak:

i) následný prenos sa uskutočňuje do krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti podľa článku45 nariadenia (EÚ) 2016/679, ktorého predmetom je následný prenos;

ii) tretia strana inak zabezpečuje primerané záruky podľa článkov 46 alebo 47 nariadenia (EÚ) 2016/679 v súvislosti s predmetným spracúvaním;

iii) následný prenos je nevyhnutný na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie; alebo

iv) následný prenos je potrebný v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.

Na účely akéhokoľvek následného prenosu sa vyžaduje, aby dovozca údajov dodržiaval všetky ostatné záruky podľa týchto doložiek, osobitne obmedzenie účelu.

8.9. Dokumentácia a splnenie povinností

a) Dovozca údajov sa bezodkladne a primerane zaoberá žiadosťami vývozcu údajov, ktoré sa týkajú spracúvania podľa týchto doložiek.

b) Zmluvné strany musia byť schopné preukázať, že si splnili povinnosti podľa týchto doložiek. Dovozca údajov uchováva najmä príslušnú dokumentáciu týkajúcu sa spracovateľských činností vykonávaných v mene vývozcu údajov.

c) Dovozca údajov sprístupní vývozcovi údajov všetky informácie potrebné na preukázanie splnenia povinností stanovených v týchto doložkách a na žiadosť vývozcu údajov umožní audity spracovateľských činností, na ktoré sa vzťahujú tieto doložky, a poskytne pri nich potrebnú súčinnosť v primeraných intervaloch alebo ak existujú náznaky nesplnenia povinností. Pri rozhodovaní o preskúmaní alebo audite môže vývozca údajov zohľadniť relevantné certifikácie, ktorými disponuje dovozca údajov.

d) Vývozca údajov sa môže rozhodnúť, či vykoná audit sám alebo poverí nezávislého audítora. Audity môžu zahŕňať inšpekcie v priestoroch alebo fyzických zariadeniach dovozcu údajov a v prípade potreby sa vykonávajú po primeranom upovedomení.

e) Zmluvné strany sprístupnia príslušnému dozornému orgánu na požiadanie informácie uvedené v písmenách b) a c) vrátane výsledkov všetkých auditov.

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

8.1. Pokyny

a) Vývozca údajov informoval dovozcu údajov, že koná ako sprostredkovateľ podľa pokynov prevádzkovateľa, ktoré dá vývozca údajov pred spracúvaním k dispozícii dovozcovi údajov.

b) Dovozca údajov spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, ktoré dovozcovi údajov oznámil vývozca údajov, a akýchkoľvek dodatočných zdokumentovaných pokynov vývozcu údajov. Takéto dodatočné pokyny nesmú byť v rozpore s pokynmi prevádzkovateľa. Prevádzkovateľ alebo vývozca údajov môže udeľovať ďalšie zdokumentované pokyny týkajúce sa spracúvania údajov počas celého trvania zmluvy.

c) Dovozca údajov bezodkladne informuje vývozcu údajov, ak nie je schopný tieto pokyny dodržať. Ak dovozca údajov nie je schopný dodržať pokyny prevádzkovateľa, vývozca údajov bezodkladne zašle oznámenie prevádzkovateľovi.

d) Vývozca údajov vyhlasuje, že dovozcovi údajov uložil rovnaké povinnosti v oblasti ochrany údajov, ako sú stanovené v zmluve alebo inom právnom akte podľa práva Únie alebo členského štátu, ktoré boli uzatvorené medzi prevádzkovateľom a vývozcom údajov (5).

8.2. Obmedzenie účelu

Dovozca údajov je oprávnený spracúvať osobné údaje len na osobitné účely prenosu stanovené v prílohe I časti B, ak neexistujú iné pokyny prevádzkovateľa, ktoré vývozca údajov oznámil dovozcovi údajov, ani iné pokyny vývozcu údajov.

8.3. Transparentnosť

Vývozca údajov sprístupní dotknutej osobe na požiadanie a bezplatne kópiu týchto doložiek vrátane dodatku, ktorý vyplnili zmluvné strany. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môže vývozca údajov pred poskytnutím kópie dodatku odstrániť časť jeho textu, pričom však poskytne zmysluplné zhrnutie, ak by dotknutá osoba inak nebola schopná pochopiť jeho obsah alebo uplatňovať svoje práva. Zmluvné strany na požiadanie oznámia dotknutej osobe dôvody odstránenia textu, pokiaľ možno bez toho, aby došlo k prezradeniu odstránených informácií.

8.4. Správnosť

Ak dovozca údajov zistí, že osobné údaje, ktoré získal, sú nesprávne alebo neaktuálne, bez zbytočného odkladu o tom informuje vývozcu údajov. V takom prípade je dovozca údajov povinný spolupracovať s vývozcom údajov na účely opravy alebo výmazu údajov.

8.5. Obdobie spracúvania, výmaz alebo vrátenie údajov

Dovozca údajov je oprávnený spracúvať údaje len počas obdobia uvedeného v prílohe I časti B. Po ukončení poskytovania spracovateľských služieb dovozca údajov vymaže všetky osobné údaje spracúvané v mene prevádzkovateľa a vývozcovi údajov túto skutočnosť potvrdí, alebo vývozcovi údajov vráti všetky osobné údaje spracúvané v jeho mene a vymaže existujúce kópie, a to podľa toho, pre ktorú z možností sa vývozca údajov rozhodne. Dovozca údajov zabezpečuje dodržiavanie týchto doložiek dovtedy, kým nedôjde k vymazaniu alebo vráteniu údajov. Pokiaľ ide o miestne právne predpisy uplatniteľné na dovozcu údajov, ktorými sa zakazuje vrátenie alebo vymazanie osobných údajov, dovozca údajov vyhlasuje, že bude naďalej zabezpečovať súlad s týmito doložkami a bude ich spracúvať len v takom rozsahu a tak dlho, ako to vyžaduje uvedené miestne právo. Tým nie je dotknutá doložka 14, najmä povinnosť dovozcu údajov podľa doložky 14 písm. e) zasielať počas trvania zmluvy vývozcovi údajov oznámenia v prípade, keď má dôvod domnievať sa, že sa naň vzťahujú alebo začali vzťahovať právne predpisy alebo prax, ktoré nie sú v súlade s požiadavkami uvedenými v doložke 14 písm. a).

8.6. Bezpečnosť spracúvania

a) Dovozca údajov a počas prenosu aj vývozca údajov prijmú vhodné technické a organizačné opatrenia na zaistenie bezpečnosti údajov vrátane ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu k týmto údajom (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti náležite zohľadnia najnovšie poznatky, náklady na vykonanie, povahu, rozsah, kontext a účely spracúvania, ako aj riziká pre dotknutú osobu, ktoré súvisia so spracúvaním. Zmluvné strany zvážia najmä použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania. V prípade pseudonymizácie zostávajú dodatočné informácie na priradenie osobných údajov ku konkrétnej dotknutej osobe, ak je to možné, pod výlučnou kontrolou vývozcu údajov alebo prevádzkovateľa. Pri plnení si povinností podľa tohto písmena je dovozca údajov povinný prijať prinajmenšom technické a organizačné opatrenia uvedené v prílohe II. Dovozca údajov je povinný vykonávať pravidelné kontroly s cieľom zabezpečiť, aby tieto opatrenia nepretržite poskytovali primeranú úroveň bezpečnosti.

b) Dovozca údajov poskytne prístup k údajom svojim zamestnancom len v rozsahu, ktorý je nevyhnutne potrebný na plnenie, riadenie a monitorovanie zmluvy. Zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov.

c) V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných dovozcom údajov podľa týchto doložiek prijme dovozca údajov primerané opatrenia na nápravu porušenia vrátane opatrení na zmiernenie jeho nepriaznivých účinkov. Dovozca údajov bez zbytočného odkladu zašle oznámenie vývozcovi údajov a v prípade potreby, ak je to možné, aj prevádzkovateľovi po tom, ako sa dozvedel o porušení. Takéto oznámenie obsahuje údaje kontaktného miesta, kde možno získať viac informácií, opis povahy porušenia (podľa možnosti vrátane kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch), pravdepodobné následky porušenia, ako aj prijaté alebo navrhované opatrenia s cieľom napraviť porušenie ochrany údajov vrátane opatrení na zmiernenie jeho možných nepriaznivých účinkov. Pokiaľ nemožno poskytnúť všetky informácie súčasne, pôvodné oznámenie musí obsahovať informácie, ktoré boli v danom čase dostupné, pričom ďalšie informácie sa poskytnú bez zbytočného odkladu po tom, ako budú k dispozícii.

d) Dovozca údajov spolupracuje s vývozcom údajov a poskytuje mu pomoc pri plnení si povinností podľa nariadenia (EÚ) 2016/679, najmä pokiaľ ide o podávanie oznámení prevádzkovateľovi tak, aby mohol tento prevádzkovateľ následne zaslať oznámenie príslušnému dozornému orgánu a dotknutým osobám, ktoré sú ovplyvnené, pričom zohľadní povahu spracúvania a informácie, ktoré má k dispozícii dovozca údajov.

8.7. Citlivé údaje

Ak prenos zahŕňa osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy (ďalej len „citlivé údaje“), uplatňuje dovozca údajov osobitné obmedzenia a/alebo dodatočné záruky stanovené v prílohe I časti B.

8.8. Následné prenosy

Dovozca údajov poskytuje osobné údaje tretej strane len na základe zdokumentovaných pokynov prevádzkovateľa, ktoré dovozcovi údajov oznámil vývozca údajov. Údaje možno navyše poskytnúť tretej strane nachádzajúcej sa mimo Európskej únie (6) (v rovnakej krajine ako dovozca údajov alebo v inej tretej krajine, ďalej len „následný prenos“) len vtedy, ak je táto tretia strana viazaná týmito doložkami alebo súhlasí s tým, že bude týmito doložkami viazaná, a to v súlade s príslušným modulom, alebo ak:

i) následný prenos sa uskutočňuje do krajiny, na ktorú sa vzťahuje rozhodnutie o primeranosti podľa článku45 nariadenia (EÚ) 2016/679, ktorého predmetom je následný prenos;

ii) tretia strana inak zabezpečuje primerané záruky podľa článkov 46 alebo 47 nariadenia (EÚ) 2016/679;

iii) následný prenos je nevyhnutný na účely preukazovania, uplatňovania alebo ochrany právnych nárokov v kontexte konkrétneho správneho alebo súdneho konania, prípadne konania v oblasti regulácie; alebo

iv) následný prenos je potrebný v záujme ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.

Na účely akéhokoľvek následného prenosu sa vyžaduje, aby dovozca údajov dodržiaval všetky ostatné záruky podľa týchto doložiek, osobitne obmedzenie účelu.

8.9. Dokumentácia a splnenie povinností

a) Dovozca údajov sa bezodkladne a primerane zaoberá žiadosťami vývozcu údajov alebo prevádzkovateľa, ktoré sa týkajú spracúvania podľa týchto doložiek.

b) Zmluvné strany musia byť schopné preukázať, že si splnili povinnosti podľa týchto doložiek. Dovozca údajov uchováva najmä príslušnú dokumentáciu týkajúcu sa spracovateľských činností vykonávaných v mene prevádzkovateľa.

c) Dovozca údajov sprístupní vývozcovi údajov všetky informácie potrebné na preukázanie splnenia povinností stanovených v týchto doložkách, pričom vývozca údajov ich poskytne prevádzkovateľovi.

d) Dovozca údajov umožní vývozcovi údajov audity spracovateľských činností, na ktoré sa vzťahujú tieto doložky, a poskytne pri nich potrebnú súčinnosť v primeraných intervaloch alebo ak existujú náznaky nesplnenia povinností. To isté platí aj v prípade, keď vývozca údajov žiada o audit na základe pokynov prevádzkovateľa. Pri rozhodovaní o audite môže vývozca údajov zohľadniť relevantné certifikácie, ktorými disponuje dovozca údajov.

e) Ak sa audit vykonáva na základe pokynov prevádzkovateľa, vývozca údajov sprístupní výsledky prevádzkovateľovi.

f) Vývozca údajov sa môže rozhodnúť, či vykoná audit sám alebo poverí nezávislého audítora. Audity môžu zahŕňať inšpekcie v priestoroch alebo fyzických zariadeniach dovozcu údajov a v prípade potreby sa vykonávajú po primeranom upovedomení.

g) Zmluvné strany sprístupnia príslušnému dozornému orgánu na požiadanie informácie uvedené v písmenách b) a c) vrátane výsledkov všetkých auditov.

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

8.1. Pokyny

a) Vývozca údajov spracúva osobné údaje len na základe zdokumentovaných pokynov dovozcu údajov v postavení prevádzkovateľa.

b) Vývozca údajov bezodkladne informuje dovozcu údajov, ak nie je schopný dodržať predmetné pokyny, a to aj v prípade, že dané pokyny porušujú nariadenie (EÚ) 2016/679 alebo iné právne predpisy Únie alebo členského štátu o ochrane údajov.

c) Dovozca údajov sa zdrží akéhokoľvek konania, ktoré by vývozcovi údajov bránilo v plnení povinností podľa nariadenia (EÚ) 2016/679, a to aj v kontexte ďalšieho sprostredkovania alebo pokiaľ ide o spoluprácu s príslušnými dozornými orgánmi.

d) Po ukončení poskytovania spracovateľských služieb vývozca údajov vymaže všetky osobné údaje spracúvané v mene dovozcu údajov a dovozcovi údajov túto skutočnosť potvrdí, alebo dovozcovi údajov vráti všetky osobné údaje spracúvané v jeho mene a vymaže existujúce kópie, a to podľa toho, pre ktorú z možností sa dovozca údajov rozhodne.

8.2. Bezpečnosť spracúvania

a) Zmluvné strany prijmú primerané technické a organizačné opatrenia na zaistenie bezpečnosti údajov, a to aj počas prenosu, ako aj ochrany pred porušením bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo prístupu (ďalej len „porušenie ochrany osobných údajov“). Pri posudzovaní primeranej úrovne bezpečnosti náležite zohľadňujú najnovšie poznatky, náklady na vykonanie opatrení, povahu osobných údajov (7), povahu, rozsah, kontext a účel spracúvania a riziká spojené s spracúvaním pre dotknuté osoby, pričom najmä zvážia použitie šifrovania alebo pseudonymizácie, a to aj počas prenosu, ak možno vďaka nim splniť účel spracúvania.

b) Vývozca údajov pomáha dovozcovi údajov zabezpečiť primeranú bezpečnosť údajov v súlade s písmenom a). V prípade porušenia ochrany osobných údajov týkajúceho sa osobných údajov spracúvaných vývozcom údajov podľa týchto doložiek zašle vývozca údajov oznam dovozcovi údajov bez zbytočného odkladu po tom, ako sa o tejto skutočnosti dozvie, a dovozcovi údajov poskytne pomoc pri náprave porušenia.

c) Vývozca údajov zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť údajov, alebo aby sa na ne vzťahovala primeraná zákonná povinnosť zachovávať dôvernosť údajov.

8.3. Dokumentácia a splnenie povinností

a) Zmluvné strany musia byť schopné preukázať, že si splnili povinnosti podľa týchto doložiek.

b) Vývozca údajov sprístupní dovozcovi údajov všetky informácie potrebné na preukázanie, že si splnil povinnosti podľa týchto doložiek, umožní audity a poskytne pri nich potrebnú súčinnosť.

Doložka 9 Využívanie ďalších sprostredkovateľov

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

Dovozca údajov má všeobecné povolenie vývozcu údajov na zapojenie ďalších sprostredkovateľov z dohodnutého zoznamu. Dovozca údajov osobitne písomne informuje vývozcu údajov o všetkých zamýšľaných zmenách v tomto zozname, pokiaľ ide o pridanie alebo nahradenie ďalších sprostredkovateľov, a to najmenej [uveďte časové obdobie] vopred, čím poskytne vývozcovi údajov dostatočný čas na to, aby mohol proti takýmto zmenám vzniesť námietky pred zapojením ďalšieho sprostredkovateľa. Dovozca údajov poskytne vývozcovi údajov informácie, na základe ktorých môže uplatniť svoje právo namietať.

b) Ak dovozca údajov zapojí ďalšieho sprostredkovateľa do vykonávania konkrétnych spracovateľských činností (v mene vývozcu údajov), urobí to na základe písomnej zmluvy, v ktorej sa v podstate stanovujú rovnaké povinnosti v oblasti ochrany údajov ako sú tie, ktoré má dovozca údajov podľa týchto doložiek, a to aj pokiaľ ide o práva oprávnenej tretej strany v prípade dotknutých osôb. (8) Zmluvné strany vyhlasujú, že splnením povinností v zmysle tejto doložky si dovozca údajov zároveň splní aj povinnosti v zmysle doložky 8.8. Dovozca údajov zabezpečí, aby ďalší sprostredkovateľ dodržiaval povinnosti, ktoré sa podľa týchto doložiek vzťahujú na dovozcu údajov.

c) Dovozca údajov poskytne vývozcovi údajov na jeho žiadosť kópiu dohody s ďalším sprostredkovateľom, ako aj neskorších zmien tejto dohody. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môže dovozca údajov pred poskytnutím kópie tejto dohody odstrániť časti jej textu.

d) Dovozca údajov naďalej v plnom rozsahu zodpovedá vývozcovi údajov za plnenie povinností ďalšieho sprostredkovateľa podľa zmluvy, ktorú uzatvoril s dovozcom údajov. Dovozca údajov zašle vývozcovi údajov oznámenie o každom porušení povinností ďalšieho sprostredkovateľa v zmysle uvedenej zmluvy.

e) Dovozca údajov sa dohodne s ďalším sprostredkovateľom na doložke o oprávnenosti tretej strany, podľa ktorej má vývozca údajov v prípade, že dovozca údajov fakticky zanikol, prestal podľa práva existovať alebo sa stal insolventným, právo vypovedať zmluvu s ďalším sprostredkovateľom a ďalšiemu sprostredkovateľovi dať pokyn, aby osobné údaje vymazal alebo vrátil.

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

a) Dovozca údajov má všeobecné povolenie prevádzkovateľa na zapojenie ďalších sprostredkovateľov z dohodnutého zoznamu. Dovozca údajov osobitne písomne informuje prevádzkovateľa o všetkých zamýšľaných zmenách v tomto zozname, pokiaľ ide o pridanie alebo nahradenie ďalších sprostredkovateľov, a to najmenej [uveďte časové obdobie] vopred, čím poskytne prevádzkovateľovi dostatočný čas na to, aby mohol proti takýmto zmenám vzniesť námietky pred zapojením ďalšieho sprostredkovateľa. Dovozca údajov poskytne prevádzkovateľovi informácie, na základe ktorých môže uplatniť svoje právo namietať. Dovozca údajov informuje vývozcu údajov o zapojení ďalšieho sprostredkovateľa.

b) Ak dovozca údajov zapojí ďalšieho sprostredkovateľa do vykonávania konkrétnych spracovateľských činností (v mene prevádzkovateľa), urobí to na základe písomnej zmluvy, v ktorej sa v podstate stanovujú rovnaké povinnosti v oblasti ochrany údajov ako sú tie, ktoré má dovozca údajov podľa týchto doložiek, a to aj pokiaľ ide o práva oprávnenej tretej strany v prípade dotknutých osôb. (9) Zmluvné strany vyhlasujú, že splnením povinností v zmysle tejto doložky si dovozca údajov zároveň splní aj povinnosti v zmysle doložky 8.8. Dovozca údajov zabezpečí, aby ďalší sprostredkovateľ dodržiaval povinnosti, ktoré sa podľa týchto doložiek vzťahujú na dovozcu údajov.

c) Dovozca údajov poskytne vývozcovi údajov na jeho žiadosť alebo na žiadosť prevádzkovateľa kópiu dohody s ďalším sprostredkovateľom, ako aj neskorších zmien tejto dohody V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môže dovozca údajov pred poskytnutím kópie tejto dohody odstrániť časti jej textu.

d) Dovozca údajov naďalej v plnom rozsahu zodpovedá vývozcovi údajov za plnenie povinností ďalšieho sprostredkovateľa podľa zmluvy, ktorú uzatvoril s dovozcom údajov. Dovozca údajov zašle vývozcovi údajov oznámenie o každom porušení povinností ďalšieho sprostredkovateľa v zmysle uvedenej zmluvy.

e) Dovozca údajov sa dohodne s ďalším sprostredkovateľom na doložke o oprávnenosti tretej strany, podľa ktorej má vývozca údajov v prípade, že dovozca údajov fakticky zanikol, prestal podľa práva existovať alebo sa stal insolventným, právo vypovedať zmluvu s ďalším sprostredkovateľom a ďalšiemu sprostredkovateľovi dať pokyn, aby osobné údaje vymazal alebo vrátil.

Doložka 10 Práva dotknutých osôb

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

a) Dovozca údajov sa prípadne s pomocou vývozcu údajov zaoberá všetkými otázkami a žiadosťami, ktoré dostane od dotknutej osoby a ktoré sa týkajú spracúvania jej osobných údajov a uplatňovania jej práv podľa týchto doložiek, a to bez zbytočného odkladu a najneskôr do jedného mesiaca od prijatia predmetnej otázky alebo žiadosti. (10) Dovozca údajov prijme vhodné opatrenia na uľahčenie týchto otázok, žiadostí a uplatňovania práv dotknutej osoby. Všetky informácie poskytnuté dotknutej osobe musia byť v zrozumiteľnej a ľahko dostupnej forme, pričom musia byť formulované jasne a jednoducho.

b) Na žiadosť dotknutej osoby dovozca údajov predovšetkým bezplatne:

i) poskytne dotknutej osobe potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú; ak áno, kópiu údajov, ktoré sa jej týkajú, a informácie v prílohe I; ak osobné údaje boli alebo budú následne prenášané, poskytne informácie o príjemcoch alebo kategóriách príjemcov (podľa potreby s cieľom poskytnúť zmysluplné informácie), ktorým osobné údaje boli alebo budú následne prenášané, účel takýchto následných prenosov a ich dôvod podľa doložky 8.7; a poskytne informácie o práve podať sťažnosť dozornému orgánu v súlade s doložkou 12 písm. c) bodom i);

ii) opraví nesprávne alebo neúplné údaje týkajúce sa dotknutej osoby;

iii) vymaže osobné údaje týkajúce sa dotknutej osoby, ak sa takéto údaje spracúvajú alebo spracúvali v rozpore s doložkami, ktorých cieľom je zabezpečiť práva oprávnenej tretej strany, alebo ak dotknutá osoba odvolá súhlas, na ktorom je spracúvanie založené.

c) Ak dovozca údajov spracúva osobné údaje na účely priameho marketingu, spracúvanie na tieto účely ukončí, ak dotknutá osoba proti tomu namieta.

d) Dovozca údajov nie je oprávnený založiť rozhodnutie len na automatizovanom spracúvaní prenášaných osobných údajov (ďalej len „automatizované rozhodnutie“), ktoré by vyvolávalo právne účinky týkajúce sa dotknutej osoby alebo by ju podobne významne ovplyvňovalo, okrem prípadu, že by s tým dotknutá osoba výslovne súhlasila alebo dovozca údajov má na to oprávnenie podľa právnych predpisov krajiny určenia, pokiaľ sa v týchto právnych predpisoch stanovujú vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby. V takom prípade je dovozca údajov samostatne alebo v spolupráci s vývozcom údajov povinný:

i) informovať dotknutú osobu o zamýšľanom automatizovanom rozhodnutí a dôsledkoch, ako aj o súvisiacej logike, a

ii) zaviesť vhodné záruky, a to aspoň tak, že sa dotknutej osobe umožní napadnúť predmetné rozhodnutie, vyjadriť svoj názor a dosiahnuť preskúmanie človekom.

e) Ak sú žiadosti dotknutej osoby neprimerané najmä z dôvodu ich opakujúcej sa povahy, dovozca údajov môže buď vyúčtovať primeraný poplatok zohľadňujúci administratívne náklady v súvislosti s vybavením žiadosti, alebo žiadosť odmietnuť.

f) Dovozca údajov môže žiadosť dotknutej osoby zamietnuť, ak takéto zamietnutie povoľujú právne predpisy krajiny určenia, pričom je to nevyhnutné a primerané v demokratickej spoločnosti na ochranu jedného z cieľov uvedených v článku 23 ods. 1 nariadenia (EÚ) 2016/679.

g) Ak má dovozca údajov v úmysle zamietnuť žiadosť dotknutej osoby, informuje dotknutú osobu o dôvodoch zamietnutia a možnosti podať sťažnosť príslušnému dozornému orgánu a/alebo domáhať sa nápravy na súde.

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

a) Dovozca údajov bezodkladne oznámi vývozcovi údajov každú žiadosť, ktorú dostal od dotknutej osoby. Na túto žiadosť nie je oprávnený sám reagovať, pokiaľ mu to vývozca údajov nepovolil.

b) Dovozca údajov pomáha vývozcovi údajov pri plnení povinnosti reagovať na žiadosti dotknutých osôb o výkon ich práv podľa nariadenia (EÚ) 2016/679. V tejto súvislosti zmluvné strany stanovia v prílohe II vhodné technické a organizačné opatrenia na poskytnutie pomoci, ako aj rozsah potrebnej pomoci, a to s ohľadom na povahu spracúvania.

c) Dovozca údajov dodržiava pri plnení svojich povinností podľa písmen a) a b) pokyny vývozcu údajov

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

a) Dovozca údajov bezodkladne oznámi vývozcovi údajov a v prípade potreby aj prevádzkovateľovi každú žiadosť, ktorú dostal od dotknutej osoby, a to bez toho, aby na ňu reagoval, pokiaľ na to nebol poverený prevádzkovateľom.

b) Dovozca údajov v prípade potreby v spolupráci s vývozcom údajov pomáha prevádzkovateľovi pri plnení povinnosti reagovať na žiadosti dotknutých osôb o výkon ich práv podľa nariadenia (EÚ) 2016/679, prípadne nariadenia (EÚ) 2018/1725. V tejto súvislosti zmluvné strany stanovia v prílohe II vhodné technické a organizačné opatrenia na poskytnutie pomoci, ako aj rozsah potrebnej pomoci, a to s ohľadom na povahu spracúvania.

c) Dovozca údajov dodržiava pri plnení svojich povinností podľa písmen a) a b) pokyny prevádzkovateľa, ktoré mu oznámil vývozca údajov.

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

Zmluvné strany si navzájom poskytujú pomoc pri reagovaní na otázky a žiadosti dotknutých osôb podľa miestneho práva uplatniteľného na dovozcu údajov alebo v prípade spracúvania údajov vývozcom údajov v EÚ podľa nariadenia (EÚ) 2016/679.

Doložka 11 Náprava

a) Dovozca údajov informuje dotknuté osoby v transparentnom a ľahko dostupnom formáte prostredníctvom individuálneho oznámenia alebo na svojom webovom sídle o kontaktnom mieste, ktoré je oprávnené vybavovať sťažnosti. Bezodkladne sa zaoberá všetkými sťažnosťami, ktoré dostane od dotknutej osoby.

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

b) V prípade sporu medzi dotknutou osobou a jednou zo zmluvných strán, ktorý sa týka dodržiavania ustanovení týchto doložiek, vynaloží táto zmluvná strana maximálne úsilie na rýchle vyriešenie sporu formou zmieru. Zmluvné strany sa navzájom informujú o takýchto sporoch a v prípade potreby spolupracujú na ich riešení.

c) Ak sa dotknutá osoba odvoláva na právo oprávnenej tretej strany podľa doložky 3, dovozca údajov akceptuje rozhodnutie dotknutej osoby:

i) podať sťažnosť dozornému orgánu v členskom štáte svojho obvyklého pobytu alebo miesta výkonu práce, alebo príslušnému dozornému orgánu podľa doložky 13;

ii) postúpiť spor príslušným súdom v zmysle doložky 18.

d) Zmluvné strany súhlasia s tým, aby dotknutú osobu zastupoval neziskový subjekt, organizácia alebo združenie za podmienok stanovených v článku 80 ods. 1 nariadenia (EÚ) 2016/679.

e) Dovozca údajov je povinný riadiť sa rozhodnutím, ktoré je záväzné podľa platných právnych predpisov EÚ alebo členského štátu.

f) Dovozca údajov vyjadruje súhlas s tým, že rozhodnutie dotknutej osoby nebude mať vplyv na jej hmotné a procesné práva domáhať sa nápravy v súlade s platnými právnymi predpismi.

Doložka 12 Zodpovednosť

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

a) Každá zmluvná strana je zodpovedná voči druhej zmluvnej strane za akúkoľvek ujmu, ktorú jej spôsobí v dôsledku porušenia týchto doložiek.

b) Každá zmluvná strana je zodpovedná voči dotknutej osobe za akúkoľvek majetkovú alebo nemajetkovú ujmu, ktorú spôsobí dotknutej osobe porušením práv oprávnenej tretej strany podľa týchto doložiek, pričom dotknutá osoba má nárok na náhradu uvedenej ujmy. Tým nie je dotknutá zodpovednosť vývozcu údajov podľa nariadenia (EÚ) 2016/679.

c) Ak je za ujmu spôsobenú dotknutej osobe v dôsledku porušenia týchto doložiek zodpovedná viac ako jedna zmluvná strana, tieto zmluvné strany zodpovedajú spoločne a nerozdielne, pričom dotknutá osoba je oprávnená podať žalobu na súd proti ktorejkoľvek z týchto zmluvných strán.

d) Zmluvné strany sa dohodli, že v prípade, keď nesie zodpovednosť podľa písmena c) jedna zmluvná strana, je oprávnená žiadať od druhej zmluvnej strany vrátenie časti náhrady vyjadrujúcej jej zodpovednosť za ujmu.

e) Dovozca údajov sa nemôže odvolávať na konanie sprostredkovateľa alebo ďalšieho sprostredkovateľa s cieľom zbaviť sa svojej vlastnej zodpovednosti.

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

a) Každá zmluvná strana je zodpovedná voči druhej zmluvnej strane za akúkoľvek ujmu, ktorú jej spôsobí v dôsledku porušenia týchto doložiek.

b) Dovozca údajov je zodpovedný voči dotknutej osobe za akúkoľvek majetkovú alebo nemajetkovú ujmu, ktorú spôsobí on sám alebo ďalší sprostredkovateľ dotknutej osobe porušením práv oprávnenej tretej strany podľa týchto doložiek, pričom dotknutá osoba má nárok na náhradu uvedenej ujmy.

c) Bez ohľadu na písmeno b) je vývozca údajov zodpovedný voči dotknutej osobe za akúkoľvek majetkovú alebo nemajetkovú ujmu, ktorú on sám alebo dovozca údajov (prípadne ďalší sprostredkovateľ) spôsobí dotknutej osobe porušením práv oprávnenej tretej strany podľa týchto doložiek, pričom dotknutá osoba má nárok na náhradu uvedenej ujmy. Tým nie je dotknutá zodpovednosť vývozcu údajov a v prípade, že vývozca údajov je sprostredkovateľom konajúcim v mene prevádzkovateľa, ani zodpovednosť prevádzkovateľa podľa nariadenia (EÚ) 2016/679, prípadne nariadenia (EÚ) 2018/1725.

d) Zmluvné strany sa dohodli, že v prípade, keď nesie zodpovednosť za ujmu spôsobenú dovozcom údajov (alebo ďalším sprostredkovateľom) podľa písmena c) vývozca údajov, je oprávnený žiadať od dovozcu údajov vrátenie časti náhrady vyjadrujúcej jeho zodpovednosť za ujmu.

e) Ak je za ujmu spôsobenú dotknutej osobe v dôsledku porušenia týchto doložiek zodpovedná viac ako jedna zmluvná strana, tieto zmluvné strany zodpovedajú spoločne a nerozdielne, pričom dotknutá osoba je oprávnená podať žalobu na súd proti ktorejkoľvek z týchto zmluvných strán.

f) Zmluvné strany sa dohodli, že v prípade, keď nesie zodpovednosť jedna zmluvná strana podľa písmena e), je oprávnená žiadať od druhej zmluvnej strany vrátenie časti náhrady vyjadrujúcej jej zodpovednosť za ujmu.

g) Dovozca údajov sa nemôže odvolávať na konanie ďalšieho sprostredkovateľa s cieľom zbaviť sa svojej vlastnej zodpovednosti.

Doložka 13 Dohľad

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

a) [Ak je vývozca údajov usadený v členskom štáte EÚ:] Dozorný orgán zodpovedný za zabezpečenie toho, aby vývozca údajov dodržiaval ustanovenia nariadenia (EÚ) 2016/679 v oblasti prenosu údajov podľa prílohy I časti C, má postavenie príslušného dozorného orgánu.

[Ak vývozca údajov nie je usadený v členskom štáte EÚ, ale patrí do územnej pôsobnosti nariadenia (EÚ) 2016/679 v súlade s článkom 3 ods. 2, pričom určí zástupcu podľa článku 27 ods. 1 nariadenia (EÚ) 2016/679:] Dozorný orgán členského štátu, v ktorom je podľa prílohy I časti C usadený zástupca v zmysle článku 27 ods. 1 nariadenia (EÚ) 2016/679, má postavenie príslušného dozorného orgánu.

[Ak vývozca údajov nie je usadený v členskom štáte EÚ, ale patrí do územnej pôsobnosti nariadenia (EÚ) 2016/679 v súlade s článkom 3 ods. 2 bez toho, aby musel určiť zástupcu podľa článku 27 ods. 2 nariadenia (EÚ) 2016/679:] Dozorný orgán jedného z členských štátov, v ktorom sa nachádzajú dotknuté osoby, ktorých osobné údaje sa prenášajú v súlade s týmito doložkami v súvislosti s tovarom alebo službami, ktoré sa im ponúkajú, alebo ktorých správanie sa monitoruje, ako sa to uvádza v prílohe I časti C, má postavenie príslušného dozorného orgánu.

b) Dovozca údajov sa zaväzuje, že sa podriadi jurisdikcii príslušného dozorného orgánu a bude s ním spolupracovať v rámci akýchkoľvek konaní, ktorých cieľom je zabezpečiť dodržiavanie týchto doložiek. Dovozca údajov sa najmä zaväzuje reagovať na otázky, podriadiť sa auditom a konať v súlade s opatreniami prijatými dozorným orgánom vrátane nápravných a kompenzačných opatrení. Dozornému orgánu poskytne písomné potvrdenie, že boli prijaté potrebné opatrenia.

ODDIEL III – MIESTNE PRÁVNE PREDPISY A POVINNOSTI V PRÍPADE PRÍSTUPU ORGÁNOV VEREJNEJ MOCI

Doložka 14 Miestne právne predpisy a prax, ktoré majú vplyv na dodržiavanie doložiek

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi (ak sprostredkovateľ v EÚ kombinuje osobné údaje prijaté od prevádzkovateľa z tretej krajiny s osobnými údajmi, ktoré získal sprostredkovateľ v EÚ)

a) Zmluvné strany vyhlasujú, že nemajú žiadny dôvod považovať právne predpisy a prax v tretej krajine určenia, pokiaľ ide o spracúvanie osobných údajov dovozcom údajov vrátane akýchkoľvek požiadaviek na poskytovanie osobných údajov alebo opatrení, ktorými sa povoľuje prístup orgánov verejnej moci, za prekážku, ktorá by bránila dovozcovi údajov v plnení jeho povinností vyplývajúcich z týchto doložiek. Uvedené vychádza z výkladu, podľa ktorého právne predpisy a prax, ktoré rešpektujú podstatu základných práv a slobôd a neprekračujú rámec toho, čo je nevyhnutné a primerané v demokratickej spoločnosti na zabezpečenie jedného z cieľov uvedených v článku 23 ods. 1 nariadenia (EÚ) 2016/679, nie sú v rozpore s týmito doložkami.

b) Zmluvné strany deklarujú, že v súvislosti s vyhlásením v písmene a) náležite zohľadnili najmä tieto prvky:

i) osobitné okolnosti prenosu vrátane dĺžky spracovateľského reťazca, počtu zapojených aktérov a použitých prenosových kanálov; zamýšľané následné prenosy; typ príjemcu; účel spracúvania; kategórie a formát prenášaných osobných údajov; odvetvie hospodárstva, v ktorom sa prevod uskutočňuje; miesto uchovávania prenášaných údajov;

ii) právne predpisy a prax tretej krajiny určenia – vrátane tých, podľa ktorých sa vyžaduje poskytovanie údajov orgánom verejnej moci alebo povoľuje prístup týchto orgánov, – ktoré sú relevantné vzhľadom na osobitné okolnosti prenosu, ako aj uplatniteľné obmedzenia a záruky (12);

iii) všetky príslušné zmluvné, technické alebo organizačné záruky zavedené na doplnenie záruk podľa týchto doložiek vrátane opatrení uplatňovaných počas prenosu a spracúvania osobných údajov v krajine určenia.

c) Dovozca údajov vyhlasuje, že pri vykonávaní posúdenia podľa písmena b) vynaložil maximálne úsilie na to, aby poskytol vývozcovi údajov relevantné informácie, a zaväzuje sa naďalej spolupracovať s vývozcom údajov tak, aby sa zabezpečilo dodržiavanie týchto doložiek.

d) Zmluvné strany sa zaväzujú zdokumentovať posúdenie podľa písmena b) a na požiadanie túto dokumentáciu sprístupniť príslušnému dozornému orgánu.

e) Dovozca údajov sa zaväzuje bezodkladne oznámiť vývozcovi údajov, či má po vyjadrení súhlasu s týmito doložkami počas trvania zmluvy dôvod domnievať sa, že sa na neho vzťahujú alebo začali vzťahovať právne predpisy alebo prax, ktoré nie sú v súlade s požiadavkami podľa písmena a), a to aj po zmene právnych predpisov tretej krajiny alebo prijatí opatrenia (ako je žiadosť o poskytnutie údajov) týkajúceho sa uplatnenia takýchto právnych predpisov v praxi, ktoré nie je v súlade s požiadavkami podľa písmena a). [V prípade modulu č. 3: Vývozca údajov postúpi oznámenie prevádzkovateľovi.] Vývozca údajov postúpi oznámenie prevádzkovateľovi.]

f) V nadväznosti na oznámenie podľa písmena e) alebo ak má vývozca údajov inak dôvod domnievať sa, že dovozca údajov už nemôže plniť svoje povinnosti podľa týchto doložiek, vývozca údajov bezodkladne určí vhodné opatrenia (napríklad technické alebo organizačné opatrenia na zaistenie bezpečnosti a dôvernosti), ktoré má prijať vývozca údajov a/alebo dovozca údajov na riešenie situácie [v prípade modulu č. 3: v prípade potreby po konzultácii s prevádzkovateľom]. Vývozca údajov preruší prenos údajov, ak sa domnieva, že nie je možné zabezpečiť primerané záruky pre takýto prenos, alebo ak mu dá na to pokyn [v prípade modulu č. 3: prevádzkovateľ alebo] príslušný dozorný orgán. V takom prípade je vývozca údajov oprávnený vypovedať zmluvu, pokiaľ ide o spracúvanie osobných údajov podľa týchto doložiek. Ak má zmluva viac ako dve zmluvné strany, vývozca údajov ju môže vypovedať len vo vzťahu k príslušnej zmluvnej strane, pokiaľ sa zmluvné strany nedohodli inak. V prípade vypovedania zmluvy podľa tejto doložky sa uplatní doložka 16 písm. d) a e).

Doložka 15 Povinnosti dovozcu údajov v prípade prístupu orgánov verejnej moci

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi(ak sprostredkovateľ v EÚ kombinuje osobné údaje prijaté od prevádzkovateľa z tretej krajiny s osobnými údajmi, ktoré získal sprostredkovateľ v EÚ)

15.1. Oznámenie

a) Dovozca údajov sa zaväzuje bezodkladne zaslať oznámenie vývozcovi údajov a prípadne dotknutej osobe (v prípade potreby s pomocou vývozcu údajov), ak:

i) dostane právne záväznú žiadosť od orgánu verejnej moci vrátane súdnych orgánov podľa právnych predpisov krajiny určenia o poskytnutie osobných údajov prenášaných podľa týchto doložiek; takéto oznámenie obsahuje informácie o požadovaných osobných údajoch, žiadajúcom orgáne, právnom základe žiadosti a poskytnutej odpovedi; alebo

ii) sa dozvie o akomkoľvek priamom prístupe orgánov verejnej moci k osobným údajom prenášaným podľa týchto doložiek v súlade s právnymi predpismi krajiny určenia; takéto oznámenie obsahuje všetky informácie, ktoré má dovozca k dispozícii.

[V prípade modulu č. 3: Vývozca údajov postúpi oznámenie prevádzkovateľovi.]

b) Ak sa dovozcovi údajov zakazuje podľa právnych predpisov krajiny určenia zaslať oznámenie vývozcovi údajov a/alebo dotknutej osobe, dovozca údajov sa zaväzuje vynaložiť maximálne úsilie na získanie výnimky zo zákazu s cieľom oznámiť čo najviac informácií a čo najskôr. Dovozca údajov sa zaväzuje zdokumentovať svoje maximálne úsilie tak, aby ho mohol na žiadosť vývozcu údajov preukázať.

c) Ak to právne predpisy krajiny určenia umožňujú, dovozca údajov sa zaväzuje, že počas trvania zmluvy bude vývozcovi údajov v pravidelných intervaloch poskytovať čo najviac relevantných informácií o prijatých žiadostiach (najmä počet žiadostí, druh požadovaných údajov, žiadajúci orgán, či boli žiadosti napadnuté a výsledok súvisiacich konaní atď.). [V prípade modulu č. 3: Vývozca údajov postúpi informáciu prevádzkovateľovi.]

d) Dovozca údajov sa zaväzuje, že informácie podľa písmen a) až c) uchová počas trvania zmluvy a na požiadanie ich sprístupní príslušnému dozornému orgánu.

e) Písmená a) až c) sa uplatňujú bez toho, aby bola dotknutá povinnosť dovozcu údajov podľa doložky 14 písm. e) a doložky 16, a to bezodkladne informovať vývozcu údajov, ak nie je schopný konať v súlade s týmito doložkami.

15.2. Preskúmanie zákonnosti a minimalizácia údajov

a) Dovozca údajov sa zaväzuje preskúmať zákonnosť žiadosti o poskytnutie údajov, najmä či je zachovaná právomoc žiadajúceho orgánu verejnej moci, a žiadosť napadnúť, ak po dôkladnom posúdení dospeje k záveru, že existujú opodstatnené dôvody domnievať sa, že žiadosť je nezákonná podľa právnych predpisov krajiny určenia, platných záväzkov podľa medzinárodného práva a zásad ústretovosti v medzinárodných vzťahoch. Dovozca údajov je za rovnakých podmienok povinný využívať možnosti odvolania. Pri napadnutí žiadosti dovozca údajov navrhne nariadenie predbežných opatrení s cieľom pozastaviť účinky žiadosti dovtedy, kým príslušný súdny orgán nerozhodne vo veci samej. Požadované osobné údaje poskytne až vtedy, keď je na to povinný podľa platných procesných pravidiel. Týmito požiadavkami nie sú dotknuté povinnosti dovozcu údajov podľa doložky 14 písm. e).

b) Dovozca údajov sa zaväzuje zdokumentovať príslušné právne posúdenie, ako aj akékoľvek napadnutie žiadosti o poskytnutie údajov, a v rozsahu povolenom právnymi predpismi krajiny určenia sprístupní dokumentáciu vývozcovi údajov Na požiadanie sprístupní túto dokumentáciu aj príslušnému dozornému orgánu. [V prípade modulu č. 3: Vývozca údajov sprístupní posúdenie prevádzkovateľovi.]

c) Dovozca údajov sa zaväzuje, že v rámci odpovede na žiadosť o poskytnutie údajov poskytne minimálne dovolené množstvo informácií, a to na základe primeraného výkladu žiadosti.

ODDIEL IV – ZÁVEREČNÉ USTANOVENIA

Doložka 16 Nedodržanie doložiek a ukončenie platnosti

a) Dovozca údajov bezodkladne informuje vývozcu údajov, ak nie je schopný tieto pokyny z akéhokoľvek dôvodu dodržať.

b) V prípade, že dovozca údajov porušuje tieto doložky alebo nie je schopný plniť si povinnosti podľa týchto doložiek, vývozca údajov pozastaví prenos osobných údajov dovozcovi údajov, kým sa opäť nedosiahne súlad alebo nedôjde k ukončeniu platnosti zmluvy. Doložka 14 písm. f) tým nie je dotknutá.

c) Vývozca údajov je oprávnený vypovedať zmluvu v rozsahu, v akom sa týka spracúvania osobných údajov podľa týchto doložiek, ak:

i) vývozca údajov prerušil prenos osobných údajov dovozcovi údajov podľa písmena b) a dodržiavanie týchto doložiek sa neobnoví v primeranej lehote a v každom prípade do jedného mesiaca od prerušenia;

ii) dovozca údajov závažným alebo trvalým spôsobom porušuje tieto doložky; alebo

iii) dovozca údajov porušuje záväzné rozhodnutie príslušného súdu alebo dozorného orgánu, pokiaľ ide o jeho povinnosti podľa týchto doložiek.

V týchto prípadoch informuje o tomto porušení príslušný dozorný orgán [v prípade modulu č. 3: a prevádzkovateľa]. Ak má zmluva viac ako dve zmluvné strany, vývozca údajov ju môže vypovedať len vo vzťahu k príslušnej zmluvnej strane, pokiaľ sa zmluvné strany nedohodli inak.

d) [V prípade modulov č. 1, 2 a 3: Osobné údaje, ktoré boli prenesené pred vypovedaním zmluvy podľa písmena c), sa bezodkladne vrátia vývozcovi údajov alebo v celom rozsahu vymažú, a to podľa toho, pre ktorú z možností sa vývozca údajov rozhodne. To isté platí v prípade kópií údajov.] [V prípade modulu č. 4: Osobné údaje získané vývozcom údajov v EÚ, ktoré boli prenesené pred vypovedaním zmluvy podľa písmena c), sa bezodkladne v celom rozsahu vymažú, vrátane ich kópií.] Dovozca údajov vydá vývozcovi údajov potvrdenie o tom, že údaje boli vymazané. Dovozca údajov zabezpečuje dodržiavanie týchto doložiek dovtedy, kým nedôjde k vymazaniu alebo vráteniu údajov. Pokiaľ ide o miestne právne predpisy uplatniteľné na dovozcu údajov, ktorými sa zakazuje vrátenie alebo vymazanie prenesených osobných údajov, dovozca údajov vyhlasuje, že bude naďalej zabezpečovať súlad s týmito doložkami a údaje bude spracúvať len v takom rozsahu a tak dlho, ako to vyžaduje uvedené miestne právo.

e) Ktorákoľvek zo zmluvných strán môže odvolať svoj súhlas s tým, že bude viazaná týmito doložkami, ak i) Európska komisia prijme rozhodnutie podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 týkajúce sa prenosu osobných údajov, na ktoré sa vzťahujú tieto doložky, alebo ii) nariadenie (EÚ) 2016/679 sa stane súčasťou právneho rámca krajiny, do ktorej sa osobné údaje prenášajú. Tým nie sú dotknuté ostatné povinnosti vzťahujúce sa na predmetné spracúvanie podľa nariadenia (EÚ) 2016/679.

Doložka 17 Rozhodné právo

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

Tieto doložky sa riadia právom členského štátu Európskej únie, ak toto právo priznáva účinok právam oprávnenej tretej strany. Zmluvné strany sa dohodli, že toto bude právny poriadok ako je to definované v Podmienkach.

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

Tieto doložky sa riadia právom krajiny, ktoré priznáva účinok právam oprávnenej tretej strany. Zmluvné strany sa dohodli, že toto bude právny poriadok ako je to definované v Podmienkach.

Doložka 18 Voľba súdu a právomoci

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

a) Na rozhodovanie sporov vyplývajúcich z týchto doložiek sú príslušné súdy členského štátu EÚ.

b) Zmluvné strany sa dohodli, že týmito súdmi sú súdy ako je definované v Podmienkach.

c) Dotknutá osoba môže podať návrh na začatie konania proti vývozcovi údajov a/alebo dovozcovi údajov aj na súdoch členského štátu, v ktorom má obvyklý pobyt.

d) Zmluvné strany sa dohodli, že sa podriadia právomoci týchto súdov.

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

Na rozhodovanie sporov vyplývajúcich z týchto doložiek sú príslušné súdy ako je definované v Podmienkach.

DODATOK

VYSVETLIVKA: Musí byť možné jasne rozlišovať informácie uplatniteľné na jednotlivé prenosy alebo kategórie prenosov a v tomto ohľade identifikovať úlohy jednotlivých zmluvných strán v postavení vývozcov údajov a/alebo dovozcov údajov. V tomto ohľade nie je nevyhnutné, aby došlo k vyplneniu a podpisu osobitných dodatkov pre každý prevod/kategóriu prevodov a/alebo zmluvný vzťah, ak túto transparentnosť možno dosiahnuť prostredníctvom jedného dodatku. Ak je však potrebné zabezpečiť dostatočnú jasnosť, mali by sa použiť samostatné dodatky.

PRÍLOHA I

A. ZOZNAM ZMLUVNÝCH STRÁN

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

Vývozca údajov: [Totožnosť a kontaktné údaje vývozcu údajov a prípadne jeho zodpovednej osoby a/alebo zástupcu v Európskej únii]

1. Prevádzkovateľ v zmysle Dohody o spracúvaní údajov

2. Sprostredkovateľ v zmysle Dohody o spracúvaní údajov

(na základe toku údajov)

Dovozca údajov: [Totožnosť a kontaktné údaje dovozcu údajov vrátane akejkoľvek kontaktnej osoby zodpovednej za ochranu údajov]

1. Prevádzkovateľ v zmysle Dohody o spracúvaní údajov

2. Sprostredkovateľ v zmysle Dohody o spracúvaní údajov

(na základe toku údajov)

B. OPIS PRENOSU

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

MODUL č. 4: Prenos od sprostredkovateľa k prevádzkovateľovi

Kategórie dotknutých osôb, ktorých osobné údaje sa prenášajú: Ako je definované v Dohode o spracúvaní údajov.

Kategórie prenášaných osobných údajov: Ako je definované v Dohode o spracúvaní údajov a Zásadách ochrany osobných údajov.

Prenášané citlivé údaje (v relevantných prípadoch) a uplatňované obmedzenia alebo záruky, ktoré v plnej miere zohľadňujú povahu údajov a súvisiace riziká, ako napríklad prísne obmedzenie účelu, obmedzenia prístupu (vrátane prístupu len pre personál, ktorý absolvoval špecializovanú odbornú prípravu), vedenie záznamov o prístupe k údajom, obmedzenia následných prenosov alebo dodatočné bezpečnostné opatrenia: Ako je definované v Dohode o spracúvaní údajov a Zásadách ochrany osobných údajov.

Frekvencia prenosu (napríklad či sa údaje prenášajú jednorazovo alebo sústavne): Sústavný prenos.

Povaha spracúvania: Automatizovaná.

Účel prenosu a ďalšieho spracúvania údajov: Poskytovanie služby v zmysle Podmienok, ich príloh, Zásad ochrany osobných údajov a dokumentácie k službe.

Obdobie uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jeho určenie: Ako je definované v Dohode o spracúvaní údajov.

V prípade prevodov sprostredkovateľom alebo ďalším sprostredkovateľom uveďte aj predmet, povahu a trvanie spracúvania: Ako je definované v Dohode o spracúvaní údajov.

C. PRÍSLUŠNÝ DOZORNÝ ORGÁN

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

Uveďte príslušný dozorný orgán v súlade s doložkou 13: Ako je definované v Zásadách ochrany osobných údajov

PRÍLOHA II TECHNICKÉ A ORGANIZAČNÉ OPATRENIA VRÁTANE TECHNICKÝCH A ORGANIZAČNÝCH OPATRENÍ NA ZAISTENIE BEZPEČNOSTI ÚDAJOV

MODUL č. 1: Prenos od prevádzkovateľa k prevádzkovateľovi

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

VYSVETLIVKA: Technické a organizačné opatrenia treba opísať konkrétne, nie všeobecne. Pozri aj všeobecnú poznámku na prvej strane dodatku, najmä pokiaľ ide o potrebu jasne uviesť, ktoré opatrenia sa vzťahujú na konkrétny prevod/súbor presunov.

Opis technických a organizačných opatrení prijatých dovozcom údajov (vrátane všetkých príslušných certifikácií) s cieľom zabezpečiť primeranú úroveň bezpečnosti, pričom sa zohľadní povaha, rozsah, kontext a účel spracúvania, ako aj riziká pre práva a slobody fyzických osôb: Ako je definované v bezpečnostnej politike

V prípade prenosov sprostredkovateľom alebo ďalším sprostredkovateľom opíšte aj osobitné technické a organizačné opatrenia, ktoré má prijať sprostredkovateľ alebo ďalší sprostredkovateľ, aby mohol poskytnúť pomoc prevádzkovateľovi, a v prípade prenosov od sprostredkovateľa k ďalšiemu sprostredkovateľovi vývozcovi údajov

PRÍLOHA III ZOZNAM ĎALŠÍCH SPROSTREDKOVATEĽOV

MODUL č. 2: Prenos od prevádzkovateľa k sprostredkovateľovi

MODUL č. 3: Prenos od sprostredkovateľa k sprostredkovateľovi

VYSVETLIVKA: Túto prílohu je potrebné vyplniť v prípade modulov č. 2 a 3, pokiaľ ide o osobitné povolenie pre ďalších sprostredkovateľov [doložka 9 písm. a) možnosť 1].

Prevádzkovateľ povolil využitie týchto ďalších sprostredkovateľov: Ako je definované v Dohode o spracúvaní údajov

Odkazy:

(1) Ak je vývozca údajov sprostredkovateľom, na ktorého sa vzťahuje nariadenie (EÚ) 2016/679 a ktorý koná v mene inštitúcie alebo orgánu Únie ako prevádzkovateľ, tak uplatňovaním týchto doložiek sa pri zapojení iného sprostredkovateľa (ďalšie sprostredkovanie), na ktorého sa nevzťahuje nariadenie (EÚ) 2016/679, zabezpečuje aj súlad s článkom 29 ods. 4 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39), pokiaľ sú tieto doložky a povinnosti v oblasti ochrany údajov, ktoré sú stanovené v zmluve alebo inom právnom akte uzavretom medzi prevádzkovateľom a sprostredkovateľom podľa článku 29 ods. 3 nariadenia (EÚ) 2018/1725, vo vzájomnom súlade. Platí to najmä v prípade, keď sa prevádzkovateľ a sprostredkovateľ odvolávajú na štandardné zmluvné doložky uvedené v rozhodnutí 2021/915.

(2) Je teda nevyhnutné, aby boli údaje anonymizované tak, aby nikto nemohol jednotlivca identifikovať, ako sa to uvádza v odôvodnení 26 nariadenia (EÚ) 2016/679, pričom tento postup musí byť nezvratný.

(3) Dohodou o Európskom hospodárskom priestore (ďalej len „Dohoda o EHP“) sa vnútorný trh Európskej únie rozširuje o tri štáty EHP – Island, Lichtenštajnsko a Nórsko. Na právne predpisy Únie v oblasti ochrany osobných údajov vrátane nariadenia (EÚ) 2016/679 sa vzťahuje Dohoda o EHP a tieto predpisy boli začlenené do prílohy XI k tejto dohode. Preto akékoľvek poskytnutie údajov zo strany dovozcu údajov tretej strane nachádzajúcej sa v EHP sa na účely týchto doložiek nepovažuje za následný prenos.

(4) Dohodou o Európskom hospodárskom priestore (ďalej len „Dohoda o EHP“) sa vnútorný trh Európskej únie rozširuje o tri štáty EHP – Island, Lichtenštajnsko a Nórsko. Na právne predpisy Únie v oblasti ochrany osobných údajov vrátane nariadenia (EÚ) 2016/679 sa vzťahuje Dohoda o EHP a tieto predpisy boli začlenené do prílohy XI k tejto dohode. Preto akékoľvek poskytnutie údajov zo strany dovozcu údajov tretej strane nachádzajúcej sa v EHP sa na účely týchto doložiek nepovažuje za následný prenos.

(5) Pozri článok 28 ods. 4 nariadenia (EÚ) 2016/679 a v prípade, že prevádzkovateľom je inštitúcia alebo orgán EÚ, článok 29 ods. 4 nariadenia (EÚ) 2018/1725.

(6) Dohodou o Európskom hospodárskom priestore (ďalej len „Dohoda o EHP“) sa vnútorný trh Európskej únie rozširuje o tri štáty EHP – Island, Lichtenštajnsko a Nórsko. Na právne predpisy Únie v oblasti ochrany osobných údajov vrátane nariadenia (EÚ) 2016/679 sa vzťahuje Dohoda o EHP a tieto predpisy boli začlenené do prílohy XI k tejto dohode. Preto akékoľvek poskytnutie údajov zo strany dovozcu údajov tretej strane nachádzajúcej sa v EHP sa na účely týchto doložiek nepovažuje za následný prenos.

(7) Vrátane toho, či prenos a ďalšie spracúvanie zahŕňajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické alebo biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života či sexuálnej orientácie osoby, alebo údaje týkajúce sa odsúdenia za trestné činy.

(8) Túto požiadavku môže ďalší sprostredkovateľ, ktorý pristupuje k týmto doložkám v súlade s príslušným modulom, splniť podľa doložky 7.

(9) Túto požiadavku môže ďalší sprostredkovateľ, ktorý pristupuje k týmto doložkám v súlade s príslušným modulom, splniť podľa doložky 7.

(10) Túto lehotu možno predĺžiť najviac o dva mesiace, a to v nevyhnutnom rozsahu a s ohľadom na zložitosť a počet žiadostí. Dovozca údajov náležite a bezodkladne informuje dotknutú osobu o každom takomto predĺžení.

(11) Dovozca údajov môže ponúknuť nezávislé riešenie sporov na rozhodcovskom orgáne len vtedy, ak je usadený v krajine, ktorá ratifikovala Newyorský dohovor o výkone rozhodcovských rozhodnutí.

(12) Pokiaľ ide o vplyv týchto právnych predpisov a praxe na dodržiavanie týchto doložiek, v rámci celkového posúdenia možno zohľadniť rôzne prvky. Medzi tieto prvky možno zahrnúť relevantné a zdokumentované praktické skúsenosti s predchádzajúcimi prípadmi žiadostí orgánov verejnej moci o poskytnutie údajov alebo neexistenciu takýchto žiadostí, ktoré sa vzťahujú na dostatočne reprezentatívny časový rámec. Ide najmä o interné záznamy alebo inú dokumentáciu, ktoré boli vypracúvané priebežne v súlade s náležitou starostlivosťou a certifikované na úrovni vyššieho manažmentu, ak možno tieto informácie zákonne poskytovať tretím stranám. Pokiaľ možno na základe týchto praktických skúseností dospieť k záveru, že dovozcovi údajov nič nebráni v dodržiavaní týchto doložiek, treba uviesť aj ďalšie relevantné objektívne prvky, pričom zmluvným stranám prináleží dôkladne posúdiť, či tieto prvky ako celok majú dostatočnú váhu na podporu tohto záveru, pokiaľ ide o ich spoľahlivosť a reprezentatívnosť. Zmluvné strany musia predovšetkým prihliadnuť na to, či sú ich praktické skúsenosti potvrdené, a teda nie v rozpore s verejnými alebo inak dostupnými a spoľahlivými informáciami o existencii alebo neexistencii žiadostí v rámci toho istého odvetvia a/alebo uplatňovaním právnych predpisov v praxi, ako je napríklad judikatúra a správy nezávislých orgánov dohľadu.