UWAGA: PONIŻSZE WARUNKI ZOSTAŁY OPUBLIKOWANE W ZWIĄZKU Z NOWYMI ZATWIERDZONYMI PRZEZ KOMISJĘ EUROPEJSKĄ STANDARDOWYMI KLAUZULAMI UMOWNYMI, KTÓRE OBOWIĄZUJĄ OD 27 WRZEŚNIA 2021 R.

a)  Celem rzeczonych standardowych klauzul umownych jest zapewnienie zgodności z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) (1) w odniesieniu do przekazywania danych osobowych do państwa trzeciego.

b) Strony:

(i)   osoba fizyczna lub prawna/osoby fizyczne lub prawne, organ publiczny/organy publiczne, agencja/agencje lub inna jednostka/inne jednostki (zwane dalej „podmiotem/podmiotami”) przekazujące dane osobowe wymienione w aneksie I.A (zwana dalej „podmiotem przekazującym dane”), oraz

(ii) podmiot/podmioty w państwie trzecim otrzymujące dane osobowe od podmiotu przekazującego dane, bezpośrednio lub pośrednio, za pośrednictwem innego podmiotu będącego Stroną niniejszych Klauzul, jak wykazano w aneksie I.A (zwana dalej „podmiotem odbierającym dane”)

oświadczają, że akceptują niniejsze standardowe klauzule umowne (zwane dalej: „Klauzulami”).

c)  Niniejsze Klauzule mają zastosowanie w odniesieniu do przekazywania danych osobowych zgodnie z aneksem I.B.

d) Załącznik do niniejszych Klauzul zawierający aneksy, o których mowa tamże, stanowi integralną część tych Klauzul.

a)  Niniejsze Klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa osób, których dotyczą dane, i skuteczne środki ochrony prawnej na mocy art. 46 ust. 1 i art. 46 ust. 2 lit. c) rozporządzenia (UE) 2016/679 oraz, w odniesieniu do przekazywania danych od administratorów do podmiotów przetwarzających i/lub od podmiotów przetwarzających dane do podmiotów przetwarzających dane, standardowe klauzule umowne zgodnie z art. 28 ust. 7 rozporządzenia (UE) 2016/679, pod warunkiem że nie są one modyfikowane, z wyjątkiem wybranego odpowiednio modułu (modułów) w celu dodania lub aktualizacji informacji w załączniku. Nie uniemożliwia to Stronom włączenia standardowych klauzul umownych określonych w niniejszych Klauzulach do szerszej umowy i/lub dodania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie są one sprzeczne z niniejszymi Klauzulami, bezpośrednio lub pośrednio, ani nie naruszają podstawowych praw lub wolności osób, których dotyczą dane.

b) Niniejsze Klauzule nie naruszają zobowiązań, którym podlega podmiot przekazujący dane na mocy rozporządzenia (UE) 2016/679.

a)  Osoby, których dotyczą dane, mogą powoływać się na niniejsze Klauzule jako beneficjenci będący stroną trzecią, wobec podmiotu przekazującego dane i/lub podmiotu odbierającego dane, z następującymi wyjątkami:

(i)   Klauzula 1, Klauzula 2, Klauzula 3, Klauzula 6, Klauzula 7;

(ii) Klauzula 8.1(b), 8.9(a), (c), (d) i (e);

(iii) Klauzula 9 – Klauzula 9(a), (c), (d) i (e);

(iv) Klauzula 12 – Klauzula 12(a), (d) i (f);

(v) Klauzula 13;

(vi) Klauzula 15.1(c), (d) i (e);

(vii) Klauzula 16(e);

(viii) Klauzula 18 – Klauzula 18(a) i (b);

b) Ustęp a) nie narusza praw osób, których dotyczą dane, na mocy rozporządzenia (UE) 2016/679.

a)  W przypadku gdy w niniejszych Klauzulach stosowane są terminy zdefiniowane w rozporządzeniu (UE) 2016/679, terminy te mają takie samo znaczenie jak w rzeczonym rozporządzeniu.

b) Niniejsze Klauzule należy czytać i interpretować w świetle przepisów rozporządzenia (UE) 2016/679.

c)  Niniejsze Klauzule nie mogą być interpretowane w sposób, który jest sprzeczny z prawami i zobowiązaniami zawartymi w rozporządzeniu (UE) 2016/679.

W przypadku sprzeczności między niniejszymi Klauzulami a postanowieniami powiązanych umów zawartych pomiędzy Stronami, które obowiązują w momencie przyjęcia niniejszych Klauzul lub zostaną zawarte po ich przyjęciu, rozstrzygające będą postanowienia zawarte w niniejszych Klauzulach.

Szczegóły dotyczące przekazywania danych, a w szczególności kategorie przekazywanych danych osobowych, a także cel(e), w których są one przekazywane, są określone w aneksie I.B.

a)  Podmiot, który nie jest Stroną niniejszych Klauzul, może, za zgodą Stron, przystąpić do niniejszych Klauzul w dowolnym momencie, jako podmiot przekazujący dane lub podmiot odbierający dane, wypełniając załącznik i podpisując aneks I.A.

b) Po wypełnieniu aneksu i podpisaniu aneksu I.A. podmiot przystępujący stanie się Stroną niniejszych Klauzul i będzie miał prawa i obowiązki podmiotu przekazującego dane lub podmiotu odbierającego dane zgodnie z jego oznaczeniem w aneksie I.A.

c)  Podmiot przystępujący nie ma żadnych praw ani zobowiązań wynikających z niniejszych Klauzul z okresu poprzedzającego uzyskanie statusu Strony.

Podmiot przekazujący dane gwarantuje, że dołożył uzasadnionych starań w celu stwierdzenia, że podmiot odbierający dane jest w stanie – poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych – wypełnić swoje zobowiązania wynikające z niniejszych Klauzul.

a)  Podmiot odbierający dane przetwarza dane osobowe wyłącznie na podstawie udokumentowanych instrukcji podmiotu przekazującego dane. Podmiot przekazujący dane może wydawać takie instrukcje przez cały okres obowiązywania umowy.

b) Jeśli podmiot odbierający dane nie jest w stanie wykonać tych instrukcji, niezwłocznie poinformuje o tym podmiot przekazujący dane.

Podmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu / określonych celach przekazywania mu ich, zgodnie z aneksem I.B, chyba że podmiot przekazujący dane wyda dalsze instrukcje.

Na wniosek osoby, której dotyczą dane, podmiot przekazujący dane nieodpłatnie udostępni jej kopię niniejszych Klauzul, w tym kopię załącznika w formie uzupełnionej przez Strony. W zakresie niezbędnym do ochrony tajemnic handlowych lub innych informacji poufnych, w tym środków opisanych w aneksie II oraz danych osobowych, podmiot przekazujący dane może przed udostępnieniem kopii zredagować część tekstu załącznika do niniejszych Klauzul, jednak powinien zawrzeć zrozumiałe podsumowanie, na wypadek gdyby osoba, której dotyczą dane, nie była w stanie zrozumieć treści otrzymanej kopii lub dochodzić swoich praw. Na wniosek osoby, której dotyczą dane, Strony przekażą jej powody wprowadzenia takich zmian, w takim zakresie, by nie ujawnić jej zredagowanych informacji. Niniejsza klauzula pozostaje bez uszczerbku dla zobowiązań podmiotu przekazującego dane wynikających z art. 13 i 14 rozporządzenia (UE) 2016/679.

Jeżeli podmiot odbierający dane uzyska informację, że otrzymane przez niego dane osobowe są niedokładne lub stały się nieaktualne, niezwłocznie poinformuje o tym podmiot przekazujący dane. W takim przypadku podmiot odbierający dane podejmie współpracę z podmiotem przekazującym dane w celu usunięcia lub skorygowania danych.

Przetwarzanie przez podmiot odbierający dane odbywa się wyłącznie przez okres określony w aneksie I.B. Po zakończeniu świadczenia usług przetwarzania, podmiot odbierający dane, wedle wyboru podmiotu przekazującego dane, usunie wszystkie dane osobowe przetwarzane w imieniu podmiotu przekazującego dane i poświadczy podmiotowi przekazującemu dane o dokonaniu tego, albo zwróci podmiotowi przekazującemu dane wszystkie dane osobowe przetwarzane w jego imieniu oraz usunie istniejące kopie. Do momentu usunięcia lub zwrotu danych podmiot odbierający dane zobowiązany jest nieustająco zapewnić zgodność z wymogami niniejszych Klauzul. W przypadku gdy podmiot odbierający dane obowiązują lokalne przepisy prawa, które zabraniają zwrotu lub usunięcia danych osobowych, podmiot odbierający dane gwarantuje, że będzie nadal zapewniać zgodność z wymogami niniejszych Klauzul oraz będzie przetwarzać dane wyłącznie w zakresie wymaganym przez lokalne przepisy i tak długo, jak wymagają tego lokalne przepisy. Pozostaje to bez uszczerbku dla postanowień klauzuli 14, w szczególności klauzuli 14(e), która nakłada na podmiot odbierający dane obowiązek powiadamiania podmiotu przekazującego dane przez cały okres obowiązywania umowy, jeśli podmiot odbierający dane ma podstawy, by sądzić, że podlega lub zaczął podlegać przepisom prawa lub praktykom niezgodnym z wymogami klauzuli 14(a).

a)  Podmiot odbierający dane oraz, w trakcie ich przekazywania, podmiot przekazujący dane wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo danych, w tym ochronę przed naruszeniem bezpieczeństwa prowadzącym do ich przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub uzyskania do nich dostępu (zwanego dalej „naruszeniem danych osobowych”). Określając odpowiedni poziom bezpieczeństwa, Strony z należytą starannością uwzględniają aktualny stan wiedzy, koszty wdrożenia, charakter, zakres, kontekst i cel(e) przetwarzania oraz związane z przetwarzaniem danych ryzyko dla osób, których te dane dotyczą. Strony w szczególności rozważą zastosowanie szyfrowania lub pseudonimizacji, w tym podczas przekazywania danych, w przypadku gdy cel przetwarzania może zostać osiągnięty w ten sposób. W przypadku pseudonimizacji dodatkowe informacje potrzebne do przypisania danych osobowych do określonej osoby, której dotyczą te dane, pozostają w miarę możliwości pod wyłączną kontrolą podmiotu przekazującego dane. Wypełniając zobowiązania wynikające z niniejszego ustępu, podmiot odbierający dane musi wdrożyć przynajmniej środki techniczne i organizacyjne określone w aneksie II. Podmiot odbierający dane przeprowadza regularne kontrole w celu zapewnienia, że środki te nadal zapewniają odpowiedni poziom bezpieczeństwa.

b) Podmiot odbierający dane udziela dostępu do danych osobowych swojemu personelowi wyłącznie w zakresie ściśle niezbędnym do realizacji umowy, zarządzania nią i monitorowania jej. Zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub że podlegają odpowiedniemu ustawowemu zobowiązaniu do zachowania poufności.

c)  W przypadku naruszenia danych osobowych w odniesieniu do danych osobowych przetwarzanych przez podmiot odbierający dane na mocy niniejszych Klauzul, podmiot odbierający dane podejmie odpowiednie środki, aby zaradzić temu naruszeniu, w tym środki mające na celu złagodzenie jego negatywnych skutków. Po uzyskaniu informacji o naruszeniu podmiot odbierający dane niezwłocznie powiadomi również podmiot przekazujący dane. Takie powiadomienie winno zawierać informacje dotyczące punktu kontaktowego, w którym można uzyskać więcej szczegółów, opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dotyczą dane, oraz dane osobowe, których dotyczy zdarzenie), jego prawdopodobne konsekwencje oraz środki podjęte lub zaproponowane w celu zaradzenia naruszeniu, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego ewentualnych negatywnych skutków. W przypadku gdy nie jest możliwe jednoczesne przekazanie wszystkich informacji, wstępne powiadomienie zawiera informacje, które są aktualnie dostępne, a dalsze informacje są przekazywane bez zbędnej zwłoki w momencie, w którym staną się dostępne.

d) Podmiot odbierający dane współpracuje z podmiotem przekazującym dane i służy mu wsparciem, aby umożliwić mu wypełnienie zobowiązań, którymi jest objęty na mocy rozporządzenia (UE) 2016/679, w szczególności w celu powiadomienia właściwego organu nadzorczego i osób, których dotyczą dane objęte zdarzeniem, z uwzględnieniem charakteru przetwarzania oraz informacji dostępnych dla podmiotu odbierającego dane.

Jeżeli wśród przekazywanych danych znajdują się dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie religijne lub przekonania światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne na potrzeby jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia albo seksualności lub orientacji seksualnej określonej osoby, lub dane dotyczące wyroków skazujących i naruszeń prawa (zwane dalej „danymi wrażliwymi”), podmiot odbierający dane stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia opisane w aneksie I.B.

Podmiot odbierający dane ujawnia dane osobowe stronie trzeciej wyłącznie na podstawie udokumentowanych instrukcji podmiotu przekazującego dane. Ponadto takie dane mogą zostać ujawnione stronie trzeciej mającej siedzibę poza Unią Europejską (4) (w tym samym kraju co podmiot odbierający dane lub w innym kraju trzecim, dalej jako „dalsze przekazanie danych”) wyłącznie, jeśli strona trzecia jest związana niniejszymi Klauzulami lub zgadza się być nimi związana, w ramach odpowiedniego modułu, lub jeśli:

a)  dalsze przekazanie danych następuje do kraju, wobec którego wydano decyzję dotyczącą odpowiedniego poziomu ochrony na mocy art. 45 rozporządzenia (UE) 2016/679, która obejmuje dalsze przekazywanie danych;

b) strona trzecia w inny sposób zapewnia odpowiednie zabezpieczenia zgodnie z art. 46 lub 47 rozporządzenia (UE) 2016/679 w odniesieniu do przedmiotowego przetwarzania;

c)  dalsze przekazanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych w kontekście określonych postępowań administracyjnych, regulacyjnych lub sądowych; lub

d) dalsze przekazanie danych jest konieczne w celu ochrony żywotnych interesów osoby, której dotyczą dane, lub innej osoby fizycznej.

Przy każdym dalszym przekazaniu danych podmiot odbierający dane zobowiązany jest zapewnić zgodność ze wszystkimi innymi zabezpieczeniami wynikającymi z niniejszych Klauzul, w szczególności dotyczącymi ograniczenia celów.

a)  Podmiot odbierający dane niezwłocznie i należycie rozpatruje zapytania od podmiotu przekazującego dane, które dotyczą przetwarzania na mocy niniejszych Klauzul.

b) Strony są w stanie wykazać zgodność z niniejszymi Klauzulami. W szczególności podmiot odbierający dane zachowuje odpowiednią dokumentację dotyczącą działań związanych z przetwarzaniem przeprowadzanych w imieniu podmiotu przekazującego dane.

c)  Podmiot odbierający dane udostępnia podmiotowi przekazującemu dane wszelkie informacje niezbędne do wykazania zgodności ze zobowiązaniami określonymi w niniejszych Klauzulach, a na wniosek podmiotu przekazującego dane zezwala na przeprowadzanie audytów działań dotyczących przetwarzania objętych niniejszymi Klauzulami i bierze w tych audytach udział; audyty odbywają się w uzasadnionych odstępach czasu lub jeśli istnieją przesłanki wskazujące na niezgodność. Podejmując decyzję o przeprowadzeniu przeglądu lub audytu, podmiot przekazujący dane może wziąć pod uwagę odpowiednie certyfikaty posiadane przez podmiot odbierający dane.

d) Podmiot przekazujący dane może przeprowadzić audyt samodzielnie lub zlecić to niezależnemu audytorowi. Audyty mogą obejmować inspekcje obszarów lub obiektów fizycznych podmiotu odbierającego dane i w stosownych przypadkach są przeprowadzane z odpowiednim wyprzedzeniem.

e)  Na wniosek właściwego organu nadzorczego Strony udostępniają mu informacje, o których mowa w ust. b) i c), w tym wyniki wszelkich audytów.

a)  Podmiot odbierający dane posiada ogólne upoważnienie podmiotu przekazującego dane do współpracy z podwykonawcami przetwarzania z uzgodnionej listy. Podmiot odbierający dane wyraźnie informuje pisemnie podmiot przekazujący dane o wszelkich planowanych zmianach tej listy poprzez dodanie lub zastąpienie podwykonawców przetwarzania z co najmniej czternastodniowym wyprzedzeniem, dając w ten sposób podmiotowi przekazującemu dane wystarczająco dużo czasu na zgłoszenie sprzeciwu wobec takich zmian przed nawiązaniem współpracy z podwykonawcą(-ami) przetwarzania. Podmiot odbierający dane przekazuje podmiotowi przekazującemu dane informacje niezbędne do umożliwienia podmiotowi przekazującemu dane skorzystania z jego prawa do sprzeciwu.

b) W przypadku gdy podmiot odbierający dane zaangażuje podwykonawcę przetwarzania w celu przeprowadzenia określonych działań związanych z przetwarzaniem (w imieniu podmiotu przekazującego dane), robi to na drodze pisemnej umowy, która zasadniczo przewiduje takie same zobowiązania w zakresie ochrony danych, jak zobowiązania wiążące podmiot odbierający dane na mocy niniejszych Klauzul, w tym w odniesieniu do klauzuli beneficjenta (osoby trzeciej) przysługującej osobom, których dotyczą dane. (8) Strony zgadzają się, że postępując zgodnie z postanowieniami niniejszej klauzuli, podmiot odbierający dane wypełnia swoje zobowiązania wynikające z klauzuli 8.8. Podmiot odbierający dane zapewni, że podwykonawca przetwarzania wypełnia zobowiązania, którym podmiot odbierający dane podlega na mocy niniejszych Klauzul.

c)  Na wniosek podmiotu przekazującego dane podmiot odbierający dane dostarcza mu kopię umowy z takim podwykonawcą przetwarzania wraz z wszelkimi późniejszymi zmianami. W zakresie niezbędnym do ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, podmiot odbierający dane może przed udostępnieniem kopii zredagować tekst umowy.

d) Podmiot odbierający dane ponosi przed podmiotem przekazującym dane całkowitą odpowiedzialność za to, by podwykonawca przetwarzania wypełniał zobowiązania wynikające z jego umowy z podmiotem odbierającym dane. Podmiot odbierający dane powiadamia podmiot przekazujący dane o wszelkich przypadkach niewypełnienia przez podwykonawcę przetwarzania jego zobowiązań na mocy takiej umowy.

e)  Podmiot odbierający dane zawiera w umowie z podwykonawcą przetwarzania klauzulę beneficjenta (osoby trzeciej), na mocy której – w przypadku gdy podmiot odbierający dane przestanie istnieć faktycznie lub formalnie albo stanie się niewypłacalny – podmiot przekazujący dane będzie mieć prawo do rozwiązania umowy z podwykonawcą przetwarzania oraz nakazania podwykonawcy przetwarzania, by usunął lub zwrócił dane osobowe.

a)  Podmiot odbierający dane niezwłocznie powiadamia podmiot przekazujący dane o wszelkich wnioskach otrzymanych od osób, których dotyczą dane. Podmiot odbierający dane nie odpowiada na takie wnioski, chyba że został do tego upoważniony przez podmiot przekazujący dane.

b) Podmiot odbierający dane wspiera podmiot przekazujący dane w wypełnianiu jego zobowiązań w zakresie odpowiadania na wnioski osób, których dotyczą dane, w zakresie egzekwowania praw przysługujących im na mocy rozporządzenia (UE) 2016/679. W związku z tym w aneksie II Strony określają odpowiednie środki techniczne i organizacyjne, z uwzględnieniem charakteru przetwarzania, które posłużą do zapewniania wsparcia, a także zakres i spektrum potrzebnej pomocy.

c)  Wypełniając zobowiązania wynikające z ust. a) i b), podmiot odbierający dane postępuje zgodnie z instrukcjami podmiotu przekazującego dane.

a)  Podmiot odbierający dane informuje osoby, których dotyczą dane, w przejrzystym i łatwo dostępnym formacie, za pośrednictwem indywidualnego powiadomienia lub na swojej stronie internetowej, o punkcie kontaktowym upoważnionym do rozpatrywania skarg. Wszelkie skargi otrzymane od osób, których dotyczą dane, rozpatruje bezzwłocznie.

b) W przypadku sporu między osobą, której dotyczą dane, a jedną ze Stron w odniesieniu do zgodności z niniejszymi Klauzulami, Strona ta dołoży wszelkich starań, aby rozwiązać problem w sposób polubowny i terminowy. Strony informują się wzajemnie o takich sporach oraz, w stosownych przypadkach, współpracują na rzecz ich rozwiązania.

c)  W przypadku gdy osoba, której dotyczą dane, powołuje się na prawo beneficjenta (strony trzeciej) zgodnie z klauzulą 3, podmiot odbierający dane akceptuje decyzję osoby, której dotyczą dane, w odniesieniu do:

i)     wniesienia skargi do organu nadzorczego w państwie członkowskim jej miejsca zamieszkania lub miejsca pracy lub do właściwego organu nadzorczego na mocy klauzuli 13;

(ii)     skierowania sporu do właściwych sądów w rozumieniu klauzuli 18.

d) Strony przyjmują, że osoba, której dotyczą dane, może być reprezentowana przez organ, organizację lub stowarzyszenie non-profit na warunkach określonych w art. 80 ust. 1 rozporządzenia (UE) 2016/679.

e)  Podmiot odbierający dane przestrzega decyzji, która jest wiążąca na mocy obowiązującego prawa UE lub państwa członkowskiego.

f)  Podmiot odbierający dane zgadza się, że wybór dokonany przez osobę, której dotyczą dane, nie będzie naruszał jej praw materialnych i proceduralnych do dochodzenia środków prawnych zgodnie z obowiązującymi przepisami prawa.

a)  Każda ze Stron ponosi wobec drugiej Strony / pozostałych Stron odpowiedzialność za wszelkie szkody, jakie wyrządzi drugiej Stronie / pozostałym Stronom w wyniku naruszenia niniejszych Klauzul.

b) Podmiot odbierający dane ponosi odpowiedzialność wobec osoby, której dotyczą dane, a osobie, której dotyczą dane, przysługuje odszkodowanie za wszelkie szkody materialne lub niematerialne, które podmiot odbierający dane lub jego podwykonawca przetwarzania wyrządzą osobie, której dotyczą dane, naruszając prawa beneficjenta (strony trzeciej) na mocy niniejszych Klauzul.

c)  Niezależnie od przepisów ust. b), podmiot przekazujący dane ponosi odpowiedzialność wobec osoby, której dotyczą dane, a osobie, której dotyczą dane, przysługuje odszkodowanie za wszelkie szkody materialne lub niematerialne, które podmiot przekazujący dane lub podmiot odbierający dane (lub jego podwykonawca przetwarzania) wyrządzą osobie, której dotyczą dane, naruszając prawa beneficjenta (strony trzeciej) na mocy niniejszych Klauzul. Pozostaje to bez uszczerbku dla odpowiedzialności podmiotu przekazującego dane oraz, w przypadku gdy podmiot przekazujący dane jest podmiotem przetwarzającym dane działającym w imieniu administratora, dla odpowiedzialności administratora na mocy rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725, stosownie do przypadku.

d) Strony zgadzają się, że w przypadku gdy podmiot przekazujący dane zostanie pociągnięty do odpowiedzialności na mocy ust. c) za szkody wyrządzone przez podmiot odbierający dane (lub jego podwykonawcę przetwarzania), będzie miał prawo do dochodzenia zwrotu od podmiotu odbierającego dane części odszkodowania odpowiadającej odpowiedzialności podmiotu odbierającego dane za szkody.

e)  W przypadku gdy więcej niż jedna Strona ponosi odpowiedzialność za szkody wyrządzone osobie, której dotyczą dane, w wyniku naruszenia niniejszych Klauzul, wszystkie odpowiedzialne Strony ponoszą solidarnie indywidualną odpowiedzialność, a osoba, której dotyczą dane, jest uprawniona do wszczęcia postępowania sądowego przeciwko którejkolwiek z tych Stron.

f)  Strony zgadzają się, że w przypadku gdy jedna ze Stron zostanie pociągnięta do odpowiedzialności na mocy ust. e), będzie miała prawo do dochodzenia zwrotu od drugiej Strony / pozostałych Stron części odszkodowania odpowiadającej odpowiedzialności takiej Strony / takich Stron za szkody.

g) Podmiot odbierający dane nie może powoływać się na postępowanie podwykonawcy przetwarzania w celu uniknięcia własnej odpowiedzialności.

a)  Strony zgadzają się, że organem nadzorczym odpowiedzialnym za zapewnienie przez podmiot przekazujący dane zgodności z rozporządzeniem (UE) 2016/679 w odniesieniu do przekazywania danych jest holenderski Urząd Ochrony Danych (Autoriteit Persoonsgegevens), który pełni funkcję właściwego organu nadzorczego.

b) Podmiot odbierający dane zgadza się poddać jurysdykcji właściwego organu nadzorczego i współpracować z nim w ramach wszelkich procedur mających na celu zapewnienie zgodności z niniejszymi Klauzulami. W szczególności podmiot odbierający dane zgadza się odpowiadać na zapytania, poddawać się audytom i stosować się do środków przyjętych przez organ nadzorczy, w tym środków zaradczych i kompensacyjnych. Przekaże on organowi nadzorczemu pisemne potwierdzenie podjęcia niezbędnych działań.

a)  Strony gwarantują, że nie mają powodu sądzić, że przepisy i praktyki w państwie trzecim przeznaczenia mające zastosowanie do przetwarzania danych osobowych przez podmiot odbierający dane, w tym wszelkie wymogi dotyczące ujawniania danych osobowych lub środki upoważniające organy publiczne do dostępu, uniemożliwiają podmiotowi odbierającemu dane wypełnienie jego zobowiązań na mocy niniejszych Klauzul. Opiera się to na rozumieniu, że przepisy i praktyki, które szanują istotę podstawowych praw i wolności i nie wykraczają nad to, co jest w społeczeństwie demokratycznym konieczne i proporcjonalne do zabezpieczenia jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679, nie są sprzeczne z niniejszymi Klauzulami.

b) Strony oświadczają, że udzielając gwarancji określonej w ust. a), należycie uwzględniły w szczególności następujące elementy:

i) szczególne okoliczności przekazywania danych, w tym długość łańcucha przetwarzania, liczbę zaangażowanych podmiotów i wykorzystane kanały przekazywania; zamierzone dalsze przekazywanie danych; typ odbiorcy; cel przetwarzania; kategorie i format przekazywanych danych osobowych; sektor gospodarki, w którym następuje przekazanie danych; miejsce przechowywania przekazywanych danych;

ii) przepisy i praktyki państwa trzeciego przeznaczenia – w tym przepisy wymagające ujawniania danych organom publicznym lub upoważniające takie organy do dostępu do danych – istotne w świetle szczególnych okoliczności przekazywania oraz obowiązujące ograniczenia i zabezpieczenia (12);

iii) wszelkie mające zastosowanie zabezpieczenia umowne, techniczne lub organizacyjne wprowadzone w celu uzupełnienia zabezpieczeń przewidzianych na mocy niniejszych Klauzul, w tym środki stosowane podczas przekazywania danych osobowych oraz środki mające zastosowanie do przetwarzania danych osobowych w kraju przeznaczenia.

c)  Podmiot odbierający dane gwarantuje, że wykonując ocenę na mocy ust. b), dołożył wszelkich starań, aby przekazać podmiotowi przekazującemu dane istotne informacje i zgadza się nadal współpracować z podmiotem przekazującym dane w celu zapewnienia zgodności z niniejszymi Klauzulami.

d) Strony zgadzają się dokumentować ocenę przeprowadzaną na mocy ust. b) i udostępnić ją właściwemu organowi nadzorczemu na jego wniosek.

e)  Podmiot odbierający dane zgadza się niezwłocznie powiadomić podmiot przekazujący dane, jeśli po wyrażeniu zgody na niniejsze Klauzule i w okresie obowiązywania umowy, ma podstawy, by sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w ust. a), w tym w następstwie zmiany przepisów państwa trzeciego lub środka (takiego jak wniosek o ujawnienie informacji) wskazującej na obowiązywanie takich przepisów w praktyce, co nie jest zgodne z wymogami określonymi w ust. a).

f)  Po powiadomieniu na mocy ust. e) lub jeśli podmiot przekazujący dane będzie mieć inne powody, by sądzić, że podmiot odbierający dane nie może już wypełniać swoich zobowiązań na mocy niniejszych Klauzul, podmiot przekazujący dane niezwłocznie określi odpowiednie środki (np. środki techniczne lub organizacyjne w celu zapewnienia bezpieczeństwa i poufności), które podmiot przekazujący dane lub podmiot odbierający dane będzie musiał przyjąć w celu zaradzenia sytuacji. Podmiot przekazujący dane zawiesi przekazywanie danych, jeśli uzna, że nie można zapewnić odpowiednich zabezpieczeń dla takiego przekazywania danych lub jeśli otrzyma takie instrukcje od właściwego organu nadzorczego. W takim przypadku podmiot przekazujący dane ma prawo rozwiązać umowę w zakresie, w jakim dotyczy to przetwarzania danych osobowych na mocy niniejszych Klauzul. Jeśli umowa dotyczy więcej niż dwóch Stron, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej. W przypadku rozwiązania umowy na mocy niniejszej klauzuli zastosowanie mają klauzula 16 ust. d) i e).

a)  Podmiot odbierający dane zgadza się niezwłocznie powiadomić podmiot przekazujący dane oraz, w miarę możliwości, osobę, której dotyczą dane (w razie potrzeby z pomocą podmiotu przekazującego dane), jeśli:

i) otrzyma prawnie wiążący wniosek od organu publicznego, w tym organów sądowych, na mocy prawa kraju przeznaczenia, o ujawnienie danych osobowych przekazywanych na mocy niniejszych Klauzul; takie powiadomienie będzie zawierać informacje na temat żądanych danych osobowych, organu składającego wniosek, podstawy prawnej wniosku i udzielonej odpowiedzi; lub

ii) uzyska informację o jakimkolwiek bezpośrednim dostępie organów publicznych do danych osobowych przekazywanych na mocy niniejszych Klauzul zgodnie z przepisami prawa kraju przeznaczenia; takie powiadomienie będzie zawierać wszystkie informacje dostępne dla podmiotu odbierającego dane.

b) Jeśli na mocy prawa kraju przeznaczenia podmiot odbierający dane ma zakaz powiadamiania podmiotu przekazującego dane lub osoby, której dotyczą dane, podmiot odbierający dane zgadza się dołożyć wszelkich starań, aby uzyskać zwolnienie z takiego zakazu w celu jak najszybszego przekazania jak największej ilości informacji. Podmiot odbierający dane zgadza się dokumentować podjęte przez siebie wszelkie starania, aby móc zademonstrować je na wniosek podmiotu przekazującego dane.

c)  W przypadkach, gdy jest to dozwolone na mocy prawa kraju przeznaczenia, podmiot odbierający dane zgadza się przekazywać podmiotowi przekazującemu dane w regularnych odstępach czasu przez okres obowiązywania umowy jak najwięcej istotnych informacji na temat otrzymanych wniosków (w szczególności informacje o liczbie wniosków, rodzaju wnioskowanych danych, organów składających wniosek, o tym, czy wnioski zostały zakwestionowane, a także o następstwach zakwestionowania wniosków itp.).

d) Podmiot odbierający dane zgadza się przechowywać informacje na mocy ust. a)–c) przez okres obowiązywania umowy i udostępnić je właściwemu organowi nadzorczemu na jego wniosek.

e)  Ust. a)–c) nie naruszają obowiązku podmiotu odbierającego dane wynikającego z klauzuli 14(e) i klauzuli 16, polegającego na bezzwłocznym poinformowaniu podmiotu przekazującego dane, jeśli podmiot odbierający dane nie jest w stanie spełnić wymagań wynikających z niniejszych Klauzul.

a)  Podmiot odbierający dane zgadza się dokonać kontroli zgodności z prawem wniosku o ujawnienie danych, w szczególności tego, czy mieści się on w kompetencjach przyznanych wnioskującemu organowi publicznemu, a także zakwestionować wniosek, jeśli po uważnej ocenie stwierdzi, że istnieją uzasadnione powody, by uznać, że wniosek jest niezgodny z prawem kraju przeznaczenia, obowiązujących zobowiązań wynikających z prawa międzynarodowego i zasad międzynarodowej kurtuazji. Na tych samych warunkach podmiot odbierający dane będzie dążył do odwołania. Kwestionując wniosek, podmiot odbierający dane podejmie środki tymczasowe w celu zawieszenia skutków wniosku do momentu, gdy właściwy organ sądowy podejmie decyzję co do jego zasadności. Podmiot odbierający dane nie ujawni żądanych danych osobowych, dopóki nie będzie do tego zobowiązany na mocy mających zastosowanie zasad proceduralnych. Wymogi te nie naruszają zobowiązań podmiotu odbierającego dane wynikających z klauzuli 14(e).

b) Podmiot odbierający dane zgadza się dokumentować swoją ocenę prawną i wszelkie przypadki kwestionowania wniosków o ujawnienie oraz, w zakresie dozwolonym przez prawo kraju przeznaczenia, udostępnić dokumentację podmiotowi przekazującemu dane, a także właściwemu organowi nadzorczemu na wniosek takiego organu.

c)  Opierając się na racjonalnej interpretacji takiego wniosku, podmiot odbierający dane zgadza się przekazać minimalną dozwoloną ilość informacji w przypadku udzielania odpowiedzi na wniosek o ujawnienie.

a)  Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli z jakiegokolwiek powodu nie jest on w stanie zastosować się do niniejszych Klauzul.

b) W przypadku gdy podmiot odbierający dane naruszy niniejsze Klauzule lub nie będzie w stanie zastosować się do nich, podmiot przekazujący dane zawiesi przekazywanie danych osobowych podmiotowi odbierającemu dane do czasu ponownego zapewnienia zgodności lub rozwiązania umowy. Pozostaje to bez uszczerbku dla klauzuli 14(f).

c)  Podmiot przekazujący dane ma prawo rozwiązać umowę w zakresie, w jakim dotyczy ona przetwarzania danych osobowych na mocy niniejszych Klauzul, w przypadkach gdy:

(i) podmiot przekazujący dane zawiesił przekazywanie danych osobowych podmiotowi odbierającemu dane na mocy ust. b), a zgodność z niniejszymi Klauzulami nie została przywrócona w odpowiednim terminie, i w każdym przypadku w ciągu jednego miesiąca od zawieszenia;

(ii) podmiot odbierający dane poważnie lub trwale narusza niniejsze Klauzule; lub

(iii) podmiot odbierający dane nie zastosuje się do wiążącej decyzji właściwego sądu lub organu nadzorczego w sprawie swoich zobowiązań wynikających z niniejszych Klauzul.

W takich przypadkach podmiot zobowiązany jest poinformować właściwy organ nadzorczy o rzeczonej niezgodności z przepisami. Kiedy umowa dotyczy więcej niż dwóch Stron, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej.

d) Dane osobowe, które zostały przekazane przed rozwiązaniem umowy na mocy ust. c), zostaną zgodnie z decyzją podmiotu przekazującego dane natychmiast zwrócone podmiotowi przekazującemu dane lub w całości usunięte. To samo dotyczy wszelkich kopii rzeczonych danych. Podmiot odbierający dane poświadcza podmiotowi przekazującemu dane usunięcie tychże danych. Do momentu usunięcia lub zwrotu danych podmiot odbierający dane zobowiązany jest stale zapewniać zgodność z niniejszymi Klauzulami. W przypadku gdy podmiot odbierający dane obowiązują lokalne przepisy prawa, które zabraniają zwrotu lub usunięcia przekazanych danych osobowych, podmiot odbierający dane gwarantuje, że będzie nadal zapewniać zgodność z niniejszymi Klauzulami i będzie przetwarzać rzeczone dane wyłącznie w zakresie wymaganym przez lokalne przepisy i tak długo, jak wymagają tego lokalne przepisy.

e)  Każda ze Stron może wycofać swoją zgodę na związanie się niniejszymi Klauzulami, jeżeli (i) Komisja Europejska przyjmie decyzję na mocy art. 45 ust. 3 rozporządzenia (UE) 2016/679, które obejmuje przekazywanie danych osobowych, do których odnoszą się niniejsze Klauzule; lub (ii) rozporządzenie (UE) 2016/679 stanie się częścią norm prawnych kraju, do którego przekazywane są dane osobowe. Pozostaje to bez uszczerbku dla innych zobowiązań związanych z rzeczonym przetwarzaniem na mocy rozporządzenia (UE) 2016/679.

Niniejsze Klauzule podlegają prawu państwa członkowskiego UE, w którym siedzibę ma podmiot przekazujący dane. W przypadku gdy takie prawo nie dopuszcza praw beneficjenta będącego osobą trzecią, podlegają one prawu innego państwa członkowskiego UE, które dopuszcza prawa beneficjenta (osoby trzeciej). Strony oświadczają, że będzie to prawo niderlandzkie.

a)  Wszelkie spory wynikające z niniejszych Klauzul będą rozstrzygane przez sądy państwa członkowskiego UE.

b) Strony oświadczają, że będą to sądy niderlandzkie.

c)  Osoba, której dotyczą dane, może również wszcząć postępowanie sądowe przeciwko podmiotowi przekazującemu dane lub podmiotowi odbierającemu dane przed sądami państwa członkowskiego, w którym rzeczona osoba ma miejsce zwykłego pobytu.

d) Strony oświadczają, że poddają się jurysdykcji tychże sądów.

Informacje zawarte w aneksach I i II znajdują się w załącznikach 1 i 2 Umowy dotyczącej przetwarzania danych.