UDKAST
Стр. 1 от 19
UDKAST
Стандартни договорни клаузи
За целите на член 28, параграф 3 от Регламент 2016/679 (Общ регламент относно за- щитата на данните)
между
[ДЪРЖАВА]
"[ПОЩЕНСКИ КОД И ГРАД]"
[АДРЕС]
"[CVR №]"
[ИМЕ]
ЦТР
(администраторът на данни) и
[ДЪРЖАВА]
"[ПОЩЕНСКИ КОД И ГРАД]"
[АДРЕС]
"[CVR №]"
[ИМЕ]
ЦТР
(обработващият лични данни),
наричани поотделно „страна“, а заедно — „страни“
ДОГОВОРИХА следните договорни клаузи („клаузите“), за да спазват изискванията на Общия регламент относно защитата на данните и за да гарантират защитата на правата на субекта на данни.
1. Съдържание
2. Преамбюл 3
3. Правата и задълженията на администратора на данни 3
4. Обработващият лични данни действа според нарежданията 4
5. Поверителност 4
6. Сигурност на обработването 4
7. Използване на подизпълнители 5
8. Предаване на данни на трети държави или международни организации 7
9. Подпомагане на администратора на данни 7
10. Уведомяване за нарушение на сигурността на лични данни 9
11. Изтриване и връщане на данни 9
12. Одит и проверка 10
13. Договаряне от страните на други условия 10
14. Начало и край 10
15. Xxxx/Точки за контакт с администратора на данни и обработващия лични данни . 11 Приложение А Информация относно обработването 12
Приложение Б Разрешени подизпълнители 13
Приложение В Нареждане относно използването на лични данни 14
Приложение Г Условия на споразумението между страните по други теми 19
Стр. 2 от 19
2. Преамбюл
1. В настоящите договорни клаузи („клаузите“) са изложени правата и задължени- ята на администратора на данни и на обработващия лични данни, когато обра- ботва лични данни от името на администратора на данни.
2. Клаузите имат за цел да гарантират спазването от страните на член 28, параг- раф 3 от Регламент 2016/679 на Европейския парламент и на Съвета от 27 ап- рил 2016 година относно защитата на физическите лица във връзка с обработ- ването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (наричан по-нататък „ОРЗД“).
Стр. 3 от 19
3. В контекста на предоставянето на [ИМЕ НА УСЛУГАТА] обработващият лични данни ще обработва личните данни от името на администратора на данни в съ- ответствие с клаузите.
4. Клаузите са приоритетни пред всякакви сходни разпоредби, съдържащи се в други споразумения между страните.
5. Към клаузите са приложени четири приложения, които образуват неразделна част от клаузите.
6. Приложение А съдържа информация относно обработването на лични данни, включително целта и естеството на обработването, типа лични данни, катего- риите субекти на данни и срока на действие на обработването.
7. Приложение Б съдържа условията на администратора на данни за използва- нето на подизпълнители от обработващия лични данни и списък с подизпълни- тели, упълномощени от администратора на данни.
8. Приложение В съдържа нарежданията на администратора на данни във връзка с обработването на лични данни, минималните мерки за сигурност, които трябва да приложи обработващият лични данни и по какъв начин трябва да се извърш- ват одитите на обработващия лични данни, и на всеки подизпълнител.
9. Приложение Г съдържа разпоредби за други дейности, които не са обхванати от клаузите.
10. Клаузите, заедно с приложенията, се подписват в писмена, включително и елек- тронна форма, и от двете страни.
11. Клаузите не освобождават обработващия лични данни от задълженията, зало- жени в Общия регламент относно защитата на данните (ОРЗД) или друго зако- нодателство.
3. Правата и задълженията на администратора на данни
1. Администраторът на данни следва да гарантира, че обработването на лични данни се извършва в съответствие с ОРЗД (вж. член 24 от ОРЗД), приложимите
разпоредби на ЕС или държавата членка в областта на защитата на данните1, както и клаузите.
2. „Администраторът на данни има правото и задължението да взема решения от- носно целите и средствата за обработване на лични данни“.
3. Администраторът на данни следва, наред с другото, да гарантира, че обработ- ването на лични данни, което обработващият лични данни е получил нареждане да извърши, има правно основание.
4. Обработващият лични данни действа според нарежданията
1. Обработващият лични данни обработва лични данни единствено следвайки до- кументираното нареждане на администратора на данни, освен ако няма такова задължение съгласно право на Съюза или на държава членка, на което е пред- мет обработващият лични данни. Такива нареждания са определени в прило- жения А и X. През срока на действие на обработването на лични данни адми- нистраторът на данни може да даде и последващи нареждания, но те винаги се документират, и съхраняват в писмена форма, включително, и електронна, във връзка с клаузите.
2. Обработващият лични данни незабавно уведомява администратора на лични данни, ако по мнение на обработващия лични данни дадените от администра- тора на данни нареждания са в противоречие с ОРЗД или приложимите разпо- редби на ЕС или държавата членка в областта на защитата на данните.
Стр. 4 от 19
РЕГУЛИРАТ ТОВА В СПОРАЗУМЕНИЕ МЕЖДУ СТРАНИТЕ.]
[ЗАБЕЛЕЖКА: СТРАНИТЕ СЛЕДВА ДА ПРЕДВИЖДАТ И ВЗЕМАТ ПРЕДВИД
ОБСТОЯТЕЛСТВАТА, КОИТО МОЖЕ ДА ВЪЗНИКНАТ ОТ ПОТЕНЦИАЛНО НЕ- ЗАКОННИ НАРЕЖДАНИЯ, ДАДЕНИ ОТ АДМИНИСТРАТОРА НА ДАННИ, И ДА
5. Поверителност
1. Обработващият лични данни дава достъп до данните, обработвани от админис- тратора на данни, единствено на лица под ръководството на обработващия лични данни, които са поели ангажимент за поверителност или имат подходящо законово задължение за поверителност, и единствено на база „необходимост да се знае“. Списъкът с лицата, на които е даден достъп, се преразглежда пе- риодично. Въз основа на този преглед достъпът до лични данни може да бъде оттеглен, ако вече не е необходим, а впоследствие личните данни вече няма да бъдат достъпни за тези лица.
2. По искане на администратора на данни обработващият лични данни доказва, че въпросните лица под ръководството на обработващия лични данни са предмет на горепосочената поверителност.
6. Сигурност на обработването
1. В член 32 от ОРЗД е предвидено, че като се имат предвид достиженията на тех- ническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и
1 Позоваванията на „държави членки“ в клаузите следва да се разбират като позовавания на „държавите членки на ЕИП“.
целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигу- ряване на съобразено с този риск ниво на сигурност.
Администраторът на данни оценява рисковете за правата и свободите на физи- ческите лица, свързани с обработването, и прилага мерки за смекчаване на тези рискове. В зависимост от значимостта им мерките може да включват следното:
а. псевдонимизация и криптиране на личните данни;
б. способност за гарантиране на постоянна поверителност, цялостност, налич- ност и устойчивост на системите, и услугите за обработване;
x. способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
г. процес на редовно изпитване, преценяване и оценка на ефективността на тех- ническите и организационните мерки с оглед да се гарантира сигурността на обработването.
2. Съгласно член 32 от ОРЗД обработващият данни оценява също — независимо от администратора на данни — рисковете за правата и свободите на физичес- ките лица, свързани с обработването, и прилага мерки за смекчаване на тези рискове. За тази цел администраторът на данни предоставя на обработващия лични данни цялата информация, необходима за определяне и оценяване на тези рискове.
3. Освен това, обработващият лични данни съдейства на администратора на данни за гарантиране на спазването на задълженията на администратора на данни съгласно член 32 от ОРЗД, като наред с другото предоставя на админис- тратора на данни информация относно техническите и организационните мерки, вече приложени от обработващия лични данни съгласно член 32 от ОРЗД, на- ред с цялата друга информация, необходима на администратора на данни, за да спазва задължението на администратор на данни съгласно член 32 от ОРЗД.
Ако впоследствие — според оценката на администратора на данни — за смек- чаването на установените рискове е необходимо обработващият лични данни да приложи допълнителни мерки, освен вече приложените от него съгласно член 32 от ОРЗД, администраторът на данни определя тези допълнителни мерки, които трябва да се приложат, в Приложение X.
7. Използване на подизпълнители
1. Администраторът на данни спазва изискванията, определени в член 28, параг- рафи 2 и 4 от ОРЗД, за да включи друг обработващ лични данни (подизпълни- тел).
НОСТ 2] общо писмено разрешение
[ВЪЗМОЖНОСТ 1] специфично писмено разрешение/[ВЪЗМОЖ-
2. Поради това, обработващият лични данни не ангажира друг обработващ лични данни (подизпълнител) за изпълнението на настоящите клаузи без предвари- телното
Стр. 5 от 19
на администратора на данни.
Стр. 6 от 19
3. [ВЪЗМОЖНОСТ 1 СПЕЦИФИЧНО ПИСМЕНО РАЗРЕШЕНИЕ] Обработващият лични данни включва подизпълнител единствено със специфичното предвари- телно разрешение на администратора на данни. Обработващият лични данни подава искането за специфично разрешение най-малко [ПОСОЧЕТЕ СРОК] преди ангажирането на въпросния подизпълнител. Списъкът с вече разрешени от администратора подизпълнители може да бъде намерен в Приложение Б.
[ВЪЗМОЖНОСТ 2 ОБЩО ПИСМЕНО РАЗРЕШЕНИЕ] Обработващият лични данни има общото разрешение на администратора на данни за включването на подизпълнители. Обработващият лични данни уведомява в писмена форма ад- министратора на данни за планирани промени във връзка с добавянето или за- мяната на подизпълнители най-малко [ПОСОЧЕТЕ СРОК] по-рано, с което дава на администратора на данни възможността да възрази срещу такива промени, преди да бъде ангажиран въпросният подизпълнител. В Приложение Б могат да се предвидят по-дълги срокове на предизвестие за специфични услуги, възло- жени на подизпълнител. Списъкът с вече разрешените от администратора на данни подизпълнители може да бъде намерен в Приложение Б.
4. Когато обработващият лични данни включва друг подизпълнител за извършва- нето на специфични дейности по обработване от името на администратора на данни, чрез договор или друг правен акт съгласно правото на ЕС или правото на държава членка на този подизпълнител лице се налагат същите задължения за защита на данните, както задълженията, предвидени в клаузите, по-специ- ално, да предостави достатъчно гаранции за прилагане на подходящи техни- чески и организационни мерки, така че обработването да отговаря на изисква- нията на клаузите, и ОРЗД.
Следователно, обработващият лични данни следва да изиска от подизпълни- теля да спазва най-малко задълженията, на които е предмет обработващият лични данни съгласно клаузите и ОРЗД.
5. Копие от споразумението на този подизпълнител и последващи негови измене- ния — по искане на администратора на данни — се предоставя на администра- тора на данни, което дава възможност на администратора на данни да гаран- тира, че на подизпълнителя се налагат същите задължения за защита на дан- ните, както тези, които са предвидени в клаузите. Клаузите относно въпроси, свързани с търговската дейност, които не се отнасят до съдържанието, предмет на законната защита на данните, в споразумението на подизпълнителя, не следва да се предоставят на администратора на данни.
6. Обработващият лични данни договаря с подизпълнителя клауза за трети бене- фициент, когато — в случай на банкрут на обработващия лични данни — адми- нистраторът на данни е трети бенефициент по споразумението на подизпълни- теля и има правото да наложи изпълнение на споразумението срещу подизпъл- нителя, включен от обработващия лични данни, напр. като даде възможност на администратора на данни да нареди на подизпълнителя да заличи или върне личните данни.
7. Ако подизпълнителят не изпълни своите задължения за защита на данните, об- работващият лични данни продължава да носи пълна отговорност пред адми-
нистратора на данни по отношение на изпълнението на задълженията на подиз- пълнителя. Това не засяга правата на субектите на данни по линия на ОРЗД — по-специално тези, които са предвидени в членове 79 и 82 от ОРЗД — срещу администратора на лични данни и обработващия лични данни, включително и подизпълнителя.
8. Предаване на данни на трети държави или международни организации
1. Всяко предаване на лични данни на трети държави или международни органи- зации от обработващия лични данни се извършва въз основа на документирано нареждане на администратора на данни и винаги при спазване на ГЛАВА V от ОРЗД.
2. В случай на предаване на данни на трети държави или международни органи- зации, за което обработващият лични данни не е получил нареждане от адми- нистратора на данни, но което се изисква съгласно правото на ЕС или на дър- жава членка, на което е предмет обработващият лични данни, той уведомява администратора на данни за това правно изискване, преди да пристъпи към об- работване, освен ако в правото такава информация не е забранена въз основа на важни съображения от обществен интерес.
3. Следователно, без документирано нареждане от администратора на данни, об- работващият лични данни не може в рамките на клаузите:
а. да прехвърля лични данни на администратор на данни или на обработ- ващ лични данни в трета държава или в международна организация
б. да прехвърля обработването на лични данни на подизпълнител в трета държава
в. да възлага обработването на личните данни на обработващия лични данни в трета държава
4. Нареждането на администратора на лични данни относно предаването на лични данни на трета държава, включително, ако е приложимо, инструмента за преда- ване по глава V от ОРЗД, въз основа на който се извършват тези предавания, е изложено в Приложение В6.
5. Клаузите не следва да се бъркат със стандартните клаузи за защита на данните по смисъла на член 46, параграф 2, букви в) и г) от ОРЗД и не могат да се из- ползват от страните като инструмент за предаване по глава V от ОРЗД.
9. Подпомагане на администратора на данни
1. Като взема предвид естеството на обработването, обработващият лични данни подпомага администратора на данни, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задълженията на ад- министратора да отговори на искания за упражняване на предвидените в глава III от ОРЗД права на субектите на данни.
Това предполага, че обработващият лични данни, доколкото е възможно, съ- действа на администратора при спазването от администратора на данни на:
Стр. 7 от 19
a. правото да бъде информиран при събиране на лични данни от субекта на данни
b. правото да бъде информиран, когато личните данни не са получени от субекта на данните
c. правото на достъп на субекта на данните
d. правото на коригиране
e. правото на изтриване („право да бъдеш забравен“)
f. правото на ограничаване на обработването
g. задължението за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването
h. правото на преносимост на данните
i. правото на възражение
j. правото да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране
2. В допълнение към задължението на обработващия лични данни да подпомага администратора на данни съгласно клауза 6.4, обработващият лични данни също така, като има предвид естеството на обработването и информацията, с която обработващият лични данни разполага, подпомага администратора на данни да гарантира спазването на:
a. задължението на администратора на данни, без ненужно забавяне и ко- гато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, да уведомява за нарушението на сигурността на личните данни компетентния надзорен орган [ПОСОЧЕТЕ КОМПЕТЕНТНИЯ НАДЗО- РЕН ОРГАН], освен ако не съществува вероятност нарушението на си- гурността на личните данни да породи риск за правата и свободите на физическите лица;
b. задължението на администратора на данни, без ненужно забавяне да съобщава на субекта на данните за нарушение на сигурността на лич- ните данни, когато нарушението на сигурността на личните данни има вероятност да доведе до висок риск за правата и свободите на физи- ческите лица;
c. задължението на администратора на данни да извършва оценка на въз- действието на предвидените операции по обработването върху защи- тата на личните данни (оценка на въздействието върху защитата на личните данни);
d. задължението на администратора на данни да се консултира с компе- тентния надзорен орган [ПОСОЧЕТЕ КОМПЕТЕНТНИЯ НАДЗОРЕН ОР- ГАН] преди обработването, когато в оценка на въздействието върху за- щитата на личните данни е посочено, че обработването би породило висок риск при липсата на мерки, взети от администратора на лични данни, за смекчаване на риска.
3. Страните определят в приложение В подходящите технически и организаци- онни мерки, с които обработващият лични данни е задължен да подпомага ад- министратора на лични данни, както и обхвата, и степента на исканата помощ. Това се отнася за задълженията, предвидени в клаузи 9.1 и 9.2.
Стр. 8 от 19
10. Уведомяване за нарушение на сигурността на лични данни
1. В случай на нарушение на сигурността на личните данни обработващият лични данни уведомява администратора за нарушението на сигурността на личните данни, без ненужно забавяне, след като е разбрал за него..
2. Уведомяването на администратора от обработващия лични данни се извършва, ако е възможно, в рамките на [БРОЙ ЧАСОВЕ], след като обработващият лични данни е разбрал за нарушението, за да се даде възможност на администратора да спази своето задължение за докладване на нарушения на сигурността на личните данни на компетентния надзорен орган, както е посочено в член 33 от ОРЗД.
3. В съответствие с клауза 9, параграф 2, буква а) обработващият лични данни подпомага администратора на данни в уведомяването на компетентния надзо- рен орган за нарушението на сигурността на личните данни, което означава, че обработващият лични данни е длъжен да подпомогне получаването на инфор- мацията, изложена по-долу, която съгласно член 33, параграф 3 от ОРЗД се по- сочва при уведомяване на компетентния надзорен орган от администратора на данни:
а. естеството на личните данни, включително, когато това е възможно, ка- тегориите и приблизителният брой на засегнатите субекти на данни и кате- гориите и приблизителният брой на засегнатите записи на лични данни;
б. на евентуалните последици от нарушението на сигурността на личните данни;
в. предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъоб- разност мерки за намаляване на евентуалните неблагоприятни последици.
4. Страните определят в приложение Г всички елементи, които обработващият лични данни трябва да предостави, когато подпомага администратора на лични данни в уведомяването на компетентния надзорен орган за нарушение на си- гурността на личните данни.
11. Изтриване и връщане на данни
всички лични данни, обработвани от името на администратора на данни, и да
увери администратора на данни, че го е направил/[ВЪЗМОЖНОСТ 2] да върне всички лични данни на администратора на данни и да изтрие съществуващите
1. При прекратяване на предоставянето на услуги по обработване на лични данни обработващият лични данни има задължението [ВЪЗМОЖНОСТ 1] да изтрие
Стр. 9 от 19
копия, освен ако не е задължен да съхранява личните данни съгласно правото на Съюза или на държава членка.
2. [НЕЗАДЪЛЖИТЕЛНО] Съгласно следното право на ЕС или на държава членка, приложимо към обработващия лични данни, е задължително личните данни да се съхраняват след прекратяване на предоставянето на услугите по обработ- ване на лични данни:
a. […]
Обработващият лични данни се ангажира с изключителното обработване на личните данни за целите и за срока на действие, предвидени в това право, и при строги приложими условия.
12. Одит и проверка
1. Обработващият лични данни осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на задълженията, оп- ределени в член 28 и позволява, и допринася за извършването на одити, вклю- чително проверки, от страна на администратора на данни или друг одитор, оп- равомощен от администратора на данни.
2. Процедурите, приложими към одитите на администратора на данни, включи- телно проверки на обработващия лични данни и на подизпълнителите, са посо- чени в приложения В6 и В7.
3. Обработващият лични данни е задължен да предоставя на надзорните органи, които съгласно приложимото законодателство имат достъп до съоръженията на администратора на данни и на обработващия лични данни, или на техни предс- тавители, действащи от името на такива надзорни органи, достъп до физичес- ките съоръжения на обработващия лични данни при представяне на подходящ идентификационен документ.
13. Договаряне от страните на други условия
1. Страните може да договорят други клаузи относно предоставянето на услуга за обработване на лични данни, в които се посочва напр. отговорността, при усло- вие че те не противоречат пряко или косвено на клаузите или не накърняват основните права или свободи на субекта на данни, както и защитата, предоста- вена по линия на ОРЗД.
14. Начало и край
1. Клаузите влизат в сила на датата, на която и двете страни са положили подпи- сите си.
2. И двете страни имат правото да изискват предоговаряне на клаузите, ако въз- никне такава необходимост в резултат на промени в правото или нецелесъоб- разност на клаузите.
3. Клаузите са приложими за срока на предоставяне на услугите по обработване на лични данни. Клаузите не могат да се анулират за срока на предоставяне на услугите по обработване на лични данни, освен ако между страните не са дого- ворени други клаузи, уреждащи предоставянето на тези услуги.
4. Ако бъде прекратено предоставянето на услуги по обработване на лични данни, а личните данни бъдат изтрити или върнати на администратора на данни съг- ласно клауза 11.1 и приложение В4, клаузите може да се прекратят с писмено предизвестие от една от страните.
5. Подпис:
Стр. 10 от 19
От името на администратора на данни
Стр. 11 от 19
[ПОДПИС]
[ДАТА
[ДЛЪЖНОСТ]
[ИМЕ]
Дата ]
Подпис:
От името на обработващия лични данни
[ПОДПИС]
[ДАТА
[ДЛЪЖНОСТ]
[ИМЕ]
Дата ]
Подпис:
15. Xxxx/Точки за контакт с администратора на данни и обработващия лични данни
1. Страните може да се свързват помежду си посредством следните лица/точки за контакт:
2. Страните имат задължението редовно да се уведомяват взаимно за промени в лицата/точките за контакт.
"[ЕЛЕКТРОННА ПОЩА]"
[ТЕЛЕФОН]
[ДЛЪЖНОСТ]
[ИМЕ]
Наименование Длъжност Телефон Електронна поща
"[ЕЛЕКТРОННА ПОЩА]"
[ТЕЛЕФОН]
[ДЛЪЖНОСТ]
[ИМЕ]
Наименование Длъжност Телефон Електронна поща
Приложение А Информация относно обработването
Стр. 12 от 19
МЕНТИ ТРЯБВА ДА СЕ ПОПЪЛНЯТ ЗА ВСЯКА ОТ ТЕЗИ ДЕЙНОСТИ.]
[ЗАБЕЛЕЖКА: В СЛУЧАЙ НА НЯКОЛКО ДЕЙНОСТИ ПО ОБРАБОТВАНЕ ТЕЗИ ЕЛЕ-
A.1. Целта на обработването на лични данни от обработващия лични данни от името на администратора на данни е:
[ОПИШЕТЕ ЦЕЛТА НА ОБРАБОТВАНЕТО].
A.2. Обработването на лични данни от обработващия лични данни от името на ад- министратора на данни се отнася главно до (естество на обработването):
[ОПИШЕТЕ ЕСТЕСТВОТО НА ОБРАБОТВАНЕТО].
A.3. Обработването включва следните видове лични данни относно субектите на данни:
[ОПИШЕТЕ ТИПА ОБРАБОТВАНИ ЛИЧНИ ДАННИ].
[НАПРИМЕР]
„Име, електронен адрес, телефонен номер, адрес, национален идентификационен но- мер, данни за плащане, номер на членство, тип членство, посещение във фитнес център и регистрация за специфични часове по фитнес.“
[ЗАБЕЛЕЖКА: [ОПИСАНИЕТО СЛЕДВА ДА СЕ НАПРАВИ ПО ВЪЗМОЖНО НАЙ-ПОД- РОБЕН НАЧИН, А ПРИ ВСИЧКИ СЛУЧАИ ТИПОВЕТЕ ЛИЧНИ ДАННИ ТРЯБВА ДА СЕ КОНКРЕТИЗИРАТ ПО-ДОБРЕ ОТ ПРОСТО „ЛИЧНИ ДАННИ СЪГЛАСНО ОПРЕДЕЛЕ- НИЕТО В ЧЛЕН 4, ПАРАГРАФ 1 ОТ ОРЗД“ ИЛИ ВМЕСТО ДА СЕ ПОСОЧВА КОЯ КАТЕ-
ГОРИЯ (ЧЛЕНОВЕ 6, 9 ИЛИ 10 ОТ ОРЗД) ЛИЧНИ ДАННИ Е ПРЕДМЕТ НА ОБРАБОТ-
ВАНЕ.]
A.4. Обработването включва следните категории субекти на данни:
[ОПИШЕТЕ КАТЕГОРИЯТА НА СУБЕКТА НА ДАННИ].
A.5. Обработването на лични данни от обработващия лични данни от името на ад- министратора на данни може да се извършва след влизане в сила на клаузите. Обработването е със следния срок на действие:
[ОПИШЕТЕ СРОКА НА ДЕЙСТВИЕ НА ОБРАБОТВАНЕТО].
Приложение Б Разрешени подизпълнители
Б.1. Одобрени подизпълнители
При влизане в сила на клаузите администраторът на данни разрешава включването на следните подизпълнители:
НАИМЕНОВАНИЕ | CVR (ЦТР) | АДРЕС | ОПИСАНИЕ НА ОБ- РАБОТВАНЕТО |
След влизане в сила на клаузите администраторът на данни разрешава използването на горепосочените подизпълнители за обработването, описано за тази страна. Обра- ботващият лични данни няма право — без изричното писмено разрешение на админис- тратора на данни — да включва подизпълнител за „различен вид“ обработване от този, който е договорен, или да възлага на друг подизпълнител да изпълнява описаното об- работване.
Б.2. Предварително уведомление за разрешаването на подизпълнители
Стр. 13 от 19
[НЕЗАДЪЛЖИТЕЛНО] [АКО Е ПРИЛОЖИМО, ОПИШЕТЕ СРОКОВЕТЕ ЗА ПРЕДВАРИ-
ТЕЛНИТЕ УВЕДОМЛЕНИЯ ЗА РАЗРЕШАВАНЕ НА ПОДИЗПЪЛНИТЕЛИ]
Приложение В Нареждане относно използването на лични данни
В.1. Предметът на/нареждането за обработване
Обработването на лични данни от обработващия лични данни от името на администра- тора на данни се изпълнява от обработващия лични данни, който извършва следното:
Стр. 14 от 19
ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ].
[ОПИШЕТЕ ОБРАБОТВАНЕТО, КОЕТО Е НАРЕДЕНО ДА БЪДЕ ИЗВЪРШЕНО ОТ НА
В.2. Сигурност на обработването
В нивото на сигурност се взема под внимание:
ЧЕНИЕ ЗА НИВОТО НА СИГУРНОСТ]
[КАТО ВЗЕМАТЕ ПОД ВНИМАНИЕ ЕСТЕСТВОТО, ОБХВАТА, КОНТЕКСТА И ЦЕЛИТЕ НА ДЕЙНОСТТА ПО ОБРАБОТВАНЕ, КАКТО И РИСКА ЗА ПРАВАТА И СВОБОДИТЕ НА
ФИЗИЧЕСКИТЕ ЛИЦА, ОПИШЕТЕ ЕЛЕМЕНТИТЕ, КОИТО СА ОТ СЪЩЕСТВЕНО ЗНА-
[НАПРИМЕР]
„Обработването включва голямо количество лични данни, които са предмет на член 9 от ОРЗД относно „специални категории лични данни“, поради което следва да се установи „високо ниво на сигурност“.
След това обработващият лични данни има правото и задължението да взема ре- шения относно техническите и организационните мерки за сигурност, които трябва да се прилагат, за да се създаде необходимото (и договорено) ниво на сигур- ност на данните.
Обработващият лични данни обаче — при всички случаи и като минимум — прилага следните мерки, договорени с администратора на данни:
[ОПИШЕТЕ ИЗИСКВАНИЯТА ЗА ПСЕВДОНИМИЗАЦИЯ И КРИПТИРАНЕ НА ЛИЧНИТЕ ДАННИ]
ГИТЕ ЗА ОБРАБОТВАНЕ]
[ОПИШЕТЕ ИЗИСКВАНИЯТА ОТНОСНО СПОСОБНОСТТА ЗА СВОЕВРЕМЕННО ВЪЗ- СТАНОВЯВАНЕ НА НАЛИЧНОСТТА И ДОСТЪПА ДО ЛИЧНИТЕ ДАННИ В СЛУЧАЙ НА
ФИЗИЧЕСКИ ИЛИ ТЕХНИЧЕСКИ ИНЦИДЕНТ]
[ОПИШЕТЕ ИЗИСКВАНИЯТА ОТНОСНО ПРОЦЕСИТЕ НА РЕДОВНО ИЗПИТВАНЕ, ПРЕЦЕНЯВАНЕ И ОЦЕНКА НА ЕФЕКТИВНОСТТА НА ТЕХНИЧЕСКИТЕ И ОРГАНИЗА-
ЦИОННИТЕ МЕРКИ С ОГЛЕД ДА СЕ ГАРАНТИРА СИГУРНОСТТА НА ОБРАБОТВА-
НЕТО]
[ОПИШЕТЕ ИЗИСКВАНИЯТА ОТНОСНО ДОСТЪПА ДО ДАННИ ОНЛАЙН]
ВАНЕ]
[ОПИШЕТЕ ИЗИСКВАНИЯТА ОТНОСНО ЗАЩИТА НА ДАННИТЕ ПО ВРЕМЕ НА ПРЕДА-
Стр. 15 от 19
РАНЕНИЕ]
[ОПИШЕТЕ ИЗИСКВАНИЯТА ОТНОСНО ЗАЩИТА НА ДАННИТЕ ПО ВРЕМЕ НА СЪХ-
ЖЕНИЯТА, В КОИТО СЕ ОБРАБОТВАТ ЛИЧНИ ДАННИ]
[ОПИШЕТЕ ИЗИСКВАНИЯТА ОТНОСНО ФИЗИЧЕСКА СИГУРНОСТ НА МЕСТОПОЛО-
[ОПИШЕТЕ ИЗИСКВАНИЯТА ОТНОСНО РАБОТА ОТ ДОМА/РАЗСТОЯНИЕ]
[ОПИШЕТЕ ИЗИСКВАНИЯТА ОТНОСНО ВОДЕНЕТО НА ДНЕВНИК]
В.3. Подпомагане на администратора на данни
Доколкото е възможно в обхвата и степента на подпомагането, описано по-долу, обра- ботващият лични данни подпомага администратора на данни в съответствие с кла- узи 9.1 и 9.2, като изпълнява следните технически и организационни мерки:
[ОПИШЕТЕ ОБХВАТА И СТЕПЕНТА НА ПОДПОМАГАНЕ, КОИТО ТРЯБВА ДА ОСИГУРИ ОБРАБОТВАЩИЯТ ДАННИ]
[ОПИШЕТЕ СПЕЦИФИЧНИТЕ ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ, КОИТО
ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ ТРЯБВА ДА ПРЕДПРИЕМЕ, ЗА ДА ПОДПОМАГА
АДМИНИСТРАТОРА НА ДАННИ]
В.4. Период на съхранение/процедури по изтриване
[ПОСОЧЕТЕ ПЕРИОДА НА СЪХРАНЕНИЕ/ПРОЦЕДУРИТЕ ПО ИЗТРИВАНЕ ЗА ОБРА- БОТВАЩИЯ ЛИЧНИ ДАННИ, АКО Е ПРИЛОЖИМО]
[НАПРИМЕР]
„Личните данни се съхраняват за [ПОСОЧЕТЕ ПЕРИОД ИЛИ СЛУЧАЙ], след което автоматично се изтриват от обработващия лични данни.
При прекратяване на предоставянето на услуги по обработване на лични данни об- работващият лични данни или ги изтрива, или ги връща в съответствие с кла- уза 11.1, освен ако администраторът на данни — след подписване на договора — не е променил първоначалния избор на администратора на данни. Тази промяна се доку- ментира и съхранява в писмена форма, включително електронна, във връзка с клау- зите.“
В.5. Местоположение на обработването
Обработването на личните данни съгласно клаузите не може да се извършва на раз- лични местоположения от изброените по-долу, освен с предварителното писмено раз- решение на администратора на данни:
РЕСА]
[ПОСОЧЕТЕ КЪДЕ СЕ ИЗВЪРШВА ОБРАБОТВАНЕТО] [ПОСОЧЕТЕ ДАННИТЕ НА ОБ- РАБОТВАЩИЯ ЛИЧНИ ДАННИ ИЛИ НА ПОДИЗПЪЛНИТЕЛЯ, КОЙТО ИЗПОЛЗВА АД-
Стр. 16 от 19
В.6. Нареждане относно предаването на лични данни на трети държави
ДЪРЖАВА ИЛИ МЕЖДУНАРОДНА ОРГАНИЗАЦИЯ]
[ОПИШЕТЕ НАРЕЖДАНЕ ОТНОСНО ПРЕДАВАНЕТО НА ЛИЧНИ ДАННИ НА ТРЕТА
ОРЗД]
[ПОСОЧЕТЕ ПРАВНОТО ОСНОВАНИЕ ЗА ПРЕДАВАНЕТО СЪГЛАСНО ГЛАВА V ОТ
Ако администраторът на данни не предостави в клаузите или впоследствие документи- рано нареждане относно предаването на лични данни на трета държава, обработва- щият лични данни няма право в рамките на клаузите да извършва такова предаване.
В.7. Процедури за одити, включително проверки, от администратора на данни на обработването на лични данни, което извършва обработващият лични данни
ЩИЯ ЛИЧНИ ДАННИ]
[ОПИШЕТЕ ПРОЦЕДУРИТЕ ЗА ОДИТИТЕ, ВКЛЮЧИТЕЛНО И ПРОВЕРКИТЕ ОТ АДМИ- НИСТРАТОРА НА ДАННИ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ ОТ ОБРАБОТВА-
Например:
ПРОВЕРКА]
ДАННИ/АДМИНИСТРАТОРА НА ДАННИ]
[ПОСОЧЕТЕ ПЕРИОД]
Обработващият лични данни,
получава
, за сметка на
[ДОКЛАД НА ОДИТОР/ДОКЛАД ОТ
[ОБРАБОТВАЩИЯ
от независима трета страна относно спазването на ОРЗД от обработ- ващия лични данни, приложимите разпоредби на ЕС или на държава членка в об- ластта на защитата на данните и клаузите.
Страните се договарят, че в съответствие с клаузите може да се използват след- ните видове [ДОКЛАД НА ОДИТОР/ДОКЛАД ОТ ПРОВЕРКА]:
[ВЪВЕДЕТЕ „ОДОБРЕН“ ДОКЛАД НА ОДИТОР/ДОКЛАД ОТ ПРОВЕРКА]
[ДОКЛАДЪТ НА ОДИТОР/ДОКЛАДЪТ ОТ ПРОВЕРКА] се представя на администра- тора за сведение без неоснователно забавяне. Администраторът на данни може да оспори обхвата и/или методологията на доклада и в такива случаи може да изисква нов одит/проверка в рамките на преразгледан обхват и/или различна методология.
Въз основа на резултатите от такъв одит/проверка администраторът на данни може да изиска да се предприемат други мерки, за да се гарантира спазването на ОРЗД, приложимите разпоредби на ЕС или държавата членка в областта на защи- тата на данните и клаузите.
Администраторът на данни или неговият представител освен това имат достъп за проверка, включително физическа, до местата, на които обработващият лични данни извършва обработването, включително физическите съоръжения и систе- мите, използвани за обработването и във връзка с него. Такава проверка се извър- шва, когато администраторът на данни прецени, че е необходима.“
[ИЛИ]
Стр. 17 от 19
Администраторът на данни или неговият представител, [ПОСОЧЕТЕ ПЕРИОД] из- вършват физическа проверка на местата, на които обработващият лични данни из- вършва обработването, включително физическите съоръжения и системите, изпол- звани за обработването и във връзка с него, с цел да се установи спазването от обработващия лични данни на ОРЗД, приложимите разпоредби на ЕС или държавата членка относно защитата на данните и клаузите.
В допълнение към планираната проверка администраторът на данни може да извър- шва проверка на обработващия лични данни, когато администраторът прецени, че е необходимо.“
[И, АКО Е ПРИЛОЖИМО]
„Разходите на администратора на данни, ако е приложимо, свързани с физическа про- верка, се поемат от администратора на данни. Администраторът на данни обаче има задължението да заделя ресурсите (главно времето), необходими, за да може да извърши проверката.“
В.8. [АКО Е ПРИЛОЖИМО] Процедури за одити, включително проверки, на обра- ботването на лични данни, което се извършва от подизпълнители
[АКО Е ПРИЛОЖИМО, ОПИШЕТЕ ПРОЦЕДУРИТЕ ЗА ОДИТИТЕ, ВКЛЮЧИТЕЛНО И ПРОВЕРКИТЕ ОТ АДМИНИСТРАТОРА НА ДАННИ, НА ОБРАБОТВАНЕТО НА ЛИЧНИ
ДАННИ ОТ ПОДИЗПЪЛНИТЕЛЯ]
[НАПРИМЕР]
Обработващият лични данни, [ПОСОЧЕТЕ ПЕРИОД], за сметка на [ОБРАБОТВАЩИЯ ДАННИ/АДМИНИСТРАТОРА НА ДАННИ] получава [ДОКЛАД НА ОДИТОР/ДОКЛАД ОТ
ПРОВЕРКА] от независима трета страна относно спазването на ОРЗД от подиз- пълнителя, приложимите разпоредби на ЕС или на държава членка в областта на защитата на данните и клаузите.
Страните се договарят, че в съответствие с клаузите може да се използват след- ните видове [ДОКЛАД НА ОДИТОР/ДОКЛАД ОТ ПРОВЕРКА]:
[ВЪВЕДЕТЕ „ОДОБРЕН“ ДОКЛАД НА ОДИТОР/ДОКЛАД ОТ ПРОВЕРКА]
[ДОКЛАДЪТ НА ОДИТОР/ДОКЛАДЪТ ОТ ПРОВЕРКА] се представя на администра- тора за сведение без неоснователно забавяне. Администраторът на данни може да оспори обхвата и/или методологията на доклада и в такива случаи може да изисква нов одит/проверка в рамките на преразгледан обхват и/или различна методология.
Въз основа на резултатите от такъв одит/проверка администраторът на данни може да изиска да се предприемат други мерки, за да се гарантира спазването на ОРЗД, приложимите разпоредби на ЕС или държавата членка в областта на защи- тата на данните и клаузите.
Обработващият или неговият представител освен това имат достъп за проверка, включително физическа, до местата, на които подизпълнителят извършва обра-
ботването, включително физическите съоръжения и системите, използвани за об- работването и във връзка с него. Такава проверка се извършва, когато обработва- щият лични данни (или администраторът на данни) прецени, че е необходима.
Документация относно такива проверки се представя без забавяне на администра- тора за сведение. Администраторът на данни може да оспори обхвата и/или мето- дологията на доклада и в такива случаи може да изисква нова проверка в рамките на преразгледан обхват и/или различна методология.“
Стр. 18 от 19
[ИЛИ]
„Обработващият лични данни или неговият представител, [ПОСОЧЕТЕ ПЕРИОД], извършват физическа проверка на местата, на които подизпълнителят извършва обработването, включително физическите съоръжения и системите, използвани за обработването и във връзка с него, с цел да се установи спазването от подизпълни- теля на ОРЗД, приложимите разпоредби на ЕС или държавата членка относно защи- тата на данните и клаузите.
В допълнение към планираната проверка обработващият лични данни може да извър- шва проверка на подизпълнителя, когато обработващият лични данни (или админис- траторът) прецени, че е необходимо.
Документация относно такива проверки се представя без неоснователно забавяне на администратора за сведение. Администраторът на данни може да оспори обх- вата и/или методологията на доклада и в такива случаи може да изисква нова про- верка в рамките на преразгледан обхват и/или различна методология.
Въз основа на резултатите от такава проверка администраторът на данни може да изиска да се предприемат други мерки, за да се гарантира спазването на ОРЗД, приложимите разпоредби на ЕС или държавата членка в областта на защитата на данните и клаузите.“
[И, АКО Е ПРИЛОЖИМО]
„Администраторът на данни може — ако е необходимо — да избере да стартира физическа проверка на подизпълнителя и да участва в нея. Това може да е прило- жимо, ако администраторът на данни счете, че надзорът от обработващия лични данни на подизпълнителя не е осигурил на администратора на данни достатъчно информация, за да определи дали подизпълнителят извършва обработването спо- ред клаузите.
Участието на администратора на данни в проверка на подизпълнителя не променя факта, че от този момент нататък обработващият лични данни продължава да носи пълна отговорност за спазването от подизпълнителя на ОРЗД, приложимите разпоредби на ЕС или на държава членка относно защитата на данните и клаузите.“
[И, АКО Е ПРИЛОЖИМО]
„Разходите на обработващия лични данни и на подизпълнителя, свързани с физичес- кия надзор/проверка в съоръженията на подизпълнителя, не се поемат от админис- тратора на данни, независимо дали администраторът на данни е стартирал тази проверка и е участвал в нея.“
Приложение Г Условия на споразумението между страните по други теми
Стр. 19 от 19