ISSN 1977-0626
Úřední věstník
Evropské unie
L 199
České vydání
Právní předpisy
Ročník 64
7. června 2021
|
ISSN 1977-0626 |
||
|
Úřední věstník Evropské unie |
L 199 |
|
|
|
||
|
České vydání |
Právní předpisy |
Ročník 64 |
|
|
|
|
|
(1) Text s významem pro EHP. |
|
CS |
Akty, jejichž název není vytištěn tučně, se vztahují ke každodennímu řízení záležitostí v zemědělství a obecně platí po omezenou dobu. Názvy všech ostatních aktů jsou vytištěny tučně a předchází jim hvězdička. |
II Nelegislativní akty
NAŘÍZENÍ
|
7.6.2021 |
CS |
Úřední věstník Evropské unie |
L 199/1 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2021/909
ze dne 31. května 2021
o zařazení určitého zboží do kombinované nomenklatury
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 952/2013 ze dne 9. října 2013, kterým se stanoví celní kodex Unie (1), a zejména na čl. 57 odst. 4 a čl. 58 odst. 2 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Aby se zajistilo jednotné používání kombinované nomenklatury připojené k nařízení Rady (EHS) č. 2658/87 (2), je nutné přijmout opatření týkající se zařazení zboží uvedeného v příloze tohoto nařízení. |
|
(2) |
Nařízení (EHS) č. 2658/87 stanovilo pro výklad kombinované nomenklatury všeobecná pravidla. Tato pravidla se používají i pro jakoukoliv jinou nomenklaturu, která je na kombinované nomenklatuře zcela či zčásti založena nebo která k ní přidává jakékoli další členění a která je stanovena zvláštními předpisy Unie s ohledem na uplatňování sazebních a jiných opatření týkajících se obchodu se zbožím. |
|
(3) |
Podle zmíněných všeobecných pravidel by mělo být zboží popsané ve sloupci 1 tabulky obsažené v příloze zařazeno do kódu KN uvedeného ve sloupci 2, vzhledem k důvodům uvedeným ve sloupci 3 této tabulky. |
|
(4) |
Je vhodné umožnit, aby držitel mohl závazné informace o sazebním zařazení zboží dotčeného tímto nařízením, které nejsou v souladu s tímto nařízením, nadále používat po určitou dobu podle čl. 34 odst. 9 nařízení (EU) č. 952/2013. Tato doba by měla být stanovena na tři měsíce. |
|
(5) |
Opatření stanovená tímto nařízením jsou v souladu se stanoviskem Výboru pro celní kodex, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Zboží popsané ve sloupci 1 tabulky obsažené v příloze se zařazuje v rámci kombinované nomenklatury do kódu KN uvedeného ve sloupci 2 této tabulky.
Článek 2
Závazné informace o sazebním zařazení zboží, které nejsou v souladu s tímto nařízením, mohou být nadále používány podle ustanovení čl. 34 odst. 9 nařízení (EU) č. 952/2013 po dobu tří měsíců ode dne vstupu tohoto nařízení v platnost.
Článek 3
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 31. května 2021.
Za Komisi,
jménem předsedkyně,
Gerassimos THOMAS
generální ředitel
Generální ředitelství pro daně a celní unii
(1) Úř. věst. L 269, 10.10.2013, s. 1.
(2) Nařízení Rady (EHS) č. 2658/87 ze dne 23. července 1987 o celní a statistické nomenklatuře a o společném celním sazebníku (Úř. věst. L 256, 7.9.1987, s. 1).
PŘÍLOHA
|
Popis zboží |
Zařazení (kód KN) |
Odůvodnění |
|
(1) |
(2) |
(3) |
|
Jedná se o pružný výrobek (tzv. vodní nudle) vyrobený z lehčených plastů (plastové pěny), ve tvaru duté trubky o délce přibližně 1 m a průměru přibližně 8 cm. Výrobek plave na vodě a je určen k použití jako plovací pomůcka. Pro tento účel vyhovuje evropské normě pro plovací pomůcky pro výuku plavání (EN 13138-2:2014). Výrobek rovněž absorbuje nárazy a tepelně izoluje. Viz obrázky (*1) |
3926 90 97 |
Zařazení se zakládá na všeobecných pravidlech 1 a 6 pro výklad kombinované nomenklatury a na znění kódů KN 3926 , 3926 90 a 3926 90 97 . Zařazení do čísla 9506 jako výrobky a potřeby pro tělesné cvičení, gymnastiku, atletiku nebo jiné sporty nebo hry pod širým nebem je vyloučeno, jelikož výrobek má jednoduchý a běžný tvar, a není proto rozpoznatelný jako výrobek určený k tělesnému cvičení nebo sportu čísla 9506 , a to i přesto, že díky své plovací schopnosti vyhovuje normě pro plovací pomůcky pro výuku plavání. Jednoduchý tvar a běžný materiál rovněž umožňuje výrobek používat pro různé účely (například jako ochranné prostředky pohlcující nárazy, které se omotávají kolem sloupů, prostředky pro tepelnou izolaci, kterými se omotávají trubky, zábavné předměty pro děti). Zařazení výrobku do čísla 9503 jako ostatní hračky je též vyloučeno, jelikož výrobek s ohledem na jeho design nelze jasně rozpoznat jako výrobek určený pro zábavu dětí nebo dospělých. V důsledku toho se výrobek zařazuje podle základního materiálu (plasty). Výrobek je proto třeba zařadit do kódu KN 3926 90 97 jako ostatní výrobky z plastů. |
(*1) Fotografie slouží pouze pro informaci.
|
7.6.2021 |
CS |
Úřední věstník Evropské unie |
L 199/4 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2021/910
ze dne 31. května 2021
o zařazení určitého zboží do kombinované nomenklatury
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 952/2013 ze dne 9. října 2013, kterým se stanoví celní kodex Unie (1), a zejména na čl. 57 odst. 4 a čl. 58 odst. 2 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Aby se zajistilo jednotné používání kombinované nomenklatury připojené k nařízení Rady (EHS) č. 2658/87 (2), je nutné přijmout opatření týkající se zařazení zboží uvedeného v příloze tohoto nařízení. |
|
(2) |
Nařízení (EHS) č. 2658/87 stanovilo pro výklad kombinované nomenklatury všeobecná pravidla. Tato pravidla se používají i pro jakoukoliv jinou nomenklaturu, která je na kombinované nomenklatuře zcela či zčásti založena nebo která k ní přidává jakékoli další členění a která je stanovena zvláštními předpisy Unie s ohledem na uplatňování sazebních a jiných opatření týkajících se obchodu se zbožím. |
|
(3) |
Podle zmíněných všeobecných pravidel by mělo být zboží popsané ve sloupci 1 tabulky obsažené v příloze zařazeno do kódu KN uvedeného ve sloupci 2, vzhledem k důvodům uvedeným ve sloupci 3 této tabulky. |
|
(4) |
Je vhodné umožnit, aby držitel mohl závazné informace o sazebním zařazení zboží dotčeného tímto nařízením, které nejsou v souladu s tímto nařízením, nadále používat po určitou dobu podle čl. 34 odst. 9 nařízení (EU) č. 952/2013. Tato doba by měla být stanovena na tři měsíce. |
|
(5) |
Opatření stanovená tímto nařízením jsou v souladu se stanoviskem Výboru pro celní kodex, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Zboží popsané ve sloupci 1 tabulky obsažené v příloze se zařazuje v rámci kombinované nomenklatury do kódu KN uvedeného ve sloupci 2 této tabulky.
Článek 2
Závazné informace o sazebním zařazení zboží, které nejsou v souladu s tímto nařízením, mohou být nadále používány podle ustanovení čl. 34 odst. 9 nařízení (EU) č. 952/2013 po dobu tří měsíců ode dne vstupu tohoto nařízení v platnost.
Článek 3
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 31. května 2021.
Za Komisi
jménem předsedkyně,
Gerassimos THOMAS
generální ředitel
Generální ředitelství pro daně a celní unii
(1) Úř. věst. L 269, 10.10.2013, s. 1.
(2) Nařízení Rady (EHS) č. 2658/87 ze dne 23. července 1987 o celní a statistické nomenklatuře a o společném celním sazebníku (Úř. věst. L 256, 7.9.1987, s. 1).
PŘÍLOHA
|
Popis zboží |
Zařazení (kód KN) |
Odůvodnění |
|
(1) |
(2) |
(3) |
|
Cermetové tyčinky s jednotným kruhovým průřezem. Výrobky různých délek a průměrů s oblými konci mohou být plné nebo perforované a mohou mít chladicí kanály. Některé výrobky mohou být rovněž zkoseny. Výrobky jsou vyrobeny z cermetu, tj. ze slinutého karbidu kovů na bázi karbidu wolframu s kobaltem jako pojiva. Vzhledem k nízkému stupni zpracování, jednoduché podobě a tvaru nabízejí výrobky širokou škálu využití, například jako výztužné prvky. Pokud jsou dále zpracovány, mohou se výrobky používat pro nástroje a jako nástroje. |
8113 00 90 |
Zařazení se zakládá na všeobecných pravidlech 1 a 6 pro výklad kombinované nomenklatury, na poznámce 4 ke třídě XV a na znění kódů KN 8113 00 a 8113 00 90 . Zařazení do kódu KN 8209 00 80 jako tyčinky a podobné výrobky pro nástroje, nenamontované, z cermetů je vyloučeno, neboť výrobky mohou být použity pro nástroje a jako nástroje pouze tehdy, jsou-li dále zpracovány, a jsou rovněž vhodné pro jiné použití. Výrobky patří do čísla 8113 , jež zahrnuje cermety, ať už netvářené (surové) nebo v podobě výrobků v kombinované nomenklatuře jinde neuvedených (viz též vysvětlivky k harmonizovanému systému k číslu 8113 , šestý odstavec). Výrobek je proto třeba zařadit do kódu KN 8113 00 90 jako cermety a ostatní výrobky z nich. |
|
7.6.2021 |
CS |
Úřední věstník Evropské unie |
L 199/7 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2021/911
ze dne 31. května 2021
o zařazení určitého zboží do kombinované nomenklatury
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 952/2013 ze dne 9. října 2013, kterým se stanoví celní kodex Unie (1), a zejména na čl. 57 odst. 4 a čl. 58 odst. 2 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Aby se zajistilo jednotné používání kombinované nomenklatury připojené k nařízení Rady (EHS) č. 2658/87 (2), je nutné přijmout opatření týkající se zařazení zboží uvedeného v příloze tohoto nařízení. |
|
(2) |
Nařízení (EHS) č. 2658/87 stanovilo pro výklad kombinované nomenklatury všeobecná pravidla. Tato pravidla se používají i pro jakoukoliv jinou nomenklaturu, která je na kombinované nomenklatuře zcela či zčásti založena nebo která k ní přidává jakékoli další členění a která je stanovena zvláštními předpisy Unie s ohledem na uplatňování sazebních a jiných opatření týkajících se obchodu se zbožím. |
|
(3) |
Podle zmíněných všeobecných pravidel by mělo být zboží popsané ve sloupci 1 tabulky obsažené v příloze zařazeno do kódu KN uvedeného ve sloupci 2, vzhledem k důvodům uvedeným ve sloupci 3 této tabulky. |
|
(4) |
Je vhodné umožnit, aby držitel mohl závazné informace o sazebním zařazení zboží dotčeného tímto nařízením, které nejsou v souladu s tímto nařízením, nadále používat po určitou dobu podle čl. 34 odst. 9 nařízení (EU) č. 952/2013. Tato doba by měla být stanovena na tři měsíce. |
|
(5) |
Opatření stanovená tímto nařízením jsou v souladu se stanoviskem Výboru pro celní kodex, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Zboží popsané ve sloupci 1 tabulky obsažené v příloze se zařazuje v rámci kombinované nomenklatury do kódu KN uvedeného ve sloupci 2 této tabulky.
Článek 2
Závazné informace o sazebním zařazení zboží, které nejsou v souladu s tímto nařízením, mohou být nadále používány podle ustanovení čl. 34 odst. 9 nařízení (EU) č. 952/2013 po dobu tří měsíců ode dne vstupu tohoto nařízení v platnost.
Článek 3
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 31. května 2021.
Za Komisi
jménem předsedkyně,
Gerassimos THOMAS
generální ředitel
Generální ředitelství pro daně a celní unii
(1) Úř. věst. L 269, 10.10.2013, s. 1.
(2) Nařízení Rady (EHS) č. 2658/87 ze dne 23. července 1987 o celní a statistické nomenklatuře a o společném celním sazebníku (Úř. věst. L 256, 7.9.1987, s. 1).
PŘÍLOHA
|
Popis zboží |
Zařazení (kód KN) |
Odůvodnění |
||||||||
|
1) |
2) |
3) |
||||||||
|
Pojízdná plošina sestávající z:
Výrobek má manipulační otvor, např. aby bylo možné jej ručně přenášet nebo zavěsit na zeď. Výrobek je určen k přepravě různých předmětů, zejména nábytku a jiných těžkých předmětů. (Viz obrázek) (*1) |
4421 99 10 |
Zařazení se zakládá na všeobecných pravidlech 1, 3b) a 6 pro výklad kombinované nomenklatury, na poznámce 3 ke kapitole 44 a na znění kódů KN 4421 , 4421 99 a 4421 99 10 . Zařazení do kódu KN 8716 80 00 jako ostatní vozidla bez mechanického pohonu je vyloučeno, neboť objektivní charakteristiky a vlastnosti výrobku neodpovídají přesně znění čísla 8716 a kódu KN 8716 80 00 . Vzhledem ke svým objektivním charakteristikám a vlastnostem, včetně manipulačního otvoru, který se nepoužívá pro tlačení výrobku za pomoci nohou nebo rukou, a k jeho konstrukčnímu řešení uzpůsobenému pro přepravu těžkých předmětů – jako je nábytek – jejich tlačením, není výrobek určen k tomu, aby byl tažen jinými vozidly, tlačen nebo tažen za pomoci rukou, tlačen za pomoci nohou nebo tažen zvířaty (viz rovněž vysvětlivky k harmonizovanému systému k číslu 8716 , druhý odstavec). Výrobek nelze považovat za vozidlo, neboť postrádá některé charakteristiky a vlastnosti vozidla s ručním nebo nožním pohonem čísla 8716 – není károu, vozíkem, kolečkem nebo pojízdným stolkem ani nesestává z určité části vozidla, například podvozku (chassis). V důsledku toho se výrobek zařazuje podle základního materiálu. Výrobek je směsný výrobek sestávající z různých materiálů (dřeva, plastu a kovu). Složkou, která výrobku dodává jeho podstatný charakter, je dřevo, neboť dřevěná plošina tvoří hlavní část směsného výrobku a má pro zamýšlené použití výrobku největší význam. Výrobek je proto třeba zařadit do kódu KN 4421 99 10 jako ostatní výrobky z dřevovláknitých desek. |
(*1) Obrázek slouží pouze pro informaci.
|
7.6.2021 |
CS |
Úřední věstník Evropské unie |
L 199/10 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2021/912
ze dne 4. června 2021,
kterým se povoluje změna specifikací nové potraviny lakto-N-neotetraosy (mikrobiální zdroj) a kterým se mění prováděcí nařízení (EU) 2017/2470
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2015/2283 ze dne 25. listopadu 2015 o nových potravinách, o změně nařízení Evropského parlamentu a Rady (EU) č. 1169/2011 a o zrušení nařízení Evropského parlamentu a Rady (ES) č. 258/97 a nařízení Komise (ES) č. 1852/2001 (1), a zejména na článek 12 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Nařízení (EU) 2015/2283 stanoví, že na trh v Unii smějí být uváděny pouze nové potraviny povolené a zařazené na seznam Unie. |
|
(2) |
Podle článku 8 nařízení (EU) 2015/2283 bylo přijato prováděcí nařízení Komise (EU) 2017/2470 (2), kterým se zřizuje seznam Unie pro povolené nové potraviny. |
|
(3) |
Podle článku 12 nařízení (EU) 2015/2283 Komise předkládá návrh prováděcího aktu, kterým se povoluje uvedení nové potraviny na trh v Unii a kterým se aktualizuje seznam Unie. |
|
(4) |
Prováděcím rozhodnutím Komise (EU) 2016/375 (3) se v souladu s nařízením Evropského parlamentu a Rady (ES) č. 258/97 (4) povolilo uvedení chemicky syntetizované lakto-N-neotetraosy na trh jako nové složky potravin. |
|
(5) |
Podle článku 5 nařízení (ES) č. 258/97 informovala společnost Glycom A/S dne 1. září 2016 Komisi o svém záměru uvést na trh jako novou složku potravin výrobek lakto-N-neotetraosa z mikrobiálního zdroje vyráběný z kmene Escherichia coli K-12. |
|
(6) |
Společnost Glycom A/S v oznámení Komisi také předložila zprávu vydanou příslušným orgánem v Irsku podle čl. 3 odst. 4 nařízení (ES) č. 258/97, který na základě vědeckých důkazů poskytnutých uvedenou společností dospěl k závěru, že lakto-N-neotetraosa vyráběná z kmene Escherichia coli K-12 je v podstatné míře rovnocenná syntetické lakto-N-neotetraose povolené prováděcím rozhodnutím (EU) 2016/375. Lakto-N-neotetraosa z mikrobiálního zdroje byla tudíž přidána na seznam Unie pro nové potraviny. |
|
(7) |
Dne 23. června 2019 předložila společnost Chr. Hansen A/S (dále jen „žadatel“) Komisi žádost v souladu s čl. 10 odst. 1 nařízení (EU) 2015/2283 o povolení lakto-N-neotetraosy (mikrobiální zdroj) vyráběné kombinovanou aktivitou derivovaných kmenů PS-LNnT-JBT a DS-LNnT-JBT kmene Escherichia coli BL21(DE3) jako nové potraviny za stejných podmínek použití, jaké jsou nyní povoleny pro lakto-N-neotetraosu ze syntetického a mikrobiálního zdroje. Žadatel požádal o aktualizaci seznamu Unie, pokud jde o nový zdroj této nové potraviny. |
|
(8) |
Kromě toho žadatel navrhl aktualizovat některé specifikace lakto-N-neotetraosy (mikrobiální zdroj) vyráběné z tohoto nového zdroje, neboť se liší od specifikací povolené lakto-N-neotetraosy z mikrobiologického zdroje vyráběné z kmene Escherichia coli K-12, pokud jde o zvýšení obsahu popela z ≤ 0,4 % na ≤ 1,0 %, vyšší úroveň pro přítomnost kvasinek a plísní ze stávajících ≤ 10 kolonii tvořících jednotek („KTJ“)/g nové potraviny pro každý typ mikroorganismu na ≤ 50 KTJ/g pro kombinaci obou a nepřítomnost methanolu (ze současné hodnoty ≤ 100 mg/kg) a fruktosového izomeru lakto-N-neotetraosy (ze současné hodnoty ≤ 1,0 %). |
|
(9) |
Dne 17. ledna 2020 požádala Komise Evropský úřad pro bezpečnost potravin (dále jen „úřad“), aby provedl posouzení lakto-N-neotetraosy vyráběné kombinovanou aktivitou derivovaných kmenů PS-LNnT-JBT a DS-LNnT-JBT kmene Escherichia coli BL21(DE3) v souladu s požadavky článku 11 nařízení (EU) 2015/2283. |
|
(10) |
Dne 22. října 2020 přijal úřad vědecké stanovisko s názvem „Safety of lacto-N-neotetraose (LNnT) produced by derivative strains of E. coli BL21 as a novel food pursuant to Regulation (EU) 2015/2283“ (5). |
|
(11) |
Ve svém vědeckém stanovisku úřad dospěl k závěru, že lakto-N-neotetraosa (LNnT) vyráběná kombinovanou aktivitou derivovaných kmenů PS-LNnT-JBT a DS-LNnT-JBT kmene Escherichia coli BL21(DE3) je jako nová potravina podle nařízení (EU) 2015/2283 za stávajících povolených podmínek použití bezpečná. Uvedené vědecké stanovisko tudíž poskytuje dostatečné důvody ke stanovení toho, že lakto-N-neotetraosa (LNnT) vyráběná kombinovanou aktivitou derivovaných kmenů PS-LNnT-JBT a DS-LNnT-JBT kmene Escherichia coli BL21(DE3) splňuje požadavky čl. 12 odst. 1 nařízení (EU) 2015/2283. |
|
(12) |
Je proto vhodné změnit specifikace mikrobiologicky vyráběné lakto-N-neotetraosy tak, aby zahrnovaly derivované kmeny PS-LNnT-JBT a DS-LNnT-JBT kmene Escherichia coli BL21(DE3) jako zdroje nových potravin vedle povoleného kmene Escherichia coli K12, a změnit navrhované úrovně pro přítomnost popela, plísní a kvasinek. |
|
(13) |
Příloha nařízení (EU) 2017/2470 by proto měla být odpovídajícím způsobem změněna. |
|
(14) |
Opatření stanovená tímto nařízením jsou v souladu se stanoviskem Stálého výboru pro rostliny, zvířata, potraviny a krmiva, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Zápis na seznamu Unie pro povolené nové potraviny stanoveném v článku 6 nařízení (EU) 2015/2283 týkající se látky lakto-N-neotetraosa (mikrobiální zdroj) se mění podle přílohy tohoto nařízení.
Článek 2
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 4. června 2021.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 327, 11.12.2015, s. 1.
(2) Prováděcí nařízení Komise (EU) 2017/2470 ze dne 20. prosince 2017, kterým se zřizuje seznam Unie pro nové potraviny v souladu s nařízením Evropského parlamentu a Rady (EU) 2015/2283 o nových potravinách (Úř. věst. L 351, 30.12.2017, s. 72).
(3) Prováděcí rozhodnutí Komise (EU) 2016/375 ze dne 11. března 2016, kterým se povoluje uvedení lakto-N-neotetraosy na trh jako nové složky potravin podle nařízení Evropského parlamentu a Rady (ES) č. 258/97 (Úř. věst. L 70, 16.3.2016, s. 22).
(4) Nařízení Evropského parlamentu a Rady (ES) č. 258/97 o nových potravinách a nových složkách potravin (Úř. věst. L 43, 14.2.1997, s. 1).
(5) EFSA Journal 2020;18(11):6305.
PŘÍLOHA
V tabulce 2 (Specifikace) přílohy prováděcího nařízení (EU) 2017/2470 se zápis týkající se „Lakto-N-neotetraosy (mikrobiální zdroj)“ nahrazuje tímto:
|
„Lakto-N-neotetraosa (mikrobiální zdroj) |
Definice: Chemický název: β-D-galaktopyranosyl-(1→4)-2-acetamido-2-deoxy-β-D-glukopyranosyl-(1→3)-β-D-galaktopyranosyl-(1→4)-D-glukopyranosa Chemický vzorec: C26H45NO21 CAS: 13007-32-4 Molekulová hmotnost: 707,63 g/mol Zdroj:
Popis: Lakto-N-neotetraosa je bílý až bělavý krystalický prášek, který se vyrábí mikrobiologickým procesem. Čistota: Obsah (bez vody): ≥ 80 % D-laktosa: ≤ 10,0 % Lakto-N-triosa II: ≤ 3,0 % Para-lakto-N-neohexaosa: ≤ 5,0 % Fruktosový izomer lakto-N-neotetraosy: ≤ 1,0 % Suma sacharidů (lakto-N-neotetraosy, D-laktosy, lakto-N-triosy II, para-lakto-N-neohexaosy, fruktosového izomeru lakto-N-neotetraosy): ≥ 92 % (% hmotnostních sušiny) pH (20 °C, 5 % roztok): 4,0–7,0 Voda: ≤ 9,0 % Sulfátový popel: ≤ 1,0 % Zbytková rozpouštědla (methanol): ≤ 100 mg/kg Zbytkové bílkoviny: ≤ 0,01 % Mikrobiologická kritéria: Celkový počet aerobních mezofilních bakterií: ≤ 500 KTJ/g Kvasinky a plísně: ≤ 50 KTJ/g Zbytkové endotoxiny: ≤ 10 EJ/mg KTJ: kolonii tvořící jednotky; EJ: endotoxinové jednotky“ |
ROZHODNUTÍ
|
7.6.2021 |
CS |
Úřední věstník Evropské unie |
L 199/13 |
PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2021/913
ze dne 3. června 2021
o harmonizovaných normách pro myčky nádobí pro domácnost vypracovaných na podporu nařízení (EU) 2019/2022 a nařízení v přenesené pravomoci (EU) 2019/2017
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 1025/2012 ze dne 25. října 2012 o evropské normalizaci, změně směrnic Rady 89/686/EHS a 93/15/EHS a směrnic Evropského parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES, a kterým se ruší rozhodnutí Rady 87/95/EHS a rozhodnutí Evropského parlamentu a Rady č. 1673/2006/ES (1), a zejména na čl. 10 odst. 6 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Podle čl. 9 odst. 2 směrnice Evropského parlamentu a Rady 2009/125/ES (2) mají mít členské státy za to, že výrobek, který byl vyroben podle harmonizovaných norem, jejichž referenční čísla byla zveřejněna v Úředním věstníku Evropské unie, je ve shodě se všemi příslušnými požadavky použitelného prováděcího opatření, na něž se tyto normy vztahují. Článek 4 nařízení Komise (EU) 2019/2022 (3) a příloha III uvedeného nařízení stanoví příslušné požadavky na měření a výpočty týkající se myček nádobí pro domácnost. |
|
(2) |
Podle článku 13 nařízení Evropského parlamentu a Rady (EU) 2017/1369 (4) má Komise po přijetí aktu v přenesené pravomoci podle článku 16 uvedeného nařízení, který stanoví zvláštní požadavky na označování, zveřejnit v Úředním věstníku Evropské unie odkazy na harmonizované normy, které splňují příslušné požadavky aktu v přenesené pravomoci týkající se měření a výpočtů. Jsou-li při posouzení shody výrobku použity takovéto harmonizované normy, má se za to, že model je ve shodě s příslušnými požadavky na měření a výpočty stanovenými v aktu v přenesené pravomoci. Článek 3 nařízení Komise v přenesené pravomoci (EU) 2019/2017 (5) a příloha IV uvedeného nařízení stanoví příslušné požadavky na měření a výpočty týkající se myček nádobí pro domácnost. |
|
(3) |
Prováděcím rozhodnutím C(2020) 4329 (6) požádala Komise Evropský výbor pro normalizaci (CEN), Evropský výbor pro normalizaci v elektrotechnice (CENELEC) a Evropský ústav pro telekomunikační normy (ETSI) o revizi stávajících harmonizovaných norem týkajících se myček nádobí pro domácnost, praček pro domácnost a praček se sušičkou pro domácnost na podporu nařízení (EU) 2019/2022 a (EU) 2019/2023 a nařízení v přenesené pravomoci (EU) 2019/2017 a (EU) 2019/2014. |
|
(4) |
Na základě žádosti uvedené v prováděcím rozhodnutí C(2020) 4329 vypracoval výbor CENELEC harmonizovanou normu EN 60436:2020 s cílem zohlednit technický a vědecký pokrok. Výbor CENELEC rovněž přijal změnu normy EN 60436:2020/A11:2020 a opravu EN 60436:2020/AC:2020-6 k uvedené normě. |
|
(5) |
Komise společně s výborem CENELEC posoudila, zda harmonizovaná norma EN 60436:2020, ve znění normy EN 60436:2020/A11:2020 a opravená normou EN 60436:2020/AC:2020-6, vyhovuje požadavku stanovenému v prováděcím rozhodnutí C(2020) 4329. |
|
(6) |
Harmonizovaná norma EN 60436:2020, ve znění normy EN 60436:2020/A11:2020 a opravená normou EN 60436:2020/AC:2020-6, splňuje požadavky, které má daná norma upravovat a které jsou stanoveny v nařízení (EU) 2019/2022 a v nařízení v přenesené pravomoci (EU) 2019/2017. |
|
(7) |
Je nezbytné vyjasnit, které verze norem uvedené v bodě „3 Úprava bodu 2 ‚Normativní odkazy‘“ normy EN 60436:2020 se použijí pro účely předpokladu shody. |
|
(8) |
Sloupec „Připomínky/poznámky*“ v tabulce ZZA.1 v normě EN 60436:2020 pro účely nařízení v přenesené pravomoci (EU) 2019/2017 a sloupec „Připomínky/poznámky*“ k tabulce ZZB.1 v normě EN 60436:2020 pro účely nařízení (EU) 2019/2022 by neměly být zveřejněny z důvodu nesouladu těchto sloupců s požadavky hlavního normativního textu normy a z důvodu právní nejistoty vyplývající z výkladu právních účinků předpokladů shody uvedeného v poznámce pod čarou k těmto sloupcům. |
|
(9) |
Je proto vhodné zveřejnit odkaz na harmonizovanou normu EN 60436:2020, ve znění normy EN 60436:2020/A11:2020 a opravenou normou EN 60436:2020/AC:2020-6, v Úředním věstníku Evropské unie s omezením. |
|
(10) |
Harmonizovaná norma EN 60436:2020 nahrazuje harmonizovanou normu EN 50242:2016 zveřejněnou sdělením Komise 2016/C 416/05 (7). Je proto vhodné uvedené sdělení zrušit. |
|
(11) |
Soulad s harmonizovanou normou zakládá předpoklad shody s odpovídajícími požadavky stanovenými v harmonizačních právních předpisech Unie ode dne zveřejnění odkazu na takovou normu v Úředním věstníku Evropské unie. Toto rozhodnutí by proto mělo vstoupit v platnost dnem vyhlášení, |
PŘIJALA TOTO ROZHODNUTÍ:
Článek 1
Odkaz na harmonizovanou normu pro uvádění spotřeby energie na energetických štítcích myček nádobí pro domácnost vypracovanou na podporu nařízení v přenesené pravomoci (EU) 2019/2017 a uvedenou v příloze I tohoto rozhodnutí se zveřejňuje v Úředním věstníku Evropské unie s omezením.
Odkaz na harmonizovanou normu pro ekodesign myček nádobí pro domácnost vypracovanou na podporu nařízení v přenesené pravomoci (EU) 2019/2022 a uvedenou v příloze II tohoto rozhodnutí se zveřejňuje v Úředním věstníku Evropské unie s omezením.
Článek 2
Sdělení 2016/C 416/05 se zrušuje.
Článek 3
Toto rozhodnutí vstupuje v platnost dnem vyhlášení v Úředním věstníku Evropské unie.
V Bruselu dne 3. června 2021.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 316, 14.11.2012, s. 12.
(2) Směrnice Evropského parlamentu a Rady 2009/125/ES ze dne 21. října 2009 o stanovení rámce pro určení požadavků na ekodesign výrobků spojených se spotřebou energie (Úř. věst. L 285, 31.10.2009, s. 10).
(3) Nařízení Komise (EU) 2019/2022 ze dne 1. října 2019, kterým se stanoví požadavky na ekodesign myček nádobí pro domácnost podle směrnice Evropského parlamentu a Rady 2009/125/ES, mění nařízení Komise (ES) č. 1275/2008 a zrušuje nařízení Komise (EU) č. 1016/2010 (Úř. věst. L 315, 5.12.2019, s. 267).
(4) Nařízení Evropského parlamentu a Rady (EU) 2017/1369 ze dne 4. července 2017, kterým se stanoví rámec pro označování energetickými štítky a zrušuje směrnice 2010/30/EU (Úř. věst. L 198, 28.7.2017, s. 1).
(5) Nařízení Komise v přenesené pravomoci (EU) 2019/2017 ze dne 11. března 2019, kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2017/1369, pokud jde o uvádění spotřeby energie na energetických štítcích myček nádobí pro domácnost, a zrušuje nařízení Komise v přenesené pravomoci (EU) č. 1059/2010 (Úř. věst. L 315, 5.12.2019, s. 134).
(6) Prováděcí rozhodnutí Komise C(2020) 4329 ze dne 1. července 2020 o žádosti o normalizaci Evropskému výboru pro normalizaci, Evropskému výboru pro normalizaci v elektrotechnice a Evropskému ústavu pro telekomunikační normy, pokud jde o ekodesign a požadavky na označování energetickými štítky pro myčky nádobí pro domácnost, pračky pro domácnost a pračky se sušičkou pro domácnost, na podporu nařízení (EU) 2019/2022 a (EU) 2019/2023 a nařízení Komise v přenesené pravomoci (EU) 2019/2017 a (EU) 2019/2014.
(7) Sdělení Komise v rámci provádění nařízení Komise (EU) č. 1016/2010, kterým se provádí směrnice Evropského parlamentu a Rady 2009/125/ES, pokud jde o požadavky na ekodesign myček nádobí pro domácnost, a nařízení Komise v přenesené pravomoci (EU) č. 1059/2010, kterým se doplňuje směrnice Evropského parlamentu a Rady 2010/30/EU, pokud jde o uvádění spotřeby energie na energetických štítcích myček nádobí pro domácnost (Zveřejnění názvů a odkazů harmonizovaných norem v rámci harmonizačního právního předpisu Unie) (Úř. věst. C 416, 11.11.2016, s. 14).
PŘÍLOHA I
Odkaz na harmonizovanou normu vypracovanou na podporu nařízení v přenesené pravomoci (EU) 2019/2017
|
EN 60436:2020 Elektrické myčky nádobí pro domácnost – Metody měření funkce EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Omezení:
|
PŘÍLOHA II
Odkaz na harmonizovanou normu vypracovanou na podporu nařízení (EU) 2019/2022
|
EN 60436:2020 Elektrické myčky nádobí pro domácnost – Metody měření funkce EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Omezení:
|
|
7.6.2021 |
CS |
Úřední věstník Evropské unie |
L 199/18 |
PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2021/915
ze dne 4. června 2021
o standardních smluvních doložkách mezi správci a zpracovateli podle čl. 28 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 a čl. 29 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2018/1725
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
S ohledem na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (1), a zejména na čl. 28 odst. 7 uvedeného nařízení,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (2), a zejména na čl. 29 odst. 7 tohoto nařízení,
vzhledem k těmto důvodům:
|
(1) |
Pojmy správce a zpracovatel hrají klíčovou úlohu při uplatňování nařízení (EU) 2016/679 a nařízení (EU) 2018/1725. Správce je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Pro účely nařízení (EU) 2018/1725 se správcem rozumí orgán nebo instituce Unie nebo generální ředitelství či jakýkoli jiný organizační subjekt, který sám nebo společně s jinými subjekty určuje účely a prostředky zpracování osobních údajů. V případě, kdy účely a prostředky takového zpracování určuje specifický akt Unie, může Unie stanovit správce nebo specifická kritéria pro jeho určení. Zpracovatel je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje jménem správce. |
|
(2) |
Vztah mezi správci údajů a zpracovateli údajů, na něž se vztahuje nařízení (EU) 2016/679, a těmi, na něž se vztahuje nařízení (EU) 2018/1725, by se měl řídit stejným souborem standardních smluvních doložek. Je tomu tak proto, že v zájmu soudržného přístupu k ochraně osobních údajů v celé Unii a volného pohybu osobních údajů v rámci Unie byla pravidla ochrany osobních údajů platná pro veřejný sektor v členských státech a pravidla ochrany osobních údajů pro orgány, instituce a jiné subjekty Unie stanovená nařízením (EU) 2016/679 a nařízením (EU) 2018/1725 co nejvíce sladěna. |
|
(3) |
Aby byl v případě zpracování prováděného zpracovatelem za správce zajištěn soulad s požadavky nařízení (EU) 2016/679 a nařízení (EU) 2018/1725, měl by správce zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavedou technická a organizační opatření, která budou splňovat požadavky nařízení (EU) 2016/679 a nařízení (EU) 2018/1725, včetně požadavků na zabezpečení zpracování. |
|
(4) |
Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a které stanoví prvky uvedené v čl. 28 odst. 3 a 4 nařízení (EU) 2016/679 nebo v čl. 29 odst. 3 a 4 nařízení (EU) 2018/1725. Uvedená smlouva nebo akt musí mít písemnou formu, případně včetně elektronické podoby. |
|
(5) |
V souladu s čl. 28 odst. 6 nařízení (EU) 2016/679 a čl. 29 odst. 6 nařízení (EU) 2018/1725 se správce a zpracovatel mohou rozhodnout, zda spolu sjednají individuální smlouvu obsahující povinné prvky stanovené v čl. 28 odst. 3 a 4 nařízení (EU) 2016/679 nebo v čl. 29 odst. 3 a 4 nařízení (EU) 2018/1725, nebo zda zcela nebo zčásti uplatní standardní smluvní doložky přijaté Komisí podle čl. 28 odst. 7 nařízení (EU) 2016/679 a čl. 29 odst. 7 nařízení (EU) 2018/1725. |
|
(6) |
Správce a zpracovatel by měli mít možnost zahrnout standardní smluvní doložky stanovené v tomto rozhodnutí do širší smlouvy a doplnit další doložky nebo další záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami nebo pokud neomezují základní práva nebo svobody subjektů údajů. Uplatnění standardních smluvních doložek platí bez ohledu na jakékoli smluvní závazky správce a zpracovatele zajistit dodržování příslušných výsad a imunit. |
|
(7) |
Standardní smluvní doložky by měly pokrývat jak hmotněprávní, tak i procesní pravidla. V souladu s ustanoveními čl. 28 odst. 3 nařízení (EU) 2016/679 a čl. 29 odst. 3 nařízení (EU) 2018/1725 by standardní smluvní doložky měly také vyžadovat, aby správce a zpracovatel stanovili předmět a dobu trvání zpracování, jeho povahu a účel, druh dotčených osobních údajů, kategorie subjektů údajů a povinnosti a práva správce. |
|
(8) |
Podle ustanovení čl. 28 odst. 3 nařízení (EU) 2016/679 a čl. 29 odst. 3 nařízení (EU) 2018/1725 musí zpracovatel neprodleně informovat správce, pokud podle jeho názoru pokyn správce porušuje nařízení (EU) 2016/679 nebo nařízení (EU) 2018/1725 nebo jiná ustanovení Unie či členského státu o ochraně údajů. |
|
(9) |
Pokud zpracovatel zapojí do provádění konkrétních činností jiného zpracovatele, měly by se použít konkrétní požadavky uvedené v čl. 28 odst. 2 a 4 nařízení (EU) 2016/679 nebo v čl. 29 odst. 2 a 4 nařízení (EU) 2018/1725. Zejména se vyžaduje předchozí konkrétní nebo obecné písemné povolení. Bez ohledu na to, zda je toto předchozí povolení konkrétní nebo obecné, musí první zpracovatel udržovat aktualizovaný seznam dalších zpracovatelů. |
|
(10) |
Ke splnění požadavků čl. 46 odst. 1 nařízení (EU) 2016/679 přijala Komise standardní smluvní doložky podle čl. 46 odst. 2 písm. c) nařízení (EU) 2016/679. Tato ustanovení rovněž splňují požadavky čl. 28 odst. 3 a 4 nařízení (EU) 2016/679 na předávání údajů od správců, na něž se vztahuje nařízení (EU) 2016/679, zpracovatelům mimo územní působnost uvedeného nařízení nebo od zpracovatelů, na něž se vztahuje nařízení (EU) 2016/679, dílčím zpracovatelům mimo územní působnost uvedeného nařízení. Tyto standardní smluvní doložky nelze použít jako standardní smluvní doložky pro účely kapitoly V nařízení (EU) 2016/679. |
|
(11) |
Třetí strany by měly mít možnost stát se stranou standardních smluvních doložek po celou dobu trvání smlouvy. |
|
(12) |
Fungování standardních smluvních doložek by mělo být hodnoceno jako dílčí část pravidelného hodnocení nařízení (EU) 2016/679 stanoveného v článku 97 uvedeného nařízení. |
|
(13) |
Evropský inspektor ochrany údajů a Evropský sbor pro ochranu osobních údajů byly konzultovány v souladu s čl. 42 odst. 1 a 2 nařízení (EU) 2018/1725 a dne 14. ledna 2021 (3) vydaly společné stanovisko, které bylo zohledněno při přípravě tohoto rozhodnutí. |
|
(14) |
Opatření stanovená v tomto rozhodnutí jsou v souladu se stanoviskem Výboru zřízeným podle čl. 93 nařízení (EU) 2016/679 a čl. 96 odst. 2 nařízení (EU) 2018/1725, |
PŘIJALA TOTO ROZHODNUTÍ:
Článek 1
Standardní smluvní doložky uvedené v příloze splňují požadavky na smlouvy mezi správci a zpracovateli podle čl. 28 odst. 3 a 4 nařízení (EU) 2016/679 a čl. 29 odst. 3 a 4 nařízení (EU) 2018/1725.
Článek 2
Standardní smluvní doložky uvedené v příloze mohou být použity ve smlouvách mezi správcem a zpracovatelem, který jménem tohoto správce zpracovává osobní údaje.
Článek 3
Komise na základě všech dostupných informací vyhodnotí praktické uplatňování standardních smluvních doložek uvedených v příloze v rámci pravidelného hodnocení stanoveného v článku 97 nařízení (EU) 2016/679.
Článek 4
Toto rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
V Bruselu dne 4. června 2021.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 119, 4.5.2016, s. 1.
(2) Úř. věst. L 295, 21.11.2018, s. 39.
(3) Společné stanovisko EDPB a EIOÚ 1/2021 k prováděcímu rozhodnutí Evropské komise o standardních smluvních doložkách mezi správci a zpracovateli pro záležitosti uvedené v čl. 28 odst. 7 nařízení (EU) 2016/679 a čl. 29 odst. 7 nařízení (EU) 2018/1725
PŘÍLOHA
STANDARDNÍ SMLUVNÍ DOLOŽKY
ODDÍL I
Doložka 1
Účel a oblast působnosti
|
a) |
Účelem těchto standardních smluvních doložek (dále jen „doložky“) je zajistit soulad s [vyberte příslušnou možnost: MOŽNOST 1: ustanoveními čl. 28 odst. 3 a 4 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)] / [MOŽNOST 2: ustanoveními čl. 29 odst. 3 a 4 nařízení Evropského parlamentu a Rady (ES) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES]. |
|
b) |
Správci a zpracovatelé uvedení v příloze I schválili tyto doložky, aby zajistili soulad s čl. 28 odst. 3 a 4 nařízení (EU) 2016/679 a/nebo čl. 29 odst. 3 a 4 nařízení (EU) 2018/1725. |
|
c) |
Tyto doložky se uplatňují na zpracování osobních údajů, jak je upřesněno v příloze II. |
|
d) |
Přílohy I až IV jsou nedílnou součástí těchto doložek. |
|
e) |
Těmito doložkami nejsou dotčeny povinnosti, které správce musí plnit na základě nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725. |
|
f) |
Tyto doložky samy o sobě nezajišťují soulad s povinnostmi týkajícími se mezinárodního předávání podle kapitoly V nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725. |
Doložka 2
Neměnnost doložek
|
a) |
Smluvní strany se zavazují, že doložky nebudou měnit, s výjimkou doplňování nebo aktualizace informací v přílohách. |
|
b) |
To stranám nebrání v možnosti zahrnout tyto standardní smluvní doložky stanovené v tomto rozhodnutí do širší smlouvy nebo k nim doplnit další doložky nebo další záruky, pokud tyto nejsou se standardními smluvními doložkami v přímém nebo nepřímém rozporu nebo pokud neomezují základní práva nebo svobody subjektů údajů. |
Doložka 3
Výklad
|
a) |
V případech, kdy tyto doložky používají pojmy definované v nařízení (EU) 2016/679 nebo nařízení (EU) 2018/1725, mají tyto pojmy stejný význam jako v uvedeném nařízení. |
|
b) |
Tyto doložky jsou chápány a vykládány v souladu s ustanoveními nařízení (EU) 2016/679 nebo nařízení (EU) 2018/1725. |
|
c) |
Tyto doložky nesmí být vykládány způsobem, který by byl v rozporu s právy a povinnostmi stanovenými v nařízení (EU) 2016/679 / nařízení (EU) 2018/1725, nebo který by omezoval základní práva nebo svobody subjektů údajů. |
Doložka 4
Hierarchie
V případě rozporu mezi těmito doložkami a ustanoveními souvisejících dohod existujících mezi stranami v době, kdy jsou tyto doložky sjednány, nebo dohod uzavřených později mají přednost tyto doložky.
Doložka 5 – Nepovinná
Doložka o přistoupení
|
a) |
Každý subjekt, který není smluvní stranou těchto doložek, může se souhlasem všech stran k těmto doložkám kdykoli přistoupit buď jako správce, nebo jako zpracovatel, a to tím, že vyplní přílohy a podepíše přílohu I. |
|
b) |
Po vyplnění a podpisu příloh uvedených v odst. a) je přistupující subjekt považován za smluvní stranu těchto doložek a má práva a povinnosti správce nebo zpracovatele v souladu s jeho určením v příloze I. |
|
c) |
Přistupujícímu subjektu z těchto doložek nevyplývají žádná práva ani povinnosti pro období před tím, než se stal smluvní stranou. |
ODDÍL II
POVINNOSTI STRAN
Doložka 6
Popis zpracování
Podrobnosti týkající se operací zpracování, zejména kategorie osobních údajů a účely zpracování, pro něž jsou osobní údaje zpracovávány jménem správce, jsou uvedeny v příloze II.
Doložka 7
Povinnosti stran
7.1 Pokyny
|
a) |
Zpracovatel zpracovává osobní údaje pouze na základě písemně doložených pokynů správce, pokud mu takové zpracování neukládá právo Unie nebo členského státu, které se na správce vztahuje. V tomto případě zpracovatel správce informuje o uvedeném právním požadavku před zpracováním, pokud to právní předpisy nezakazují z důvodů důležitého veřejného zájmu. Po celou dobu zpracování osobních údajů může správce rovněž vydávat další pokyny. Tyto pokyny musí být vždy písemně doloženy. |
|
b) |
Zpracovatel neprodleně informuje správce v případě, že dle jeho názoru pokyny správce porušují nařízení (EU) 2016/679 / nařízení (EU) 2018/1725 nebo příslušná ustanovení Unie nebo členského státu o ochraně údajů. |
7.2 Omezení účelu
Zpracovatel zpracovává osobní údaje pouze pro konkrétní účel nebo účely zpracování, jak je stanoveno v příloze II, pokud od správce neobdrží další pokyny.
7.3 Doba trvání zpracování osobních údajů
Zpracování zpracovatelem probíhá pouze po dobu stanovenou v příloze II.
7.4 Zabezpečení zpracování
|
a) |
Za účelem zajištění bezpečnosti osobních údajů musí zpracovatel zavést přinejmenším technická a organizační opatření uvedená v příloze III. Součástí těchto opatření musí být ochrana údajů před narušením bezpečnosti, které by vedlo k jejich náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo přístupu k nim (porušení zabezpečení osobních údajů). Při posuzování vhodné úrovně zabezpečení vezmou strany v úvahu aktuální stav techniky, náklady na provedení, povahu, rozsah, kontext a účely zpracování a rizika pro subjekty údajů. |
|
b) |
Zpracovatel poskytne svým zaměstnancům přístup ke zpracovávaným osobním údajům pouze v rozsahu nezbytně nutném pro provádění, správu a kontrolu smlouvy. Zpracovatel zajistí, aby se osoby oprávněné zpracovávat obdržené osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. |
7.5 Citlivé údaje
Pokud zpracování zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, genetické nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu nebo o sexuálním životě či sexuální orientaci dané osoby nebo údaje týkající se odsouzení v trestních věcech a trestných činů (dále jen „citlivé údaje“), uplatní zpracovatel zvláštní omezení nebo další záruky.
7.6. Dokumentace a soulad
|
a) |
Strany musí být schopny prokázat dodržování těchto doložek. |
|
b) |
Zpracovatel neprodleně a odpovídajícím způsobem vyřídí dotazy správce, které se týkají zpracovávání podle těchto doložek. |
|
c) |
Zpracovatel poskytne správci veškeré informace potřebné k prokázání souladu s povinnostmi stanovenými v těchto doložkách, které vyplývají přímo z nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725. Zpracovatel též na žádost správce umožní audity činností zpracování, na něž se tyto doložky vztahují, a k těmto auditům přispěje, a to v přiměřených intervalech nebo pokud existují známky nesouladu. Při rozhodování o přezkumu nebo auditu může správce zohlednit příslušná osvědčení držená zpracovatelem. |
|
d) |
Správce se může rozhodnout, zda audit provede sám, nebo jím pověří nezávislého auditora. Audity mohou rovněž zahrnovat kontroly v objektech a prostorách zařízení zpracovatele a případně jsou předem včas ohlášeny. |
|
e) |
Strany na požádání zpřístupní informace uvedené v této doložce, včetně výsledků případných auditů, příslušnému dozorovému úřadu, respektive příslušným dozorovým úřadům. |
7.7 Využívání dílčích zpracovatelů údajů
|
a) |
MOŽNOST 1: KONKRÉTNÍ PŘEDCHOZÍ POVOLENÍ: Bez předchozího konkrétního písemného povolení správce nesmí zpracovatel zadat dílčímu zpracovateli žádnou ze svých činností spojených se zpracováním údajů, které jsou vykonávány jménem správce v souladu s těmito doložkami. Zpracovatel předloží žádost o konkrétní povolení nejméně [UPŘESNĚTE ČASOVÝ ÚSEK] před zapojením dotčeného dílčího zpracovatele, a to společně s informacemi, jež jsou nezbytné k tomu, aby správce mohl o povolení rozhodnout. Seznam dílčích zpracovatelů, kteří správce schválil, je uveden v příloze IV. Smluvní strany přílohu IV průběžně aktualizují. MOŽNOST 2: OBECNÉ PÍSEMNÉ POVOLENÍ: Zpracovatel má obecné povolení správce k zapojení dílčích zpracovatelů ze schváleného seznamu. Zpracovatel výslovně písemně informuje správce o všech zamýšlených změnách uvedeného seznamu přijetím nebo nahrazením dílčích zpracovatelů nejméně [UPŘESNĚTE ČASOVÝ ÚSEK] předem, čímž poskytne správci dostatek času na to, aby mohl vznést námitku proti takovým změnám před zapojením dotčeného dílčího zpracovatele / dotčených dílčích zpracovatelů. Zpracovatel poskytne správci informace nezbytné k tomu, aby správce mohl uplatnit své právo vznést námitku. |
|
b) |
Pokud zpracovatel zapojí dílčího zpracovatele do provádění konkrétních činností zpracování (jménem správce), učiní tak prostřednictvím smlouvy, která ukládá dílčímu zpracovateli v podstatě stejné povinnosti v oblasti ochrany údajů, jaké jsou v souladu s těmito doložkami uloženy zpracovateli údajů. Zpracovatel zajistí, aby dílčí zpracovatel plnil povinnosti, které se na zpracovatele vztahují podle těchto doložek a nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725. |
|
c) |
Zpracovatel poskytne správci na jeho žádost opis dohody s dílčím zpracovatelem a veškeré následné změny dohody. V rozsahu nutném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně osobních údajů, může zpracovatel před poskytnutím opisu text dohody upravit. |
|
d) |
Zpracovatel nese vůči správci plnou odpovědnost za to, aby dílčí zpracovatel plnil povinností vyplývající z jeho smlouvy se zpracovatelem. Zpracovatel správce uvědomí, pokud dílčí zpracovatel neplní své povinnosti vyplývající z uvedené smlouvy. |
|
e) |
Zpracovatel s dílčím zpracovatelem schválí doložku ve prospěch třetí strany, podle níž v případě, že zpracovatel fakticky zmizí, z právního hlediska zanikne, nebo se ocitne v platební neschopnosti, má správce právo ukončit smlouvu s dílčím zpracovatelem a pověřit dílčího zpracovatele, aby osobní údaje vymazal nebo vrátil. |
7.8 Mezinárodní předávání údajů
|
a) |
Jakékoli předání údajů zpracovatelem do třetí země nebo mezinárodní organizaci se provádí pouze na základě písemně doložených pokynů správce nebo za účelem splnění konkrétního požadavku podle právních předpisů Unie nebo členského státu, které se na zpracovatele vztahují, a to v souladu s kapitolou V nařízení (EU) 2016/679 nebo nařízení (EU) 2018/1725. |
|
b) |
Správce souhlasí s tím, že pokud zpracovatel v souladu s doložkou 7.7 zapojí dílčího zpracovatele do provádění konkrétních činností zpracováním (jménem správce) a uvedené činnosti zahrnují předání osobních údajů ve smyslu kapitoly V nařízení (EU) 2016/679, mohou zpracovatel a dílčí zpracovatel zajistit soulad s ustanoveními kapitoly V nařízení (EU) 2016/679 použitím standardních smluvních doložek přijatých Komisí v souladu s čl. 46 odst. 2 nařízení (EU) 2016/679, pokud jsou splněny standardní podmínky pro použití těchto smluvních doložek. |
Doložka 8
Pomoc poskytovaná správci
|
a) |
Zpracovatel neprodleně informuje správce o každé žádosti, kterou obdržel od subjektu údajů. Na tuto žádost neodpovídá sám, pokud k tomu není správcem zmocněn. |
|
b) |
Zpracovatel pomáhá správci při plnění jeho povinností reagovat na žádosti subjektů údajů o výkon jejich práv s přihlédnutím k povaze zpracování. Při plnění svých povinností podle ustanovení písmen a) a b) postupuje zpracovatel v souladu s pokyny správce. |
|
c) |
Kromě toho, že má zpracovatel povinnost pomáhat správci podle doložky 8 písm. b), zpracovatel správci dále pomáhá při zajišťování plnění následujících povinností, a to s přihlédnutím k povaze zpracování údajů a informacím, které má zpracovatel k dispozici:
|
|
d) |
V příloze III strany stanoví vhodná technická a organizační opatření, jimiž je zpracovatel povinen správci pomáhat při uplatňování této doložky, jakož i oblast působnosti a rozsah požadované pomoci. |
Doložka 9
Ohlašování případů porušení zabezpečení osobních údajů
V případě porušení zabezpečení osobních údajů zpracovatel spolupracuje se správcem a pomáhá mu při plnění jeho povinností podle článků 33 a 34 nařízení (EU) 2016/679 nebo případně podle článků 34 a 35 nařízení (EU) 2018/1725, přičemž zohlední povahu zpracování a informace, které má zpracovatel k dispozici.
9.1 Porušení zabezpečení údajů zpracovávaných správcem
V případě porušení zabezpečení osobních údajů zpracovávaných správcem zpracovatel napomáhá správci:
|
a) |
při ohlašování případů porušení zabezpečení osobních údajů příslušnému dozorovému úřadu, respektive příslušným dozorovým úřadům, a to bez zbytečného odkladu poté, co se o něm správce dozvěděl, je-li to relevantní / (pokud je nepravděpodobné, že by porušení zabezpečení osobních údajů vedlo k ohrožení práv a svobod fyzických osob); |
|
b) |
při získávání následujících informací, které musí být podle [MOŽNOST 1] čl. 33 odst. 3 nařízení (EU) 2016/679 / [MOŽNOST 2] čl. 34 odst. 3 nařízení (EU) 2018/1725 uvedeny v oznámení správce, a to musí přinejmenším zahrnovat:
|
Pokud není možné poskytnout všechny tyto informace najednou, musí původní oznámení obsahovat informace, které jsou v dané době k dispozici, a další informace jsou poté poskytnuty bez zbytečného odkladu, jakmile jsou dostupné.
|
c) |
při plnění povinnosti v souladu s [MOŽNOST 1] článkem 34 nařízení (EU) 2016/679 / [MOŽNOST 2] článkem 35 nařízení (EU) 2018/1725 oznámit bez zbytečného odkladu subjektu údajů porušení zabezpečení osobních údajů, pokud je pravděpodobné, že dané porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob. |
9.2 Porušení zabezpečení údajů zpracovávaných zpracovatelem
V případě porušení zabezpečení osobních údajů zpracovávaných zpracovatelem o tom zpracovatel informuje správce bez zbytečného odkladu poté, co se o tomto porušení dozvěděl. Takové oznámení obsahuje alespoň:
|
a) |
popis povahy daného případu porušení (včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a záznamů údajů); |
|
b) |
údaje o kontaktním místě, kde lze získat více informací o daném porušení zabezpečení osobních údajů; |
|
c) |
pravděpodobné důsledky a opatření přijatá nebo navržená k přijetí v souvislosti s porušením zabezpečení, a to včetně opatření ke zmírnění možných nepříznivých dopadů. |
Pokud není možné poskytnout všechny tyto informace najednou, musí původní oznámení obsahovat informace, které jsou v dané době k dispozici, a další informace jsou poté poskytnuty bez zbytečného odkladu, jakmile jsou dostupné.
Strany stanoví v příloze III všechny další informace, které má zpracovatel poskytnout, když správci poskytuje pomoc při plnění povinností správce podle [MOŽNOST 1] článků 33 a 34 nařízení (EU) 2016/679 / [MOŽNOST 2] článků 34 a 35 nařízení (EU) 2018/1725.
ODDÍL III
ZÁVĚREČNÁ USTANOVENÍ
Doložka 10
Porušení doložek a ukončení smlouvy
|
a) |
Aniž jsou dotčena jakákoli ustanovení nařízení (EU) 2016/679 a/nebo nařízení (EU) 2018/1725, pokud zpracovatel poruší své povinnosti podle těchto doložek, může mu správce nařídit, aby pozastavil zpracovávání osobních údajů, dokud zpracovatel nebude plnit povinnosti podle těchto doložek, nebo dokud nebude smlouva vypovězena. Zpracovatel neprodleně informuje správce v případě, že z jakéhokoli důvodu není schopen plnit ustanovení těchto doložek. |
|
b) |
Správce je oprávněn vypovědět smlouvu v rozsahu, v němž se týká zpracování osobních údajů v souladu s těmito doložkami, pokud:
|
|
c) |
Zpracovatel je oprávněn vypovědět smlouvu v rozsahu, v němž se týká zpracování osobních údajů podle těchto doložek, pokud poté, co informoval správce o tom, že pokyny správce porušují platné právní požadavky podle doložky 7.1 písm. b), správce na splnění těchto pokynů trvá. |
|
d) |
Po ukončení smlouvy zpracovatel podle volby správce vymaže veškeré osobní údaje zpracovávané jménem správce a potvrdí správci, že tak učinil, nebo vrátí veškeré osobní údaje správci a vymaže stávající kopie, pokud právo Unie nebo členského státu nepožaduje uchovávání osobních údajů. Dokud nejsou osobní údaje vymazány nebo vráceny, zpracovatel nadále zajišťuje dodržování souladu s těmito doložkami. |
PŘÍLOHA I
SEZNAM STRAN
Správce/správci: [Jméno a kontaktní údaje správce/správců a případně jeho/jejich pověřence pro ochranu osobních údajů]
|
1. |
Jméno/název: … |
|
|
Adresa: … |
|
|
Jméno, funkce a kontaktní údaje kontaktní osoby: … |
|
|
Podpis a datum přistoupení k doložkám: … |
|
2. |
|
…
Zpracovatel/zpracovatelé: [Jméno a kontaktní údaje zpracovatele/zpracovatelů a případně jeho/jejich pověřence pro ochranu osobních údajů]
|
1. |
Jméno/název: … |
|
|
Adresa: … |
|
|
Jméno, funkce a kontaktní údaje kontaktní osoby: … |
|
|
Podpis a datum přistoupení k doložkám: … |
|
2. |
|
…
PŘÍLOHA II
POPIS ZPRACOVÁNÍ
Kategorie subjektů údajů, jejichž osobní údaje jsou zpracovávány
…
Kategorie zpracovávaných osobních údajů
…
Zpracovávané citlivé údaje (v relevantních případech) a použitá omezení nebo záruky, které plně zohledňují povahu těchto údajů a související rizika, jako je například přísné omezení účelu, omezení přístupu (včetně přístupu pouze pro pracovníky, kteří absolvovali specializovanou odbornou přípravu), vedení záznamů o přístupu k údajům, omezení dalšího předávání nebo další opatření k zajištění zabezpečení.
…
Povaha zpracování
…
Účel/účely, pro který/které jsou osobní údaje zpracovávány jménem správce
…
Doba trvání zpracování
…
…
U zpracování (dílčím) zpracovatelem rovněž upřesněte předmět, povahu a dobu trvání zpracování.
PŘÍLOHA III
TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ VČETNĚ TECHNICKÝCH A ORGANIZAČNÍCH OPATŘENÍ K ZAJIŠTĚNÍ ZABEZPEČENÍ ÚDAJŮ
VYSVĚTLIVKY:
Technická a organizační opatření musí být popsána konkrétně, a nikoli obecně.
Popis technických a organizačních bezpečnostních opatření zavedených zpracovatelem (zpracovateli) (včetně příslušných osvědčení) k zajištění odpovídající úrovně zabezpečení s přihlédnutím k povaze, rozsahu, kontextu a účelu zpracování, jakož i k rizikům pro práva a svobody fyzických osob. Příklady možných opatření:
|
|
opatření pro pseudonymizaci a šifrování osobních údajů, |
|
|
opatření zajišťující neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, |
|
|
opatření zajišťující schopnost obnovit včas dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů, |
|
|
procesy pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření k zajištění zabezpečení zpracování, |
|
|
opatření pro identifikaci uživatelů a poskytování uživatelských oprávnění, |
|
|
opatření na ochranu údajů během jejich přenosu, |
|
|
opatření na ochranu údajů během jejich uchovávání, |
|
|
opatření k zajištění fyzické bezpečnosti míst, kde jsou zpracovávány osobní údaje, |
|
|
opatření zajišťující zaznamenávání událostí, |
|
|
opatření zajišťující konfiguraci systému, včetně výchozí konfigurace, |
|
|
opatření pro vnitřní správu a řízení IT a bezpečnosti IT, |
|
|
opatření pro certifikaci / zabezpečení procesů a produktů, |
|
|
opatření zajišťující minimalizaci údajů, |
|
|
opatření zajišťující kvalitu údajů, |
|
|
opatření zajišťující omezené uchovávání údajů, |
|
|
opatření zajišťující odpovědnost, |
|
|
opatření umožňující přenositelnost údajů a zajištění výmazu. |
U předání (dílčímu) zpracovateli rovněž popište konkrétní technická a organizační opatření, která má (dílčí) zpracovatel přijmout, aby mohl správci poskytovat pomoc.
Popis konkrétních technických a organizačních opatření, která má zpracovatel přijmout, aby mohl správci poskytovat pomoc.
PŘÍLOHA IV
SEZNAM DÍLČÍCH ZPRACOVATELŮ
VYSVĚTLIVKY:
Tuto přílohu je třeba vyplnit v případě konkrétního povolení dílčích zpracovatelů (doložka 7.7 písm. a), možnost 1).
Správce povolil využití těchto dílčích zpracovatelů:
|
1. |
Jméno/název: … |
|
|
Adresa: … |
|
|
Jméno, funkce a kontaktní údaje kontaktní osoby: … |
|
|
Popis zpracování (včetně jasného vymezení odpovědnosti v případě, že je povoleno více dílčích zpracovatelů): … |
|
2. |
… |
|
7.6.2021 |
CS |
Úřední věstník Evropské unie |
L 199/31 |
PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2021/914
ze dne 4. června 2021
o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (1), a zejména na čl. 28 odst. 7 a čl. 46 odst. 2 písm. c) uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Technologický vývoj usnadňuje přeshraniční toky údajů nezbytné pro rozšíření mezinárodní spolupráce a mezinárodního obchodu. Zároveň se musí zajistit, aby nebyla ohrožena úroveň ochrany fyzických osob zaručená nařízením (EU) 2016/679, jsou-li předávány osobní údaje do třetích zemí, a to ani v případech dalšího předávání (2). Ustanovení o předávání údajů obsažená v kapitole V nařízení (EU) 2016/679 mají zajistit kontinuitu této vysoké úrovně ochrany, pokud jsou osobní údaje předávány do třetí země (3). |
|
(2) |
Podle čl. 46 odst. 1 nařízení (EU) 2016/679 může správce nebo zpracovatel v případě neexistence rozhodnutí Komise o odpovídající ochraně podle čl. 45 odst. 3 předat osobní údaje do třetí země pouze v případě, že poskytne vhodné záruky, a za podmínky, že jsou k dispozici vymahatelná práva a účinná právní ochrana pro subjekty údajů. Tyto záruky mohou být stanoveny standardními doložkami o ochraně osobních údajů přijatými Komisí podle čl. 46 odst. 2 písm. c). |
|
(3) |
Úloha standardních smluvních doložek se omezuje na zajištění vhodných záruk ochrany údajů pro mezinárodní předávání údajů. Správce nebo zpracovatel předávající osobní údaje do třetí země („vývozce údajů“) a správce nebo zpracovatel přijímající osobní údaje („dovozce údajů“) proto mohou zahrnout uvedené standardní smluvní doložky do rozsáhlejší smlouvy a přidat jiné doložky či dodatečné záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami, nebo pokud se nedotýkají základních práv či svobod subjektů údajů. Správci a zpracovatelé jsou vybízeni k poskytování dodatečných záruk prostřednictvím smluvních závazků, které standardní smluvní doložky doplní (4). Využitím standardních smluvních doložek nejsou dotčeny smluvní závazky vývozce a/nebo dovozce údajů zajišťovat dodržování příslušných výsad a imunit. |
|
(4) |
Kromě toho, že vývozce údajů využívá standardních smluvních doložek za účelem poskytnutí vhodných záruk pro předávání podle čl. 46 odst. 1 nařízení (EU) 2016/679, musí plnit své obecné povinnosti správce nebo zpracovatele v rámci nařízení (EU) 2016/679. Mezi tyto povinnosti patří povinnost správce poskytnout subjektům údajů informace o skutečnosti, že má v úmyslu předat jejich osobní údaje do třetí země podle čl. 13 odst. 1 písm. f) a čl. 14 odst. 1 písm. f) nařízení (EU) 2016/679. V případě předávání podle článku 46 nařízení (EU) 2016/679 musí tyto informace zahrnovat odkaz na vhodné záruky a prostředky, jejichž prostřednictvím lze získat jejich kopii nebo informace o tom, kde byly zpřístupněny. |
|
(5) |
Rozhodnutí Komise 2001/497/ES (5) a 2010/87/EU (6) obsahují standardní smluvní doložky, jejichž cílem je usnadnit předávání osobních údajů od správce údajů usazeného v Unii správci nebo zpracovateli usazenému ve třetí zemi, která nenabízí odpovídající úroveň ochrany. Uvedená rozhodnutí vycházejí ze směrnice Evropského parlamentu a Rady 95/46/ES (7). |
|
(6) |
Podle čl. 46 odst. 5 nařízení (EU) 2016/679 zůstávají rozhodnutí 2001/497/ES a rozhodnutí 2010/87/EU platná až do chvíle, kdy je Komise podle potřeby změní, nahradí nebo zruší rozhodnutím přijatým podle čl. 46 odst. 2 uvedeného nařízení. Standardní smluvní doložky v těchto rozhodnutích vyžadovaly aktualizaci s ohledem na nové požadavky uvedené v nařízení (EU) 2016/679. Kromě toho od přijetí těchto rozhodnutí došlo v digitální ekonomice k významnému vývoji, s širokým využitím nových a složitějších operací zpracování, které často zahrnují více dovozců a vývozců údajů, dlouhé a složité řetězce zpracování a rozvíjející se obchodní vztahy. To vyžaduje modernizaci standardních smluvních doložek, aby lépe odrážely tuto realitu tím, že pokryjí další situace zpracování a předávání a umožní flexibilnější přístup, například s ohledem na počet stran, které se mohou ke smlouvě připojit. |
|
(7) |
Správce nebo zpracovatel může použít standardní smluvní doložky uvedené v příloze tohoto rozhodnutí za účelem poskytnutí vhodných záruk ve smyslu čl. 46 odst. 1 nařízení (EU) 2016/679 pro předávání osobních údajů zpracovateli nebo správci usazenému ve třetí zemi, aniž je dotčen výklad pojmu mezinárodního předávání uvedeného v nařízení (EU) 2016/679. Standardní smluvní doložky lze použít k takovému předávání pouze v rozsahu, v jakém zpracování dovozcem nespadá do oblasti působnosti nařízení (EU) 2016/679. To zahrnuje také předávání osobních údajů správcem nebo zpracovatelem, který není usazen v Unii, v rozsahu, v jakém zpracování podléhá nařízení (EU) 2016/679 (podle čl. 3 odst. 2 uvedeného nařízení), protože se týká nabídky zboží nebo služeb subjektům údajů v Unii nebo monitorování jejich chování, pokud k němu dochází v rámci Unie. |
|
(8) |
Vzhledem k obecnému sladění nařízení Evropského parlamentu a Rady (EU) 2016/679 a nařízení (EU) 2018/1725 (8) by mělo být možné standardní smluvní doložky použít také v souvislosti se smlouvou uvedenou v čl. 29 odst. 4 nařízení (EU) 2018/1725 pro předávání osobních údajů dílčímu zpracovateli ve třetí zemi zpracovatelem, který není orgánem nebo subjektem Unie, ale na něhož se vztahuje nařízení (EU) 2016/679 a který zpracovává osobní údaje jménem orgánu nebo subjektu Unie v souladu s článkem 29 nařízení (EU) 2018/1725. Pokud smlouva odráží stejné povinnosti v oblasti ochrany údajů, jaké jsou stanoveny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle čl. 29 odst. 3 nařízení (EU) 2018/1725, zejména tím, že poskytuje dostatečné záruky pro technická a organizační opatření k zajištění toho, aby zpracování splňovalo požadavky uvedeného nařízení, soulad s čl. 29 odst. 4 nařízení (EU) 2018/1725 bude zajištěn. Zejména to bude případ, kdy správce a zpracovatel využívají standardních smluvních doložek obsažených v prováděcím rozhodnutí Komise o standardních smluvních doložkách mezi správci a zpracovateli podle čl. 28 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 a čl. 29 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (9). |
|
(9) |
Pokud zpracování zahrnuje předávání údajů od správců, na něž se vztahuje nařízení (EU) 2016/679, zpracovatelům mimo jeho územní působnost nebo od zpracovatelů, na něž se vztahuje nařízení (EU) 2016/679, dílčím zpracovatelům mimo jeho územní působnost, standardní smluvní doložky stanovené v příloze tohoto rozhodnutí by měly rovněž umožňovat splnění požadavků čl. 28 odst. 3 a 4 nařízení (EU) 2016/679. |
|
(10) |
Standardní smluvní doložky uvedené v příloze tohoto rozhodnutí kombinují obecná ustanovení s modulárním přístupem s cílem zohlednit různé scénáře předávání a složitost moderních zpracovatelských řetězců. Kromě obecných ustanovení by si správci a zpracovatelé měli vybrat modul, který se vztahuje na jejich situaci, aby tak přizpůsobili své povinnosti uvedené ve standardních smluvních doložkách své úloze a povinnostem ve vztahu k dotčenému zpracování údajů. Mělo by být možné, aby byly standardní smluvní doložky dodržovány více než dvěma stranami. Kromě toho by dalším správcům a zpracovatelům mělo být umožněno přistoupit ke standardním smluvním doložkám v postavení vývozců nebo dovozců údajů po celou dobu platnosti smlouvy, jejíž součástí tyto doložky jsou. |
|
(11) |
V zájmu poskytnutí vhodných záruk by standardní smluvní doložky měly zajistit, aby osobním údajům předávaným na tomto základě byla poskytována úroveň ochrany v zásadě rovnocenná úrovni ochrany zaručené v Unii (10). Za účelem zajištění transparentnosti zpracování by měla být subjektům údajů poskytnuta kopie standardních smluvních doložek a měly by být informovány zejména o kategoriích zpracovávaných osobních údajů, právu na získání kopie standardních smluvních doložek a o jakémkoli dalším předávání. Další předávání údajů dovozcem údajů třetí straně v jiné třetí zemi by mělo být povoleno, pouze pokud tato třetí strana přistoupí ke standardním smluvním doložkám, pokud je zajištěna kontinuita ochrany jinak nebo ve zvláštních situacích, například na základě výslovného informovaného souhlasu subjektu údajů. |
|
(12) |
S některými výjimkami, zejména pokud jde o určité povinnosti, které se týkají výlučně vztahu mezi vývozcem údajů a dovozcem údajů, by subjekty údajů měly mít možnost dovolávat se standardních smluvních doložek jako oprávněné třetí strany a v případě potřeby tyto doložky vymáhat. I když by tedy stranám mělo být umožněno zvolit si právo jednoho z členských států, kterým se standardní smluvní doložky budou řídit, uvedené právo musí umožňovat uplatňování práv náležejících oprávněné třetí straně. Aby se usnadnila individuální právní ochrana, standardní smluvní doložky by měly vyžadovat, aby dovozce údajů poskytl subjektům údajů informace o kontaktním místě a neprodleně vyřídil jakékoli stížnosti nebo žádosti. V případě sporu mezi dovozcem údajů a subjektem údajů, který se dovolává svých práv jako oprávněná třetí strana, by subjekt údajů měl mít možnost podat stížnost u příslušného dozorového úřadu, nebo postoupit spor příslušným soudům v EU. |
|
(13) |
Aby bylo zajištěno účinné vymáhání, měl by být dovozce údajů povinen podřídit se pravomoci tohoto úřadu a soudů a zavázat se dodržovat jakékoli závazné rozhodnutí v souladu s platným právem členského státu. Dovozce údajů by měl zejména souhlasit, že bude reagovat na dotazy, podrobovat se auditům a dodržovat opatření přijatá dozorovým úřadem, včetně nápravných a kompenzačních opatření. Dovozce údajů by navíc měl mít možnost nabídnout subjektům údajů příležitost žádat o bezplatnou nápravu před nezávislým orgánem pro řešení sporů. V souladu s čl. 80 odst. 1 nařízení (EU) 2016/679 by subjekty údajů měly mít možnost být ve sporech proti dovozci údajů zastoupeny sdruženími nebo jinými subjekty, pokud si to přejí. |
|
(14) |
Standardní smluvní doložky by měly stanovovat pravidla týkající se odpovědnosti mezi stranami a ve vztahu k subjektům údajů a pravidla o odškodnění mezi stranami. Pokud subjekt údajů utrpí hmotnou nebo nehmotnou újmu v důsledku jakéhokoli porušení práv náležejících oprávněné třetí straně podle standardních smluvních doložek, měl by mít nárok na náhradu této újmy. Tím by neměla být dotčena odpovědnost podle nařízení (EU) 2016/679. |
|
(15) |
V případě předání dovozci údajů, který jedná jako zpracovatel nebo dílčí zpracovatel, by se měly uplatnit zvláštní požadavky v souladu s čl. 28 odst. 3 nařízení (EU) 2016/679. Ve standardních smluvních doložkách by se mělo od dovozce údajů vyžadovat, aby poskytl veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v doložkách, a aby vývozci údajů umožnil provádět audity jeho činností zpracování a k těmto auditům přispíval. Pokud jde o zapojení dílčího zpracovatele ze strany dovozce údajů – v souladu s čl. 28 odst. 2 a 4 nařízení (EU) 2016/679 – standardní smluvní doložky by měly zejména stanovit postup pro vydání obecného nebo zvláštního povolení od vývozce údajů a požadavek na uzavření písemné smlouvy s dílčím zpracovatelem zajišťující stejnou úroveň ochrany, jaká je zaručena těmito doložkami. |
|
(16) |
Ve standardních smluvních doložkách je vhodné stanovit různé záruky, které se vztahují na zvláštní situaci, kdy osobní údaje předává zpracovatel v Unii správci ve třetí zemi, a které odrážejí omezené samostatné povinnosti zpracovatelů podle nařízení (EU) 2016/679. Ve standardních smluvních doložkách by se zejména mělo vyžadovat, aby zpracovatel informoval správce, pokud není schopen dodržovat jeho pokyny, a to i v případě, že je takovými pokyny porušeno právo Unie v oblasti ochrany údajů, a aby se správce zdržel jakýchkoli opatření, která by bránila zpracovateli při plnění jeho povinností podle nařízení (EU) 2016/679. Mělo by se v nich rovněž vyžadovat, aby si strany vzájemně pomáhaly při odpovídání na dotazy a žádosti subjektů údajů podle místního práva použitelného na dovozce údajů nebo v případě zpracování údajů v Unii podle nařízení (EU) 2016/679. Dodatečné požadavky týkající se řešení jakýchkoli dopadů právních předpisů třetí země určení na dodržování doložek správcem, zejména pokud jde o řešení závazných žádostí veřejných orgánů ve třetí zemi týkajících se zveřejnění předávaných osobních údajů, by se měly uplatnit v případě, že unijní zpracovatel kombinuje osobní údaje přijaté od správce ve třetí zemi s osobními údaji shromážděnými zpracovatelem v Unii. Naopak žádné takové požadavky nejsou odůvodněné, pokud externí zajištění zahrnuje pouze zpracování a zpětné předání osobních údajů, které byly získány od správce a v každém případě spadají a budou i nadále spadat do pravomoci dotčené třetí země. |
|
(17) |
Strany by měly být schopny soulad se standardními smluvními doložkami prokázat. Od dovozce údajů by mělo být zejména požadováno, aby vedl příslušnou dokumentaci pro činnosti zpracování, za které odpovídá, a aby bezodkladně informoval vývozce údajů, pokud z jakéhokoli důvodu není schopen tyto doložky dodržovat. Vývozce údajů by pro změnu měl v případech, kdy jde o zpracování osobních údajů podle standardních smluvních doložek, předávání pozastavit a ve zvláště závažných případech mít právo smlouvu vypovědět, pokud dovozce údajů tyto doložky porušuje nebo není schopen je dodržovat. V případě místních právních předpisů, které mají vliv na dodržování doložek, by měla platit zvláštní pravidla. Osobní údaje, které byly předány před vypovězením smlouvy, a jakékoli jejich kopie by měly být podle volby vývozce údajů vráceny vývozci údajů nebo zničeny v celém rozsahu. |
|
(18) |
Standardní smluvní doložky by měly stanovit zvláštní záruky, zejména s ohledem na judikaturu Soudního dvora (11), s cílem řešit případné dopady právních předpisů třetí země určení na dodržování doložek dovozcem údajů, zejména to, jak vyřídit závazné žádosti orgánů veřejné moci této země týkající se zpřístupnění předávaných osobních údajů. |
|
(19) |
K předávání a zpracování osobních údajů podle standardních smluvních doložek by nemělo docházet tehdy, pokud právní předpisy a praxe třetí země určení brání dovozci údajů v dodržování těchto doložek. V těchto souvislostech by se právní předpisy a postupy, které respektují podstatu základních práv a svobod a nepřekračují to, co je v demokratické společnosti nezbytné a přiměřené k zajištění jednoho z cílů uvedených v čl. 23 odst. 1 nařízení (EU) 2016/679, neměly považovat za odporující standardním smluvním doložkám. Strany by měly zaručit, že v době sjednávání standardních smluvních doložek nemají žádný důvod se domnívat, že právní předpisy a postupy použitelné na dovozce údajů nejsou s těmito požadavky v souladu. |
|
(20) |
Za tímto účelem by strany měly zohlednit zejména konkrétní okolnosti předávání (jako je obsah a doba platnosti smlouvy, povaha údajů, jež mají být předány, druh příjemce, účel zpracování), právní předpisy a postupy třetí země určení, které mají význam s ohledem na okolnosti předávání, a veškeré záruky zavedené za účelem doplnění záruk podle standardních smluvních doložek (včetně příslušných smluvních, technických a organizačních opatření, jež se uplatňují na předávání a zpracování osobních údajů v zemi určení). Pokud jde o dopad takových právních předpisů a postupů na dodržování standardních smluvních doložek, za součást celkového posouzení lze považovat různé prvky, včetně spolehlivých informací týkajících se uplatňování práva v praxi (jde například o judikaturu a zprávy nezávislých dozorových úřadů), existence nebo neexistence žádostí ve stejném odvětví a za přísných podmínek doložené praktické zkušenosti vývozce údajů a/nebo dovozce údajů. |
|
(21) |
Dovozce údajů by měl vývozce údajů informovat, pokud má po udělení souhlasu se standardními smluvními doložkami důvod se domnívat, že není schopen tyto doložky dodržovat. Pokud vývozce údajů takové oznámení obdrží nebo se jinak dozví, že dovozce údajů již není schopen standardní smluvní doložky dodržovat, měl by v případě potřeby po konzultaci s příslušným dozorovým úřadem určit vhodná opatření k řešení situace. Tato opatření mohou zahrnovat doplňková opatření přijatá vývozcem údajů nebo dovozcem údajů, jako jsou technická nebo organizační opatření k zajištění bezpečnosti a důvěrnosti. Od vývozce údajů by mělo být požadováno, aby předávání pozastavil, pokud se domnívá, že nelze zajistit žádné vhodné záruky, nebo pokud mu k tomu dá pokyn příslušný dozorový úřad. |
|
(22) |
Je-li to možné, měl by dovozce údajů informovat vývozce údajů a subjekt údajů, pokud obdrží právně závaznou žádost od veřejného (včetně soudního) orgánu podle práva země určení o zveřejnění osobních údajů předávaných podle standardních smluvních doložek. Podobně by je měl informovat, pokud se dozví o jakémkoli přímém přístupu orgánů veřejné moci k těmto osobním údajům v souladu s právními předpisy třetí země určení. Pokud dovozce údajů i přes maximální úsilí není schopen informovat vývozce údajů a/nebo subjekt údajů o konkrétních žádostech o poskytnutí údajů, měl by vývozci údajů o těchto žádostech poskytnout co nejrelevantnější informace. Dovozce údajů by navíc měl vývozci údajů podávat souhrnné informace v pravidelných intervalech. Od dovozce údajů by rovněž mělo být požadováno, aby všechny žádosti o poskytnutí údajů a sdělené odpovědi dokumentoval a tyto informace na požádání vývozci údajů a/nebo příslušnému dozorovému úřadu zpřístupnil. Pokud dovozce údajů po přezkoumání zákonnosti takové žádosti podle právních předpisů země určení dospěje k závěru, že existují opodstatněné důvody se domnívat, že žádost je podle právních předpisů třetí země určení protiprávní, měl by takovou žádost napadnout, včetně případného vyčerpání všech dostupných opravných prostředků. V každém případě, pokud již dovozce údajů není schopen dodržovat standardní smluvní doložky, měl by o tom odpovídajícím způsobem informovat vývozce údajů, a to i tehdy, jde-li o důsledek žádosti o poskytnutí údajů. |
|
(23) |
Jelikož se potřeby zúčastněných stran, technologie a operace zpracování mohou měnit, měla by Komise fungování standardních smluvních doložek na základě zkušeností vyhodnotit v rámci pravidelného hodnocení nařízení (EU) 2016/679 podle článku 97 uvedeného nařízení. |
|
(24) |
Rozhodnutí 2001/497/ES a rozhodnutí 2010/87/EU by měla být zrušena tři měsíce po vstupu tohoto rozhodnutí v platnost. Během tohoto období by měli mít vývozci a dovozci údajů pro účely čl. 46 odst. 1 nařízení (EU) 2016/679 možnost nadále používat standardní smluvní doložky stanovené v rozhodnutích 2001/497/ES a 2010/87/EU. Po dobu dalších patnácti měsíců by měli mít vývozci a dovozci údajů pro účely čl. 46 odst. 1 nařízení (EU) 2016/679 nadále možnost spoléhat se na standardní smluvní doložky stanovené v rozhodnutích 2001/497/ES a 2010/87/EU, pokud jde o plnění smluv uzavřených mezi nimi před datem zrušení těchto rozhodnutí, za předpokladu, že operace zpracování, které jsou předmětem smlouvy, zůstanou nezměněny, a za předpokladu, že spoléhání se na tyto doložky zajistí, že předávání osobních údajů bude podléhat vhodným zárukám ve smyslu čl. 46 odst. 1 nařízení (EU) 2016/679. V případě podstatných změn smlouvy by měl být vývozce údajů povinen vycházet z nového základu pro předávání údajů v rámci smlouvy, a to zejména tak, že nahradí stávající standardní smluvní doložky standardními smluvními doložkami stanovenými v příloze tohoto rozhodnutí. Totéž by mělo platit pro jakékoli subdodavatelské zakázky zadávané (dílčímu) zpracovateli, které se týkající operací zpracování, na něž se smlouva vztahuje. |
|
(25) |
Evropský inspektor ochrany údajů a Evropský sbor pro ochranu údajů byly konzultovány v souladu s čl. 42 odst. 1 a 2 nařízení (EU) 2018/1725 a dne 14. ledna 2021 vydaly společné stanovisko (12), které bylo při vypracování tohoto rozhodnutí zohledněno. |
|
(26) |
Opatření stanovená tímto rozhodnutím jsou v souladu se stanoviskem výboru zřízeného podle článku 93 nařízení (EU) 2016/679, |
PŘIJALA TOTO ROZHODNUTÍ:
Článek 1
1. Standardní smluvní doložky uvedené v příloze se považují za doložky poskytující vhodné záruky ve smyslu čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) nařízení (EU) 2016/679 pro předávání osobních údajů – zpracovaných podle uvedeného nařízení – správcem nebo zpracovatelem (vývozce údajů) správci nebo (dílčímu) zpracovateli, na kterého se při zpracování údajů uvedené nařízení nevztahuje (dovozce údajů).
2. Standardní smluvní doložky rovněž stanoví práva a povinnosti správců a zpracovatelů ve vztahu k záležitostem uvedeným v čl. 28 odst. 3 a 4 nařízení (EU) 2016/679, pokud jde o předávání osobních údajů od správce zpracovateli nebo od zpracovatele dílčímu zpracovateli.
Článek 2
Pokud příslušné orgány členských států vykonávají nápravné pravomoci podle článku 58 nařízení (EU) 2016/679 v reakci na to, že se na dovozce údajů vztahují nebo začínají vztahovat právní předpisy nebo postupy ve třetí zemi určení, které mu brání v dodržování standardních smluvních doložek uvedených v příloze, důsledkem čehož je pozastavení nebo zákaz předávání údajů do třetích zemí, informuje dotčený členský stát neprodleně Komisi, která předá informace ostatním členským státům.
Článek 3
Komise vyhodnotí praktické uplatňování standardních smluvních doložek stanovených v příloze na základě všech dostupných informací v rámci pravidelného hodnocení požadovaného podle článku 97 nařízení (EU) 2016/679.
Článek 4
1. Toto rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
2. Rozhodnutí 2001/497/ES se zrušuje ode dne 27. září 2021.
3. Rozhodnutí 2010/87/EU se zrušuje ode dne 27. září 2021.
4. Smlouvy uzavřené před 27. zářím 2021 na základě rozhodnutí 2001/497/ES nebo rozhodnutí 2010/87/EU se považují za smlouvy poskytující vhodné záruky ve smyslu čl. 46 odst. 1 nařízení (EU) 2016/679 do 27. prosince 2022, za předpokladu, že operace zpracování, které jsou předmětem smlouvy, zůstávají beze změny a že spoléhání se na tyto doložky zajistí, že se na předávání osobních údajů budou vztahovat vhodné záruky.
V Bruselu dne 4. června 2021.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 119, 4.5.2016, s. 1.
(2) Článek 44 nařízení (EU) 2016/679.
(3) Viz rovněž rozsudek Soudního dvora ze dne 16. července 2020, Data Protection Commissioner v. Facebook Ireland Ltd a Maximillian Schrems („Schrems II“), C-311/18, ECLI:EU:C:2020:559, bod 93.
(4) 109. bod odůvodnění nařízení (EU) 2016/679.
(5) Rozhodnutí Komise 2001/497/ES ze dne 15. června 2001 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle směrnice 95/46/ES (Úř. věst. L 181, 4.7.2001, s. 19).
(6) Rozhodnutí Komise 2010/87/EU ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES (Úř. věst. L 39, 12.2.2010, s. 5).
(7) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31).
(8) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39). Viz 5. bod odůvodnění.
(9) C(2021)3701.
(10) Schrems II, body 96 a 103. Viz rovněž nařízení (EU) 2016/679, 108. a 114. bod odůvodnění.
(11) Schrems II.
(12) Společné stanovisko evropského inspektora ochrany údajů a Evropského sboru pro ochranu údajů č. 2/2021 k prováděcímu rozhodnutí Evropské komise o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí v záležitostech uvedených v čl. 46 odst. 2 písm. c) nařízení (EU) 2016/679.
PŘÍLOHA
STANDARDNÍ SMLUVNÍ DOLOŽKY
ODDÍL I
Doložka 1
Účel a oblast působnosti
|
a) |
Účelem těchto standardních smluvních doložek je zajistit dodržování požadavků uvedených v nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) (1), pokud jde o předávání osobních údajů do třetí země. |
|
b) |
Strany:
se dohodly na těchto standardních smluvních doložkách (dále jen „doložky“). |
|
c) |
Tyto doložky se použijí s ohledem na předávání osobních údajů podle přílohy I části B. |
|
d) |
Dodatek k těmto doložkám obsahující přílohy, na něž se v těchto doložkách odkazuje, tvoří nedílnou součást těchto doložek. |
Doložka 2
Účinek a neměnnost doložek
|
a) |
Tyto doložky stanoví vhodné záruky, včetně vymahatelných práv subjektu údajů a účinné právní ochrany, podle čl. 46 odst. 1 a čl. 46 odst. 2 písm. c) nařízení (EU) 2016/679 a s ohledem na předávání údajů od správců zpracovatelům a/nebo od zpracovatelů zpracovatelům, standardní smluvní doložky podle čl. 28 odst. 7 nařízení (EU) 2016/679, pokud nebudou změněny, s výjimkou výběru vhodného modulu (vhodných modulů) nebo za účelem přidání nebo aktualizace informací v dodatku. To smluvním stranám nebrání v tom, aby zahrnuly standardní smluvní doložky stanovené v těchto doložkách do širší smlouvy a/nebo přidaly další doložky nebo dodatečné záruky, pokud nebudou přímo nebo nepřímo v rozporu s těmito doložkami nebo nebudou dotčena základní práva nebo svobody subjektů údajů. |
|
b) |
Těmito doložkami nejsou dotčeny povinnosti, které se vztahují na vývozce údajů na základě nařízení (EU) 2016/679. |
Doložka 3
Oprávněné třetí strany
|
a) |
Subjekty údajů se mohou jako oprávněné třetí strany ve vztahu k vývozci a/nebo dovozci údajů dovolávat těchto doložek a vymáhat je, a to s následujícími výjimkami:
|
|
b) |
Písmenem a) nejsou dotčena práva subjektů údajů podle nařízení (EU) 2016/679. |
Doložka 4
Výklad
|
a) |
Pokud tyto doložky používají pojmy, které jsou vymezeny v nařízení (EU) 2016/679, mají tyto pojmy stejný význam jako v uvedeném nařízení. |
|
b) |
Tyto doložky je třeba číst a vykládat s ohledem na ustanovení nařízení (EU) 2016/679. |
|
c) |
Tyto doložky nebudou vykládány žádným způsobem, který by byl v rozporu s právy a povinnostmi stanovenými v nařízení (EU) 2016/679. |
Doložka 5
Hierarchie
V případě rozporu mezi těmito doložkami a ustanoveními souvisejících dohod mezi stranami, které existovaly v době sjednání těchto doložek, nebo které byly uzavřeny až po jejich sjednání, mají tyto doložky přednost.
Doložka 6
Popis předávání
Podrobnosti týkající se předávání, zejména kategorie osobních údajů, které jsou předávány, a účel nebo účely, pro které jsou předávány, jsou uvedeny v příloze I části B.
Doložka 7 – volitelná
Doložka o přistoupení
|
a) |
Subjekt, který není stranou těchto doložek, může se souhlasem stran k těmto doložkám kdykoli přistoupit, buď jako vývozce údajů, nebo jako dovozce údajů, a to vyplněním dodatku a podepsáním přílohy I části A. |
|
b) |
Poté, co přistupující subjekt vyplní dodatek a podepíše přílohu I část A, stane se stranou těchto doložek a má práva a povinnosti vývozce údajů nebo dovozce údajů v souladu se svým určením v příloze I části A. |
|
c) |
Přistupující subjekt nemá žádná práva ani povinnosti na základě těchto doložek plynoucí z období před tím, než se stal stranou. |
ODDÍL II – POVINNOSTI STRAN
Doložka 8
Záruky ochrany údajů
Vývozce údajů zaručuje, že vynaložil přiměřené úsilí, aby mohl stanovit, zda je dovozce údajů schopen – zavedením vhodných technických a organizačních opatření – plnit své povinnosti podle těchto doložek.
MODUL 1: Předání od správce správci
8.1. Účelové omezení
Dovozce údajů zpracovává osobní údaje pouze pro konkrétní účel nebo účely předání v souladu s přílohou I částí B. Osobní údaje může zpracovávat pro jiný účel pouze tehdy, pokud:
|
i) |
získal předchozí souhlas subjektu údajů; |
|
ii) |
je to nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení, nebo |
|
iii) |
je to nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. |
8.2. Transparentnost
|
a) |
Aby subjekty údajů mohly účinně vykonávat svá práva podle doložky 10, dovozce údajů je informuje přímo nebo prostřednictvím vývozce údajů:
|
|
b) |
Písmeno a) se nepoužije, pokud subjekt údajů již tyto informace má, a to i v případě, že tyto informace již poskytl vývozce údajů, nebo pokud je poskytnutí těchto informací nemožné nebo by to pro dovozce údajů znamenalo nepřiměřené úsilí. V druhém případě dovozce údajů informace v maximální možné míře zveřejní. |
|
c) |
Strany poskytnou subjektu údajů na požádání a bezplatně kopii těchto doložek, včetně dodatku, který tyto strany vyplnily. V rozsahu nezbytném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně osobních údajů, mohou strany před sdílením kopie upravit část znění dodatku, ale poskytnou smysluplné shrnutí, pokud by jinak subjekt údajů nebyl schopen porozumět jeho obsahu nebo uplatnit svá práva. Strany poskytnou subjektu údajů na požádání důvody uvedených úprav, a to v co největší možné míře, aniž by byly upravené informace odhaleny. |
|
d) |
Písmeny a) až c) nejsou dotčeny povinnosti vývozce údajů podle článků 13 a 14 nařízení (EU) 2016/679. |
8.3. Přesnost a minimalizace údajů
|
a) |
Každá strana zajistí, aby osobní údaje byly přesné a v případě potřeby aktualizovány. Dovozce údajů přijme veškerá smysluplná opatření, aby zajistil, že osobní údaje, které jsou nepřesné, budou s ohledem na účel nebo účely zpracování bezodkladně vymazány nebo opraveny. |
|
b) |
Pokud se jedna ze stran dozví, že osobní údaje, které předala nebo přijala, jsou nepřesné nebo zastaralé, bez zbytečného odkladu o tom informuje druhou stranu. |
|
c) |
Dovozce údajů zajistí, aby osobní údaje byly přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelu nebo účelů, pro které jsou zpracovávány. |
8.4. Omezení uložení
Dovozce údajů uchová osobní údaje pouze po dobu nezbytnou pro účel nebo účely, pro který (které) jsou zpracovávány. Přijme vhodná technická nebo organizační opatření k zajištění dodržování této povinnosti, včetně vymazání nebo anonymizace údajů (2) a všech záloh na konci doby uchovávání.
8.5. Zabezpečení zpracování
|
a) |
Dovozce údajů a během předávání také vývozce údajů přijmou vhodná technická a organizační opatření k zajištění zabezpečení osobních údajů, včetně ochrany před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění (dále jen „porušení zabezpečení osobních údajů“). Při posuzování vhodné úrovně zabezpečení řádně zohlední aktuální stav techniky, náklady na provedení, povahu, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekt údajů spojená se zpracováním. Strany zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování. |
|
b) |
Strany se dohodly na technických a organizačních opatřeních stanovených v příloze II. Dovozce údajů provádí pravidelné kontroly, aby zajistil, že tato opatření stále poskytují odpovídající úroveň zabezpečení. |
|
c) |
Dovozce údajů zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. |
|
d) |
V případě porušení zabezpečení osobních údajů týkajících se osobních údajů zpracovávaných dovozcem údajů podle těchto doložek přijme dovozce údajů vhodná opatření k řešení porušení zabezpečení osobních údajů, včetně opatření ke zmírnění jeho možných nepříznivých účinků. |
|
e) |
V případě porušení zabezpečení osobních údajů, které by mohlo vést k ohrožení práv a svobod fyzických osob, dovozce údajů bez zbytečného odkladu informuje vývozce údajů i příslušný dozorový úřad v souladu s doložkou 13. Toto ohlášení obsahuje i) popis povahy daného případu porušení zabezpečení osobních údajů (včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů), ii) jeho pravděpodobných důsledků, iii) popis opatření, která byla přijata nebo byla navržena s cílem vyřešit dané porušení zabezpečení, a iv) údaje kontaktního místa, kde lze získat více informací. Není-li možné, aby dovozce údajů veškeré informace poskytl současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. |
|
f) |
V případě porušení zabezpečení osobních údajů, které pravděpodobně bude představovat vysoké riziko pro práva a svobody fyzických osob, dovozce údajů rovněž bez zbytečného odkladu podá hlášení dotčeným subjektům údajů o porušení zabezpečení osobních údajů a jeho povaze – v případě potřeby ve spolupráci s vývozcem údajů – a sdělí jim také informace uvedené v písm. e) bodu ii) až iv), pokud dovozce údajů nezavedl opatření za účelem značného snížení rizika pro práva a svobody fyzických osob nebo pokud dané hlášení nevyžaduje nepřiměřené úsilí. V posledně uvedeném případě dovozce údajů místo toho vydá veřejné oznámení nebo zajistí obdobné opatření, kterým veřejnost o porušení zabezpečení osobních údajů informuje. |
|
g) |
Dovozce údajů dokumentuje veškeré relevantní skutečnosti týkající se porušení zabezpečení osobních údajů, včetně jeho účinků a přijatých nápravných opatření, a vede si o tom záznamy. |
8.6. Citlivé údaje
Jestliže předávání zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetické údaje nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údaje týkající se rozsudků v trestních věcech nebo trestných činů (dále jen „citlivé údaje“), dovozce údajů uplatní zvláštní omezení a/nebo dodatečné záruky přizpůsobené zvláštní povaze údajů a souvisejícím rizikům. To může zahrnovat omezení personálu, který má povolen přístup k osobním údajům, dodatečná bezpečnostní opatření (jako je pseudonymizace) a/nebo dodatečná omezení s ohledem na další zpřístupnění.
8.7. Další předávání
Dovozce údajů nezpřístupní osobní údaje třetí straně se sídlem mimo Evropskou unii (3) (ve stejné zemi jako dovozce údajů nebo v jiné třetí zemi, dále jen „další předávání“), ledaže by tato třetí strana byla podle příslušného modulu těmito doložkami vázána nebo by souhlasila s tím, že jimi bude vázána. K dalšímu předání dovozcem údajů jinak může dojít pouze tehdy, pokud:
|
i) |
se provádí do země, která využívá rozhodnutí o odpovídající ochraně podle článku 45 nařízení (EU) 2016/679, jenž upravuje další předávání; |
|
ii) |
třetí strana jinak zajišťuje vhodné záruky podle článků 46 nebo 47 nařízení (EU) 2016/679 s ohledem na dotčené zpracování; |
|
iii) |
třetí strana uzavře s dovozcem údajů závazný instrument zajišťující stejnou úroveň ochrany údajů jako podle těchto doložek a dovozce údajů poskytne kopii těchto záruk vývozci údajů; |
|
iv) |
je to nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení; |
|
v) |
je to nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, nebo |
|
vi) |
pokud neplatí žádná z dalších podmínek, dovozce údajů získal výslovný souhlas subjektu údajů s dalším předáváním v konkrétní situaci poté, co jej informoval o jeho účelu nebo účelech, totožnosti příjemce a možných rizicích, která pro něj vyplývají z takového předávání vzhledem k nedostatku vhodných záruk ochrany údajů. V takovém případě dovozce údajů informuje vývozce údajů a na žádost vývozce údajů mu předá kopii informací poskytnutých subjektu údajů. |
Na jakékoli další předávání se vztahuje podmínka, že dovozce údajů dodrží všechny ostatní záruky podle těchto doložek, zejména účelové omezení.
8.8. Zpracování z pověření dovozce údajů
Dovozce údajů zajistí, aby jakákoli osoba, která jedná z jeho pověření, včetně zpracovatele, zpracovávala údaje pouze na základě jeho pokynů.
8.9. Dokumentace a plnění povinností
|
a) |
Každá strana musí být schopna prokázat plnění svých povinností podle těchto doložek. Dovozce údajů zejména vede příslušnou dokumentaci o činnostech zpracování, za jejichž provádění odpovídá. |
|
b) |
Dovozce údajů tuto dokumentaci na požádání zpřístupní příslušnému dozorovému úřadu. |
MODUL 2: Předání od správce zpracovateli
8.1. Pokyny
|
a) |
Dovozce údajů zpracovává osobní údaje pouze na základě doložených pokynů od vývozce údajů. Vývozce údajů může takové pokyny vydávat po celou dobu trvání smlouvy. |
|
b) |
Dovozce údajů okamžitě informuje vývozce údajů, pokud není schopen tyto pokyny dodržet. |
8.2. Účelové omezení
Dovozce údajů zpracovává osobní údaje pouze pro konkrétní účel nebo účely předání uvedené v příloze I části B, ledaže vývozce údajů vydá další pokyny.
8.3. Transparentnost
Na požádání poskytne vývozce údajů subjektu údajů bezplatně kopii těchto doložek, včetně dodatku, který tyto strany vyplnily. V rozsahu nezbytném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně opatření popsaných v příloze II a osobních údajů, může vývozce údajů před sdílením kopie upravit část znění dodatku k těmto doložkám, ale poskytne smysluplné shrnutí, pokud by jinak subjekt údajů nebyl schopen porozumět jeho obsahu nebo uplatnit svá práva. Strany poskytnou subjektu údajů na požádání důvody uvedených úprav, a to v co největší možné míře, aniž by byly upravené informace odhaleny. Touto doložkou nejsou dotčeny povinnosti vývozce údajů podle článků 13 a 14 nařízení (EU) 2016/679.
8.4. Přesnost
Pokud se dovozce údajů dozví, že osobní údaje, které přijal, jsou nepřesné nebo zastaralé, bez zbytečného odkladu o tom informuje vývozce údajů. V takovém případě dovozce údajů spolupracuje s vývozcem údajů na jejich vymazání nebo opravě.
8.5. Doba zpracování a vymazání nebo vrácení údajů
Dovozce údajů zpracovává údaje pouze po dobu uvedenou v příloze I části B. Po skončení poskytování zpracovatelských služeb dovozce údajů v souladu s volbou vývozce údajů vymaže všechny osobní údaje zpracovávané jménem vývozce údajů a potvrdí vývozci údajů, že tak učinil, nebo vývozci údajů vrátí všechny osobní údaje zpracovávané jeho jménem a vymaže existující kopie. Dokud nejsou údaje vymazány nebo vráceny, dovozce údajů nadále zajišťuje soulad s těmito doložkami. V případě, že se na dovozce údajů vztahují místní právní předpisy, které mu zakazují osobní údaje vrátit nebo vymazat, dovozce údajů zaručuje, že bude i nadále zajišťovat dodržování těchto doložek a že bude údaje zpracovávat pouze v takovém rozsahu a tak dlouho, jak to místní právo vyžaduje. Tím není dotčena doložka 14, zejména požadavek, aby dovozce údajů podle doložky 14 písm. e) informoval vývozce údajů po celou dobu trvání smlouvy, pokud má důvod se domnívat, že se na něj vztahují nebo se na něj začaly vztahovat právní předpisy nebo postupy, jež nejsou v souladu s požadavky podle doložky 14 písm. a).
8.6. Zabezpečení zpracování
|
a) |
Dovozce údajů a během předávání také vývozce údajů přijmou vhodná technická a organizační opatření k zajištění zabezpečení údajů, včetně ochrany před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění uvedených údajů (dále jen „porušení zabezpečení osobních údajů“). Při posuzování vhodné úrovně zabezpečení strany řádně zohlední aktuální stav techniky, náklady na provedení, povahu, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekty údajů spojená se zpracováním. Strany zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování. V případě pseudonymizace zůstanou dodatečné informace pro přiřazení osobních údajů konkrétnímu subjektu údajů, pokud je to možné, pod výlučnou kontrolou vývozce údajů. Za účelem dodržení svých povinností podle tohoto odstavce musí dovozce údajů přinejmenším zavést technická a organizační opatření uvedená v příloze II. Dovozce údajů provádí pravidelné kontroly, aby zajistil, že tato opatření stále poskytují odpovídající úroveň zabezpečení. |
|
b) |
Dovozce údajů poskytne přístup k osobním údajům svým zaměstnancům pouze v rozsahu nezbytně nutném pro provádění, správu a monitorování smlouvy. Zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. |
|
c) |
V případě porušení zabezpečení osobních údajů týkajících se osobních údajů zpracovávaných dovozcem údajů podle těchto doložek přijme dovozce údajů vhodná opatření k řešení porušení zabezpečení, včetně opatření ke zmírnění jeho nepříznivých účinků. Dovozce údajů rovněž bez zbytečného odkladu poté, co se o porušení dozvěděl, podá hlášení vývozci údajů. Takové hlášení obsahuje podrobnosti o kontaktním místě, které může poskytnout bližší informace, popis povahy daného případu porušení zabezpečení (včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a přibližného množství záznamů osobních údajů), jeho pravděpodobných důsledků a opatření přijatých nebo navržených s cílem vyřešit dané porušení zabezpečení, včetně případných opatření ke zmírnění jeho možných nepříznivých dopadů. Není-li možné poskytnout všechny informace současně, původní hlášení obsahuje informace, které byly v danou dobu k dispozici, a další informace, jakmile budou k dispozici, budou následně poskytovány bez zbytečného odkladu. |
|
d) |
Dovozce údajů spolupracuje s vývozcem údajů a pomáhá mu tak, aby mu umožnil plnit jeho povinnosti podle nařízení (EU) 2016/679, zejména povinnost podávat hlášení příslušnému dozorovému úřadu a dotčeným subjektům údajů, s přihlédnutím k povaze zpracování a informacím, které jsou dovozci údajů dostupné. |
8.7. Citlivé údaje
Pokud předávání zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetické údaje nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údaje týkající se rozsudků v trestních věcech a trestných činů (dále jen „citlivé údaje“), dovozce údajů uplatní zvláštní omezení a/nebo dodatečné záruky popsané v příloze I části B.
8.8. Další předávání
Dovozce údajů zpřístupní osobní údaje třetí straně pouze na základě doložených pokynů od vývozce údajů. Údaje mohou být navíc zpřístupněny třetí straně se sídlem mimo Evropskou unii (4) (ve stejné zemi jako dovozce údajů nebo v jiné třetí zemi, dále jen „další předávání“), pokud je tato třetí strana podle příslušného modulu vázána těmito doložkami nebo souhlasí s tím, že jimi bude vázána, nebo pokud:
|
i) |
se další předávání provádí do země, která využívá rozhodnutí o odpovídající ochraně podle článku 45 nařízení (EU) 2016/679, jenž upravuje další předávání; |
|
ii) |
třetí strana jinak zajišťuje vhodné záruky podle článků 46 nebo 47 nařízení (EU) 2016/679 s ohledem na dotčené zpracování; |
|
iii) |
je další předávání nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení, nebo |
|
iv) |
je další předávání nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. |
Na jakékoli další předávání se vztahuje podmínka, že dovozce údajů dodrží všechny ostatní záruky podle těchto doložek, zejména účelové omezení.
8.9. Dokumentace a plnění povinností
|
a) |
Dovozce údajů neprodleně a odpovídajícím způsobem vyřídí dotazy vývozce údajů, které se týkají zpracování podle těchto doložek. |
|
b) |
Strany musí být schopny prokázat dodržování těchto doložek. Dovozce údajů zejména vede příslušnou dokumentaci o činnostech zpracování prováděných za vývozce údajů. |
|
c) |
Dovozce údajů poskytne vývozci údajů veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v těchto doložkách, a na žádost vývozce údajů umožní audity činností zpracování, na které se tyto doložky vztahují, a bude k nim přispívat, a to v přiměřených intervalech, nebo pokud existují okolnosti nasvědčující tomu, že doložky nejsou dodržovány. Při rozhodování o přezkumu nebo auditu může vývozce údajů vzít v úvahu příslušná osvědčení, kterými disponuje dovozce údajů. |
|
d) |
Vývozce údajů se může rozhodnout provést audit sám nebo pověřit nezávislého auditora. Audity mohou zahrnovat inspekce v prostorách nebo ve fyzických zařízeních dovozce údajů a v příslušných případech se provádějí na základě přiměřeně včasného oznámení. |
|
e) |
Strany na požádání příslušnému dozorovému úřadu poskytnou informace uvedené v písmenech b) a c), včetně výsledků jakýchkoli auditů. |
MODUL 3: Předání od zpracovatele zpracovateli
8.1. Pokyny
|
a) |
Vývozce údajů informoval dovozce údajů, že jedná jako zpracovatel na základě pokynů svého správce nebo správců, a tyto pokyny vývozce údajů před zpracováním zpřístupní dovozci údajů. |
|
b) |
Dovozce údajů zpracovává osobní údaje pouze na základě dokumentovaných pokynů správce, které byly vývozcem údajů sděleny dovozci údajů, a na základě jakýchkoli dodatečných dokumentovaných pokynů od vývozce údajů. Tyto dodatečné pokyny nesmí být v rozporu s pokyny správce. Správce nebo vývozce údajů může po dobu trvání smlouvy vydat další dokumentované pokyny týkající se zpracování údajů. |
|
c) |
Dovozce údajů okamžitě informuje vývozce údajů, pokud není schopen tyto pokyny dodržet. Jestliže dovozce údajů není schopen postupovat podle pokynů správce, vývozce údajů o tom správce neprodleně uvědomí. |
|
d) |
Vývozce údajů zaručuje, že uložil dovozci údajů stejné povinnosti v oblasti ochrany údajů, jaké stanoví smlouva nebo jiný právní akt podle práva Unie nebo členského státu mezi správcem a vývozcem údajů (5). |
8.2. Účelové omezení
Dovozce údajů zpracovává osobní údaje pouze pro konkrétní účel nebo účely předání v souladu s přílohou I částí B, pokud neexistují další pokyny ze strany správce, které dovozci údajů sdělil vývozce údajů, ani další pokyny ze strany vývozce údajů.
8.3. Transparentnost
Na požádání poskytne vývozce údajů subjektu údajů bezplatně kopii těchto doložek, včetně dodatku, který tyto strany vyplnily. V rozsahu nezbytném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně osobních údajů, může vývozce údajů před sdílením kopie upravit část znění dodatku, ale poskytne smysluplné shrnutí, pokud by jinak subjekt údajů nebyl schopen porozumět jeho obsahu nebo uplatnit svá práva. Strany poskytnou subjektu údajů na požádání důvody uvedených úprav, a to v co největší možné míře, aniž by byly upravené informace odhaleny.
8.4. Přesnost
Pokud se dovozce údajů dozví, že osobní údaje, které přijal, jsou nepřesné nebo zastaralé, bez zbytečného odkladu o tom informuje vývozce údajů. V takovém případě dovozce údajů spolupracuje s vývozcem údajů na jejich opravě nebo vymazání.
8.5. Doba zpracování a vymazání nebo vrácení údajů
Dovozce údajů zpracovává údaje pouze po dobu uvedenou v příloze I části B. Po skončení poskytování zpracovatelských služeb dovozce údajů v souladu s volbou vývozce údajů vymaže všechny osobní údaje zpracovávané jménem správce a potvrdí vývozci údajů, že tak učinil, nebo vývozci údajů vrátí všechny osobní údaje zpracovávané jeho jménem a vymaže všechny existující kopie. Dokud nejsou údaje vymazány nebo vráceny, dovozce údajů nadále zajišťuje soulad s těmito doložkami. V případě, že se na dovozce údajů vztahují místní právní předpisy, které mu zakazují osobní údaje vrátit nebo vymazat, dovozce údajů zaručuje, že bude i nadále zajišťovat dodržování těchto doložek a že bude údaje zpracovávat pouze v takovém rozsahu a tak dlouho, jak to místní právo vyžaduje. Tím není dotčena doložka 14, zejména požadavek, aby dovozce údajů podle doložky 14 písm. e) informoval vývozce údajů po celou dobu trvání smlouvy, pokud má důvod se domnívat, že se na něj vztahují nebo se na něj začaly vztahovat právní předpisy nebo postupy, jež nejsou v souladu s požadavky podle doložky 14 písm. a).
8.6. Zabezpečení zpracování
|
a) |
Dovozce údajů a během předávání také vývozce údajů přijmou vhodná technická a organizační opatření k zajištění zabezpečení údajů, včetně ochrany před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění uvedených údajů (dále jen „porušení zabezpečení osobních údajů“). Při posuzování vhodné úrovně zabezpečení se řádně zohlední aktuální stav techniky, náklady na provedení, povaha, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekt údajů spojená se zpracováním. Strany zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování. V případě pseudonymizace zůstanou dodatečné informace pro přiřazení osobních údajů konkrétnímu subjektu údajů, pokud je to možné, pod výlučnou kontrolou vývozce údajů nebo správce. Za účelem dodržení svých povinností podle tohoto odstavce musí dovozce údajů přinejmenším zavést technická a organizační opatření uvedená v příloze II. Dovozce údajů provádí pravidelné kontroly, aby zajistil, že tato opatření stále poskytují odpovídající úroveň zabezpečení. |
|
b) |
Dovozce údajů poskytne přístup k údajům svým zaměstnancům pouze v rozsahu nezbytně nutném pro provádění, správu a monitorování smlouvy. Zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. |
|
c) |
V případě porušení zabezpečení osobních údajů týkajících se osobních údajů zpracovávaných dovozcem údajů podle těchto doložek přijme dovozce údajů vhodná opatření k řešení porušení zabezpečení, včetně opatření ke zmírnění jeho nepříznivých dopadů. Dovozce údajů rovněž bez zbytečného odkladu poté, co se o porušení zabezpečení dozvěděl, podá hlášení vývozci údajů, a je-li to vhodné a proveditelné, také správci. Takové hlášení obsahuje podrobnosti o kontaktním místě, které může poskytnout bližší informace, popis povahy daného případu porušení zabezpečení (včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a přibližného množství záznamů osobních údajů), jeho pravděpodobných důsledků a opatření přijatých nebo navržených s cílem vyřešit dané porušení zabezpečení údajů, včetně opatření ke zmírnění jeho možných nepříznivých dopadů. Není-li možné poskytnout všechny informace současně, původní hlášení obsahuje informace, které byly v danou dobu k dispozici, a další informace, jakmile budou k dispozici, budou následně poskytovány bez zbytečného odkladu. |
|
d) |
Dovozce údajů spolupracuje s vývozcem údajů a pomáhá mu tak, aby mu umožnil plnit jeho povinnosti podle nařízení (EU) 2016/679, zejména povinnost podávat hlášení svému správci, aby tento správce mohl informovat příslušný dozorový úřad a dotčené subjekty údajů, s přihlédnutím k povaze zpracování a informacím, které jsou dovozci údajů dostupné. |
8.7. Citlivé údaje
Pokud předávání zahrnuje osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetické údaje nebo biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údaje týkající se rozsudků v trestních věcech a trestných činů (dále jen „citlivé údaje“), dovozce údajů uplatní zvláštní omezení a/nebo dodatečné záruky stanovené v příloze I části B.
8.8. Další předávání
Dovozce údajů zpřístupní osobní údaje třetí straně pouze na základě doložených pokynů od správce, které dovozci údajů sdělil vývozce údajů. Údaje mohou být navíc zpřístupněny třetí straně se sídlem mimo Evropskou unii (6) (ve stejné zemi jako dovozce údajů nebo v jiné třetí zemi, dále jen „další předávání“), pokud je tato třetí strana podle příslušného modulu vázána těmito doložkami nebo souhlasí s tím, že jimi bude vázána, nebo pokud:
|
i) |
se další předávání provádí do země, která využívá rozhodnutí o odpovídající ochraně podle článku 45 nařízení (EU) 2016/679, jenž upravuje další předávání; |
|
ii) |
třetí strana jinak zajišťuje vhodné záruky podle článků 46 nebo 47 nařízení (EU) 2016/679; |
|
iii) |
je další předávání nezbytné pro určení, výkon nebo obhajobu právních nároků v rámci zvláštních správních, regulačních nebo soudních řízení, nebo |
|
iv) |
je další předávání nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. |
Na jakékoli další předávání se vztahuje podmínka, že dovozce údajů dodrží všechny ostatní záruky podle těchto doložek, zejména účelové omezení.
8.9. Dokumentace a plnění povinností
|
a) |
Dovozce údajů neprodleně a odpovídajícím způsobem vyřídí dotazy vývozce údajů nebo správce, které se týkají zpracování podle těchto doložek. |
|
b) |
Strany musí být schopny prokázat dodržování těchto doložek. Dovozce údajů zejména vede příslušnou dokumentaci o činnostech zpracování prováděných za správce. |
|
c) |
Dovozce údajů poskytne vývozci údajů veškeré informace nezbytné k prokázání dodržování povinností stanovených v těchto doložkách, přičemž vývozce údajů je pak poskytne správci. |
|
d) |
Dovozce údajů umožní audity ze strany vývozce údajů, které se týkají činností zpracování, na něž se tyto doložky vztahují, a k těmto auditům přispívá, a to v přiměřených intervalech, nebo pokud existují okolnosti nasvědčující tomu, že doložky nejsou dodržovány. Totéž platí, pokud vývozce údajů požaduje audit na základě pokynů správce. Při rozhodování o auditu může vývozce údajů zohlednit příslušná osvědčení, kterými disponuje dovozce údajů. |
|
e) |
Pokud je audit prováděn na základě pokynů od správce, bude správce o jeho výsledcích informován vývozcem údajů. |
|
f) |
Vývozce údajů se může rozhodnout provést audit sám nebo pověřit nezávislého auditora. Audity mohou zahrnovat inspekce v prostorách nebo ve fyzických zařízeních dovozce údajů a v příslušných případech se provádějí na základě přiměřeně včasného oznámení. |
|
g) |
Strany na požádání příslušnému dozorovému úřadu poskytnou informace uvedené v písmenech b) a c), včetně výsledků jakýchkoli auditů. |
MODUL 4: Předání od zpracovatele správci
8.1. Pokyny
|
a) |
Vývozce údajů zpracovává osobní údaje pouze na základě doložených pokynů od dovozce údajů, který jedná jako jeho správce. |
|
b) |
Vývozce údajů neprodleně informuje dovozce údajů, pokud není schopen tyto pokyny dodržovat, včetně případů, kdy tyto pokyny porušují nařízení (EU) 2016/679 nebo jiné právní předpisy Unie nebo členského státu v oblasti ochrany údajů. |
|
c) |
Dovozce údajů se zdrží přijímání jakýchkoli opatření, která by vývozci údajů bránila v plnění jeho povinností podle nařízení (EU) 2016/679, mimo jiné v kontextu dílčího zpracování, nebo pokud se jedná o spolupráci s příslušnými dozorovými úřady. |
|
d) |
Po skončení poskytování zpracovatelských služeb vývozce údajů v souladu s volbou dovozce údajů vymaže všechny osobní údaje zpracovávané jménem dovozce údajů a potvrdí dovozci údajů, že tak učinil, nebo dovozci údajů vrátí všechny osobní údaje zpracovávané jeho jménem a vymaže všechny existující kopie. |
8.2. Zabezpečení zpracování
|
a) |
Strany zavedou vhodná technická a organizační opatření k zajištění zabezpečení údajů, a to i během předávání, a zajistí ochranu před porušením zabezpečení vedoucím k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému poskytnutí nebo zpřístupnění (dále jen „porušení zabezpečení osobních údajů“). Při posuzování vhodné úrovně zabezpečení strany náležitě zohlední aktuální stav techniky, náklady na provedení, povahu osobních údajů (7), povahu, rozsah, kontext a účel nebo účely zpracování a rizika pro subjekty údajů spojená se zpracováním, a zejména zváží použití šifrování nebo pseudonymizace, a to i během předávání, pokud lze tímto způsobem splnit účel zpracování. |
|
b) |
Vývozce údajů pomáhá dovozci údajů při zajišťování odpovídajícího zabezpečení údajů v souladu s písmenem a). V případě porušení zabezpečení osobních údajů týkajícího se osobních údajů zpracovávaných vývozcem údajů podle těchto doložek vývozce údajů podá hlášení dovozci údajů bez zbytečného odkladu poté, co se o něm dozvěděl, a dovozci údajů bude při řešení uvedeného porušení nápomocen. |
|
c) |
Vývozce údajů zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti, nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. |
8.3. Dokumentace a plnění povinností
|
a) |
Strany musí být schopny prokázat dodržování těchto doložek. |
|
b) |
Vývozce údajů poskytne dovozci údajů veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v těchto doložkách, umožní provedení auditů a bude k nim přispívat. |
Doložka 9
Využití dílčích zpracovatelů
MODUL 2: Předání od správce zpracovateli
|
a) |
MOŽNOST 1: ZVLÁŠTNÍ PŘEDCHOZÍ POVOLENÍ Dovozce údajů nezadá dílčímu zpracovateli v rámci subdodávky žádnou ze svých činností zpracování, kterou na základě těchto doložek vykonává jménem vývozce údajů, bez předchozího zvláštního písemného povolení vývozce údajů. Dovozce údajů předloží žádost o zvláštní povolení nejméně [uveďte časové období] před zapojením dílčího zpracovatele spolu s informacemi nezbytnými k tomu, aby vývozce údajů mohl o povolení rozhodnout. Seznam dílčích zpracovatelů, kteří již povolení vývozce údajů získali, je uveden v příloze III. Strany přílohu III průběžně aktualizují. MOŽNOST 2: OBECNÉ PÍSEMNÉ POVOLENÍ Dovozce údajů má obecné povolení vývozce údajů pro zapojení dílčího zpracovatele nebo dílčích zpracovatelů ze schváleného seznamu. Dovozce údajů výslovně písemně informuje vývozce údajů o veškerých zamýšlených změnách uvedeného seznamu, které spočívají v přidání nebo nahrazení dílčích zpracovatelů nejméně [uveďte časové období] předem, čímž poskytne vývozci údajů dostatek času, aby mohl proti takovým změnám vznést námitky před zapojením dílčího zpracovatele nebo zpracovatelů. Dovozce údajů poskytne vývozci údajů informace nezbytné k tomu, aby vývozce údajů mohl uplatnit své právo vznést námitku. |
|
b) |
Pokud dovozce údajů pro výkon konkrétních činností zpracování zapojí dílčího zpracovatele (jménem vývozce údajů), učiní tak prostřednictvím písemné smlouvy, která v zásadě stanoví stejné povinnosti v oblasti ochrany údajů jako ty, které jsou závazné pro dovozce údajů na základě těchto doložek, a to i pokud jde o práva náležející oprávněné třetí straně v případě subjektů údajů. (8) Strany se dohodly, že dodržováním této doložky dovozce údajů plní své povinnosti podle doložky 8.8. Dovozce údajů zajistí, aby dílčí zpracovatel dodržoval povinnosti, které se v souladu s těmito doložkami vztahují na dovozce údajů. |
|
c) |
Dovozce údajů poskytne vývozci údajů na jeho žádost kopii takové dohody s dílčím zpracovatelem a veškeré její následné změny. V rozsahu nezbytném k ochraně obchodních tajemství nebo jiných důvěrných informací, včetně osobních údajů, může dovozce údajů před sdílením kopie znění této dohody upravit. |
|
d) |
Dovozce údajů je i nadále vývozci údajů plně odpovědný za plnění povinností dílčího zpracovatele na základě smlouvy, kterou s dovozcem údajů uzavřel. Dovozce údajů informuje vývozce údajů o každém případu, kdy dílčí zpracovatel nesplnil svou povinnost, jež z uvedené smlouvy vyplývá. |
|
e) |
Dovozce údajů sjedná s dílčím zpracovatelem doložku ve prospěch oprávněné třetí strany, přičemž – v případě, že dovozce údajů fakticky zmizel, z právního hlediska zanikl nebo se dostal do platební neschopnosti – má vývozce údajů právo smlouvu s dílčím zpracovatelem vypovědět a dát dílčímu zpracovateli pokyn, aby osobní údaje vymazal nebo vrátil. |
MODUL 3: Předání od zpracovatele zpracovateli
|
a) |
MOŽNOST 1: ZVLÁŠTNÍ PŘEDCHOZÍ POVOLENÍ Dovozce údajů nezadá dílčímu zpracovateli v rámci subdodávky žádnou ze svých činností zpracování, kterou na základě těchto doložek vykonává jménem vývozce údajů, bez předchozího zvláštního písemného povolení správce. Dovozce údajů předloží žádost o zvláštní povolení nejméně [uveďte časové období] před zapojením dílčího zpracovatele spolu s informacemi nezbytnými k tomu, aby správce mohl o povolení rozhodnout. O takovém zapojení informuje vývozce údajů. Seznam dílčích zpracovatelů, kteří již povolení správce získali, je uveden v příloze III. Strany přílohu III průběžně aktualizují. MOŽNOST 2: OBECNÉ PÍSEMNÉ POVOLENÍ Dovozce údajů má obecné povolení správce pro zapojení dílčího zpracovatele nebo dílčích zpracovatelů ze schváleného seznamu. Dovozce údajů výslovně písemně informuje správce o veškerých zamýšlených změnách uvedeného seznamu, které spočívají v přidání nebo nahrazení dílčích zpracovatelů nejméně [uveďte časové období] předem, čímž poskytne správci dostatek času, aby mohl proti takovým změnám vznést námitky před zapojením dílčího zpracovatele nebo zpracovatelů. Dovozce údajů poskytne správci informace nezbytné k tomu, aby správce mohl uplatnit své právo vznést námitku. Dovozce údajů o zapojení dílčího zpracovatele nebo dílčích zpracovatelů informuje vývozce údajů. |
|
b) |
Pokud dovozce údajů pro výkon konkrétních činností zpracování zapojí dílčího zpracovatele (jménem správce), učiní tak prostřednictvím písemné smlouvy, která v zásadě stanoví stejné povinnosti v oblasti ochrany údajů jako ty, které jsou závazné pro dovozce údajů na základě těchto doložek, a to i pokud jde o práva náležející oprávněné třetí straně v případě subjektů údajů (9). Strany se dohodly, že dodržováním této doložky dovozce údajů plní své povinnosti podle doložky 8.8. Dovozce údajů zajistí, aby dílčí zpracovatel dodržoval povinnosti, které se v souladu s těmito doložkami vztahují na dovozce údajů. |
|
c) |
Dovozce údajů poskytne na žádost vývozce údajů nebo správce kopii takové dohody s dílčím zpracovatelem a veškeré její následné změny. V rozsahu nezbytném k ochraně obchodních tajemství nebo jiných důvěrných informací, včetně osobních údajů, může dovozce údajů před sdílením kopie znění této dohody upravit. |
|
d) |
Dovozce údajů je i nadále vývozci údajů plně odpovědný za plnění povinností dílčího zpracovatele na základě smlouvy, kterou s dovozcem údajů uzavřel. Dovozce údajů informuje vývozce údajů o každém případu, kdy dílčí zpracovatel nesplnil svou povinnost, jež z uvedené smlouvy vyplývá. |
|
e) |
Dovozce údajů sjedná s dílčím zpracovatelem doložku ve prospěch oprávněné třetí strany, přičemž – v případě, že dovozce údajů fakticky zmizel, z právního hlediska zanikl nebo se dostal do platební neschopnosti – má vývozce údajů právo smlouvu s dílčím zpracovatelem vypovědět a dát dílčímu zpracovateli pokyn, aby osobní údaje vymazal nebo vrátil. |
Doložka 10
Práva subjektů údajů
MODUL 1: Předání od správce správci
|
a) |
Dovozce údajů, případně za pomoci vývozce údajů, vyřizuje veškeré dotazy a žádosti, které obdrží od subjektu údajů, týkající se zpracování jeho osobních údajů a výkonu jeho práv podle těchto doložek, a to bez zbytečného odkladu a nejpozději do jednoho měsíce od obdržení dotazu nebo žádosti. (10) Dovozce údajů přijme vhodná opatření k usnadnění vyřizování těchto dotazů, žádostí a výkonu práv subjektu údajů. Veškeré informace poskytované subjektu údajů musí být ve srozumitelném a snadno přístupném znění za použití jasných a jednoduchých jazykových prostředků. |
|
b) |
Na žádost subjektu údajů dovozce údajů zejména bezplatně:
|
|
c) |
Pokud dovozce údajů zpracovává osobní údaje pro účely přímého marketingu, přestane je pro tyto účely zpracovávat, vznese-li proti tomu subjekt údajů námitky. |
|
d) |
Dovozce údajů nepřijme rozhodnutí založené výhradně na automatizovaném zpracování předávaných osobních údajů (dále jen „automatizované rozhodnutí“), které by mělo právní účinky týkající se subjektu údajů nebo by ho obdobně významně ovlivnilo, ledaže by k tomu subjekt údajů dal výslovný souhlas, nebo pokud by mu to bylo na základě právních předpisů země určení povoleno, za předpokladu, že takové právní předpisy stanoví vhodná opatření na ochranu práv a oprávněných zájmů subjektu údajů. V tomto případě dovozce údajů, v případě potřeby ve spolupráci s vývozcem údajů:
|
|
e) |
Jestliže jsou žádosti subjektu údajů nepřiměřené, zejména proto, že se opakují, může dovozce údajů buď uložit přiměřený poplatek, v němž budou zohledněny administrativní náklady související s vyhověním dané žádosti, nebo může odmítnout žádosti vyhovět. |
|
f) |
Dovozce údajů může žádost subjektu údajů odmítnout, pokud je takové odmítnutí umožněno podle práva země určení a je v demokratické společnosti nezbytné a přiměřené za účelem ochrany jednoho z cílů uvedených v čl. 23 odst. 1 nařízení (EU) 2016/679. |
|
g) |
Pokud má dovozce údajů v úmyslu žádost subjektu údajů odmítnout, informuje subjekt údajů o důvodech odmítnutí a možnosti podat stížnost u příslušného dozorového úřadu a/nebo požádat o soudní ochranu. |
MODUL 2: Předání od správce zpracovateli
|
a) |
Dovozce údajů neprodleně informuje vývozce údajů o každé žádosti, kterou od subjektu údajů přijal. Na tuto žádost sám neodpoví, pokud k tomu nedostal povolení od vývozce údajů. |
|
b) |
Dovozce údajů vývozci údajů pomáhá při plnění jeho povinností reagovat na žádosti subjektů údajů týkající se výkonu jejich práv podle nařízení (EU) 2016/679. V tomto ohledu stanoví strany v příloze II příslušná technická a organizační opatření s přihlédnutím k povaze zpracování, prostřednictvím něhož bude pomoc poskytována, a stanoví i rozsah a dosah požadované pomoci. |
|
c) |
Při plnění svých povinností podle písmen a) a b) musí dovozce údajů dodržovat pokyny vývozce údajů. |
MODUL 3: Předání od zpracovatele zpracovateli
|
a) |
Dovozce údajů neprodleně informuje vývozce údajů a v příslušném případě i správce o každé žádosti, kterou od subjektu údajů přijal, aniž by na tuto žádost reagoval, ledaže by k tomu dostal od správce povolení. |
|
b) |
Dovozce údajů, případně ve spolupráci s vývozcem údajů, pomáhá správci při plnění jeho povinností reagovat na žádosti subjektů údajů týkající se výkonu jejich práv podle nařízení (EU) 2016/679 nebo v příslušném případě nařízení (EU) 2018/1725. V tomto ohledu stanoví strany v příloze II příslušná technická a organizační opatření s přihlédnutím k povaze zpracování, prostřednictvím něhož bude pomoc poskytována, a stanoví i rozsah a dosah požadované pomoci. |
|
c) |
Při plnění svých povinností podle písmen a) a b) musí dovozce údajů dodržovat pokyny správce, které mu jsou sděleny vývozcem údajů. |
MODUL 4: Předání od zpracovatele správci
Strany si vzájemně pomáhají při odpovídání na dotazy a žádosti subjektů údajů podle místního práva použitelného na dovozce údajů nebo v případě zpracování údajů dovozcem údajů v EU podle nařízení (EU) 2016/679.
Doložka 11
Náprava
|
a) |
Dovozce údajů transparentně a ve snadno přístupném formátu informuje subjekty údajů prostřednictvím individuálního oznámení nebo na svých internetových stránkách o kontaktním místě oprávněném vyřizovat stížnosti. Takové místo neprodleně vyřídí jakékoli stížnosti, které od subjektu údajů přijme. [VARIANTA: Dovozce údajů souhlasí s tím, že subjekty údajů mohou rovněž bezplatně podat stížnost u nezávislého orgánu pro řešení sporů (11). O tomto mechanismu nápravy a o tom, že subjekty údajů nejsou povinny jej využívat nebo postupovat podle konkrétního postupu při hledání nápravy, dovozce údajů informuje subjekty údajů způsobem uvedeným v písmenu a).] |
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
|
b) |
V případě sporu mezi subjektem údajů a jednou ze smluvních stran týkajícího se dodržování těchto doložek vyvine tato strana veškeré úsilí k tomu, aby takovou záležitost vyřešila smírně a včas. Strany se o těchto sporech navzájem informují a v příslušných případech při jejich řešení spolupracují. |
|
c) |
Pokud se subjekt údajů dovolává práva ve prospěch oprávněné třetí strany podle doložky 3, dovozce údajů akceptuje rozhodnutí subjektu údajů:
|
|
d) |
Strany jsou srozuměny, že subjekt údajů může být zastoupen neziskovým subjektem, organizací nebo sdružením za podmínek stanovených v čl. 80 odst. 1 nařízení (EU) 2016/679. |
|
e) |
Dovozce údajů dodržuje rozhodnutí závazné podle platného práva EU nebo členského státu. |
|
f) |
Dovozce údajů souhlasí s tím, že výběr provedený subjektem údajů nebude mít vliv na jeho hmotná a procesní práva požadovat nápravu v souladu s platnými právními předpisy. |
Doložka 12
Odpovědnost
MODUL 1: Předání od správce správci
MODUL 4: Předání od zpracovatele správci
|
a) |
Každá strana je vůči druhé straně/ostatním stranám odpovědná za jakoukoli újmu, kterou druhé straně/ostatním stranám při porušení těchto doložek způsobí. |
|
b) |
Každá strana je odpovědná vůči subjektu údajů a subjekt údajů má nárok na náhradu jakékoli hmotné nebo nehmotné újmy, kterou strana způsobí subjektu údajů porušením práv náležejících oprávněné třetí straně na základě těchto doložek. Tím není dotčena odpovědnost vývozce údajů podle nařízení (EU) 2016/679. |
|
c) |
Pokud je za újmu způsobenou subjektu údajů v důsledku porušení těchto doložek odpovědná více než jedna strana, nesou společnou a nerozdílnou odpovědnost všechny odpovědné strany a subjekt údajů je oprávněn proti kterékoli z těchto stran podat žalobu u soudu. |
|
d) |
Smluvní strany se dohodly, že pokud je jedna ze smluvních stran odpovědná podle písmene c), je oprávněna požadovat od druhé smluvní strany/ostatních smluvních stran zpět část náhrady újmy odpovídající její odpovědnosti za újmu. |
|
e) |
Dovozce údajů se nemůže dovolávat jednání zpracovatele nebo dílčího zpracovatele, aby se vyhnul své vlastní odpovědnosti. |
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
|
a) |
Každá strana je vůči druhé straně/ostatním stranám odpovědná za jakoukoli újmu, kterou druhé straně/ostatním stranám při porušení těchto doložek způsobí. |
|
b) |
Dovozce údajů je odpovědný vůči subjektu údajů a subjekt údajů má nárok na náhradu jakékoli hmotné nebo nehmotné újmy, kterou dovozce údajů nebo jeho dílčí zpracovatel způsobí subjektu údajů porušením práv náležejících oprávněné třetí straně na základě těchto doložek. |
|
c) |
Aniž by bylo dotčeno písmeno b), vývozce údajů je odpovědný vůči subjektu údajů a subjekt údajů má nárok na náhradu jakékoli hmotné nebo nehmotné újmy, kterou vývozce údajů nebo dovozce údajů (nebo jeho dílčí zpracovatel) způsobí subjektu údajů porušením práv náležejících oprávněné třetí straně na základě těchto doložek. Tím není dotčena odpovědnost vývozce údajů, a pokud je vývozcem údajů zpracovatel jednající jménem správce, odpovědnost správce podle nařízení (EU) 2016/679 nebo nařízení (EU) 2018/1725. |
|
d) |
Strany se dohodly, že pokud je vývozce údajů odpovědný podle písmene c) za újmu způsobenou dovozcem údajů (nebo jeho dílčím zpracovatelem), je oprávněn požadovat od dovozce údajů část náhrady újmy odpovídající odpovědnosti dovozce údajů za újmu. |
|
e) |
Pokud je za újmu způsobenou subjektu údajů v důsledku porušení těchto doložek odpovědná více než jedna strana, jsou všechny odpovědné strany společně a nerozdílně odpovědné a subjekt údajů je oprávněn proti kterékoli z těchto stran podat žalobu u soudu. |
|
f) |
Smluvní strany se dohodly, že pokud je jedna ze smluvních stran odpovědná podle písmene e), je oprávněna požadovat od druhé smluvní strany/ostatních smluvních stran zpět část náhrady újmy odpovídající její odpovědnosti za újmu. |
|
g) |
Dovozce údajů se nemůže dovolávat jednání dílčího zpracovatele, aby se vyhnul své vlastní odpovědnosti. |
Doložka 13
Dohled
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
|
a) |
[Pokud je vývozce údajů usazen v členském státě EU:] Dozorový úřad uvedený v příloze I části C, který je odpovědný za zajištění, že vývozce údajů dodržuje nařízení (EU) 2016/679, pokud jde o předávání údajů, jedná jako příslušný dozorový úřad. [Pokud vývozce údajů není usazen v členském státě EU, ale spadá do územní působnosti nařízení (EU) 2016/679 v souladu s jeho čl. 3 odst. 2 a jmenoval zástupce podle čl. 27 odst. 1 nařízení (EU) 2016/679:] Dozorový úřad členského státu – uvedený v příloze I části C–, v němž je usazen zástupce ve smyslu čl. 27 odst. 1 nařízení (EU) 2016/679, jedná jako příslušný dozorový úřad. [Pokud vývozce údajů není usazen v členském státě EU, ale spadá do územní působnosti nařízení (EU) 2016/679 v souladu s jeho čl. 3 odst. 2, aniž by však musel jmenovat zástupce podle čl. 27 odst. 2 nařízení (EU) 2016/679:] Dozorový úřad jednoho z členských států, v nichž se nacházejí subjekty údajů, jejichž osobní údaje jsou předávány podle těchto doložek v souvislosti se zbožím nebo službami jim nabízenými, nebo jejichž chování je monitorováno, uvedený v příloze I části C, jedná jako příslušný dozorový úřad. |
|
b) |
Dovozce údajů souhlasí, že se podřídí pravomoci příslušného dozorového úřadu a bude s ním spolupracovat v rámci všech postupů zaměřených na zajištění dodržování těchto doložek. Dovozce údajů zejména souhlasí, že bude reagovat na dotazy, podrobovat se auditům a dodržovat opatření přijatá dozorovým úřadem, včetně nápravných a kompenzačních opatření. Dozorovému úřadu poskytne písemné potvrzení, že byla přijata nezbytná opatření. |
ODDÍL III – MÍSTNÍ PRÁVNÍ PŘEDPISY A POVINNOSTI V PŘÍPADĚ PŘÍSTUPU ORGÁNŮ VEŘEJNÉ MOCI
Doložka 14
Místní právní předpisy a postupy mající dopad na dodržování doložek
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci (pokud zpracovatel z EU kombinuje osobní údaje přijaté od správce ve třetí zemi s osobními údaji shromážděnými zpracovatelem v EU)
|
a) |
Strany zaručují, že nemají důvod se domnívat, že právní předpisy a postupy ve třetí zemi určení, které se vztahují na zpracování osobních údajů dovozcem údajů, včetně jakýchkoli požadavků na zpřístupnění osobních údajů nebo opatření, kterými se povoluje přístup orgánům veřejné moci, brání dovozci údajů při plnění svých povinností podle těchto doložek. To je založeno na předpokladu, že právní předpisy a postupy, které respektují podstatu základních práv a svobod a nepřekračují to, co je v demokratické společnosti nezbytné a přiměřené k zajištění jednoho z cílů uvedených v čl. 23 odst. 1 nařízení (EU) 2016/679, nejsou v rozporu s těmito doložkami. |
|
b) |
Smluvní strany prohlašují, že při poskytování záruky uvedené v písmenu a) náležitě zohlednily zejména následující prvky:
|
|
c) |
Dovozce údajů zaručuje, že při provádění posouzení podle písmene b) vynaložil maximální úsilí, aby poskytl vývozci údajů relevantní informace, a souhlasí s tím, že bude při zajišťování dodržování těchto doložek s vývozcem údajů i nadále spolupracovat. |
|
d) |
Strany souhlasí, že posouzení podle písmene b) zdokumentují a na požádání zpřístupní příslušnému dozorovému úřadu. |
|
e) |
Dovozce údajů souhlasí s tím, že neprodleně uvědomí vývozce údajů, pokud má po vyjádření souhlasu s těmito ustanoveními a po dobu trvání smlouvy důvod se domnívat, že se na něj vztahují, nebo se začaly vztahovat právní předpisy nebo postupy, které nejsou v souladu s požadavky podle písmene a), a to i po změně v právních předpisech třetí země nebo opatření (jako je například žádost o poskytnutí údajů), jež svědčí o tom, že uplatňování těchto právních předpisů v praxi není v souladu s požadavky uvedenými v písmeni a). [Pokud jde o modul 3: Vývozce údajů předá oznámení správci.] |
|
f) |
Po oznámení podle písmene e), nebo pokud má vývozce údajů jinak důvod se domnívat, že dovozce údajů již nemůže plnit své povinnosti na základě těchto doložek, vývozce údajů neprodleně určí vhodná opatření (např. technická nebo organizační opatření k zajištění bezpečnosti a důvěrnosti), která má přijmout vývozce údajů a/nebo dovozce údajů k řešení situace [pokud jde o modul 3: případně po konzultaci se správcem]. Vývozce údajů pozastaví předávání údajů, pokud se domnívá, že pro toto předávání nemohou být zajištěny žádné vhodné záruky, nebo pokud mu dá pokyn [pokud jde o modul 3: správce nebo] příslušný dozorový úřad. V tomto případě je vývozce údajů oprávněn vypovědět smlouvu, pokud jde o zpracování osobních údajů podle těchto doložek. Jestliže smlouva zahrnuje více než dvě smluvní strany, může vývozce údajů toto právo na vypovězení uplatnit pouze ve vztahu k příslušné straně, pokud se strany nedohodly jinak. Jestliže je smlouva vypovězena podle této doložky, použije se doložka 16 písm. d) a e). |
Doložka 15
Povinnost dovozce údajů v případě přístupu orgánů veřejné moci
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci (pokud zpracovatel z EU kombinuje osobní údaje přijaté od správce ve třetí zemi s osobními údaji shromážděnými zpracovatelem v EU)
15.1. Oznámení
|
a) |
Dovozce údajů souhlasí s tím, že neprodleně uvědomí vývozce údajů, a je-li to možné, subjekt údajů (v případě potřeby s pomocí vývozce údajů), pokud:
[Pokud jde o modul 3: Vývozce údajů předá oznámení správci.] |
|
b) |
Pokud je podle právních předpisů země určení dovozci údajů zakázáno informovat vývozce údajů a/nebo subjekt údajů, souhlasí dovozce údajů s tím, že za účelem co nejrychlejšího sdělení co největšího množství informací vynaloží maximální úsilí, aby od tohoto zákazu bylo upuštěno. Dovozce údajů souhlasí, že zdokumentuje své maximální úsilí, aby je mohl na žádost vývozce údajů prokázat. |
|
c) |
Je-li to povoleno právními předpisy země určení, dovozce údajů souhlasí, že bude poskytovat vývozci údajů v pravidelných intervalech po dobu trvání smlouvy co nejrelevantnější informace o přijatých žádostech (zejména informace o počtu žádostí, druhu požadovaných údajů, dožadujícím orgánu nebo orgánech, zda byly tyto žádosti napadeny a výsledek takového napadení atd.). [Pokud jde o modul 3: Vývozce údajů předá informace správci.] |
|
d) |
Dovozce údajů souhlasí s tím, že po dobu trvání smlouvy bude informace podle písmene a) až c) uchovávat a na vyžádání je poskytne příslušnému dozorovému úřadu. |
|
e) |
Písmeny a) až c) není dotčena povinnost dovozce údajů podle doložky 14 písm. e) a doložky 16 neprodleně informovat vývozce údajů, pokud není schopen tyto doložky dodržovat. |
15.2. Přezkum zákonnosti a minimalizace údajů
|
a) |
Dovozce údajů souhlasí s tím, že přezkoumá zákonnost žádosti o poskytnutí údajů, zejména zda nepřekročila meze pravomocí udělených dožadujícímu orgánu veřejné moci, a že žádost napadne, pokud po pečlivém posouzení dojde k závěru, že existují opodstatněné důvody se domnívat, že žádost je podle právních předpisů země určení, platných závazků podle mezinárodního práva a zásad mezinárodní zdvořilosti protiprávní. Dovozce údajů za stejných podmínek využívá možností odvolání. Při napadení žádosti dovozce údajů přijme předběžná opatření s cílem pozastavit účinky žádosti, dokud příslušný soudní orgán nerozhodne o její opodstatněnosti. Nezpřístupní požadované osobní údaje, dokud mu taková povinnost nebude stanovena na základě platných procesních pravidel. Těmito požadavky nejsou dotčeny povinnosti dovozce údajů podle doložky 14 písm. e). |
|
b) |
Dovozce údajů souhlasí, že zdokumentuje své právní posouzení i jakékoli napadení žádosti o poskytnutí údajů a v rozsahu povoleném právními předpisy země určení zpřístupní dokumentaci vývozci údajů. Na požádání ji rovněž zpřístupní příslušnému dozorovému úřadu. [Pokud jde o modul 3: Vývozce údajů posouzení zpřístupní správci.] |
|
c) |
Dovozce údajů souhlasí s poskytnutím minimálního přípustného množství informací při odpovědi na žádost o zpřístupnění, a to na základě přiměřeného výkladu žádosti. |
ODDÍL IV – ZÁVĚREČNÁ USTANOVENÍ
Doložka 16
Nedodržení doložek a vypovězení
|
a) |
Dovozce údajů neprodleně informuje vývozce údajů, pokud není z jakéhokoli důvodu schopen tyto doložky dodržet. |
|
b) |
Pokud dovozce údajů poruší tyto doložky nebo není schopen tyto doložky dodržet, vývozce údajů pozastaví předávání osobních údajů dovozci údajů, dokud není dodržování opět zajištěno nebo smlouva vypovězena. Tímto není dotčena doložka 14 písm. f). |
|
c) |
Vývozce údajů je oprávněn vypovědět smlouvu v rozsahu, v němž se jedná o zpracování osobních údajů podle těchto doložek, pokud:
V takových případech o nedodržení informuje příslušný dozorový úřad [pokud jde o modul 3: a správce]. Pokud smlouva zahrnuje více než dvě smluvní strany, může vývozce údajů toto právo na vypovězení uplatnit pouze ve vztahu k příslušné straně, pokud se strany nedohodly jinak. |
|
d) |
[V případě modulu 1, 2 a 3: Osobní údaje, které byly předány před vypovězením smlouvy podle písmene c), musí být podle volby vývozce údajů neprodleně vráceny vývozci údajů nebo vymazány v celém rozsahu. To samé se uplatní ve vztahu k veškerým kopiím údajů.] [Pokud jde o modul 4: Osobní údaje shromážděné vývozcem údajů v EU, které byly předány před vypovězením smlouvy podle písmene c), musí být neprodleně vymazány v celém rozsahu, včetně veškerých jejich kopií.] Dovozce údajů potvrdí vývozci údajů, že byly údaje vymazány. Dokud nejsou údaje vymazány nebo vráceny, dovozce údajů nadále zajišťuje soulad s těmito doložkami. V případě, že se na dovozce údajů vztahují místní právní předpisy, které mu zakazují předané osobní údaje vrátit nebo vymazat, dovozce údajů zaručuje, že bude i nadále zajišťovat dodržování těchto doložek a bude údaje zpracovávat pouze v takovém rozsahu a tak dlouho, jak to uvedené místní právo vyžaduje. |
|
e) |
Kterákoli ze stran může odvolat svůj souhlas s tím, že bude vázána těmito doložkami, pokud i) Evropská komise přijme rozhodnutí podle čl. 45 odst. 3 nařízení (EU) 2016/679 týkající se předávání osobních údajů, na které se tyto doložky vztahují, nebo ii) se nařízení (EU) 2016/679 stane součástí právního rámce země, do které jsou osobní údaje předávány. Tím nejsou dotčeny další povinnosti vztahující se na dotčené zpracování podle nařízení (EU) 2016/679. |
Doložka 17
Rozhodné právo
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
[VARIANTA 1: Tyto doložky se řídí právem jednoho z členských států EU, pokud takové právo umožňuje uplatňovat práva náležející oprávněné třetí straně. Strany se dohodly, že se budou řídit právem _______ (uveďte členský stát).]
[VARIANTA 2 (pokud jde o moduly 2 a 3): Tyto doložky se řídí právem členského státu EU, ve kterém je usazen vývozce údajů. Pokud takové právo neumožňuje uplatňovat práva náležející oprávněné třetí straně, řídí se právem jiného členského státu EU, jež uplatňování uvedených práv umožňuje. Strany se dohodly, že se budou řídit právem _______ (uveďte členský stát).]
MODUL 4: Předání od zpracovatele správci
Tyto doložky se řídí právem země, jež umožňuje uplatňovat práva náležející oprávněné třetí straně. Strany se dohodly, že se budou řídit právem _______ (uveďte zemi).]
Doložka 18
Volba soudu a příslušnost
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
|
a) |
Veškeré spory vyplývající z těchto doložek budou řešeny soudy členského státu EU. |
|
b) |
Strany se dohodly, že se budou řídit soudy _______ (uveďte členský stát). |
|
c) |
Subjekt údajů může rovněž zahájit soudní řízení proti vývozci údajů a/nebo dovozci údajů před soudy členského státu, v němž má subjekt údajů své obvyklé bydliště. |
|
d) |
Smluvní strany se dohodly, že se příslušnosti těchto soudů podřídí. |
MODUL 4: Předání od zpracovatele správci
|
|
Veškeré spory vyplývající z těchto doložek budou řešeny soudy _______ (uveďte zemi). |
(1) Pokud je vývozcem údajů zpracovatel, na nějž se vztahuje nařízení (EU) 2016/679 a který jedná jménem orgánu nebo subjektu Unie jako správce, spoléhání se na tyto doložky při zapojení jiného zpracovatele (dílčí zpracování), na kterého se nařízení (EU) 2016/679 nevztahuje, rovněž zajišťuje soulad s čl. 29 odst. 4 nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie, a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí 1247/2002/ES (Úř. věst. L 295 ze dne 21.11.2018, s. 39), v rozsahu, v němž jsou tyto doložky a povinnosti týkající se ochrany údajů stanovené ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle čl. 29 odst. 3 nařízení (EU) 2018/1725 sladěny. To bude zejména případ, kdy se správce a zpracovatel spoléhají na standardní smluvní doložky obsažené v rozhodnutí 2021/915.
(2) To vyžaduje anonymizaci údajů takovým způsobem, aby již nikdo nemohl být nikým identifikovatelný, v souladu s 26. bodem odůvodnění nařízení (EU) 2016/679, a aby byl tento proces nevratný.
(3) Dohoda o Evropském hospodářském prostoru (Dohoda o EHP) stanoví rozšíření vnitřního trhu Evropské unie o tři státy EHP, a to Island, Lichtenštejnsko a Norsko. Dohoda o EHP zahrnuje právní předpisy Unie o ochraně údajů, včetně nařízení (EU) 2016/679, které jsou začleněny do přílohy XI uvedené dohody. Jakékoli zpřístupnění dovozcem údajů třetí straně se sídlem v EHP se proto pro účely těchto doložek nepovažuje za další předávání.
(4) Dohoda o Evropském hospodářském prostoru (Dohoda o EHP) stanoví rozšíření vnitřního trhu Evropské unie o tři státy EHP, a to Island, Lichtenštejnsko a Norsko. Dohoda o EHP zahrnuje právní předpisy Unie o ochraně údajů, včetně nařízení (EU) 2016/679, které jsou začleněny do přílohy XI uvedené dohody. Jakékoli zpřístupnění dovozcem údajů třetí straně se sídlem v EHP se proto pro účely těchto doložek nepovažuje za další předávání.
(5) Viz čl. 28 odst. 4 nařízení (EU) 2016/679, a pokud je správcem orgán nebo jiný subjekt EU, čl. 29 odst. 4 nařízení (EU) 2018/1725.
(6) Dohoda o Evropském hospodářském prostoru (Dohoda o EHP) stanoví rozšíření vnitřního trhu Evropské unie o tři státy EHP, a to Island, Lichtenštejnsko a Norsko. Dohoda o EHP zahrnuje právní předpisy Unie o ochraně údajů, včetně nařízení (EU) 2016/679, které jsou začleněny v příloze XI uvedené dohody. Jakékoli zpřístupnění dovozcem údajů třetí straně se sídlem v EHP se proto pro účely těchto doložek nepovažuje za další předávání.
(7) Mimo jiné se jedná o to, zda se předávání a další zpracování týká i osobních údajů vypovídajících o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filozofickém přesvědčení nebo členství v odborech, genetických údajů nebo biometrických údajů za účelem jedinečné identifikace fyzické osoby, údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby nebo údajů týkajících se rozsudků v trestních věcech nebo trestných činů.
(8) Tento požadavek může být splněn dílčím zpracovatelem přistupujícím k těmto doložkám v rámci příslušného modulu v souladu s doložkou 7.
(9) Tento požadavek může být splněn dílčím zpracovatelem přistupujícím k těmto doložkám v rámci příslušného modulu v souladu s doložkou 7.
(10) Tuto lhůtu lze v nezbytném rozsahu s přihlédnutím ke složitosti a počtu žádostí prodloužit nejvýše o další dva měsíce. Dovozce údajů o takovém prodloužení řádně a neprodleně informuje subjekt údajů.
(11) Dovozce údajů může nabídnout nezávislé řešení sporů prostřednictvím rozhodčího orgánu pouze v případě, že je usazen v zemi, která ratifikovala Newyorskou úmluvu o výkonu rozhodčích nálezů.
(12) Pokud jde o dopad takových právních předpisů a postupů na dodržování těchto doložek, za součást celkového posouzení lze považovat různé prvky. Mezi tyto prvky mohou patřit relevantní a zdokumentované praktické zkušenosti s předchozími případy žádostí o zpřístupnění od orgánů veřejné moci nebo neexistence takových žádostí, které pokrývají dostatečně reprezentativní časový rámec. Týká se to zejména interních záznamů nebo jiné dokumentace, vypracovávané průběžně v souladu s náležitou péčí a certifikované na úrovni vrcholového vedení, za předpokladu, že tyto informace lze v souladu s právními předpisy sdílet se třetími stranami. Pokud se na základě této praktické zkušenosti dospěje k závěru, že dovozci údajů nebude bráněno v dodržování těchto doložek, je třeba to podpořit dalšími relevantními, objektivními prvky a je na smluvních stranách, aby pečlivě zvážily, zda tyto prvky mají společně dostatečnou váhu na podporu tohoto závěru, pokud jde o jejich spolehlivost a reprezentativnost. Smluvní strany musí zejména zohlednit, zda jsou jejich praktické zkušenosti potvrzeny veřejně dostupnými nebo jinak přístupnými spolehlivými informacemi o existenci či neexistenci žádostí ve stejném odvětví a/nebo o uplatňování práva v praxi, jako je například judikatura a zprávy nezávislých orgánů dohledu, a nejsou s nimi v rozporu.
DODATEK
VYSVĚTLIVKY:
Musí být možné jasně rozlišit informace, které se vztahují na každé předání nebo každou kategorii předání, a v tomto ohledu určit příslušnou úlohu/příslušné úlohy stran v postavení vývozce/vývozců údajů a/nebo dovozce/dovozců údajů. To nemusí nutně vyžadovat vyplnění a podepsání samostatných dodatků pro každé předání/kategorii předání a/nebo smluvní vztah, pokud lze této transparentnosti dosáhnout prostřednictvím jednoho dodatku. Pokud je to však nutné k zajištění dostatečné srozumitelnosti, měly by se použít samostatné dodatky.
PŘÍLOHA I
A. SEZNAM SMLUVNÍCH STRAN
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci
Vývozce (vývozci) údajů: [Totožnost a kontaktní údaje vývozce/vývozců údajů a v příslušném případě jeho/jejich pověřence pro ochranu osobních údajů a/nebo zástupce v Evropské unii]
|
1. |
Jméno/název: …
Adresa: … Jméno, funkce a kontaktní údaje kontaktní osoby: … Činnosti relevantní pro předávání údajů na základě těchto doložek: … Podpis a datum: … Úloha (správce/zpracovatel): … |
|
2. |
… |
Dovozce nebo dovozci údajů: [Totožnost a kontaktní údaje dovozce/dovozců údajů, včetně jakékoli kontaktní osoby, která je odpovědná za ochranu údajů]
|
1. |
Jméno/název: …
Adresa: … Jméno, funkce a kontaktní údaje kontaktní osoby: … Činnosti relevantní pro předávání údajů na základě těchto doložek: … Podpis a datum: … Úloha (správce/zpracovatel): … |
|
2. |
… |
B. POPIS PŘEDÁNÍ
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
MODUL 4: Předání od zpracovatele správci
Kategorie subjektů údajů, jejichž osobní údaje se předávají
…
Kategorie předávaných osobních údajů
…
Citlivé údaje, které se předávají (v příslušných případech), a uplatněná omezení nebo záruky, jež plně zohledňují povahu údajů a související rizika, například přísné účelové omezení, omezení přístupu (včetně přístupu pouze pro zaměstnance, kteří absolvovali specializované školení), vedení záznamu o přístupu k údajům, omezení pro další předávání nebo dodatečná bezpečnostní opatření.
…
Četnost předávání (např. zda jsou údaje předávány jednorázově nebo průběžně).
…
Povaha zpracování
…
Účel nebo účely předání údajů a další zpracování
…
Doba, po kterou budou osobní údaje uchovávány, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby
…
Pokud jde o předávání (dílčím) zpracovatelům, rovněž uveďte předmět, povahu a trvání zpracování
…
C. PŘÍSLUŠNÝ DOZOROVÝ ÚŘAD
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
V souladu s doložkou 13 určete příslušný dozorový úřad nebo příslušné dozorové úřady.
…
PŘÍLOHA II
TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ VČETNĚ TECHNICKÝCH A ORGANIZAČNÍCH OPATŘENÍ K ZAJIŠTĚNÍ ZABEZPEČENÍ ÚDAJŮ
MODUL 1: Předání od správce správci
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
VYSVĚTLIVKY:
Technická a organizační opatření musí být popsána konkrétně (nikoli obecně). Viz také obecnou poznámku na první stránce dodatku, týkající se zejména potřeby jasně uvést, která opatření se vztahují na každé jednorázové nebo souborné předání.
Popis technických a organizačních opatření zavedených dovozcem nebo dovozci údajů (včetně veškerých příslušných certifikací) za účelem zajištění vhodné úrovně zabezpečení s přihlédnutím k povaze, rozsahu, kontextu a účelu zpracování a rizikům pro práva a svobody fyzických osob.
[Příklady možných opatření:
Opatření týkající se pseudonymizace a šifrování osobních údajů
Opatření za účelem zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování
Opatření za účelem zajištění schopnosti obnovit včas dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů
Procesy pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření za účelem zabezpečení zpracování
Opatření za účelem určení totožnosti uživatele a udělení povolení
Opatření na ochranu údajů během předávání
Opatření na ochranu údajů během uchovávání
Opatření za účelem zajištění fyzické bezpečnosti míst, kde se zpracovávají osobní údaje
Opatření za účelem zajištění protokolování událostí
Opatření za účelem zajištění konfigurace systému, včetně výchozí konfigurace
Opatření za účelem správy a řízení interní IT a bezpečnosti IT
Opatření za účelem certifikace/zajištění procesů a produktů
Opatření za účelem zajištění minimalizace údajů
Opatření za účelem zajištění kvality údajů
Opatření za účelem zajištění omezeného uchovávání údajů
Opatření za účelem zajištění odpovědnosti
Opatření umožňující přenositelnost údajů a zajišťující vymazání]
Pokud jde o předávání údajů (dílčím) zpracovatelům, popište také konkrétní technická a organizační opatření, která má (dílčí) zpracovatel přijmout, aby mohl poskytnout pomoc správci; a – v případě předávání od zpracovatele dílčímu zpracovateli – vývozci údajů.
PŘÍLOHA III
SEZNAM DÍLČÍCH ZPRACOVATELŮ
MODUL 2: Předání od správce zpracovateli
MODUL 3: Předání od zpracovatele zpracovateli
VYSVĚTLIVKY:
Tuto přílohu je třeba vyplnit pro moduly 2 a 3 pro případ zvláštního povolení dílčích zpracovatelů (doložka 9 písm. a), varianta 1).
Správce udělil povolení pro zapojení následujících dílčích zpracovatelů:
|
1. |
Jméno/název: …
Adresa: … Jméno, funkce a kontaktní údaje kontaktní osoby: … Popis zpracování (včetně jasného vymezení odpovědností v případě, že je povolení uděleno pro několik dílčích zpracovatelů): … |
|
2. |
… |