като взеха предвид Споразумението за ЕИП, и по-специално приложение XI и Протокол 37 към него, изменени с Решение № 154/2018 на Съвместния комитет на ЕИП от 6 юли 2018 г.1,
Съвместно становище 2/2021 на Европейския комитет по защита на данните и Европейския надзорен орган по защита на данните във връзка с Решението за изпълнение на Европейската комисия относно стандартните договорни клаузи за трансфера на лични данни към трети
държави
Приет текст 1
за случаи, посочени в член 46, параграф 2, буква в) от Регламент (ЕС) 2016/679
СЪДЪРЖАНИЕ
1 ОСНОВНИ ПОЛОЖЕНИЯ 4
2 ОБЩИ МОТИВИ ПО ОТНОШЕНИЕ НА ПРОЕКТА НА РЕШЕНИЕ И ПРОЕКТА НА СДК 6
2.1 Обща структура и методология на съвместното становище 6
2.2 Общо представяне на проекта на решение и на проекта на СДК и взаимодействие с Препоръките на ЕКЗД относно допълващите мерки 7
3 АНАЛИЗ НА ПРОЕКТА НА РЕШЕНИЕ 8
3.1 Позовавания на Регламента за защита на данните, обработвани от институциите на ЕС (Съображение 8) 8
3.2 Обхват на проекта на решение и на понятието за предаване на данни (член 1, параграф 1) 9
4 АНАЛИЗ НА ПРОЕКТА НА СДК 9
4.1 Обща забележка относно проекта на СДК 9
4.2 Раздел I 10
4.2.1 Клауза 1 — Цел и обхват 10
4.2.2 Клауза 2 — Бенефициенти на трета страна 10
4.2.3 Клауза 6 — Xxxxxx за присъединяване 12
4.3 Раздел II — Задължения на страните 13
4.3.1 Клауза 1 — Гаранции за защита на данните — Модул 1 (Предаване на данни от администратор на администратор) 13
4.3.2 Клауза 1 — Гаранции за защита на данните — Модул 2 (Предаване на данни от администратор на обработващ лични данни) 15
4.3.3 Клауза 1 — Гаранции за защита на данните — Модул 3 (Предаване на данни от обработващ лични данни на обработващ лични данни) 17
4.3.4 Клауза 1 — Гаранции за защита на данните — Модул 4 (Предаване на данни от обработващ лични данни на администратор) 18
4.3.5 Хоризонтални забележки — Клауза 2 (Местно законодателство, засягащо спазването на клаузите) и Клауза 3 (Задължения на вносителя на данни в случай на искания за достъп до лични данни от правителствени органи) 19
4.3.6 Клауза 2 — Местно законодателство, засягащо спазването на клаузите 20
4.3.7 Клауза 3 — Задължения на вносителя на данни в случай на искания за достъп до лични данни от правителствени органи 23
4.3.8 Клауза 5 — Права на субекта на данни — Модул 1 (Предаване на данни от администратор на администратор) 24
4.3.9 Клауза 5 — Права на субекта на данни — Модули 2 (Предаване на данни от администратор на обработващ лични данни) и 3 (Предаване на данни от обработващ лични данни на обработващ лични данни) 26
4.3.10 Клауза 5 — Права на субекта на данни — Модул 4 (Предаване на данни от обработващ лични данни на администратор) 26
4.3.11 Xxxxxx 6 — Правна защита 26
4.3.12 Клауза 7 — Отговорност за причинени вреди — Модули 1 (Предаване на данни от администратор на администратор) и 4 (Предаване на данни от обработващ лични данни на администратор) 27
4.3.13 Клауза 7 — Отговорност за причинени вреди — Модули 2 (Предаване на данни от администратор на обработващ лични данни) и 3 (Предаване на данни от обработващ лични данни на обработващ лични данни) 28
4.3.14 Клауза 9 — Надзор 28
4.4 Раздел III — Заключителни разпоредби 28
4.4.1 Клауза 1 — Неспазване на клаузите и прекратяване 28
4.5 Приложения 29
Европейският комитет по защита на данните и Европейският надзорен орган по защита на данните
като взеха предвид член 42, параграф 2 от Регламент (ЕС) 2018/1725 от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО,
като взеха предвид Споразумението за ЕИП, и по-специално приложение XI и Протокол 37 към него, изменени с Решение № 154/2018 на Съвместния комитет на ЕИП от 6 юли 2018 г.1,
ПРИЕХА СЛЕДНОТО СЪВМЕСТНО СТАНОВИЩЕ
1 ОСНОВНИ ПОЛОЖЕНИЯ
1. В съответствие с член 44 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни2 („ОРЗД“) предаване на лични данни, които се обработват или са предназначени за обработване след трансфера към трета държава или на международна организация, се осъществява само ако администраторът и обработващият лични данни спазват условията, заложени в глава V от ОРЗД, включително във връзка с последващи предавания на лични данни от третата държава или от международната организация на друга трета държава или на друга международна организация. По-специално, при липса на решение относно адекватното ниво на защита, предаването следва да се извършва въз основа на посочените подходящи гаранции в член 46 от ОРЗД.
2. Сред подходящите гаранции, посочени в член 46 от ОРЗД, са стандартните клаузи за защита на данните („СДК“), приети от Европейската комисия (или „Комисията“) в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2 от ОРЗД.
3. За да бъдат валидни, СДК трябва да съдържат ефективни механизми, позволяващи практическото спазване на, изискваното от правото на Съюза, ниво на защита и предаването на лични данни, основаващо се на такива клаузи, да бъде спряно или забранено, в случай че те бъдат нарушени или при невъзможност за спазването им3.
1 Позоваванията на „държави членки“ в настоящото становище следва да се разбират като позовавания на „държавите — членки на ЕИП“.
2 Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните); OВ L 119, 4.5.2016 г., стр. 1—88.
3 Решение на Съда (голям състав) от 16 юли 2020 г.; Data Protection Commissioner/Facebook Ireland Limited и Xxxxxxxxxxx Xxxxxxx; дело C-311/18; точка 137.
4. На 15 юни 2001 г. Комисията прие Решение 2001/497/EC относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО 4 , изменено с Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 г.5 („СДК от 2001 г.“), допълнено с Решение на Комисията от 27 декември 2004 г.6 („СДК от 2004 г.“).
5. На 5 февруари 2010 г. Комисията прие Решение 2010/87/EC относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО 7 , изменено по-късно с Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 г.8 („СДК от 2010 г.“).
6. На 16 юли 2020 г. Съдът на Европейския съюз („Съдът на ЕС“ или „Съдът“) постанови, че при разглеждането на Решението за СДК от 2010 г. с оглед на членове 7, 8 и 47 от Хартата на основните права не се установяват обстоятелства, които могат да засегнат валидността на това решение („решението по дело Schrems II“)9.
7. В същото дело Съдът на ЕС даде и допълнителни пояснения относно използването на СДК. По- специално, Съдът на ЕС постанови, че лицата, чиито лични данни са предадени на трета държава въз основа на стандартни клаузи за защита на данните се ползват от ниво на защита, което по същество е равностойно на гарантираното в Европейския съюз, както е при предаването, основано на решение относно адекватното ниво на защита10.
8. Съдът на ЕС добави, че „[с]лед като поради присъщия си договорен характер стандартните клаузи за защита на данните не могат да обвържат публичните органи на трети държави [...], може да се окаже необходимо да се допълнят гаранциите, съдържащи се в тези стандартни клаузи за защита на данните.“11.
4 2001/497/ЕО: Решение на Комисията от 15 юни 2001 г. относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО; ОВ L 181, 4.7.2001 г., стр. 19—31.
5 Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 г. за изменение на решения 2001/497/ЕО и 2010/87/ЕС относно общите договорни клаузи за предаването на лични данни към трети страни и към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета; ОВ L 344, 17.12.2016 г., стр. 100—101.
6 2004/915/ЕО: Решение на Комисията от 27 декември 2004 г. за изменение на Решение 2001/497/ЕО за въвеждане на алтернативен комплект общи договорни клаузи за прехвърляне на лични данни в трети страни; ОВ L 385, 29.12.2004 г., стр. 74—84.
7 2010/87/ЕС: Решение на Комисията от 5 февруари 2010 г. относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (OВ L 39, 12.2.2010 г., стр. 5). OВ L 39, 12.2.2010 г., стр. 5—18.
Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 година за изменение на решения 2001/497/ЕО и 2010/87/ЕС относно общите договорни клаузи за предаването на лични данни към трети страни и към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (нотифицирано под номер С(2016) 8471) (Текст от значение за ЕИП) ОВ L 344, 17.12.2016 г., стр. 100—101.
9 Решение на Съда (голям състав) от 16 юли 2020 г.; Data Protection Commissioner/Facebook Ireland Limited и Xxxxxxxxxxx Xxxxxxx; дело C-311/18; точка 149.
10 Пак там, точка 96.
11 Пак там, точка 132.
9. Ето защо на 10 ноември 2020 г. ЕКЗД прие своите Препоръки 01/2020 относно мерките, които допълват инструментите за предаване, за да се гарантира спазването на защита на личните данни на равнище ЕС („Препоръки на ЕКЗД относно допълващите мерки“)12.
10. На 12 ноември 2020 г. Комисията публикува:
⮚ проект на Решение за изпълнение на Комисията относно стандартните договорни клаузи за предаването на лични данни към трети държави съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета („проекта на решение“); и
⮚ проект на Приложение към Решението за изпълнение на Комисията относно стандартните договорни клаузи за предаването на лични данни към трети държави съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета („проекта на СДК“).
11. С проекта на решение се планира да бъдат отменени СДК от 2001, 2004 г. и 2010 г.
12. В проекта на СДК са комбинирани общи клаузи и модулен подход, за да се обхванат различните сценарии за предаване на данни. В допълнение към общите клаузи, администраторите и обработващите лични данни следва да изберат приложимия за техния случай модул от посочените по-долу четири такива:
⮚ Модул 1: предаване на данни от администратор към администратор;
⮚ Модул 2: предаване на данни от администратор към обработващ лични данни;
⮚ Модул 3: предаване на данни от обработващ лични данни към обработващ лични данни;
⮚ Модул 4: предаване на данни от обработващ лични данни към администратор.
13. В тази връзка на 12 ноември 2020 г. Комисията изпрати искане до ЕКЗД и ЕНОЗД за съвместно становище относно проекта на решение и проекта на СДК („съвместното становище“) в съответствие с член 42, параграф 2 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни („Регламент за защита на данните от институциите на ЕС“)13.
2 ОБЩИ МОТИВИ ПО ОТНОШЕНИЕ НА ПРОЕКТА НА РЕШЕНИЕ И ПРОЕКТА НА СДК
2.1 Обща структура и методология на съвместното становище
14. Първо, за по-голяма яснота съвместното становище се състои от i) основна част с подробни общи коментари, които ЕКЗД и ЕНОЗД желаят да направят; и ii) приложение, в което са
12 xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxx/xxxxx/xxxxxxxxxxxx/xxxx_xxxxxxxxxxxxxxx_000000_xxxxxxxxxxxxxxxx
surestransferstools_bg.pdf.
13 Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 година относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО; ОВ L 295, 21.11.2018 г., стр. 39—98.
предоставени допълнителни коментари от по-технически характер, насочени пряко към проекта на СДК, по-специално с цел представяне на някои примери за възможни изменения. Между общите и техническите коментари не съществува йерархия.
15. Второ, общите коментари по проекта на решение и проекта на СДК са представени в два отделни раздела. Там, където е необходимо, са предоставени препратки за осигуряване на последователност.
16. Трето, за по-голямо съответствие, там, където е необходимо, са предоставени препратки и към Съвместното становище на ЕКЗД и ЕНОЗД относно стандартните договорни клаузи между администратори и обработващи лични данни съгласно член 28, параграф 7 от ОРЗД и член 29, параграф 7 от Регламента за защита на данните, обработвани от институциите на ЕС.
2.2 Общо представяне на проекта на решение и на проекта на СДК и взаимодействие с Препоръките на ЕКЗД относно допълващите мерки
17. Като цяло ЕКЗД и XXXXX отбелязват със задоволство, че проектът на решение и проектът на СДК осигуряват засилено ниво на защита за субектите на данни.
18. След приноса на ЕКЗД при извършването на оценката на ОРЗД съгласно член 97 от ОРЗД14, ЕКЗД и ЕНОЗД приветстват факта, че целта на това актуализиране на съществуващите СДК е:
⮚ да се приведат СДК в съответствие с новите изисквания на ОРЗД15;
⮚ да се отрази по-добре широкото използване на нови и по-сложни операции по обработване, които често включват множество вносители и износители на данни, дълги и сложни процеси на обработване, както и развиващите се стопански отношения. Това означава да бъдат обхванати допълнителни случаи на обработване и предаване на данни и да бъде използван по-гъвкав подход, например, по отношение на броя страни, които могат да се присъединят към договора16;
⮚ да се осигурят специални гаранции с цел преодоляване на въздействието на законодателството на третата държава върху спазването на клаузите от страна на вносителя на данни, и по-специално начина на разглеждане на правнообвързващите искания от публични органи в третата държава за разкриване на предадените лични данни17.
19. По-специално, ЕКЗД и ЕНОЗД приветстват специалните разпоредби, които имат за цел да разрешат някои от основните проблеми, посочени в решението по делото Schrems II, и по-точно разпоредбите на проекта на СДК относно:
⮚ законодателството на третата държава, което засяга съответствието с проекта на СДК (Раздел II — Клауза 2);
⮚ исканията за достъп, получени от вносителя на данни и подадени от публичните органи на третата държава (Раздел II — Клауза 3); и
14 xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxx/xxxxx/xxxxx/xxxx0/xxxx_xxxxxxxxxxxxxxxxxxxxxxxxxx_00000000.xxx.
15 Проект на Решение за изпълнение на Комисията относно стандартните договорни клаузи за предаването на лични данни към трети държави съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета; Съображение 6.
16 Пак там, Съображение 6.
17 Пак там, съображение 18.
⮚ незадължителния специален механизъм за съдебна защита в полза на субектите на данни (Раздел II — Клауза 6).
20. Освен това ЕКЗД и XXXXX отбелязват със задоволство, че в проекта на СДК са отразени няколко мерки, посочени в Препоръките на ЕКЗД относно допълващите мерки, въпреки че за някои от другите мерки призовават за по-голяма последователност, както е подробно описано по-долу в точка 4.3.6.
21. В тази връзка ЕКЗД и XXXXX припомнят, че Препоръките на ЕКЗД относно допълващите мерки ще продължат да са приложими след приемането на проекта на СДК. По-специално, ЕКЗД и ЕНОЗД призовават Комисията да поясни, че все още може да има случаи, при които въпреки използването на новите СДК ще продължи да е необходимо прилагането на специални допълващи мерки, за да се гарантира, че на субектите на данни се осигурява ниво на защита, което по същество е равностойно на гарантираното в ЕС. При това положение новите СДК ще трябва да се използват заедно с Препоръките на ЕКЗД относно допълващите мерки. ЕКЗД и ЕНОЗД приканват Европейската комисия да включи позоваване на окончателната версия на Препоръките на ЕКЗД относно допълващите мерки, ако тази окончателна версия бъде актуализирана преди проекта на решение и проекта на СДК18.
3 АНАЛИЗ НА ПРОЕКТА НА РЕШЕНИЕ
3.1 Позовавания на Регламента за защита на данните, обработвани от институциите на ЕС (Съображение 8)
22. ЕКЗД и ЕНОЗД отбелязват, че Съображение 8 от проекта на решение гласи както следва:
„Стандартните договорни клаузи може да бъдат използвани и за предаването на лични данни на подизпълнител в трета държава от обработващ лични данни, който не е институция или орган на Съюза и който обработва лични данни от името на такава институция или орган на Съюза в съответствие с член 29 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета. Това ще осигури и съответствие с член 29, параграф 4 от Регламент (ЕС) 2018/1725, доколкото тези клаузи са хармонизирани със задълженията за защита на данните, посочени в договора или в друг правен акт между администратора и обработващия лични данни съгласно член 29, параграф 3 от Регламент (ЕС) 2018/1725. Това ще важи особено за случаите, в които администраторът и обработващият лични данни разчитат на стандартните договорни клаузи, включени в Решение [….]“.
23. ЕКЗД и ЕНОЗД са наясно, че намерението на Комисията е проектът на СДК да обхваща операциите по обработване между обработващи лични данни и подизпълнители, за които администраторът е институция, орган, служба или агенция на ЕС („институция на ЕС“), обхванати от Регламента за защита на данните, обработвани от институциите на ЕС.
24. В тази връзка ЕКЗД и XXXXX считат, че когато администратор е институция на ЕС, съответните изисквания на Регламента за защита на данните, обработвани от институциите на ЕС следва да
18
xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxx/xxxxx/xxxxxxxxxxxx/xxxx_xxxxxxxxxxxxxxx_000000_xxxxxxxxxxxxxxxxxx restransferstools_bg.pdf. Настоящият документ беше представен за обществена консултация, продължила до 21 декември 2020 г., и все още подлежи на евентуални допълнителни промени въз основа на резултатите от нея.
бъдат отразени в цялата верига от договори. Това трябва допълнително да бъде пояснено в проекта на решение и на СДК.
25. Във всеки случай ЕКЗД и ЕНОЗД припомнят, че Комисията винаги ще има възможност да премахне всякакво позоваване на Регламента за защита на данните, обработвани от институциите на ЕС, ако реши да не прилага проекта на СДК по член 46 за отношенията между обработващите лични данни и подизпълнителите, които са част от операция по обработване, администратор по която е институция на ЕС, обхваната от Регламента.
3.2 Обхват на проекта на решение и на понятието за предаване на данни (член 1, параграф 1)
26. Първо, член 1, параграф 1 от проекта на решение предвижда, както следва:
„Счита се, че стандартните договорни клаузи, предвидени в Приложението, предоставят подходящи гаранции за предаването на лични данни от администратор или обработващ лични данни (износител на данни) по смисъла на член 46, параграфи 1 и 2, буква в) от Регламент (ЕС) 2016/679 , (на администратор или подизпълнител/обработващ лични данни, за който не се прилага Регламент (ЕС) 2016/679 (вносител на данни).“
27. Предвид посоченото по-горе и заглавието на проекта на решение ЕКЗД и ЕНОЗД разбират, че проектът на решение не обхваща:
⮚ предаването на данни на вносител на данни, който не се намира в ЕИП, но е обхванат от действието на ОРЗД за дадено обработване на данни съгласно член 3, параграф 2 от ОРЗД; и
⮚ предаването на данни на международни организации.
28. Предвид това и за да се избегне всяко съмнение, ЕКЗД и ЕНОЗД препоръчват на Комисията да поясни, че целта на тези разпоредби е в тях да се обърне внимание на въпроса само за обхвата на проекта на решение и на СДК, а не за обхвата на понятието за предаване.
29. Второ, в своите Насоки относно териториалния обхват на ОРЗД19 ЕКЗД вече поясни, че ОРЗД се прилага за администраторът или обработващият лични данни единствено във връзка с дадена дейност по обработване на данни.
30. Ето защо ЕКЗД и ЕНОЗД препоръчват член 1, параграф 1 от проекта на решение да бъде преформулиран по подходящ начин.
4 АНАЛИЗ НА ПРОЕКТА НА СДК
4.1 Обща забележка относно проекта на СДК
31. ЕКЗД и ЕНОЗД приветстват въвеждането на специални модули за всеки случай на предаване на данни. ЕКЗД и XXXXX обаче отбелязват, че не е ясно дали един набор от СДК може на практика да се използва за няколко модула за справяне с различни ситуации или следва да се подписват няколко набора от СДК. За да се постигнат максимална яснота и лекота при практическото прилагане на СДК, ЕКЗД и ЕНОЗД предлагат Европейската комисия да предостави допълнителни
19 xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxx/xxxxx/xxxxx/xxxx0/xxxx_xxxxxxxxxx_0_0000_xxxxxxxxxxx_xxxxx_xxxxx_xxxxxxx ation_bg.pdf.
насоки (например под формата на диаграми, публикуване на често задавани въпроси (ЧЗВ) и др.). По-конкретно следва да се уточни, че комбинирането на различни модули в един набор от СДК не може да води до размиване на ролите и отговорностите между страните.
4.2 Раздел I
4.2.1 Клауза 1 — Цел и обхват
32. Във връзка с позоваването на стандартни договорни клаузи съгласно член 28, параграф 7 от ОРЗД, включено в клауза 1, буква в), ЕКЗД и ЕНОЗД считат, че в проекта на решение е важно ясно да бъдат обяснени връзката и взаимодействието между този набор от СДК и СДК съгласно член 28, параграф 7 от ОРЗД. Още в проекта на решение на страните следва да бъде ясно посочено, че когато възнамеряват да се възползват от СДК както по член 28, параграф 7, така и по член 46, параграф 2, буква в) от ОРЗД, те трябва да прибягват до СДК, регламентиращи предаването на данни. Съгласно клауза 1, буква в) от проекта на СДК на страните е позволено да добавят други клаузи или допълнителни гаранции, „при условие че те не противоречат, пряко или косвено“ на проекта на СДК. За да се осигури правна сигурност за администраторите и обработващите лични данни, ЕКЗД и ЕНОЗД биха приветствали разяснения относно типа клаузи, които Европейската комисия би приела за противоречащи пряко или косвено на проекта на СДК. При подобно разяснение би могло например да се посочи, че клаузи, противоречащи на проекта на СДК, биха били тези, които подкопават или имат отрицателно въздействие върху или възпрепятстват спазването на задълженията, заложени в проекта на СДК. Например клаузи, позволяващи на обработващите лични данни да използват данните за собствени цели, биха били в противоречие със задължението на обработващия да обработва лични данни само от името на администратора и за целите, и чрез средствата, посочени от администратора.
4.2.2 Клауза 2 — Бенефициенти на трета страна
33. Съгласно Раздел I, Xxxxxx 2 „Субектите на данни могат да се позовават на тези клаузи и да ги изпълняват като бенефициенти, които се явяват трета страна“. Това право обаче е приложимо единствено за разпоредбите, които не са изброени по клауза 2. С цел предоставяне на ясна и недвусмислена информация на субектите на данни относно техните права, както и на администраторите, и на обработващите лични данни, които ще използват клаузите относно правата на тези бенефициенти, които са трета страна, ЕКЗД и ЕНОЗД приканват Европейската комисия да представи по клауза 2 „положителен“ списък на правата, които могат да бъдат упражнявани от субектите на данни, вместо да изброява тези, които не могат да бъдат упражнявани20.
34. По отношение на съдържанието ЕКЗД и XXXXX отбелязват, че редица разпоредби, включени в списъка по Клауза 2, всъщност трябва да са приложими за субектите на данни, поради което следва да бъдат заличени от списъка.
35. ЕКЗД и XXXXX са на мнение, че самият Xxxxxx X, Xxxxxx 2 (Бенефициенти, които са трета страна)
следва да бъде приложим за субектите на данни, както в момента е заложено в предишните
20 Това ще съответства по-добре на начина, по който е изготвена глава III от ОРЗД, както и на предишните набори от СДК, приети от Европейската комисия (вж. клауза 3 от СДК от 2001 г.; xxxxxx XXX, буква б) от СДК от 2004 г.; и клауза 3.1 от СДК от 2010 г.).
СДК, приети от Европейската комисия 21 , и както се изисква от надзорните органи за задължителните фирмени правила („ЗФП“).
36. По отношение на Раздел I, Xxxxxx 3 („Тълкуване“) и клауза 4 („Йерархия“) следва да се отбележи, че ако страните не спазват правилата за тълкуване и за йерархия на документите, това може да окаже въздействие върху субектите на данни и техните права. Ето защо ЕКЗД и ЕНОЗД считат, че тази клауза следва да бъде приложима за субектите на данни.
37. В Раздел II, Модул 2: Клауза 1.9, буква а), и Модул 3: Клауза 1.9, буква а) съдържат същите изисквания. Те обхващат задължението на вносителя на данни да обработва запитванията на износителя на данни (както и запитванията на администратора, за Модул 3). ЕКЗД и ЕНОЗД считат, че ако тези две клаузи бъдат нарушени, те може да окажат въздействие върху субектите на данни и техните права, поради което следва да са приложими за субектите на данни, както в момента е заложено в предишните СДК, приети от Европейската комисия 22.
38. В Раздел II, Модул 3: Клауза 1.1, буква а) се отнася до задължението на износителя на данни да информира вносителя на данни, че действа по указания на администратора; в Клауза 1.1, буква б) е определено задължението на вносителя на данни да обработва личните данни по указания на администратора и по указанията, предадени от износителя на данни; а Клауза 1.1, буква в) се отнася до задължението на вносителя на данни да информира износителя на данни, когато вносителят на данни не е в състояние да следва тези указания, както и до задължението на износителя на данни да уведоми за това администратора. ЕКЗД и ЕНОЗД отбелязват, че нарушение на Раздел II, Модул 3: Клауза 1.1, букви а), б) и в) може да окаже въздействие върху субектите на данни и техните права, поради което тази клауза следва да бъде приложима, както в момента е заложено в предишните СДК, приети от Европейската комисия 23.
39. По отношение на Xxxxxx XX, Модул 4: Клауза 1.1, ЕКЗД и ЕНОЗД отбелязват, че Клауза 1.1, букви а) и б) се отнасят до задължението на износителя на данни съответно да обработва данните по указания на вносителя на данни и да информира вносителя на данни, ако износителят на данни не е в състояние да се съобрази с указанията на администратора или ако те нарушават законодателен акт на Съюза или на държава членка за защита на данните; а Клауза 1.1, буква в) обхваща задължението на вносителя на данни да се въздържа от предприемане на каквито и да е действия, които възпрепятстват износителя на данни да изпълни задълженията си съгласно ОРЗД. Раздел II, Модул 4: Клауза 1.3 се отнася до способността на страните да докажат, че спазват ангажиментите си, поети съгласно СДК.
40. Като се има предвид, че нарушение на ангажиментите, посочени в Раздел II, Модул 4: Клауза 1.1, букви а), б) и в) и Клауза 1.3, може да окаже въздействие върху субектите на данни и техните права, тези клаузи следва да бъдат приложими за физическите лица.
41. ЕКЗД и ЕНОЗД отбелязват, че неспазването на ангажиментите за допълнителна обработка може да окаже въздействие върху субектите на данни и техните права, поради което Раздел II,
21 Вж. клауза 3 от СДК от 2001 г.; xxxxxx XXX, буква б) от СДК от 2004 г.; клауза 3 от СДК от 2010 г.
22 Вж. клауза 5, буква д) в СДК от 2010 г.
23 Този коментар се отнася само за Раздел II, Модул 3: Клауза 1.1, буква б) (вж. Клауза 5, буква а) от СДК от 2010 г.) и Клауза 1.1, буква в) (вж. Клауза 5, буква б) от СДК от 2010 г.) от проекта на СДК. На раздел II, модул 3: клауза 1.1, буква а), няма еквивалент в предишните СДК.
Клауза 4, букви а), б) и в) следва да бъдат приложими за лицата, както в момента е заложено в предишните СДК, приети от Европейската комисия24.
42. ЕКЗД и ЕНОЗД отбелязват, че Раздел II, Клауза 9, буква б) се отнася до съгласието на вносителя на данни да сътрудничи на компетентния надзорен орган. Тъй като нарушение на този ангажимент може да окаже въздействие върху субектите на данни и техните права, ЕКЗД и ЕНОЗД считат, че тази клауза следва да бъде приложима за физическите лица, както в момента е заложено в предишните СДК, приети от Европейската комисия25, и със ЗФП26.
43. ЕКЗД и ЕНОЗД отбелязват, че в Раздел III, Клауза 1, буква а) се предвижда задължение за вносителя на данни да информира износителя на данни, ако не може да се съобрази със СДК, от което следва задължение за износителя на данни да преустанови предаването на данни (Клауза 1, буква б), който след това може да прекрати договора при определени условия (Клауза 1, буква в) и да даде указания на вносителя на данни какво да се случи с данните след това прекратяване (Клауза 1, буква г).
44. Тъй като тези разпоредби засягат ситуации, при които вносителят на данни не може да се съобрази със СДК и/или е в нарушение на СДК, ЕКЗД и ЕНОЗД считат, че нарушение на Раздел III, Клауза 1, букви а), б), в) и г) може да окаже въздействие върху субектите на данни и техните права и следователно те би трябвало да могат да ги упражняват, както в момента е заложено в предишните СДК, приети от Европейската комисия 27, и със ЗФП28.
4.2.3 Клауза 6 — Xxxxxx за присъединяване
45. ЕКЗД и ЕНОЗД приветстват включването на клауза за присъединяване в Клауза 6, която дава възможност на всеки субект да се присъедини към проекта на СДК и следователно да стане нова страна по договора като администратор или като обработващ лични данни. Квалификацията и ролята на страните по договора следва да бъдат ясно посочени в приложенията, особено в случаите, когато към договора се присъединяват нови страни. Ето защо в приложението следва да бъде подробно описано и да бъде очертано разпределението на отговорностите, както и да бъде ясно посочено кой обработващ лични данни извършва кое обработване от името на кой администратор, и за какви цели.
46. Съгласно Клауза 6, буква а) присъединяването на нови страни към проекта на СДК се позволява, при условие че е получено съгласието на всички останали страни. С цел да се избегнат всякакви трудности в практиката, ЕКЗД и ЕНОЗД биха приветствали разяснение относно начина, по който
24 Вж. Клауза 5, букви з), и) и й) в СДК от 2010 г.
25 Вж. Клауза 5, буква в) от СДК от 2001 г.; Xxxxxx XX, буква д) от СДК от 2004 г.; Клауза 8.2 от СДК от 2010 г. 26 Вж. член 47, параграф 2, буква л) от ОРЗД. Вж. също така Раздел 3.1 от Работния документ за съставяне на таблица с елементите и принципите, които трябва да бъдат включени в задължителните фирмени правила (РД256 ред.01), приети от работната група по член 29 и одобрени от ЕКЗД, xxxx://xx.xxxxxx.xx/xxxxxxxx/xxxxxxx00/xxxx-xxxxxx.xxx?xxxx_xxx000000; и Раздел 3.1 от Работния документ за съставяне на таблица с елементите и принципите, които трябва да бъдат включени в задължителните фирмени правила (РД257 ред.01), приети от работната група по член 29 и одобрени от ЕКЗД, xxxx://xx.xxxxxx.xx/xxxxxxxx/xxxxxxx00/xxxx-xxxxxx.xxx?xxxx_xxx000000.
27 Вж. Клауза 5, буква а) от СДК от 2001 г.; Xxxxxx XX, буква в) от СДК от 2004 г.; Xxxxxx 5, букви а) и б) и Клауза 12.1 от СДК от 2010 г.
28 Вж. Раздел 6.3 от Работния документ за съставяне на таблица с елементите и принципите, които трябва да бъдат включени в задължителните фирмени правила (РД256 ред.01); и Раздел 6.3 от Работния документ за съставяне на таблица с елементите и принципите, които трябва да бъдат включени в задължителните фирмени правила (РД257 ред.01).
такова съгласие може да бъде дадено от другите страни (например- дали следва да бъде в писмена форма или не, крайния срок за предоставяне на съгласието, информацията, необходима преди съгласието). Освен това ЕКЗД и ЕНОЗД биха приветствали разяснение дали и как такова съгласие трябва да бъде дадено от всички страни, независимо от тяхната квалификация и роля в обработването.
4.3 Раздел II — Задължения на страните
4.3.1 Клауза 1 — Гаранции за защита на данните — Модул 1 (Предаване на данни от администратор на администратор)
4.3.1.1 Обхват на модул 1 (Предаване на данни от администратор на администратор)
47. Този модул изглежда обхваща предаването на данни между администратори, които действат като независими или като отделни администратори. За да се избегне всякаква неяснота, ЕКЗД и ЕНОЗД призовават Комисията да извърши оценка и да поясни в проекта на решение или в проекта на СДК дали този модул е съотносим само за независимите или отделните администратори или може да се използва и в случаите на съвместно администриране по отношение на обработването на лични данни, извършвано от съвместни администратори, когато един от съвместните администратори е установен извън ЕС и не е обхванат от ОРЗД.
4.3.1.2 Клауза 1.2 — Прозрачност
48. В Клауза 1.2, буква а) от проекта на СДК са изброени елементите, за които вносителят на данни трябва да предоставя информация на субектите на данни, чиито лични данни се предават. За да се осигури пълна прозрачност и да се даде възможност на субектите на данни да упражняват правата си, както се предвижда в тази клауза, ЕКЗД и ЕНОЗД считат, че списъкът на елементите следва да бъде допълнен, за да бъде приведен в съответствие с член 14, параграфи 1 и 2 от ОРЗД относно непрякото събиране на данни. Ето защо тази клауза следва да бъде допълнена с информация за видовете лични данни, обработвани от вносителя на данни, и за периода, за който личните данни ще бъдат съхранявани от последния (или критериите, използвани за определянето им).
49. Освен това в тази клауза следва да бъде посочен срокът, в който вносителят на данни следва да предостави тази информация на субектите на данни, така че да бъдат изпълнени условията, предвидени в член 14, параграф 3 от ОРЗД.
50. Освен това от Клауза 1.2, буква б) произтича, че вносителят на данни може да бъде освободен от задължението да предоставя информация на субектите на данни в съответствие с Клауза 1.2, буква а), по-специално, когато предоставянето на такава информация се окаже невъзможно или изисква несъразмерно големи усилия, като в този случай вносителят на данни предоставя, доколкото е възможно, публичен достъп до информацията. Използването на текста „доколкото е възможно“ изглежда е в противоречие с член 14, параграф 5, буква б) от ОРЗД и той следва да бъде заличен. Всъщност в член 14, параграф 5, буква б) от ОРЗД не се предвижда такова условие, а по-скоро се поставя ясно изискване информацията да бъде публично достъпна за субекта на данни, когато предоставянето на такава информация се окаже невъзможно или би изисквало несъразмерно големи усилия, без да има възможност за прилагане на дерогация.
4.3.1.3 Клауза 1.5 — Сигурност на обработването
51. Във връзка със задължението на вносителя на данни да прилага подходящи мерки за гарантиране на сигурността на предаваните данни, в Клауза 1.5, буква а) се посочва, че страните следва да обмислят възможността за „криптиране по време на предаването на данни и
анонимизиране или псевдонимизация, когато това не възпрепятства изпълнението на целта на обработването“. Във връзка с позоваването на анонимизиране, ЕКЗД и ЕНОЗД припомнят, че ако личните данни са анонимизирани, задълженията по ОРЗД вече не са приложими.
4.3.1.4 Клауза 1.7 — Последващи предавания на лични данни
52. Задълженията на вносителя на данни по тази клауза повдигат няколко въпроса:
53. На първо място, ЕКЗД и XXXXX отбелязват, че тази клауза не включва ангажимент от вносителя на данни да уведоми износителя на данни за наличието на последващо предаване на данни, какъвто е случаят със СДК от 2004 г. за предаването на данни от администратори към администратори. ЕКЗД и ЕНОЗД не виждат причина това задължение да не бъде възпроизведено в предлагания проект на СДК. Тази информация на износителя на данни е от съществено значение, за да може той да изпълни задълженията си по член 44 от ОРЗД, които се отнасят специално до последващите предавания на лични данни и осигуряват отчетност съгласно изискванията на ОРЗД за всяко обработване, в този конкретен случай във връзка с обработването, предмет на последващото предаване на данни.
54. Освен това в Клауза 1.7 се предвижда, че вносителят на данни може да извърши последващо предаване на данни, ако третата страна е задължена да спазва проекта на СДК или даде съгласието си за това. Не е ясно обаче как тази разпоредба би действала на практика, ако съответната трета страна е обработващ лични данни, по-специално как тя ще бъде обвързана от клаузите, кои изисквания ще се прилагат към нея и дали страните могат да добавят друг модул (т.е. Модул 2), който би бил подходящ за тази ситуация. Тази точка трябва да бъде пояснена в проекта на СДК, за да се избегне всякакво объркване в практиката и да се гарантира правна сигурност за страните. Освен това следва да се уточни, че третата страна трябва да прецени дали е в състояние да изпълни задълженията, определени в проекта на СДК, съгласно законодателството на третата държава, приложимо за тази трета страна, и при необходимост да прилага допълващи мерки с цел осигуряване на ниво на защита, което по същество е равностойно на изискваното в ЕИП.
55. Освен това в Клауза 1.7, подточка iii) се посочва, наред с други условия, че последващо предаване на данни може да бъде позволено, когато вносителят на данни и третата страна сключат споразумение, гарантиращо „същото ниво на защита на данните“ като това по проекта на СДК. Според ЕКЗД и ЕНОЗД позоваването на „същото ниво на защита на данните“ не изглежда достатъчно, тъй като споразумението трябва да възпроизвежда по същество същите гаранции и задължения като тези, съдържащи се в проекта на СДК, за да се осигури непрекъснатост на защитата в съответствие с член 44 от ОРЗД. Тази клауза следва да бъде изменена по подходящ начин, като се посочи, че споразумението трябва да налага същите задължения между износителя и вносителя на данни като тези, включени в проекта на СДК. Освен това в този случай за страните следва да се добави специално задължение да преценят дали са в състояние да изпълнят задълженията, предвидени в това споразумение, като вземат предвид приложимото законодателството на третата държава и при необходимост да прилагат допълващи мерки с цел осигуряване на ниво на защита, което по същество е равностойно на изискваното в ЕИП.
56. Заедно с това за вносителя на данни следва да се добави задължение да предоставя копие от въведените гаранции за последващото предаване на лични данни, при поискване, на субектите на данни. Предоставянето на копие от тези гаранции допринася за прозрачността, която се изисква във връзка с предаването на техните данни.
57. И накрая, в Клауза 1.7, подточка iv) се предвижда, че последващо предаване на данни може да се извърши, когато вносителят на данни е получил изричното съгласие на субекта на данни.
Възможността да се разчита на съгласието на субекта на данни съответства на дерогацията в особени случаи, предвидена в член 49, параграф 1, буква а) от ОРЗД. ЕКЗД и ЕНОЗД са на мнение, че дерогационният и изключителен характер на тази възможност трябва да бъде посочен в проекта на СДК, като по-специално се направи сравнение с другите възможности за осъществяване на последващо предаване на данни, посочени в тази клауза. Ето защо трябва да се уточни, че съгласието на субекта на данни би могло по изключение да представлява възможност за последващо предаване на лични данни само, ако не може да се разчита на другите механизми, изброени в Клауза 1.7. Освен това XXXX и ЕНОЗД са на мнение, че Комисията следва да извърши оценка на възможността за последващи предавания на лични данни, по- специално за установяването, упражняването или защитата на правни претенции и за защитата на жизненоважните интереси на субекта на данни или на други лица.
4.3.2 Клауза 1 — Гаранции за защита на данните — Модул 2 (Предаване на данни от администратор на обработващ лични данни)
4.3.2.1 Клауза 1.5 — Ограничаване на съхранението и изтриване или връщане на данните
58. В Клауза 1.5 от проекта на СДК се предвижда, че при прекратяване на предоставянето на услугите по обработване, вносителят на данни заличава всички лични данни, обработвани от името на износителя на данни (вариант 1), или връща на износителя на данни всички лични данни, обработвани от негово име, и заличава съществуващите копия (вариант 2). Според XXXX и ЕНОЗД този текст противоречи на член 28, параграф 3, буква ж) от ОРЗД, който предвижда заличаването или връщането да се извършва „по избор на администратора“. Съответно клауза 1.5 следва да предвижда това заличаване или връщане на лични данни да става по избор на износителя на данни, действащ като администратор, за да се избегне каквото и да било двусмислие, че този избор не зависи от вносителя на данни, действащ като обработващ лични данни.
59. Освен това тази клауза предвижда, че в случай че вносителят на данни не заличи или не върне данните на износителя на данни поради местни изисквания, приложими за вносителя на данни, той ще гарантира „доколкото е възможно” изискваното от проекта на СДК ниво на защита. ЕКЗД и ЕНОЗД считат, че ако данните трябва да се съхраняват от вносителя на данни, защитата, предоставяна от проекта на СДК, трябва да бъде гарантирана изцяло и без изключения, за да се осигури нейната непрекъснатост. В резултат на това текстът „доколкото е възможно“ следва да бъде заличен от тази клауза.
60. Освен това в Kлауза 1.5 се предвижда, че задължението на вносителя на данни да върне или да заличи личните данни е независимо от изискванията „по местното законодателство“, които забраняват връщането или унищожаването. Този текст противоречи на член 28, параграф 3, буква ж) от ОРЗД. Комисията следва да поясни в проекта на СДК, че по тази клауза следва да се вземат предвид само изискванията на местното законодателство, които зачитат същността на основните права и свободи и са пропорционални, и не надхвърлят необходимото в едно демократично общество за защита на някоя от целите, изброени в член 23, параграф 1 от ОРЗД. ЕКЗД и ЕНОЗД считат, че специалните правни изисквания по отношение на сроковете на запазване на данните съгласно местното законодателство, видовете данни и сроковете на съхранение следва да бъдат изрично посочени в Приложение I.B.
4.3.2.2 Клауза 1.6 — Сигурност на обработването
61. По същия начин както в Модул 1, в Клауза 1.6, буква а) се посочва, че за да се гарантира сигурността на данните страните следва да обмислят възможността за „криптиране по време на предаването на данни и анонимизиране или псевдонимизация, когато това не
възпрепятства изпълнението на целта на обработването“ като част от предаването им. Във връзка с позоваването на анонимизиране ЕКЗД и ЕНОЗД припомнят, че ако личните данни са анонимизирани, задълженията по ОРЗД вече не са приложими.
62. Освен това Xxxxxx 1.6, буква г) предвижда задължение на вносителя на данни да си сътрудничи
„добросъвестно“ и да подпомага износителя на данни при спазването на задълженията му съгласно ОРЗД. Терминът „добросъвестно“ не се използва в другите части на СДК, в които се споменава задължение за сътрудничество, и ЕКЗД и ЕНОЗД не виждат необходимост от такова уточнение, което във всеки случай ще надхвърли разпоредбите на ОРЗД по този въпрос. Ето защо то следва да бъде заличено.
4.3.2.3 Клауза 1.8 — Последващи предавания на лични данни
63. Клауза 1.8, подточка i) следва да бъде допълнена със задължение за вносителя на данни да предоставя, при поискване на износителя на данни, копие от въведените гаранции във връзка с осъществяването на последващо предаване на данни на трета страна. Такова задължение е включено в СДК от 2010 г. за предаването на данни от администратор на обработващ лични данни. ЕКЗД и ЕНОЗД не виждат причина за изключването му от предлагания проект на СДК, тъй като предоставянето на тези гаранции представлява важен елемент от задължението на износителя на данни по ОРЗД да осигури отчетност по отношение на трансферите на лични данни, които извършва, включително последващите предавания.
64. Следва също така да се добави задължение за вносителя на данни да предоставя, при поискване, на субектите на данни копие от тези гаранции, какъвто е случаят със СДК от 2010 г. за предаването на данни от администратор на обработващ лични данни. Както е посочено по- горе, ЕКЗД и ЕНОЗД не виждат причина това задължение да бъде изключено от предлагания проект на СДК. Предоставянето на тези гаранции на субекта на данни допринася за прозрачността, която се изисква във връзка с трансфера на неговите данни.
4.3.2.4 Клауза 1.9 — Документация и съответствие
65. В Клауза 1.9, буква г) от проекта на СДК се предвижда възможността износителят на данни да се възползва от услугите на независим одитор, оправомощен от вносителя на данни, с цел извършване на одити. Тази разпоредба не е предвидена в член 28, параграф 3, буква з) от ОРЗД и трябва да бъде приведена в съответствие с този член, в който се посочва, че обработващият лични данни трябва да позволява и да допринася за извършването на одити, включително проверки, от страна на администратора или друг одитор, оправомощен от администратора29. Обработващият лични данни може да предложи одитор, но решението относно извършването на одитора трябва да бъде оставено на администратора съгласно член 28, параграф 3, буква з)
29 Както това понастоящем се изисква от ЕКЗД по отношение на ЗФП за обработващите лични данни, вж. РД257 (одобрен от ЕКЗД), раздел 2.3 „Всеки обработващ лични данни или подизпълнител, който обработва личните данни от името на определен администратор, ще даде съгласието си, по искане на този администратор, да предостави оборудването и средствата си за обработване на данни за проверка на дейностите по обработване, свързани с този администратор, която проверка се извършва от администратора или контролен орган, съставен от независими членове с необходимата професионална квалификация, който е длъжен да пази служебна тайна, избран от администратора на данни, ако е приложимо, със съгласието на надзорния орган.“; xxxxx://xx.xxxxxx.xx/xxxxxxxx/xxxxxxx00/xxxxxxxx.xxx?xxxxxxxxxxxxxx&xxx_xxx00000 xxxxx://xx.xxxxxx.xx/xxxxxxxx/xxxxxxx00/xxxxxxxx.xxx?xxxxxxxxxxxxxx&xxx_xxx00000.
от ОРЗД. Правото на администратора да избере одитора не следва да се ограничава още от самото начало. В Клауза 1.9, буква г) също така се посочва, че когато износителят на данни оправомощи независим одитор, той поема разходите за него, а когато вносителят на данни възлага извършването на одит, той трябва да поеме разходите на независимия одитор. Тъй като въпросът за разпределението на разходите между администратора и обработващия лични данни не се регулира от ОРЗД, ЕКЗД и ЕНОЗД следователно са на мнение, че всичко, отнасящо се до разходите, следва да бъде заличено от клаузата. Същият коментар се отнася и за съответстващата разпоредба в Модул 3.
4.3.3 Клауза 1 — Гаранции за защита на данните — Модул 3 (Предаване на данни от обработващ лични данни на обработващ лични данни)
66. Съгласно Клауза 1.1 вносителят на данни е длъжен да обработва личните данни само въз основа на указанията на администратора. В допълнение към това член 28, параграф 4 от ОРЗД изисква, когато обработващ лични данни включва друг обработващ лични данни (подизпълнител) за извършването на специфични дейности по обработване от името на администратора, чрез договор или друг правен акт съгласно правото на Съюза или на държава членка, на този друг обработващ лични данни да се налагат „същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт между администратора и обработващия лични данни“, както е посочено в член 28, параграф 3 от ОРЗД. ЕКЗД и ЕНОЗД са на мнение, че и при този сценарий страните трябва да вземат предвид изискването по член 28, параграф 4 от ОРЗД.
4.3.3.1 Клауза 1.1 — Указания
67. Модул 3 се отнася до предаването на данни от обработващ лични данни на обработващ лични данни. Поради тази причина специалистите биха могли първоначално да приемат, че договорът съгласно член 46 от ОРЗД може да бъде сключен единствено между обработващия лични данни и неговия изпълнител, ако се използва само Модул 3. В Клауза 1.1, буква а) обаче е включено позоваване на приложение I.А. и списъка на „страните“, който включва информация за идентификация и данните за контакт на администратора и неговия подпис. ЕКЗД и XXXXX са на мнение, че Комисията трябва да поясни дали администраторът трябва да подпише тези клаузи или обработващият лични данни и подизпълнителят трябва само да посочат информацията за идентификация на администратора в приложението. В първия случай следва да се поясни с какъв ефект и кои задължения по Модул 3 биха били приложими към администратора.
68. Освен това Xxxxxx 1.1 предвижда, че износителят на данни може да дава допълнителни указания относно обработването на данните „в рамките на договора, сключен с вносителя на данни, през целия срок на договора“. Не е ясно дали позоваването на рамката на договора ограничава по някакъв начин правото на администратора да дава допълнителни указания относно обработването на данните, още повече, че Xxxxxx 7 от член 28 от проекта на СДК не съдържа такова ограничение. Клауза 7 просто гласи, че „Администраторът на данни може също така да дава последващи указания през целия срок на обработване на личните данни“.
4.3.3.2 Клауза 1.5 — Ограничаване на съхранението и изтриване или връщане на данните
69. В Клауза 1.5 се предвижда, че при прекратяване на предоставянето на услугите по обработване вносителят на данни заличава всички лични данни, обработвани от името на администратора (вариант 1), или връща на износителя на данни всички лични данни, обработвани от негово име, и заличава съществуващите копия (вариант 2). Според XXXX и ЕНОЗД този текст противоречи на член 28, параграф 3, буква ж) от ОРЗД, който предвижда заличаването или връщането да се извършва „по избор на администратора“. Съответно Клауза 1.5 следва да предвижда това
заличаване или връщане на личните данни да става по избор на администратора. Освен това във вариант 2 следва да се добави, че вносителят на данни трябва да е задължен да удостовери пред износителя на данни, че е заличил съществуващите копия.
70. Отделно от това, в Клауза 1.5 се предвижда, че задължението на вносителя на данни да върне или да заличи личните данни е независимо от изискванията „по местното законодателство“, които забраняват връщането или унищожаването. Този текст противоречи на член 28, параграф 3, буква ж) от ОРЗД. Като се има предвид, че обработващият лични данни е обхванат от законодателството на третата държава и следователно може да има законово задължение за (по-нататъшно) съхранение на данните (напр. за счетоводни цели), ЕКЗД и ЕНОЗД считат, че в проекта на СДК Комисията следва да поясни, че по тази клауза трябва да се вземат предвид само изискванията на местното законодателство, които зачитат същността на основните права и свободи и са пропорционални, и не надхвърлят необходимото в едно демократично общество за защита на някоя от целите, изброени в член 23, параграф 1 от ОРЗД. Както при Модул 2, ЕКЗД и ЕНОЗД считат, че специалните правни изисквания по отношение на сроковете на запазване на данните съгласно местното законодателство, видовете данни и сроковете на съхранение следва да бъдат изрично посочени в приложение I.B.
Освен това текстът „доколкото е възможно“ следва да бъде заличен. За да се избегне повторение, ЕКЗД и ЕНОЗД приканват Комисията да погледне раздел 4.3.2.1.
4.3.3.3 Клауза 1.5 — Сигурност на обработването и Клауза 1.6 — Специални категории лични данни
71. За да се избегне повторение, ЕКЗД и ЕНОЗД приканват Комисията да погледне коментарите им по раздел 4.3.2.2.
4.3.4 Клауза 1 — Гаранции за защита на данните — Модул 4 (Предаване на данни от обработващ лични данни на администратор)
72. ЕКЗД и ЕНОЗД признават, че обхватът на Модул 4 включва само предаванията на данни от обработващ лични данни, подлежащ на ОРЗД, към собствения му администратор, който не е обхванат от ОРЗД, и изключва предаванията на данни от този обработващ лични данни към друг администратор, както е пояснено в член 1.1 и Съображение 16 от проекта на решение. Независимо от това, за да се избегне всякакво недоразумение относно обхвата на този модул, ЕКЗД и ЕНОЗД биха препоръчали в самия проект на СДК да се даде кратко обяснение на ограничения обхват на Модул 4.
73. ЕКЗД и ЕНОЗД биха приветствали всяко допълнително обяснение, което Европейската комисия би могла да добави в проекта на решение във връзка с Модул 4, за да се разбере по-добре използваната обосновка за определяне на ангажиментите, които следва да бъдат поети от страните, които го използват.
74. За да се предвидят всички необходими разпоредби на член 28 от ОРЗД, които са пряко приложими за обработващия лични данни, Модул 4 следва да бъде допълнен, както следва:
75. Обработващият лични данни трябва да гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност (член 28, параграф 3, буква б) от ОРЗД).
76. Към този модул на СДК следва да бъде добавена и клауза относно задълженията за уведомяване за нарушения на сигурността на лични данни, наложени на обработващия лични данни по силата на член 33, параграф 2 от ОРЗД.
77. Освен това модулът следва да бъде допълнен с клауза за възлагане на допълнителна обработка от страна на обработващия лични данни/износителя на данни, тъй като това е пряко задължение за обработващия съгласно член 28, параграфи 3 и 4 от ОРЗД.
78. Освен това страните трябва да се ангажират да си оказват взаимопомощ и подкрепа. В допълнение към задължението, вече предвидено в Клауза 5 от Модул 4, това се отнася и за задължението на обработващия лични данни да уведомява администратора за нарушения на сигурността на лични данни (член 33, параграф 2 от ОРЗД), което следва да бъде изрично включено в споразумението.
4.3.5 Хоризонтални забележки — Клауза 2 (Местно законодателство, засягащо спазването на клаузите) и Клауза 3 (Задължения на вносителя на данни в случай на искания за достъп до лични данни от правителствени органи)
4.3.5.1 Частично освобождаване от прилагане на Модул 4
79. Що се отнася до факта, че Xxxxxx 2 и 3 ще се прилагат за Модул 4 „само ако обработващият лични данни от ЕС комбинира личните данни, получени от администратора от трета държава, с лични данни, събрани от обработващия лични данни в ЕС“, ЕКЗД и ЕНОЗД подчертават, че в член 3, параграф 1 от ОРЗД не се посочва, че личните данни, обработвани от обработващия лични данни в ЕС, следва (също така) да се събират в ЕС, за да бъдат приложими за него задълженията на обработващ лични данни. Ето защо, ЕКЗД и XXXXX призовават Комисията да поясни мотивите за вмъкването на това освобождаване, както и да извърши допълнителна оценка дали то е оправдано.
80. Освен това XXXX и XXXXX призовават Комисията да поясни понятието „комбиниране“ на личните данни, получени от администратора от трета държава, с лични данни, събрани от обработващия лични данни в ЕС, и ситуациите, при които това комбиниране ще се осъществява, тъй като такова понятие за комбиниране на данни не е предвидено в ОРЗД.
4.3.5.2 Ситуации, обхванати от Клаузи 2 и 3
81. По отношение на ситуациите, обхванати от Клаузи 2 и 3, ЕКЗД и XXXXX отбелязват, че обхватът на тези разпоредби следва да бъде пояснен. На практика не е напълно ясно дали тези клаузи обхващат ситуации, при които при липсата на законодателство в третата държава и съществуващите практики, които засягат спазването на ангажиментите на вносителя на данни, все пак трябва да бъдат взети предвид и оценени, или клаузите ще обхващат практики, отклоняващи се от разпоредбите на правната рамка на третата държава. Например, по отношение на достъпа до данни от публичните органи в третата държава, дори и такъв достъп да не е предвиден в приложимата правна рамка, той би могъл да се осъществи на практика или органите биха могли да получат достъп до данните, без да се спазва правната рамка. За да се обърне изрично внимание на тези ситуации, заглавията на тези клаузи следва да бъдат съответно изменени (по-специално, следва да бъде допълнено заглавието на Xxxxxx 2, която се отнася само за законодателството), а формулировката на клаузите трябва да бъде пояснена и да включва по по-категоричен начин тези ситуации.
82. По-специално Клауза 2, буква а) изглежда не налага някакво конкретно задължение в случая, когато няма законодателство, свързано с достъпа на публичните органи до лични данни. В тази връзка се припомня, че в Препоръките на ЕКЗД относно допълващите мерки се предвижда, че при липса на публично достъпно законодателство износителят на данни все пак следва да разгледа други относими и обективни фактори. Обосновката за тази препоръка е, че от липсата на законодателство за достъпа на публичните органи до лични данни не може да се направи разумен извод, че на практика няма достъп.
83. Ето защо, ЕКЗД и ЕНОЗД препоръчват Клаузи 2 и 3 да бъдат допълнени, за да се осигурят гаранции и в случаите, когато третата държава няма такова законодателство, но когато съществуват практики, които биха били в противоречие с изискванията на ЕС за защита на данните, или когато практиката ще се различава от разпоредбите на правната рамка. По- специално, по тази причина в проекта на СДК следва да се поясни, че при липса на законодателство в третата държава, свързано с достъпа на публичните органи до лични данни, страните все пак следва да се стремят, въз основа на наличната информация, да идентифицират всяка практика, която е приложима за предаваните данни и която възпрепятства вносителя на данни да изпълнява задълженията си.
4.3.5.3 Обхват на Клаузи 2 и 3
84. По отношение също и на обхвата на клаузите ЕКЗД и ЕНОЗД отбелязват, че някои елементи не са ясни, като например позоваването на „липса на искания за разкриване от публични органи, получени от вносителя на данни“ или на „относим практически опит“ в тази връзка в Клауза 2, буква б), както и използването на сегашно време в Клауза 2, буква д) относно момента, в който вносителят на данни „е обект или се е превърнал в обект на законодателство, което не е в съответствие с изискванията по буква а)“ от Клауза 2. Всъщност тези елементи могат да създадат впечатлението, че предаването на данни може да се извърши дори и когато предварителната оценка на правната рамка на третата държава на вносителя е довела до заключението, че законодателството на третата държава не е в съответствие с изискванията на ЕС по отношение на нивото на осигуряваната защита на личните данни и че не могат да бъдат въведени ефективни допълващи мерки. Ето защо ЕКЗД и ЕНОЗД препоръчват да се поясни, че тези клаузи ще се прилагат само за ситуации, при които към момента на сключването на договора съответното законодателство на третата държава е било оценено като предоставящо по същество ниво на защита, равностойно на гарантираното в рамките на ЕС, или са въведени ефективни допълващи мерки за отстраняване на потенциалните недостатъци, установени в това законодателство и/или практики, и за осигуряване на ефективното прилагане на гаранциите, съдържащи се в проекта на СДК, така че вносителят на данни да може да изпълнява своите задължения, или третата държава няма никакво законодателство в тази област, свързано с предаваните данни.
85. С други думи, механизмите, предвидени в тези клаузи, ще бъдат задействани само в случаите, когато:
⮚ третата държава няма законодателство, но е идентифицирана практика, несъвместима с изискванията на ЕС;
⮚ ще настъпи промяна на законодателството в третата държава и в резултат на това правната рамка на третата държава на вносителя вече няма да осигурява по същество равностойно ниво на защита на данните, което следователно ще изисква преустановяване на предаванията на данни, извършвани въз основа на СДК; или
⮚ прилагането на законодателството ще варира на практика и вече няма да осигурява по същество равностойно ниво на защита като гарантираното в ЕС.
4.3.6 Клауза 2 — Местно законодателство, засягащо спазването на клаузите
4.3.6.1 Обективна оценка на законодателството на третата държава
86. ЕКЗД и ЕНОЗД подчертават, че оценката дали в законодателството или практиката на третата държава на местоназначение има нещо, което възпрепятства вносителя на данни да изпълнява
задълженията си по проекта на СДК при конкретното предаване на данни, следва да се основава на обективни фактори, независимо от вероятността за достъп до личните данни. Както се подчертава в Препоръките на ЕКЗД относно допълващите мерки (по-специално параграфи 33 и 4230), тази оценка зависи от обстоятелствата на предаването на данни, и по-специално от следните обективни фактори:
⮚ целите, за които се предават и обработват данните (например маркетинг, човешки ресурси, съхранение, поддръжка на информационни технологии, клинични изпитвания);
⮚ видове субекти, участващи в обработването (публични/частни; администратор/обработващ данните);
⮚ сектор, в който се извършва предаването (например- рекламни технологии, телекомуникации, финанси и др.);
⮚ категории предавани лични данни (например- личните данни, свързани с деца, могат да попаднат в обхвата на специфично законодателство в третата държава);
⮚ дали данните ще се съхраняват в третата държава или ще има само дистанционен достъп до данните, съхранявани в ЕС/ЕИП;
⮚ формат на данните, които ще бъдат предавани (т.е. в обикновен текст/псевдонимизирани или криптирани);
⮚ вероятност данните да подлежат на последващо предаване от третата държава на друга трета държава.
87. В тази връзка XXXX и XXXXX също така припомнят, че в решението си по делото Xxxxxxx XX Съдът на ЕС не се позовава на никакъв субективен фактор, като например вероятността за достъп. Самият факт, че данните са включени в обхвата на законодателство на трета държава, което позволява достъп на публичните органи до данни без конкретни основни гаранции (както се припомня в Препоръки 02/2020 на ЕНОЗД относно европейските основни гаранции при прилагане на мерки за наблюдение31), би означавал, да се приеме, по същество , че такъв достъп ще е възможно да се осъществи, без да е необходимо да се разчита на какъвто и да било практически опит в това отношение или липса на искания за разкриване на данни от публичните органи, получени от вносителя на данни. Следователно, настоящият текст на Клауза 2, буква б), подточка i) може да бъде разбран погрешно, тъй като може да се изтълкува като позволяващ изнасянето на данни, ако вносителят на данни все още не е получил никакво разпореждане за разкриване на лични данни, макар и да е субект на местно законодателство, което позволява такива разпореждания. Той може да се разбере и като позволяващ продължаването на предаването на данни, когато на вносителя на данни просто не е разрешено да информира износителя на данни в тази връзка в резултат на разпореждане за неразкриване на тази информация. Освен това оценката на тези видове субективни фактори (вероятност за достъп) на практика би се оказала много трудна и трудно проверима.
88. Ето защо ЕКЗД и ЕНОЗД препоръчват:
30 xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxx/xxxxx/xxxxxxxxxxxx/xxxx_xxxxxxxxxxxxxxx_000000_xxxxxxxxxxxxxxxx
surestransferstools_bg.pdf.
31 xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxx/xxxxx/xxxxx/xxxx0/xxxx_xxxxxxxxxxxxxxx_000000_xxxxxxxxxxxxxxxxxxxxx
anteessurveillance_bg.pdf.
⮚ да се заличи позоваването на „съдържанието и срока на договора“; „мащаба и редовността на предаванията на данни“; „броя на участниците и използваните канали за предаване“; „всякакъв съотносим практически опит с предишни случаи или липса на искания за разкриване на данни от публичните органи, получени от вносителя на данни“;
⮚ да се осигури пълна съгласуваност между Клауза 2, буква б), подточка i) и Препоръките на ЕКЗД относно допълващите мерки;
⮚ да се измени съответно Клауза 2, буква б), подточка ii).
4.3.6.2 Добавяне на ново приложение към проекта на СДК
89. За да се избегне ситуация, при която страните просто се договарят да документират посочената по-горе оценка, без да я извършват на практика, ЕКЗД и ЕНОЗД препоръчват към проекта на СДК да се добави приложение, за да се постави изискване към страните да документират тази оценка, извършена по Клауза 2 (т.е. оценката на законодателството и практиките на третата държава предвид обстоятелствата на предаването на данни), преди подписването на договора. Това би спомогнало да се постигне правилно използване на проекта на СДК, тъй като едно изрично приложение би показало на вносителите и на износителите на данни необходимостта от тази оценка.
4.3.6.3 Консултация с НО относно допълващите мерки
90. Съгласно Клауза 2, буква е) проектът на СДК предвижда консултация с компетентния надзорен орган („НО“). Както се подчертава в Препоръките на ЕКЗД относно допълващите мерки, „Когато възнамерявате да въвеждате допълващи мерки в допълнение към СДК, не е необходимо да искате разрешение от компетентния НО, за да добавите такива клаузи или допълнителни гаранции, стига установените допълващи мерки да не противоречат пряко или косвено на СДК и да са достатъчни, за да се гарантира, че нивото на защита, гарантирано от ОРЗД, не е застрашено.“32 .
91. В действителност отговорността за установяването на тези мерки е на износителя на данни с помощта на вносителя на данни. Това е в съответствие с принципа на отчетност по член 5, параграф 2 от ОРЗД, който изисква администраторите да носят отговорност и да могат да докажат съответствие с принципите на ОРЗД, отнасящи се до обработването на лични данни. Това е подчертано от Съда на ЕС в решението по делото Schrems II 33 , и припомнено в Препоръките на ЕКЗД относно допълващите мерки34.
92. ЕКЗД и ЕНОЗД подчертават също така, че в ОРЗД няма изрично правно основание, съгласно което надзорните органи трябва да предоставят такъв вид консултации.
32 xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxx/xxxxx/xxxxxxxxxxxx/xxxx_xxxxxxxxxxxxxxx_000000_xxxxxxxxxxxxxxxx
surestransferstools_bg.pdf; точка 56.
33 Решение на Съда (голям състав) от 16 юли 2020 г.; Data Protection Commissioner срещу Facebook Ireland Limited и Xxxxxxxxxxx Xxxxxxx; дело C-311/18; точка 134.
34 xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxx/xxxxx/xxxxxxxxxxxx/xxxx_xxxxxxxxxxxxxxx_000000_xxxxxxxxxxxxxxxx
surestransferstools_bg.pdf; точка 5.
4.3.6.4 Уведомяване на надзорния орган, когато износителите на данни възнамеряват да продължат предаванията на данни дори ако не може да бъде установено наличието на допълващи мерки.
93. ЕКЗД и ЕНОЗД припомнят, че по предишните СДК износителят на данни трябваше да „предаде“ на надзорния орган уведомлението, направено от вносителя на данни, отнасящо се до невъзможността да се спазят СДК, ако „въпреки посоченото уведомление реши да продължи предаването или да отмени спирането“. Този ангажимент, подробно разгледан от Съда на ЕС в решението по делото Xxxxxxx XX, точка 145, следва да бъде запазен в проекта на СДК.
94. В съответствие с разпоредбите, съдържащи се в СДК от 2010 г.35, разгледани подробно от Съда на ЕС, уведомление следва да се предвижда само в случай че износителят на данни възнамерява да продължи предаването на данни при липсата на ефективни допълващи мерки. Това дело все още не е отразено в проекта на СДК, въпреки че именно това е случаят, в който надзорният орган би могъл да играе роля и да се намеси съгласно правомощията си, за да спре или да забрани предаването на лични данни в случаите, когато счита, че не може да бъде осигурено равностойно по същество ниво на защита в съответствие с решението по делото Schrems II36.
95. Освен това текстът на Xxxxxx 2, буква е) следва ясно да показва, че такова уведомление по никакъв начин не представлява разрешение за продължаване на предаването на данни при липса на подходящи допълващи мерки въз основа на проекта на СДК. Поради тази причина ЕКЗД и XXXXX призовават Комисията да поясни този въпрос.
4.3.7 Клауза 3 — Задължения на вносителя на данни в случай на искания за достъп до лични данни от правителствени органи
96. ЕКЗД и ЕНОЗД препоръчват да се поясни, че в обхвата на тази разпоредба попадат исканията за достъп от съдилища и други публични органи на третата държава. Това може да бъде постигнато например с промяна на заглавието на тази клауза.
4.3.7.1 Клауза 3.1 — Уведомление
97. ЕКЗД и ЕНОЗД подчертават, че в Клауза 3.1 следва да се поясни, че предвиденото уведомление от вносителя на данни ще се подава, преди той да е отговорил на искането за достъп от публичните органи на третата държава, така че износителят на данни да може да предприеме подходящи допълнителни стъпки, ако е необходимо.
4.3.7.2 Клауза 3.2 — Преглед на законосъобразността и свеждане на данните до минимум
98. ЕКЗД и ЕНОЗД разбират, че обхватът на Клауза 3.2 е ограничен до случаите, в които исканията за достъп, получени от вносителя на данни, не са в съответствие със законодателството на третата държава, включително нейните задължения, произтичащи от международното право, и
35 2010/87/ЕС: Решение на Комисията от 5 февруари 2010 г. относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета; ОВ L 39, 12.2.2010 г., стр. 5–18; приложение — клауза 4, буква ж).
36 Решение на Съда (голям състав) от 16 юли 2020 г.; Data Protection Commissioner срещу Facebook Ireland Limited и Xxxxxxxxxxx Xxxxxxx; дело C-311/18; точки 113 и 121.
нейните правила, уреждащи ситуациите, при които има стълкновение на закони. Ето защо, ЕКЗД и ЕНОЗД препоръчват тази клауза да се поясни, за да се гарантира, че износителите на данни няма да я разберат неправилно. Тази клауза има за цел само да гарантира, че законодателството на третата държава, което вече отговаря на изискванията на правото на ЕС, ще се прилага правилно в тази трета държава. Следователно тази клауза, по същество, няма да доведе до оспорване на законосъобразността на исканията за разкриване на данни спрямо изискванията на ЕС за защита на данните, освен ако законодателството на третата държава изрично не предвижда възможност за позоваване на законодателството на друга държава.
4.3.8 Клауза 5 — Права на субекта на данни — Модул 1 (Предаване на данни от администратор на администратор)
• Клауза 5, буква а)
99. Съгласно тази буква вносителят на данни отговаря за обработването на исканията на субектите на данни за упражняване на техните права. В практиката може да възникнат евентуални трудности, поради това че вносителят на данни е извън ЕС. Поради тази причина ЕКЗД и ЕНОЗД споделят мнението, че тази клауза следва да бъде приведена в по-тясно съответствие с настоящите изисквания по СДК от 2004 г., т.е. износителят на данни да се занимава с отговорите на запитванията на субектите на данни, освен ако страните не са се договорили друго37. Освен това страните следва да се ангажират да си помагат и да си сътрудничат при обработването на исканията на субектите на данни.
100. Освен това, ЕКЗД и ЕНОЗД са на мнение, че задължението, наложено на вносителя на данни да предоставя информация на субектите на данни, при поискване, следва да бъде ясно въведено в проекта на СДК и приведено в пълно съответствие с изискванията по член 12, параграф 1 и член 15 от ОРЗД.
• Клауза 5, буква б)
101. По мнение на ЕКЗД и ЕНОЗД субектите на данни следва да имат право, при поискване, да получат достъп до повече информация от изброената в момента в Клауза 5, буква б), подточка i), и по-точно до:
⮚ по-точна информация във връзка с последващите предавания на данни, включително за подизпълнителите, т.е. пълното име и данните за контакт на всички получатели на данните, свързани с тях38. Това може да бъде постигнато чрез включване на изискване към страните да предоставят такава информация в Приложение III към проекта на СДК или чрез изискване да ги предоставят на субектите на данни при поискване;
⮚ в съответствие с член 15, параграф 1, буква г) от ОРЗД — точна информация за предвидения срок, за който ще се съхраняват личните данни, когато е възможно, а ако това е невъзможно, критериите, използвани за определянето на този срок. Това може да бъде постигнато, като бъде включено изискване към страните да предоставят такава информация в Приложение I към проекта на СДК. Предоставянето на такава
37 Вж. клауза 1, буква г) и клауза II, буква д) от СДК от 2004 г.
38 Вж. Решение на Съда (трети състав) от 7 май 2009 г.; Съд на ЕС, College van burgemeester en wethouders van Rotterdam срещу M.E.E. Rijkeboer, дело C-553/07; точки 49 и 54.
информация в Приложение I може също така да убеди страните, че действително трябва да определят и прилагат сроковете на задържане; и
⮚ в съответствие с член 15, параграф 1, буква ж) от ОРЗД — всякаква налична информация за източника на събраните данни, когато личните данни не се събират директно от субектите на данни.
102. Модул 1 следва да включва задължението на вносителя на данни да информира субектите на данни за техните права да поискат коригиране, ограничаване или изтриване на личните им данни, или да направят възражение срещу обработването, което би привело тази клауза в съответствие с член 15, параграф 1, буква д) от ОРЗД. Тази информация ще бъде в допълнение към информацията за правото на подаване на жалба до компетентния надзорен орган, което понастоящем е включено в Клауза 5, буква б), подточка i). В по-общ план, ЕКЗД и ЕНОЗД призовават Комисията да въведе задължение за вносителя на данни да дава възможност на субектите на данни да упражняват правото си да поискат ограничаване на обработването на техните данни.
103. Що се отнася до Клауза 5, буква б), подточка iii) относно изтриването на лични данни на субектите на данни, ЕКЗД и ЕНОЗД са на мнение, че този ангажимент следва изцяло да отразява изискванията, предвидени в член 17, параграф 1 от ОРЗД.
• Клауза 5, буква в)
104. ЕКЗД и ЕНОЗД са на мнение, че не е обосновано правото на възражение да бъде ограничено до случаите на директен маркетинг и че обхватът му следва да бъде разширен, особено в случаите, когато то е упражнено първоначално спрямо износителя на данни.
• Клауза 5, буква г)
105. ЕКЗД и ЕНОЗД са на мнение, че формулировката на Клауза 5, буква г) следва да бъде преразгледана така, че да отразява, по принцип, забраната по член 22 от ОРЗД за автоматизирано вземане на решения и да определя условията, позволяващи дерогации от тази забрана. В Клауза 5, буква г) следва също така да се поясни, че задълженията на вносителя на данни за прилагане на подходящи гаранции и за предоставяне на информация за предвиденото автоматизирано решение на субектите на данни са кумулативни.
106. Освен това, Клауза 5, буква г) следва да съдържа изискването информацията, предоставяна на субектите на данни, да включва значението и предвидените последствия за субектите на данни в съответствие с член 22 и член 15, параграф 1, буква з) от ОРЗД.
• Клауза 5, буква е)
107. Макар и ЕКЗД и ЕНОЗД да признават, че може да има обстоятелства, оправдаващи възможността вносителят на данни да отхвърли искането на субект на данни, в проекта на СДК следва да бъде ясно посочено, че по тази клауза следва да се вземат предвид само изискванията на местното законодателство, които зачитат същността на основните права и свободи и са пропорционални, и не надхвърлят необходимото в едно демократично общество за защита на някоя от целите, изброени в член 23, параграф 1 от ОРЗД.
• Клауза 5, буква ж)
108. За да могат субектите на данни напълно да упражняват правата си, ЕКЗД и ЕНОЗД считат, че задължението за информиране на субектите на данни, че вносителят на данни възнамерява да отхвърли техните искания, следва да бъде приведено в съответствие с член 12, параграф 4 от
ОРЗД и следователно трябва да се изпълнява без забавяне и най-късно в срок от един месец от получаване на искането.
4.3.9 Клауза 5 — Права на субекта на данни — Модули 2 (Предаване на данни от администратор на обработващ лични данни) и 3 (Предаване на данни от обработващ лични данни на обработващ лични данни)
109. Клауза 5 в Модул 2 и 3 съдържат едни и същи изисквания, поради което са разгледани заедно в настоящото съвместно становище.
110. ЕКЗД и ЕНОЗД споделят мнението, че в Kлауза 5, буква а) следва:
⮚ допълнително да се уточни, че отговорите до субектите на данни се предоставят в съответствие с указанията на администратора (например- относно съдържанието на отговора), според изложеното в приложението към проекта на СДК;
⮚ допълнително да се уточни, че обхватът на задължението на вносителя на данни, свързано с упражняването на правата на субектите на данни от името на администратора, следва да бъде описан и ясно посочен в приложение към проекта на СДК.
4.3.10 Клауза 5 — Права на субекта на данни — Модул 4 (Предаване на данни от обработващ лични данни на администратор)
111. ЕКЗД и ЕНОЗД биха приветствали разяснения от Европейската комисия относно възможните практически последици от поетия от страните ангажимент за взаимопомощ при обработването на исканията на субектите на данни, подадени въз основа на приложимото законодателство на вносителя на данни.
112. ЕКЗД и ЕНОЗД биха приветствали създаването на допълнителна яснота относно ситуациите, които са обхванати от поетият от страните ангажимент за взаимопомощ при обработването на исканията на субектите на данни.
113. Освен това не е ясно какво се има предвид в Клауза 5, където се прави позоваване на помощта
„за обработване на данни от износителя на данни в ЕС съгласно ОРЗД“. Ако намерението е например да се обхване помощта във връзка със задълженията за сигурност на данните, това следва да бъде пояснено от Комисията в проекта на СДК.
4.3.11 Xxxxxx 6 — Правна защита
114. ЕКЗД и ЕНОЗД биха приветствали разяснения в проекта на СДК дали във всички набори от клаузи трябва да бъде предоставена възможност на субектите на данни да търсят безплатна правна защита пред независим орган за уреждане на спорове. Въпреки че би било ясно, че тази възможност може да спомогне за гарантиране на ефективно правоприлагане в случай на предаване на данни от администратор на администратор, ЕКЗД и ЕНОЗД биха приветствали допълнителни разяснения как този механизъм ще се прилага в Модули 2, 3 и 4. Например, следва да се поясни до каква степен този механизъм би се прилагал във връзка със специфичните и преки задължения на обработващия лични данни и на администратора в Модул 4.
115. Що се отнася до клаузите за правна защита, предвидени в Модули 1, 2 и 3 (Клауза 6, буква б), ЕКЗД и ЕНОЗД са на мнение, че следва да се поясни, че вносителят на данни следва да приеме правото на субекта на данни (който се позовава на правата си като трета страна- бенефициент) да подаде директно жалба до надзорен орган в ЕИП и/или да предяви иск пред съд в ЕИП, без да е необходимо предварително да се стреми към уреждане на спора по взаимно съгласие.
Всъщност, за да се осигури същото ниво на защита като това, предвидено в членове 77 и 79 от ОРЗД, този тип механизми (например- вътрешни механизми за разглеждане на жалби, въведени от вносителя на данни) следва да бъдат насърчавани, за да се улесни упражняването на правата на бенефициентите, но те не следва да се считат за предварително условие за подаването на жалба до надзорния орган или до съда.
116. Освен това член 77, параграф 1 от ОРЗД предвижда, че субектите на данни могат да изберат да предявят иск пред надзорния орган по обичайното им местопребиваване, място на работа или място на предполагаемото нарушение. От тази гледна точка ЕКЗД и ЕНОЗД считат, че е важно Клауза 6, буква б), подточка i) да бъде изменена по подходящ начин, тъй като в проекта на СДК изглежда се прави позоваване само на надзорния орган, който носи отговорност за гарантиране на спазването на ОРЗД от износителя на данни при предаването на данни.
117. ЕКЗД и XXXXX призовават за разяснения във връзка с липсата на клауза за правна защита в Модул 4. Като се имат предвид ангажиментите, които понастоящем се съдържат в Клауза 5 от Модул 4 във връзка с „обработването на данни от износителя на данни в ЕС в съответствие с ОРЗД“, ЕКЗД и ЕНОЗД си задават въпроса как в тези случаи ще бъде признато правото на правна защита на субекта на данни.
4.3.12 Клауза 7 — Отговорност за причинени вреди — Модули 1 (Предаване на данни от администратор на администратор) и 4 (Предаване на данни от обработващ лични данни на администратор)
118. По Xxxxxx 7, Модули 1 и 4, ЕКЗД и XXXXX отбелязват, че солидарната отговорност към субекта на данни би се задействала само в случай, че е споделена. С други думи, режимът на отговорност за причинени вреди, предвиден в проекта на СДК, не предвижда пълна солидарна отговорност, при която всяка от страните би била отговорна за вредите, причинени единствено от другата страна.
119. В тази връзка ЕКЗД и ЕНОЗД биха искали да припомнят, че проектът на СДК следва да включва ефективни механизми, които позволяват на практика да се гарантира спазването на нивото на защита, изисквано от законодателството на ЕС39. Предявяването на иск срещу дружество извън ЕС обаче може да се окаже трудно за субекта на данни, що се отнася до изпълнението на съдебното решение срещу това дружество извън ЕС. Съществуващите набори от СДК осигуряват по-голяма защита от предлаганата в проекта за СДК и ЕКЗД и ЕНОЗД са на мнение, че защитата на субектите на данни следва да бъде засилена.
120. Предвид това ЕКЗД и ЕНОЗД призовават Xxxxxx 7 да бъде изменена в съответствие с представените по-горе аргументи.
39 Например член 47, параграф 2, буква е) от ОРЗД изисква в ЗФП да се посочва, наред с другото,
„поемането от администратора или обработващия лични данни, установен на територията на държава членка, на отговорност за всяко нарушение на задължителните фирмени правила от който и да е член на съответната група, който не е установен в Съюза“.
4.3.13 Клауза 7 — Отговорност за причинени вреди — Модули 2 (Предаване на данни от администратор на обработващ лични данни) и 3 (Предаване на данни от обработващ лични данни на обработващ лични данни)
121. В Клауза 7, Модули 2 и 3, букви в) и г) се предвижда субектът на данни да има право да получи от вносителя на данни (буква в) или от износителя на данни (буква г) обезщетение за всякакви материални или нематериални вреди, причинени от вносителя на данни.
122. За да се избегне всяко съмнение, в проекта на СДК Комисията следва да поясни, че тези възможности са кумулативни и че субектът на данни има избор да получи или от вносителя на данни, или от износителя на данни обезщетение за всякакви материални или нематериални вреди, причинени от вносителя на данни. С други думи, предявяването на иск срещу вносителя на данни не следва да се поставя като условие за възможността да се търси отговорност от износителя на данни за всякакви материални или нематериални щети, причинени от вносителя на данни.
4.3.14 Xxxxxx 9 — Надзор
123. Клауза 9 изисква да бъде определен надзорният орган, който ще е компетентен за износителя на данни за целите на спазването на проекта на СДК, но не предвижда случая, когато може да има няколко компетентни надзорни органа, ако има няколко износители на данни като страни по проекта на СДК (което е възможност, заложена в проекта). ЕКЗД и ЕНОЗД предлагат този аспект да се поясни, като се включи позоваване на възможността да бъде компетентен повече от един надзорен орган в ЕИП, ако участват различни износители на данни, като в този конкретен случай всеки надзорен орган, който носи отговорност за гарантиране на спазването от страна на износителя на данни, ще бъде компетентен за конкретното предаване на данни, извършвано на негова територия. С цел по-голяма яснота и разбираемост, в приложенията следва да е заложено изискване за страните да определят компетентните надзорни органи.
4.4 Раздел III — Заключителни разпоредби
4.4.1 Клауза 1 — Неспазване на клаузите и прекратяване
124. Клауза 1, буква г) предвижда изключение от задължението за връщане или унищожаване на данните преди прекратяването на договора, когато местното законодателство, приложимо за вносителя на данни, забранява това връщане или унищожаване. ЕКЗД и XXXXX призовават Комисията да припомни, че задълженията на вносителя на данни по Клауза 5, раздел II ще са приложими и в случая, посочен в Клауза 1, буква г), Раздел III. ЕКЗД и XXXXX считат, че в проекта на СДК Комисията следва да поясни, че по тази клауза трябва да се вземат предвид само изискванията на местното законодателство, които зачитат същността на основните права и свободи и са пропорционални, и не надхвърлят необходимото в едно демократично общество за защита на някоя от целите, изброени в член 23, параграф 1 от ОРЗД.
125. Освен това ЕКЗД и XXXXX отбелязват, че Клауза 1, буква г) предвижда, че вносителят на данни следва да гарантира, че ще осигури „доколкото е възможно“ нивото на защита, изисквано от тези клаузи.
126. В тази връзка ЕКЗД и ЕНОЗД припомнят, че нивото на защита, изисквано от проекта на СДК следва винаги да бъде гарантирано. Ето защо ЕКЗД и XXXXX призовават Комисията да премахне текста „доколкото е възможно“.
4.5 Приложения
127. ЕКЗД и XXXXX отбелязват, че проектът на СДК е предназначен евентуално да бъде използван — като многостранно споразумение — от повече от една страна като износители и/или вносители на данни. За да се избегне рискът от размиване на ролите и отговорностите, е важно в проекта на СДК на страните да се дадат ясни указания как приложението следва да бъде попълнено правилно. Това е още по-наложително поради модулния подход, който позволява клаузите да бъдат включени в едно многостранно споразумение, обхващащо до четири сценария (предаване на данни от администратор на администратор, предаване на данни от администратор на обработващ лични данни, предаване на данни от обработващ лични данни на обработващ лични данни и предаване на данни от обработващ лични данни на администратор) и евентуално голям брой трансфери на данни, като всеки от тях може да се случи между различни износители и/или вносители на данни. Затова ЕКЗД и XXXXX са на мнение, че е изключително важно в договора, който ще бъде подписан, включително приложенията към него, да бъдат абсолютно ясно разграничени ролите и отговорностите на всяка от страните (износител на данни — администратор, износител на данни — обработващ лични данни, вносител на данни — администратор, вносител на данни — обработващ лични данни) във всяко едно отношение и във връзка с всяко обхванато предаване или съвкупност от предавания на данни.
128. Поради тези причини приложението към договора следва да бъде достатъчно прецизно, за да може във всеки един момент да се определи кой каква роля играе по отношение на конкретно предаване или съвкупност от предавания на лични данни. Ето защо ЕКЗД и ЕНОЗД предлагат да се поясни, че всяко предаване на данни или съвкупност от предавания на данни, извършени за една или няколко специфични и определени цели, следва да бъдат описани отделно въз основа на тяхната цел, видовете предавани лични данни, категорията или категориите субекти на данни, вида или видовете обработване на данни и страните по предаването на данни (вносител(и) и износител(и) на данни), както и ролята на съответните страни (администратор(и) или обработващ(и) лични данни). Следователно като правило винаги ще се изисква отделно приложение — което следва да включва части I—VI — за всяко предаване на данни или съвкупност от предавания на данни. Това отделно приложение трябва да бъде подписано само от тези износители и вносители на данни, които извършват съответния трансфер на данни. В същото време всеки износител и вносител на данни, който подписва съответното приложение, отнасящо се за специфичното предаване на данни или съвкупност от предавания на данни, следва да посочи, при подписването, своята роля по отношение на този трансфер/и(администратор или обработващ лични данни), за да се избегнат всякакви неясноти.
129. В случай на многостранно споразумение, отнасящо се до няколко предавания на данни и/или страни, винаги следва да е ясно кое приложение (включващо части I—VI) е приложимо за кое конкретно предаване на данни или набор от предавания на данни, кои са износителите и вносителите на данни и каква роля (администратор или обработващ лични данни) изпълняват те в. За тази цел ЕКЗД и ЕНОЗД предлагат в част „Приложение“ от проекта на СДК да бъде включен обяснителен текст с цел насочване на страните относно правилното използване и подписване на приложението, по-специално в случая на проекта на СДК, който се използва като многостранно споразумение. В техническото приложение към настоящото съвместно становище ЕКЗД и ЕНОЗД дават някои предложения за такъв текст.
130. Поради тази причина приложение, което съдържа само обща информация и което се прилага за различни предавания на данни, не би трябвало да се счита за пълно. За да се избегне объркване, приложението следва да бъде подписано само от страните, които ефективно извършват конкретното обработване на данни, включително онези страни, които са се присъединили към клаузите въз основа на Раздел I, клауза 6.
131. Друг проблем в практиката е, че приложенията към СДК относно техническите и организационните мерки често се попълват твърде общо, тъй като целта им е да бъдат пригодени към най-различни предавания на данни и операции по обработване на данни, като в същото време липсват точни указания за това кои технически и организационни мерки се прилагат за отделните предавания на данни, обхванати от СДК. Ето защо ЕКЗД и ЕНОЗД предлагат в проекта на СДК (част III от приложението, предложено от ЕКЗД и ЕНОЗД) изрично да се подчертае, че следва да бъдат посочени само онези специфични технически и организационни мерки, които ще бъдат прилагани за съответното предаване на данни/съвкупност от предавания на данни, докато техническите и организационните мерки, които ще бъдат прилагани само за други предавания на данни/категории предавания на данни, обхванати от същото многостранно споразумение, следва да се попълват само в приложението, което се отнася до тях.
132. Що се отнася до отношенията между администратора и обработващия лични данни, ЕКЗД и ЕНОЗД отбелязват, че на практика понякога има объркване относно изискванията, свързани с подизпълнителите. Предвидените изисквания да бъде посочен абсолютно всеки подизпълнител следва да бъдат специално припомнени и отразени в част V от приложението. Освен това XXXX и XXXXX xxxx предложили да се посочва (като част V от приложението, което се предлага) списък на предвидените подизпълнители (включително, за всеки от тях, тяхното местоположение, операцията/операциите по обработване и вида на гаранциите, които те са въвели), за да се даде възможност на администратора да разреши използването на предвидените подизпълнители съгласно изискванията на член 28, параграф 2 от ОРЗД. Освен това би било полезно да се вмъкне и изречението, че администраторът е разрешил използването на подизпълнителите, споменати в този списък.
За Европейския надзорен орган по защита на данните
Европейски надзорен орган по защита на данните
(Xxxxxxxx Xxxxxxxxxxxx)
За Европейския комитет по защита на данните
Председател
(Xxxxxx Xxxxxxx)