Cabac C2010 to usługa oferowana przez Cabac, lidera w dziedzinie bezpieczeństwa i zarządzania zasobami cyfrowymi. Usługa ta zapewnia przedsiębiorstwom skuteczny sposób ochrony danych i zapobiegania ich utracie. Cabac C2010 zapewnia silne i skalowalne narzędzie do zarządzania danymi korporacyjnymi, umożliwiając bezpieczne przechowywanie, dostęp i wymianę danych. Użytkownicy mogą korzystać z wielu funkcji, w tym uwierzytelniania i dostępu, bezpiecznych połączeń oraz bezpiecznego przechowywania i wymiany danych. Ponadto, Cabac C2010 dostarcza użytkownikom narzędzi do monitorowania i raportowania stanu danych, a także wykorzystuje sztuczną inteligencję do zarządzania danymi i identyfikowania potencjalnych zagrożeń.
Ostatnia aktualizacja: Dane dotyczące usług Cabac C2010
Zobacz omówienie zaangażowania cyfrowego w całej organizacji za pomocą rozwiązania Insights — edukacja (wersja Premium). Wyświetl pulpit nawigacyjny zaangażowania cyfrowego, aby skupić się na kluczowych metrykach nauki uczniów w aplikacji Microsoft Teams dla instytucji edukacyjnych, takich jak obecność na spotkaniach klasowych, statusy ukończenia zadań i spotykanie się z kolegami i koleżankami z klasy oraz nauczycielami. Ważne: Insights — edukacja (wersja Premium) to płatne uaktualnienie, które zapewnia liderom edukacyjnym wgląd w dane usługi Education Insights na poziomie organizacji. Aby podwyższyć poziom instytucji do usługi Insights — edukacja (wersja Premium), skontaktuj się z menedżerem konta Microsoft lub wypełnij ten formularz Twoje dane zaangażowania cyfrowego mogą odzwierciedlać różne poziomy instytucji edukacyjnej: okręg, szkoła lub poziom ocen, w zależności od uprawnień. Z poziomu pulpitu nawigacyjnego, możesz: Wyświetlanie i zmienianie wyświetlanego poziomu instytucji Użyj listy rozwijanej, aby w razie potrzeby wybrać inny poziom Liczba uczniów spoza instytucji wyświetlana na pulpicie nawigacyjnym w danym widoku zależy od wybranej hierarchii Wyszukiwanie oddzielnego ucznia Eksportowanie danychPulpit nawigacyjny zaangażowania cyfrowego
Wyświetlanie danych z określonego przedziału czasowego
Filtr czasu: wybierz , aby otworzyć listę rozwijaną dodatkowych opcji przedziału czasu.
Wybierz pozycję Zakres niestandardowy, aby wprowadzić własne daty dla przedziału czasu wynoszącego do 60 dni. Przedziały czasu mogą zaczynać się nawet od początku roku akademickiego, zgodnie z ustaleniem SDS.
Uwaga: Dane procentowe są obliczane tylko dla uczniów na liście uczestników na ostatni dzień dowolnego wybranego przedziału czasu. Jeśli nie ma żadnych danych listy uczestników dla wybranego przedziału czasu, domyślny przedział czasu może odpowiednio ulec zmianie.
Odczytywanie danych
Po wybraniu ram czasowych i żądanego poziomu organizacji możesz wyświetlić następujące dane:
Aktywne dni: Liczba dni aktywności z łącznej liczby dni w wybranych ramach czasowych. Uczestnictwo w spotkaniu: Czas spędzany na spotkaniach klasowychPrzekazane zadania: Procent zadań, które zostały przekazane Działania komunikacyjne: Liczba dokonanych wpisówPorady dotyczące pulpitu nawigacyjnego
Sumy i średnie danych
Jeśli wyświetlasz dane dotyczące określonych uczniów, obliczenia będą podsumowaniem aktywności każdego ucznia. W przypadku wyświetlania danych dotyczących szkół, ocen lub zajęć będą widoczne średnie wszystkich uczniów.
Zobacz więcej szczegółów na temat punktu danych
Wybierz określony punkt danych w ramach danej kategorii, aby wyświetlić więcej szczegółów. Jeśli na przykład pulpit nawigacyjny jest filtrowany w celu wyświetlenia danych w podziale na poszczególnych uczniów, w kategorii Uczestnictwo w spotkaniu możesz wybrać punkt danych 5 godz. 30 min — wyświetlenie łącznego uczestnictwa w spotkaniach dla wybranego zakresu czasowego — w przypadku uczestniczenia w spotkaniach przez jednego ucznia i uzyskać więcej szczegółów, np. w ilu spotkaniach uczestniczył, z jakich dni pochodzą te dane oraz średni czas trwania spotkania.
Dowiedz się więcej
Dane dotyczące pakietu roboczego w usłudze Insights — edukacja (wersja Premium)Uzyskaj usługę Insights — edukacja (wersja Premium) w mojej organizacji12. 2. 2010 |
DECYZJA KOMISJI
z dnia 5 lutego 2010 r.
w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady
(notyfikowana jako dokument nr C(2010) 593)
(Tekst mający znaczenie dla EOG)
(2010/87/UE)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1), w szczególności jej art. 26 ust. 4,
po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych,
a także mając na uwadze, co następuje:
(1)
Na mocy dyrektywy 95/46/WE państwa członkowskie są zobowiązane przewidzieć, aby przekazywanie danych osobowych do państw trzecich mogło mieć miejsce tylko, jeżeli dane państwo trzecie zapewnia odpowiedni poziom ochrony danych i jeżeli przepisy prawa państw członkowskich, które są zgodne z innymi przepisami dyrektywy, są przestrzegane zanim nastąpi przekazanie danych.
(2)
Artykuł 26 ust. 2 dyrektywy 95/46/WE przewiduje jednak, że państwa członkowskie mogą zezwolić, pod warunkiem przyjęcia określonych gwarancji, na przeprowadzenie operacji przekazania lub zbioru operacji przekazania danych osobowych do państw trzecich, które nie zapewniają właściwego poziomu ochrony. Takie gwarancje mogą w szczególności wynikać z odpowiednich klauzul umownych.
(3)
Na mocy dyrektywy 95/46/WE poziom ochrony danych należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji. Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych powołana na mocy tej dyrektywy wydała wytyczne, mające pomóc w przeprowadzania oceny.
(4)
Standardowe klauzule umowne powinny odnosić się tylko do ochrony danych. Podmiot przekazujący i odbierający dane mają więc swobodę włączania innych klauzul dotyczących spraw związanych z ich działalnością gospodarczą, które uważają za właściwe w odniesieniu do danej umowy, o ile nie są one sprzeczne ze standardowymi klauzulami umownymi.
(5)
Niniejsza decyzja powinna pozostawać bez uszczerbku dla zezwoleń krajowych, których państwa członkowskie mogą udzielać zgodnie z przepisami prawa krajowego wdrażającymi art. 26 ust. 2 dyrektywy 95/46/WE. Niniejsza decyzja powinna nakładać na państwa członkowskie jedynie wymóg, aby nie odmawiały uznania określonych w niej standardowych klauzul umownych za klauzule zapewniające odpowiednie gwarancje, i nie powinna mieć zatem żadnego skutku w odniesieniu do innych klauzul umownych.
(6)
Decyzja Komisji 2002/16/WE z dnia 27 grudnia 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich na mocy dyrektywy 95/46/WE (2) została przyjęta w celu ułatwienia przekazywania danych osobowych przez administratora danych prowadzącego działalność gospodarczą w Unii Europejskiej do podmiotu przetwarzającego dane prowadzącego działalność gospodarczą w państwie trzecim, które nie zapewnia odpowiedniego poziomu ochrony.
(7)
Od czasu przyjęcia decyzji 2002/16/WE zdobyto duże doświadczenie. Ponadto sprawozdanie z wdrażania decyzji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (3) wskazywało na wzrost zainteresowania promowaniem stosowania standardowych klauzul umownych w przypadku międzynarodowego przekazywania danych osobowych do państw trzecich, które nie zapewniają właściwego poziomu ochrony. Dodatkowo zainteresowane strony przedstawiły propozycje aktualizacji klauzul umownych określonych w decyzji 2002/16/WE celem uwzględnienia szybko zwiększającego się zakresu działań związanych z przetwarzaniem danych na świecie oraz podjęcia kilku kwestii, które nie zostały objęte wspomnianą decyzją (4).
(8)
Zakres niniejszej decyzji powinien być ograniczony do ustanowienia zasady, że klauzule określone w niniejszej decyzji wykonawczej mogą być stosowane przez administratora danych prowadzącego działalność gospodarczą w Unii Europejskiej w celu powołania się na odpowiednie środki zabezpieczające w rozumieniu art. 26 ust. 2 dyrektywy 95/46/WE w związku z przekazywaniem danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwie trzecim.
(9)
Niniejsza decyzja nie powinna mieć zastosowania do przekazywania danych osobowych przez administratorów danych prowadzących działalność gospodarczą w Unii Europejskiej administratorom prowadzącym działalność gospodarczą poza obszarem Unii Europejskiej, które wchodzi w zakres stosowania decyzji Komisji 2001/497/WE z dnia 15 czerwca 2001 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich, na mocy dyrektywy 95/46/WE (5).
(10)
Niniejsza decyzja powinna stanowić wykonanie obowiązku określonego w art. 17 ust. 3 dyrektywy 95/46/WE bez uszczerbku dla treści umów lub aktów prawnych ustanowionych na mocy tego przepisu. Niektóre standardowe klauzule umowne, w szczególności dotyczące obowiązków podmiotu przekazującego dane, powinny jednak zostać włączone w celu zwiększenia jasności w odniesieniu do postanowień, które mogą być zawarte w umowie między administratorem danych a podmiotem przetwarzającym dane.
(11)
Organy nadzorcze państw członkowskich odgrywają kluczową rolę w tym mechanizmie umownym, zapewniając odpowiednią ochronę danych osobowych po przekazaniu. W wyjątkowych przypadkach, jeżeli podmioty przekazujące dane odmawiają poinstruowania podmiotów odbierających dane lub nie są w stanie tego zrobić we właściwy sposób, co wiąże się z bezpośrednim ryzykiem poważnej szkody dla osób, których dane dotyczą, standardowe klauzule umowne powinny umożliwiać organom nadzorczym kontrolę podmiotów odbierających dane i podwykonawców przetwarzania danych oraz, w stosownych przypadkach, podjęcie decyzji wiążących dla podmiotów odbierających dane i podwykonawców przetwarzania danych. Organy nadzorcze powinny być uprawnione do zakazania lub zawieszenia operacji przekazania danych lub zbioru takich operacji wykonywanych na podstawie standardowych klauzul umownych w tych wyjątkowych przypadkach, w których ustalono, że przekazanie na podstawie umowy może mieć istotne negatywne skutki w odniesieniu do gwarancji i obowiązków zapewniających odpowiednią ochronę osób, których dane dotyczą.
(12)
Standardowe klauzule umowne powinny przewidywać techniczne i organizacyjne środki bezpieczeństwa, które powinien stosować podmiot przetwarzający dane mający siedzibę w państwie trzecim, które nie zapewnia odpowiedniej ochrony, tak aby zapewnić poziom ochrony odpowiedni do ryzyka, jakie stanowi przetwarzanie i charakter danych podlegających ochronie. Strony powinny zawrzeć w umowie postanowienia dotyczące technicznych i organizacyjnych środków bezpieczeństwa, które, uwzględniając właściwe prawo o ochrony danych, stan wiedzy w tej dziedzinie i koszty ich wdrożenia, są niezbędne w celu ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem oraz innymi niezgodnymi z prawem formami przetwarzania.
(13)
W celu ułatwienia przepływu danych z Unii Europejskiej pożądane jest, by podmioty przetwarzające dane, świadczące usługi przetwarzania danych na rzecz wielu administratorów danych w Unii Europejskiej, mogły stosować te same techniczne i organizacyjne środki bezpieczeństwa bez względu na państwo członkowskie, z którego dane są przekazywane, w szczególności w przypadkach, w których podmiot odbierający dane otrzymuje je do dalszego przetwarzania z różnych miejsc prowadzenia działalności gospodarczej w Unii Europejskiej przez podmioty przekazujące dane; w takich przypadkach powinno mieć zastosowanie prawo wyznaczonego państwa członkowskiego będącego miejscem prowadzenia działalności gospodarczej.
(14)
Należy określić minimalny zakres informacji, które strony powinny podać w umowie dotyczącej przekazywania. Państwa członkowskie powinny zachować prawo do szczegółowego określenia informacji, których udzielenia wymaga się od stron umowy. Funkcjonowanie niniejszej decyzji powinno podlegać przeglądowi w świetle zdobywanego doświadczenia.
(15)
Podmiot odbierający dane powinien przetwarzać przekazane dane osobowe tylko w imieniu podmiotu przekazującego dane oraz zgodnie z jego instrukcjami i obowiązkami zawartymi w klauzulach. Podmiot odbierający dane nie powinien w szczególności ujawniać danych osobowych osobie trzeciej bez uprzedniej pisemnej zgody podmiotu przekazującego dane. Podmiot przekazujący dane powinien nakazać podmiotowi odbierającemu dane, aby w całym okresie świadczenia usług przetwarzania danych dane były przetwarzane zgodnie z jego instrukcjami, właściwym prawem o ochronie danych i obowiązkami zawartymi w klauzulach.
(16)
Sprawozdanie z wdrażania decyzji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich zawierało zalecenie dotyczące sporządzania odpowiednich standardowych klauzul umownych dotyczących dalszego przekazywania danych przez podmioty przetwarzające dane prowadzące działalność gospodarczą w państwie trzecim innym podmiotom przetwarzającym dane (podwykonawstwo przetwarzania) w celu uwzględnienia tendencji i praktyk gospodarczych w ramach postępującej globalizacji przetwarzania danych.
(17)
Niniejsza decyzja powinna zawierać szczegółowe standardowe klauzule umowne dotyczące podzlecania przez podmiot przetwarzający dane prowadzący działalność gospodarczą w państwie trzecim (podmiot odbierający dane) usług przetwarzania danych innym podmiotom przetwarzającym dane (podwykonawcom przetwarzania) prowadzącym działalność gospodarczą w państwach trzecich. Ponadto w niniejszej decyzji należy określić warunki dotyczące podwykonawstwa przetwarzania, jakie muszą zostać spełnione do zapewnienia ciągłej ochrony przekazywanych danych osobowych niezależnie od dalszego przekazywania danych podwykonawcy przetwarzania.
(18)
Ponadto podwykonawstwo przetwarzania danych powinno polegać tylko na czynnościach uzgodnionych w umowie zawartej między podmiotem przekazującym a odbierającym dane, zawierającej standardowe klauzule umowne określone w niniejszej decyzji, oraz nie powinno odnosić się do innych operacji lub celów przetwarzania danych, zgodnie z zasadą ograniczenia celu określoną dyrektywą 95/46/WE. Co więcej, jeżeli podwykonawca przetwarzania nie zdoła wypełnić swoich obowiązków zawartych w takiej umowie, podmiot odbierający dane powinien ponosić odpowiedzialność wobec podmiotu przekazującego dane. Przekazanie danych osobowych podmiotom przetwarzającym dane prowadzącym działalność gospodarczą poza Unią Europejską nie powinno mieć wpływu na fakt, że działania związane z przetwarzaniem powinny podlegać właściwemu prawu o ochronie danych.
(19)
Egzekwowanie standardowych klauzul umownych powinno być możliwe nie tylko przez organizacje, które są stronami umowy, ale także przez osoby, których dane dotyczą, w szczególności jeżeli osoby te ponoszą szkodę w wyniku naruszenia umowy.
(20)
Osoba, której dotyczą dane, powinna mieć prawo do kierowania roszczeń wobec podmiotu przekazującego dane, który jest administratorem przekazanych danych osobowych, i w razie potrzeby uzyskania od niego odszkodowania. W wyjątkowych przypadkach osoba, której dane dotyczą, powinna mieć również prawo do kierowania roszczeń wobec podmiotu odbierającego dane i w razie potrzeby uzyskania od niego odszkodowania w takich przypadkach, wynikających z naruszenia przez niego lub przez podwykonawcę wykonującego przetwarzanie na jego zlecenie któregokolwiek z obowiązków wymienionych w klauzuli 3 pkt 2, w których podmiot przekazujący dane przestał istnieć faktycznie lub formalnie albo stał się niewypłacalny. W wyjątkowych przypadkach osoba, której dane dotyczą, powinna mieć także prawo do kierowania roszczeń wobec podwykonawcy przetwarzania i w razie potrzeby uzyskania od niego odszkodowania, jeżeli zarówno podmiot przekazujący, jak i odbierający dane przestały istnieć faktycznie lub formalnie albo stali się niewypłacalni. Taka odpowiedzialność podwykonawcy przetwarzania wobec osoby trzeciej powinna być ograniczona do jego własnych czynności przetwarzania danych zgodnie z klauzulami umownymi.
(21)
Jeżeli spór między osobą, której dotyczą dane i która powołuje się na klauzulę na rzecz osoby trzeciej, oraz podmiotem odbierającym dane nie znajduje polubownego rozwiązania, ten ostatni powinien zapewnić osobie, której dane dotyczą, możliwość wyboru między mediacją a postępowaniem sądowym. Zakres, w jakim osoba, której dotyczą dane, będzie miała rzeczywistą możliwość wyboru, będzie zależał od dostępności wiarygodnych i uznanych systemów mediacji. Mediacja za pośrednictwem organów nadzorczych ochrony danych państwa członkowskiego, w którym podmiot przekazujący dane prowadzi działalność gospodarczą, powinna stanowić możliwy sposób rozwiązania sporu, jeśli organy te zapewniają możliwość skorzystania z takiej usługi.
(22)
Umowa powinna podlegać prawu państwa członkowskiego, w którym podmiot przekazujący dane prowadzi działalność gospodarczą, umożliwiając osobie trzeciej, na rzecz której zawarto umowę, jej egzekwowanie. Osoby, których dotyczą dane, powinny mieć prawo do reprezentacji przez stowarzyszenia lub inne organy, jeżeli sobie tego życzą i jeżeli dopuszcza to prawo krajowe. Temu samemu prawu powinny również podlegać postanowienia dotyczące ochrony danych jakiejkolwiek umowy z podwykonawcą przetwarzania dotyczącej działalności związanej z podwykonawstwem przetwarzania danych osobowych przekazywanych podmiotowi odbierającemu dane przez podmiot przekazujący dane na podstawie klauzul umownych.
(23)
Niniejsza decyzja ma zastosowanie wyłącznie do sytuacji, w której podmiot przetwarzający dane prowadzący działalność gospodarczą w państwie trzecim podzleca wykonanie czynności przetwarzania danych podwykonawcy przetwarzania danych prowadzącemu działalność w państwie trzecim, a zatem nie powinna ona mieć zastosowania do sytuacji, w której podmiot przetwarzający dane prowadzący działalność gospodarczą w Unii Europejskiej i przetwarzający dane osobowe w imieniu administratora prowadzącego działalność gospodarczą w Unii Europejskiej podzleca wykonanie czynności przetwarzania danych podwykonawcy przetwarzania prowadzącemu działalność gospodarczą w państwie trzecim. W takich sytuacjach państwa członkowskie mają swobodę co do tego, czy uwzględnić fakt, że zasady i gwarancje standardowych klauzul umownych określonych w niniejszej decyzji zostały zastosowane do zlecenia podwykonawcy przetwarzania danych prowadzącemu działalność gospodarczą w państwie trzecim z zamiarem zapewnienia odpowiedniej ochrony praw osób, których dane dotyczą, a których dane osobowe są przekazywane dla celów czynności podwykonawstwa przetwarzania danych.
(24)
Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołana na mocy art. 29 dyrektywy 95/46/WE, wydała opinię o poziomie ochrony zapewnionym przez standardowe klauzule umowne, załączone do niniejszej decyzji, którą uwzględniono przy sporządzaniu niniejszej decyzji.
(25)
Należy uchylić decyzję 2002/16/WE.
(26)
Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na mocy art. 31 dyrektywy 95/46/WE,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Standardowe klauzule umowne określone w załączniku uważa się za zapewniające odpowiednie gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych oraz wykonywania odpowiednich praw zgodnie wymogami art. 26 ust. 2 dyrektywy 95/46/WE.
Artykuł 2
Niniejsza decyzja dotyczy jedynie odpowiedniego poziomu ochrony zapewnionej przez standardowe klauzule umowne określone w załączniku dotyczące przekazywania danych osobowych. Nie ma ona wpływu na stosowanie innych przepisów prawa krajowego wdrażających dyrektywę 95/46/WE, które dotyczą przetwarzania danych osobowych w państwach członkowskich.
Niniejsza decyzja ma zastosowanie do przekazywania danych osobowych przez administratorów danych prowadzących działalność gospodarczą w Unii Europejskiej do podmiotów odbierających dane prowadzących działalność gospodarczą poza Unią Europejską, którzy działają jedynie jako przetwarzający dane.
Artykuł 3
Do celów niniejszej decyzji stosuje się poniższe definicje:
a)
„szczególne kategorie danych” oznaczają dane, o których mowa w art. 8 dyrektywy 95/46/WE;
b)
„organ nadzorczy” oznacza organ, o którym mowa w art. 28 dyrektywy 95/46/WE;
c)
„podmiot przekazujący dane” oznacza administratora danych, który przekazuje dane osobowe;
d)
„podmiot odbierający dane” oznacza administratora danych prowadzącego działalność gospodarczą w państwie trzecim, który wyraża zgodę na otrzymywanie od podmiotu przekazującego danych osobowych w celu ich przetwarzania w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego i warunkami określonymi w niniejszej decyzji i który nie podlega systemowi państwa trzeciego zapewniającemu odpowiednią ochronę w rozumieniu art. 25 ust. 1 dyrektywy 95/46/WE;
e)
„podwykonawca przetwarzania” oznacza jakikolwiek podmiot działający na zlecenie podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego dane, który wyraża zgodę na otrzymywanie, od podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego, danych osobowych przeznaczonych wyłącznie do ich przetworzenia w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego, standardowymi klauzulami umownymi ustalonymi w załączniku i warunkami sporządzonej na piśmie umowy o podwykonawstwo;
f)
„właściwe prawo o ochronie danych” oznacza prawodawstwo chroniące podstawowe prawa i wolności osób fizycznych, a w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych, właściwe dla administratora danych w państwie członkowskim, w którym podmiot przekazujący dane prowadzi działalność gospodarczą;
g)
„techniczne i organizacyjne środki bezpieczeństwa” oznaczają takie środki, których celem jest ochrona danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci oraz przed innymi niezgodnymi z prawem formami przetwarzania.
Artykuł 4
1. Bez uszczerbku dla swoich kompetencji do podejmowania działań w celu zapewnienia zgodności z przepisami prawa krajowego przyjętego na mocy rozdziałów II, III, V i VI dyrektywy 95/46/WE, właściwe organy w państwach członkowskich mogą wykonywać przysługujące im obecnie uprawnienia do zakazania lub zawieszenia przekazywania danych do państw trzecich w celu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych, w przypadkach, w których:
ustalono, że prawo, któremu podlega podmiot odbierający dane lub podwykonawca przetwarzania, nakłada na niego wymagania dotyczące odstępowania od stosowania zasad ochrony danych, które wykraczają poza ograniczenia konieczne w demokratycznym społeczeństwie w rozumieniu w art. 13 dyrektywy 95/46/WE, jeżeli wymagania te mogą mieć istotne negatywne skutki dla gwarancji ustanowionych we właściwym prawie o ochronie danych i w standardowych klauzulach umownych;
właściwy organ ustalił, że podmiot odbierający dane lub podwykonawca przetwarzania naruszył standardowe klauzule umowne określone w załączniku; lub
istnieje istotne prawdopodobieństwo, że standardowe klauzule umowne zawarte w załączniku nie są lub nie będą przestrzegane, a kontynuowanie przekazywania danych może stworzyć realne zagrożenie wyrządzenia poważnej szkody osobom, których dane dotyczą.
2. Zakaz lub zawieszenie na mocy ust. 1 znosi się po ustaniu powodów wprowadzenia zawieszenia lub zakazu.
3. Państwa członkowskie niezwłocznie powiadamiają Komisję o podjęciu środków na mocy ust. 1 i 2, a Komisja przesyła te informacje pozostałym państwom członkowskim.
Artykuł 5
Komisja ocenia funkcjonowanie niniejszej decyzji na podstawie dostępnych informacji trzy lata po jej przyjęciu. Komisja przedstawia sprawozdanie z ustaleń Komitetowi ustanowionemu na mocy art. 31 dyrektywy 95/46/WE. Sprawozdanie to obejmuje wszelkie dowody, które mogą mieć wpływ na ocenę odpowiedniego charakteru standardowych klauzul umownych zawartych w załączniku i wszelkie dowody wskazujące na dyskryminacyjny sposób stosowania niniejszej decyzji.
Artykuł 6
Niniejszą decyzję stosuje się od dnia 15 maja 2010 r.
Artykuł 7
1. Decyzja 2002/16/WE traci moc z dniem 15 maja 2010 r. Umowa zawarta między podmiotem przekazującym a odbierającym dane na mocy decyzji 2002/16/WE przed dniem 15 maja 2010 r. pozostaje w mocy i obowiązuje dopóty, dopóki czynności przekazywania i przetwarzania danych, które są przedmiotem umowy, pozostają niezmienione, a dane osobowe objęte niniejszą decyzją są nadal przekazywane między stronami. Jeżeli umawiające się strony zdecydują o dokonaniu zmian w tym zakresie lub podzleceniu wykonania czynności przetwarzania danych, które są przedmiotem umowy, wymaga się zawarcia nowej umowy zgodnej ze standardowymi klauzulami umownymi określonymi w załączniku.
Artykuł 8
Niniejsza decyzja jest skierowana do państw członkowskich.
Sporządzono w Brukseli dnia 5 lutego 2010 r.
W imieniu Komisji
Jacques BARROT
Wiceprzewodniczący(1) Dz. U. L 281 z 23. 11. 1995, s. 31. (2) Dz. L 6 z 10. 1. 2002, s. 52. (3) SEC(2006) 95 z 20. 2006. (4) Międzynarodowa Izba Handlowa (International Chamber of Commerce – ICC), Japońska Rada Biznesu w Europie (Japan Business Council in Europe – JBCE), Komitet UE Amerykańskiej Izby Handlowej w Belgii (EU Committee of the American Chamber of Commerce in Belgium – Amcham) i Europejska Federacja Stowarzyszeń Marketingu Bezpośredniego (Federation of European Direct Marketing Associations – FEDMA). (5) Dz. L 181 z 4. 7. 2001, s. 19.ZAŁĄCZNIK
STANDARDOWE KLAUZULE UMOWNE (PODMIOTY PRZETWARZAJĄCE)
Do celów art. 26 ust. 2 dyrektywy 95/46/WE w odniesieniu do przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich, które nie zapewniają odpowiedniego poziomu ochrony danych
Nazwa organizacji przekazującej dane: …
Adres: …
Tel. : …; faks: …; e-mail: …
Inne informacje niezbędne do identyfikacji organizacji:
…
(podmiot przekazujący dane)
i
Nazwa organizacji odbierającej dane: …
pozostałe informacje niezbędne do identyfikacji organizacji:
(podmiot odbierający dane)
zwanymi z osobna „stroną”, a łącznie „stronami”,
UZGODNIONO następujące klauzule umowne (klauzule) w celu dostarczenia odpowiednich gwarancji ochrony prywatności i podstawowych praw i wolności osób fizycznych w zakresie przekazywania podmiotowi odbierającemu dane przez podmiot przekazujący danych osobowych wyszczególnionych w dodatku 1.
Klauzula 1
Definicje
Do celów niniejszych klauzul:
„dane osobowe”, „szczególne kategorie danych”, „przetwarzać/przetwarzanie”, „administrator danych”, „podmiot przetwarzający”, „osoba, której dane dotyczą” i „organ nadzorczy” mają to samo znaczenie co w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. 01001001-E0001" href="#ntr1-L_2010039PL. 01001001-E0001"> (1);
„podmiot odbierający dane” oznacza podmiot przetwarzający dane, który wyraża zgodę na otrzymywanie od podmiotu przekazującego danych osobowych w celu ich przetwarzania w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego i warunkami określonymi w niniejszych klauzulach i który nie podlega systemowi państwa trzeciego zapewniającemu odpowiednią ochronę w rozumieniu art. 25 ust. 1 dyrektywy 95/46/WE;
„podwykonawca przetwarzania” oznacza jakikolwiek podmiot działający na zlecenie podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego dane, który wyraża zgodę na otrzymywanie, od podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego, danych osobowych przeznaczonych wyłącznie do ich przetworzenia w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego, warunkami ustalonymi w niniejszych klauzulach i warunkami sporządzonej na piśmie umowy o podwykonawstwo;
„techniczne i organizacyjne środki ochrony” oznaczają takie środki, których celem jest ochrona danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci oraz przed innymi niezgodnymi z prawem formami przetwarzania.
Klauzula 2
Szczegóły dotyczące przekazywania danych
Szczegóły dotyczące przekazywania danych, a w szczególności w stosownych przypadkach szczególne kategorie danych, są określone w dodatku 1, który stanowi integralną część klauzul.
Klauzula 3
Klauzula na rzecz osoby trzeciej
1.
Osoba, której dotyczą dane, może żądać od podmiotu przekazującego dane wykonania niniejszej klauzuli, klauzuli 4 lit. b)–i), klauzuli 5 lit. a)–e) oraz lit. g)–j), klauzuli 6 pkt 1 i 2, klauzuli 7, klauzuli 8 pkt 2 i klauzuli 9–12, jako osoba trzecia, na rzecz której zawarto umowę.
Osoba, której dotyczą dane, może żądać od podmiotu odbierającego dane wykonania niniejszej klauzuli, klauzuli 5 lit. a)–e) oraz lit. g), klauzuli 6, klauzuli 7, klauzuli 8 pkt 2 i klauzul 9–12 w przypadkach, w których podmiot przekazujący dane przestał istnieć faktycznie lub formalnie. Jeżeli jednak na podstawie umowy lub z mocy prawa podmiot będący jego następcą przejął wszystkie zobowiązania prawne podmiotu przekazującego dane, skutkiem czego przyjął na siebie jego prawa i obowiązki, osoba, której dane dotyczą, może żądać wykonania wymienionych klauzul od tego następcy.
Osoba, której dotyczą dane, może żądać od podwykonawcy przetwarzania wykonania niniejszej klauzuli, klauzuli 5 lit. a)–e) oraz lit. g), klauzuli 6, klauzuli 7, klauzuli 8 pkt 2 i klauzul 9–12 w przypadkach, w których zarówno podmioty przekazujący, jak i odbierający dane przestały istnieć faktycznie lub formalnie albo stały się niewypłacalne. Taka odpowiedzialność podwykonawcy przetwarzania wobec osoby trzeciej jest ograniczona do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul.
4.
Strony nie sprzeciwiają się reprezentowaniu osoby, której dane dotyczą, przez stowarzyszenie lub inny organ, jeżeli takie jest wyraźne życzenie osoby, której dane dotyczą, i jeżeli zezwala na to prawo krajowe.
Klauzula 4
Obowiązki podmiotu przekazującego dane
Podmiot przekazujący dane zgadza się na poniższe warunki i gwarantuje, że:
przetwarzanie danych, włącznie z samym ich przekazywaniem, odbywało się i będzie się nadal odbywało zgodnie z odpowiednimi przepisami właściwego prawa o ochronie danych (i w stosownych przypadkach było przedmiotem powiadomienia odpowiednich władz państwa członkowskiego, w którym podmiot przekazujący dane prowadzi działalność gospodarczą) oraz bez naruszenia odpowiednich przepisów tego państwa;
nakazał i będzie nakazywał podmiotowi odbierającemu dane podczas całego okresu świadczenia usług przetwarzania danych osobowych, przetwarzanie przekazywanych danych osobowych wyłącznie w imieniu podmiotu przekazującego dane oraz zgodnie z właściwym prawem o ochronie danych i z niniejszymi klauzulami;
podmiot odbierający dane zapewni wystarczające gwarancje w odniesieniu do technicznych i organizacyjnych środków bezpieczeństwa wyszczególnionych w dodatku 2 do niniejszej umowy;
biorąc pod uwagę ocenę wymogów właściwego prawa o ochronie danych osobowych, środki bezpieczeństwa są odpowiednie do ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci, oraz przed innymi niezgodnymi z prawem formami przetwarzania, a także że środki te zapewniają poziom bezpieczeństwa odpowiedni do ryzyka, jakie stanowi przetwarzanie i charakter danych podlegających ochronie, uwzględniając stan wiedzy w tej dziedzinie i koszty ich wdrożenia;
zapewni zgodność ze środkami bezpieczeństwa;
jeżeli przekazanie obejmuje szczególne kategorie danych, osoba, której dane dotyczą, została poinformowana lub będzie poinformowana przed przekazaniem lub jak najszybciej po przekazaniu o tym, że jej dane mogą być przekazane do państwa trzeciego, które nie zapewnia odpowiedniej ochrony w rozumieniu dyrektywy 95/46/WE;
prześle wszelkie zawiadomienia otrzymane od podmiotu odbierającego dane lub podwykonawcy przetwarzania na mocy klauzuli 5 lit. b) i klauzuli 8 pkt 3 do organu nadzorczego ds. ochrony danych, jeżeli podmiot przekazujący dane zdecyduje się kontynuować przekazywanie danych lub znieść zawieszenie;
h)
na żądanie udostępni osobie, której dotyczą dane, kopię niniejszych klauzul, z wyjątkiem dodatku 2, oraz skrócony opis środków bezpieczeństwa, a także kopię każdej umowy dotyczącej usług podwykonawstwa przetwarzania danych, która musi być zawarta zgodnie z niniejszymi klauzulami; jednakże w przypadku gdy klauzule lub umowa zawierają informacje handlowe, informacje te można usunąć;
i)
w przypadku podwykonawstwa przetwarzania danych działalność związana z przetwarzaniem prowadzona jest zgodnie z klauzulą 11 przez podwykonawcę przetwarzania zapewniającego co najmniej ten sam poziom ochrony danych osobowych i praw osoby, której dane dotyczą, co podmiot odbierający dane zgodnie z niniejszymi klauzulami; oraz
j)
zapewni zgodność z klauzulą 4 lit. a)–i).
Klauzula 5
Obowiązki podmiotu odbierającego dane (2)
Podmiot odbierający dane zgadza się na poniższe warunki i gwarantuje, że:
będzie przetwarzał dane osobowe wyłącznie w imieniu podmiotu przekazującego dane i zgodnie z jego instrukcjami oraz niniejszymi klauzulami; jeżeli z jakichkolwiek powodów nie może zapewnić takiej zgodności, zgadza się na natychmiastowe poinformowanie podmiotu przekazującego dane o niemożności spełnienia tego warunku, a podmiot przekazujący dane jest w takim przypadku uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy;
nie ma powodu, by sądzić, że prawodawstwo mające do niego zastosowanie uniemożliwia mu wypełnianie instrukcji otrzymanych od podmiotu przekazującego dane i jego obowiązków wynikających z umowy oraz że w przypadku zmiany prawodawstwa, która może mieć istotne negatywne skutki dla gwarancji i obowiązków określonych w niniejszych klauzulach, zawiadomi o tym jak najszybciej podmiot przekazujący dane, który w takim przypadku jest uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy;
wdrożył techniczne i organizacyjne środki bezpieczeństwa wyszczególnione w dodatku 2 przed przetwarzaniem przekazanych danych osobowych;
niezwłocznie powiadomi podmiot przekazujący dane o:
(i)
jakichkolwiek prawnie wiążących wnioskach o ujawnienie danych osobowych ze strony organów ścigania, chyba że powiadomienie o takim wniosku jest zakazane, na przykład na mocy prawa karnego w celu zachowania poufności postępowań prowadzonych przez organy ścigania,
(ii)
jakimkolwiek przypadkowym lub nieupoważnionym dostępie; oraz
(iii)
jakimkolwiek żądaniu otrzymanym bezpośrednio od osób, których dotyczą dane, bez udzielenia odpowiedzi na to żądanie, chyba że został on w inny sposób upoważniony do takiego postępowania;
niezwłocznie i we właściwy sposób zajmie się wszystkimi zapytaniami ze strony podmiotu przekazującego dane, dotyczącymi przetwarzania przez siebie danych osobowych będących przedmiotem przekazania, oraz zastosuje się do zaleceń organów nadzorczych w odniesieniu do przetwarzania przekazywanych danych;
na żądanie podmiotu przekazującego dane przedstawi swoje urządzenia do przetwarzania danych w celu kontroli działalności związanej z przetwarzaniem danych objętej niniejszymi klauzulami, przeprowadzanej przez podmiot przekazujący dane lub organ kontrolny złożony z niezależnych członków i posiadający wymagane kwalifikacje zawodowe, związany obowiązkiem zachowania poufności, wybrany przez podmiot przekazujący dane, w stosownych przypadkach w porozumieniu z organem nadzorczym;
na żądanie udostępni osobie, której dane dotyczą, kopię niniejszych klauzul lub jakiejkolwiek istniejącej umowy dotyczącej podwykonawstwa przekazywania danych; jednakże w przypadku gdy klauzule lub umowa zawierają informacje handlowe, informacje te można usunąć, z wyjątkiem dodatku 2, który zostanie zastąpiony skróconym opisem środków bezpieczeństwa, w przypadkach, w których osoba, której dane dotyczą, nie jest w stanie uzyskać kopii od podmiotu przekazującego dane;
w przypadku podwykonawstwa przetwarzania danych poinformował wcześniej podmiot przekazujący dane i uzyskał jego uprzednią pisemną zgodę;
usługi przetwarzania danych przez podwykonawcę przetwarzania będą świadczone zgodnie z klauzulą 11;
niezwłocznie prześle podmiotowi przekazującemu dane kopię każdej umowy dotyczącej podwykonawstwa przetwarzania danych zawartej na podstawie niniejszych klauzul.
Klauzula 6
Odpowiedzialność
Strony uzgadniają, że każda osoba, której dotyczą dane, która poniosła szkodę w wyniku jakiegokolwiek naruszenia obowiązków, o których mowa w klauzuli 3 lub 11, przez którąkolwiek ze stron lub podwykonawcę przetwarzania, jest uprawniona do uzyskania odszkodowania za poniesioną szkodę od podmiotu przekazującego dane.
Jeżeli osoba, której dane dotyczą, nie jest w stanie wystąpić przeciw podmiotowi przekazującemu dane z roszczeniem o odszkodowanie zgodnie z pkt 1, wynikającym z naruszenia przez podmiot odbierający dane lub jego podwykonawcę przetwarzania któregokolwiek z ich obowiązków, o których mowa w klauzuli 3 lub klauzuli 11, ponieważ podmiot przekazujący dane przestał istnieć faktycznie lub formalnie lub stał się niewypłacalny, podmiot odbierający dane zgadza się na wystąpienie przez osobę, której dotyczą dane, z roszczeniem wobec podmiotu odbierającego dane, tak jakby był on podmiotem przekazującym dane; jeżeli jednak jakikolwiek podmiot będący jego następcą przejął na podstawie umowy lub z mocy prawa wszystkie zobowiązania prawne podmiotu przekazującego dane, osoba, której dane dotyczą, może egzekwować swoje prawa wobec tego następcy.
Podmiot odbierający dane nie może powoływać się na naruszenie przez podwykonawcę przetwarzania jego obowiązków, aby uniknąć swojej własnej odpowiedzialności.
Jeżeli osoba, której dane dotyczą, nie jest w stanie wystąpić przeciw podmiotowi przekazującemu dane lub podmiotowi odbierającemu dane z roszczeniem, o którym mowa w pkt 1 i 2, wynikającym z naruszenia przez podwykonawcę przetwarzania któregokolwiek z obowiązków, o których mowa w klauzulach 3 lub klauzuli 11, ponieważ zarówno podmiot przekazujący, jak i odbierający dane przestały istnieć faktycznie lub formalnie lub stały się niewypłacalne, podwykonawca przetwarzania zgadza się na wystąpienie przez osobę, której dotyczą dane, z roszczeniem wobec niego w odniesieniu do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul, tak jakby był on podmiotem przekazującym lub odbierającym dane; jeżeli jednak jakikolwiek podmiot będący jego następcą przejął na podstawie umowy lub z mocy prawa wszystkie zobowiązania prawne podmiotu przekazującego lub odbierającego dane, osoba, której dotyczą dane, może egzekwować swoje prawa wobec tego następcy. Odpowiedzialność podwykonawcy przetwarzania jest ograniczona do jego własnych czynności przetwarzania danych zgodnie z niniejszymi klauzulami.
Klauzula 7
Mediacja i sąd właściwy
Podmiot odbierający dane zgadza się na to, że jeżeli osoba, której dotyczą dane, powołuje się wobec niego na prawa osoby trzeciej, na rzecz której zawarto umowę lub występuje o odszkodowanie za szkody na podstawie niniejszych klauzul, podmiot odbierający dane przyjmie decyzję osoby, której dane dotyczą, o:
przekazaniu sporu do mediacji prowadzonej przez niezależną osobę lub, w stosownych przypadkach, organ nadzorczy;
przekazaniu sporu do sądów w państwie członkowskim, w którym prowadzi działalność gospodarczą podmiot przekazujący dane.
Strony uzgadniają, że wybór osoby, której dotyczą dane, nie będzie naruszał jej materialnych lub proceduralnych praw do środków ochrony prawnej zgodnie z odrębnymi przepisami prawa krajowego lub międzynarodowego.
Klauzula 8
Współpraca z organami nadzorczymi
Podmiot przekazujący dane zgadza się dostarczyć kopię niniejszej umowy organowi nadzorczemu na jego żądanie lub jeżeli dostarczenie kopii jest wymagane na mocy właściwego prawa o ochronie danych.
Strony uzgadniają, że organ nadzorczy ma prawo do przeprowadzenia kontroli podmiotu odbierającego dane i jakiegokolwiek podwykonawcy przetwarzania, która ma ten sam zakres i podlega tym samym warunkom, jakie miałyby zastosowanie do kontroli podmiotu przekazującego dane na mocy właściwego prawa o ochronie danych.
Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane o istnieniu przepisów mających zastosowanie do podmiotu odbierającego dane lub któregokolwiek z podwykonawców przetwarzania działających na jego zlecenie, które uniemożliwiałyby przeprowadzenie kontroli podmiotu odbierającego dane lub podwykonawcy przetwarzania na podstawie pkt 2. W takim przypadku podmiot przekazujący dane ma prawo podjąć środki przewidziane w klauzuli 5 lit. b).
Klauzula 9
Prawo właściwe
Klauzule podlegają prawu państwa członkowskiego, w którym prowadzi działalność podmiot przekazujący dane, a mianowicie …
Klauzula 10
Zmiany umowy
Strony zobowiązują się do niedokonywania zmian lub modyfikacji niniejszych klauzul. Nie wyklucza to dodawania przez strony w razie potrzeby klauzul dotyczących kwestii związanych z ich działalnością gospodarczą, pod warunkiem że nie są one sprzeczne z niniejszymi klauzulami.
Klauzula 11
Podwykonawstwo przetwarzania danych
Podmiot odbierający dane nie podzleca czynności przetwarzania danych wykonywanych w imieniu podmiotu przekazującego dane na podstawie niniejszych klauzul bez uprzedniej pisemnej zgody podmiotu przekazującego dane. Jeżeli podmiot odbierający dane podzleca wykonanie swoich obowiązków w ramach niniejszych klauzul za zgodą podmiotu przekazującego dane, czyni to wyłącznie na podstawie umowy pisemnej z podwykonawcą przetwarzania, która nakłada na podwykonawcę przetwarzania te same obowiązki, jakie spoczywają na podmiocie odbierającym dane w ramach niniejszych klauzul (3). Jeżeli podwykonawca przetwarzania nie wypełnia swoich obowiązków w zakresie ochrony danych w ramach takiej umowy pisemnej, podmiot odbierający dane ponosi pełną odpowiedzialność wobec podmiotu przekazującego dane za wykonanie obowiązków podwykonawcy przetwarzania na mocy takiej umowy.
Umowa pisemna zawarta między podmiotem odbierającym dane a podwykonawcą przetwarzania przed przekazaniem danych osobowych podwykonawcy przetwarzania obejmuje również klauzulę na rzecz osoby trzeciej, określoną w klauzuli 3, w odniesieniu do przypadków, w których osoba, której dotyczą dane, nie jest w stanie wystąpić z roszczeniem o odszkodowanie, o którym mowa w klauzuli 6 pkt 1 przeciw podmiotowi przekazującemu lub odbierającemu dane, ponieważ przestały one istnieć faktycznie lub formalnie lub stały się niewypłacalne, a żaden podmiot będący następcą nie przejął na podstawie umowy lub z mocy prawa wszystkich zobowiązań prawnych podmiotu przekazującego lub odbierającego dane.
Postanowienia umowy, o której mowa w ust. 1, dotyczące aspektów ochrony danych w odniesieniu do podwykonawstwa przetwarzania, podlegają prawu państwa członkowskiego, w którym prowadzi działalność gospodarczą podmiot przekazujący dane, a mianowicie …
Podmiot przekazujący dane prowadzi wykaz umów dotyczących podwykonawstwa przetwarzania danych zawartych na podstawie niniejszych klauzul, o których został poinformowany przez podmiot odbierający dane na postawie klauzuli 5 lit. j); wykaz ten podlega aktualizacji co najmniej raz do roku. Wykaz udostępnia się organowi nadzorczemu właściwemu dla podmiotu przekazującego dane.
Klauzula 12
Obowiązki po zakończeniu usług przetwarzania danych osobowych
Strony uzgadniają, że wraz z zakończeniem świadczenia usług przetwarzania danych podmiot odbierający dane i podwykonawca przetwarzania zwracają podmiotowi przekazującemu dane wszystkie przekazane dane osobowe i ich kopie lub niszczą wszystkie dane osobowe i poświadczają przekazującemu dane, że to uczynili, zgodnie z decyzją przekazującego dane, chyba że przepisy prawa obowiązujące podmiot odbierający dane uniemożliwiają mu zwrot lub zniszczenie wszystkich lub części przekazanych danych osobowych. W tym przypadku podmiot odbierający dane gwarantuje, że zapewni poufność przekazanych danych osobowych i nie będzie ich już aktywnie przetwarzał.
Podmiot odbierający dane lub podwykonawca przetwarzania gwarantują przedstawienie na żądanie podmiotu przekazującego dane lub organu nadzorczego urządzeń do przetwarzania danych do celów kontroli środków, o których mowa w ust. 1.
W imieniu podmiotu przekazującego dane:Pełne imię i nazwisko: …
Stanowisko: …
Inne informacje niezbędne do tego, aby umowa była wiążąca (jeśli dotyczy):
Podpis …
W imieniu podmiotu odbierającego dane:(1) W ramach niniejszej klauzuli strony mogą powtórzyć definicje i znaczenia zawarte w dyrektywie 95/46/WE, jeżeli uznają, że bardziej korzystne będzie ich odrębne zawarcie w umowie. 01001001-E0002" href="#ntc2-L_2010039PL. 01001001-E0002">(2) Obowiązujące wymogi przepisów krajowych mające zastosowanie do podmiotu odbierającego dane, które nie wykraczają poza to, co konieczne w demokratycznym społeczeństwie na podstawie jednego z interesów wymienionych w art. 13 ust. 1 dyrektywy 95/46/WE (tj. jeżeli stanowią środek konieczny do zabezpieczenia: bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego, zapobiegania przestępstwom lub czynom stanowiącym naruszenie zasad etyki w zawodach regulowanych i ich dochodzenia, wykrywania i ścigania, ważnego interesu ekonomicznego lub finansowego państwa lub ochrony osoby, której dane dotyczą, lub praw i wolności innych osób), nie są sprzeczne ze standardowymi klauzulami umownymi. Niektóre przykłady wspomnianych bezwzględnie obowiązujących wymogów niewykraczających poza to, co konieczne w demokratycznym społeczeństwie, to m. in. sankcje uznane na szczeblu międzynarodowym, wymagania związane ze sprawozdawczością podatkową lub w zakresie przeciwdziałania praniu pieniędzy. 01001001-E0003" href="#ntc3-L_2010039PL. 01001001-E0003">(3) Ten wymóg może zostać spełniony przez wspólne podpisanie przez podwykonawcę przetwarzania umowy zawartej między podmiotem przekazującym a odbierającym dane na mocy niniejszej decyzji. 01001601">Dodatek 1
do standardowych klauzul umownych
Niniejszy dodatek stanowi część klauzul i musi być wypełniony i podpisany przez strony
Zgodnie z procedurami krajowymi państwa członkowskie mogą uzupełniać niniejszy dodatek lub określić wszelkie niezbędne dodatkowe informacje, które należy zawrzeć w niniejszym dodatku.
Podmiot przekazujący dane
Podmiot przekazujący dane (proszę krótko scharakteryzować działalność związaną z przekazywaniem danych):
Podmiot odbierający dane
Podmiot odbierający dane (proszę krótko scharakteryzować działalność związaną z przekazywaniem danych):
Osoby, których dane dotyczą
Podmioty, których dotyczą przekazywane dane osobowe, należą do następujących kategorii (proszę wyszczególnić):
Kategorie danych
Przekazane dane osobowe dotyczą następujących kategorii danych (proszę wyszczególnić):
Szczególne kategorie danych (jeśli dotyczy)
Przekazywane dane osobowe dotyczą następujących szczególnych kategorii danych (proszę wyszczególnić):
Czynności przetwarzania
Przekazane dane osobowe będą podlegały następującym podstawowym czynnościom przetwarzania (proszę wyszczególnić):
PODMIOT PRZEKAZUJĄCY DANE
Imię i nazwisko lub nazwa: …
Podpis osoby upoważnionej …
PODMIOT ODBIERAJĄCY DANE
Dodatek 2
do standardowych klauzul umownych
Opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych przez podmiot odbierający dane zgodnie z klauzulą 4 lit. d) i klauzulą 5 lit. c) (lub załączonym dokumentem/przepisami):PRZYKŁADOWA KLAUZULA DOTYCZĄCA ODSZKODOWANIA (NIEOBOWIĄZKOWA)
Strony uzgadniają, że jeżeli jedna ze stron zostanie pociągnięta do odpowiedzialności za naruszenie klauzul spowodowane przez drugą ze stron, ta ostatnia w zakresie swojej odpowiedzialności wypłaci pierwszej stronie odszkodowanie z tytułu wszelkich poniesionych kosztów, opłaty, szkód, wydatków lub strat.
Odszkodowanie jest zależne od:
natychmiastowego powiadomienia podmiotu odbierającego dane przez podmiot przekazujący dane o roszczeniu; oraz
umożliwienia podmiotowi odbierającemu dane współpracy z podmiotem przekazującym dane w zakresie obrony przed roszczeniem i jego uregulowania (1).
(1) Ustęp dotyczący odpowiedzialności jest nieobowiązkowy.a także mając na uwadze, co następuje:
(1) Europejski Bank Centralny (EBC) wykonuje swoje zadania zgodnie z Traktatami.
(2) Zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2018/1725 decyzja Europejskiego Banku Centralnego (UE) 2020/655 (EBC/2020/28) 2 określa ogólne zasady wdrażające rozporządzenie (UE) 2018/1725 w odniesieniu do EBC. W szczególności decyzja ta określa zasady powoływania i rolę inspektora ochrony danych w EBC, w tym jego zadania, obowiązki i uprawnienia.
(3) Wykonując powierzone mu zadania, EBC - a w szczególności dana jednostka organizacyjna - pełni funkcję administratora danych w zakresie, w jakim samodzielnie lub wspólnie z innymi jednostkami określa cele i sposoby przetwarzania danych osobowych.
(4) W związku z wewnętrznym funkcjonowaniem EBC różnym obszarom działalności EBC (w tym Dyrekcji Generalnej ds. Kadr, Biuru ds. Zgodności i Ładu Wewnętrznego, Dyrekcji ds. Audytu Wewnętrznego oraz Dyrekcji Generalnej Służb Prawnych) powierza się zadania w ramach przepisów prawa regulujących zatrudnienie w EBC, które obejmują przetwarzanie danych osobowych. Zadania takie mogą na przykład obejmować działania podejmowane w odpowiedzi na potencjalne naruszenia obowiązków zawodowych (w tym dochodzenia w sprawach o domniemane niewłaściwe zachowania zgodnie z zasadami EBC dotyczącymi poszanowania godności pracownika oraz działania następcze dotyczące zgłaszanych dowolnymi kanałami działań niezgodnych z prawem lub naruszeń obowiązków zawodowych, w tym w szczególności za pośrednictwem narzędzia do zgłaszania naruszeń), zadania dotyczące procedur rekrutacyjnych, zadania podejmowane przez Dyrekcję Generalną ds. Kadr w ramach wykonywania jej funkcji związanych z zarządzaniem wynikami, awansami, bezpośrednim mianowaniem personelu EBC, rozwojem zawodowym, w tym kalibracją talentów w ramach poszczególnych jednostek organizacyjnych i pomiędzy nimi, podwyżkami wynagrodzeń i premiami oraz decyzjami dotyczącymi mobilności i urlopów, badanie odwołań wewnętrznych wnoszonych przez personel EBC (w tym w drodze przeglądu administracyjnego, procedur rozpatrywania skarg, specjalnych procedur odwoławczych lub komisji medycznych) oraz działania następcze w związku z tymi odwołaniami, zadania doradcze Biura ds. Zgodności i Ładu Wewnętrznego zgodnie z Zasadami etyki zawodowej EBC (określone w części 0 Regulaminu pracowniczego EBC) oraz zadania tego biura związane z monitorowaniem zgodności prywatnych transakcji finansowych (w tym współpraca z zewnętrznym usługodawcą wyznaczonym zgodnie z art. 0. 4. 3. 3 Regulaminu pracowniczego EBC), a także oraz audyty wykonywane przez Dyrekcję ds. Audytu Wewnętrznego oraz zadania realizowane w kontekście okólnika administracyjnego 01/2006 w sprawie wewnętrznych administracyjnych postępowań wyjaśniających 3 podczas prowadzenia czynności wyjaśniających i dochodzeń administracyjnych w sytuacjach, które mogą mieć wymiar dyscyplinarny z udziałem personelu EBC (w tym zadań osób prowadzących dochodzenie lub członków zespołu śledczego, w przypadku gdy są oni zobowiązani do zebrania dowodów i ustalenia istotnych faktów).
(5) Zgodnie z decyzją Europejskiego Banku Centralnego (UE) 2016/456 (EBC/2016/3) 4 EBC przekazuje Europejskiemu Urzędowi ds. Zwalczania Nadużyć Finansowych, na jego wniosek lub z własnej inicjatywy, informacje będące w posiadaniu EBC, dające podstawy do podejrzenia wystąpienia ewentualnych przypadków nadużyć finansowych, korupcji lub innej nielegalnej działalności na szkodę interesów finansowych Unii. Decyzja UE/2016/456 (EBC/2016/3) stanowi, że w takim przypadku zainteresowane osoby powinny zostać szybko powiadomione, o ile nie przyniesie to szkody dla prowadzonego dochodzenia, oraz że w żadnym przypadku po zakończeniu dochodzenia nie można przedstawiać wniosków dotyczących określonej z nazwiska zainteresowanej osoby bez umożliwienia jej zajęcia stanowiska w stosunku do wszystkich faktów z nią związanych, w tym wszelkich dowodów świadczących przeciwko niej.
(6) Zgodnie z art. 4 lit. b) decyzji (UE) 2020/655 (EBC/2020/28) inspektor ochrony danych prowadzi postępowania wyjaśniające co do spraw i incydentów związanych z ochroną danych, z własnej inicjatywy lub na wniosek EBC.
(7) Dział ds. Bezpieczeństwa i Ochrony w Dyrekcji Generalnej ds. Administracji EBC odpowiada za prowadzenie dochodzeń w celu zapewnienia ochrony bezpieczeństwa fizycznego osób, pomieszczeń i mienia w EBC, a także za gromadzenie danych o zagrożeniach i analizę incydentów związanych z bezpieczeństwem.
(8) EBC ma obowiązek lojalnej współpracy z organami krajowymi, w tym z krajowymi organami ścigania. W szczególności zgodnie z decyzją Europejskiego Banku Centralnego (UE) 2016/1162 (EBC/2016/19) 5 EBC może, na wniosek krajowego organu dochodzeniowego, przekazać posiadane przez siebie informacje poufne związane z zadaniami powierzonymi EBC na mocy rozporządzenia Rady (UE) nr 1024/2013 6 lub innymi zadaniami związanymi z ESBC/Eurosystemem, odpowiednio, właściwym organom krajowym lub KBC, w celu ich ujawnienia danemu krajowemu organowi dochodzeniowemu pod określonymi warunkami.
(9) Zgodnie z rozporządzeniem Rady (UE) 2017/1939 7 EBC musi niezwłocznie przekazać Prokuraturze Europejskiej wszelkie dostępne informacje w przypadku stwierdzenia podejrzenia popełnienia przestępstwa w zakresie jego kompetencji.
(10) EBC ma obowiązek współpracy z organami UE sprawującymi funkcje nadzorcze lub kontrolne, którym EBC podlega, takimi jak Europejski Inspektor Ochrony Danych, Europejski Trybunał Obrachunkowy i Europejski Rzecznik Praw Obywatelskich, przy wykonywaniu ich odpowiednich zadań. W tym kontekście EBC może przetwarzać dane osobowe, aby móc odpowiadać na wnioski, konsultować się z takimi organami i udzielać im informacji.
(11) Zgodnie z wewnętrznymi zasadami rozstrzygania sporów w EBC personel EBC może w każdej chwili i za pomocą wszelkich środków zwracać się do mediatora w celu uzyskania wsparcia w rozwiązywaniu sporów pracowniczych lub zapobieganiu im. Zasady te przewidują, że wszelka komunikacja z mediatorem jest objęta poufnością. Wszelkie informacje, o których mowa w postępowaniu mediacyjnym, uznaje się za informacje poufne, a każda strona uczestnicząca w mediacji musi wykorzystywać takie informacje wyłącznie do celów procesu mediacji, bez uszczerbku dla jakiegokolwiek postępowania sądowego. W wyjątkowych przypadkach mediator może ujawnić informacje, jeżeli ich ujawnienie wydaje się konieczne, aby zapobiec bezpośredniemu ryzyku poważnego naruszenia integralności fizycznej lub psychicznej danej osoby.
(12) EBC dąży do zapewnienia warunków pracy, które chronią zdrowie i bezpieczeństwo personelu oraz zapewniają poszanowanie godności w miejscu pracy poprzez zagwarantowanie dostępu do usług doradczych. Personel EBC może korzystać z usług doradcy społecznego w odniesieniu do wszelkich kwestii, w tym kwestii emocjonalnych, osobistych i związanych z pracą. Doradca społeczny nie może mieć dostępu do akt osobowych personelu EBC, chyba że dana osoba wyraźnie na to zezwoliła. Nie można ujawniać żadnych informacji otrzymanych przez daną osobę ani oświadczeń złożonych przez daną osobę doradcom społecznym, chyba że osoba ta wyraźnie wyrazi na to zgodę lub jest to wymagane przez prawo.
(13) W związku z funkcjonowaniem wewnętrznym EBC przetwarza kilka kategorii danych, które mogą być związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Niewyczerpujące wykazy tych kategorii danych osobowych, które są przetwarzane przez EBC w związku z jego funkcjonowaniem wewnętrznym, znajdują się w załącznikach do niniejszej decyzji. Dane osobowe mogą również stanowić część oceny obejmującej ocenę przeprowadzoną przez właściwy obszar działalności w odniesieniu do analizowanej kwestii, w tym na przykład ocenę przeprowadzoną przez DG/HR, DG/L, D/IA, komisję dyscyplinarną lub zespół dochodzeniowy w sprawie naruszenia obowiązków służbowych.
(14) W kontekście motywów 4-13 należy określić powody, dla których EBC może ograniczać prawa osób, których dane dotyczą.
(15) Celem EBC przy wykonywaniu swoich zadań jest realizacja ważnych założeń leżących w ogólnym interesie publicznym Unii. W związku z tym wykonywanie takich zadań powinno podlegać ochronie, tak jak przewidziano w rozporządzeniu (UE) 2018/1725, w szczególności w art. 25 ust. 1 lit. b), c), d), f), g) i h).
(16) Zgodnie z art. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, art. 35 i art. 36 oraz - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 - art. 4 tego rozporządzenia należy określić w przepisach wewnętrznych lub aktach prawnych przyjętych na podstawie Traktatów. W związku z tym EBC powinien określić zasady, na podstawie których może ograniczać prawa osób, których dane dotyczą, w wykonywaniu swoich zadań.
(17) EBC powinien uzasadnić, dlaczego takie ograniczenia praw osób, których dane dotyczą, są niezbędne i proporcjonalne w społeczeństwie demokratycznym w celu ochrony celów realizowanych w ramach sprawowania przez niego władzy publicznej oraz funkcji z nią związanych, a także określić, w jaki sposób EBC szanuje istotę podstawowych praw i wolności przy nakładaniu takich ograniczeń.
(18) W tym kontekście EBC jest zobowiązany do przestrzegania, w możliwie najszerszym zakresie, praw podstawowych osób, których dane dotyczą, w szczególności w odniesieniu do prawa do udzielania informacji, dostępu do danych i ich sprostowania, prawa do usunięcia danych, ograniczenia przetwarzania, prawa osoby, której dane dotyczą, do bycia zawiadomionym o naruszeniu dotyczącym ochrony danych osobowych, czy też prawa do poufności komunikacji, zgodnie z rozporządzeniem (UE) 2018/1725.
(19) EBC może być jednak zobowiązany do ograniczenia informacji przekazywanych osobom, których dane dotyczą, oraz praw innych osób, których dane dotyczą, w celu zagwarantowania wykonywania swoich zadań, w szczególności własnych dochodzeń i procedur, dochodzeń i procedur innych organów publicznych oraz podstawowych praw i wolności innych osób związanych z dochodzeniami lub innymi procedurami.
(20) EBC powinien znieść ograniczenie, które zostało zastosowane, jeżeli przestanie być potrzebne.
(21) Inspektor ochrony danych powinien dokonywać przeglądu stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją i rozporządzeniem (UE) 2018/1725.
(22) Niniejsza decyzja określa zasady, zgodnie z którymi EBC może ograniczać prawa osób, których dane dotyczą, w ramach przetwarzania danych osobowych w związku z funkcjonowaniem wewnętrznym, natomiast Zarząd EBC przyjął odrębną decyzję określającą zasady wewnętrzne dotyczące ograniczenia tych praw przy przetwarzaniu przez EBC danych osobowych w związku z wykonywaniem zadań nadzorczych.
(23) EBC może mieć możliwość zastosowania wyjątku zgodnie z rozporządzeniem (UE) 2018/1725, w tym w szczególności na podstawie art. 15 ust. 4, art. 16 ust. 5, art. 19 ust. 3 i art. 35 ust. 3 tego rozporządzenia, w celu uznania konieczności zastosowania ograniczenia za zbędną.
(24) Odstępstwa od praw osób, których dane dotyczą, o których mowa w art. 17, 18, 20, 21, 22 i 23 rozporządzenia (UE) 2018/1725, do celów archiwizacyjnych w interesie publicznym mogą być przewidziane w przepisach wewnętrznych lub aktach prawnych przyjętych na podstawie Traktatów przez EBC w odniesieniu do jego działań archiwizacyjnych, z zastrzeżeniem warunków i zabezpieczeń wymaganych zgodnie z art. 4 rozporządzenia (UE) 2018/1725.
(25) Zgodnie z art. 41 ust. 2 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 12 marca 2021 r.
(26) Przeprowadzono konsultacje z Komitetem Pracowniczym,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
