ДЕЛ I
Прилог бр.1
СТАНДАРДНИ ДОГОВОРНИ КЛАУЗУЛИ
ДЕЛ I
Клаузула 1
Цел и опсег
Целта на овие стандардни договорни клаузули е да се обезбеди усогласеност со барањата предвидени во Законот за заштита на личните податоци („Службен весник на Република Северна Македонија“ бр.42/20) (ЗЗЛП), а кои се однесуваат на преносот на лични податоци во трета земја.
Договорните страни:
а) физичко или правно/и лице/а, орган/и на државната власт, државен/ни орган/и или правно/и лице/а основано/и од државата за вршење на јавни овластувања, агенција/и или друго/и тело/а (во натамошниот текст „субјект/и“) кои пренесуваат лични податоци, наведени во Анексот бр.1А (во натамошниот текст „извозник на лични податоци“) x
б) субјектот/ите во трета земја кој ги прима личните податоци од извозникот на лични податоци, директно или индиректно преку друг субјект, исто така, Договорна страна на овие Клаузули, како што е наведено во Анексот бр.1А (во натамошниот текст „увозник на лични податоци“),
се согласија на овие стандардни договорни xxxxxxxx (во натамошниот текст: „Клаузули“).
Овие Xxxxxxxx се применуваат во врска со преносот на лични податоци како што е наведено во Анексот бр.1Б.
Додатокот на овие Клаузули што ги содржи анексите наведени во него претставува составен дел на овие Клаузули.
Клаузула 2
Ефект и непроменливост на клаузулите
Овие Xxxxxxxx утврдуваат соодветни заштитни мерки, вклучувајќи и извршни права на субјектот на лични податоци и применлива и достапна судска заштита за субјектот на личните податоци, согласно членот 50 став (1) и членот 50 став (2) точка в) од ЗЗЛП, како и стандардни договорни клаузули согласно член 32 став (7) од ЗЗЛП во однос на преносот на лични податоци од контролори до обработувачи и/или обработувачи до обработувачи, под услов тие да не се менуваат, освен за избирање на соодветниот Модул(и) или за додавање или ажурирање на информациите во Додатокот. Ова не ги спречува Договорните страни да ги вклучат стандардните договорни клаузули утврдени во овие Клаузули во поширок договор и/или да додадат други клаузули или дополнителни заштитни мерки, под услов тие да не се директно или индиректно во спротивност со овие Клаузули или со нив да се повредуваат основните права или слободи на субјектите на лични податоци.
Овие Xxxxxxxx не се во спротивност со обврските кои за извозникот на личните податоци произлегуваат од ЗЗЛП.
Клаузула 3
Заинтересирани трети лица
Субјектите на лични податоци можат да се повикаат на спроведување на овие Клаузули, како заинтересирани трети лица, против извозникот на личните податоци и/или увозникот на личните податоци, со следните исклучоци:
а) Клаузула 1, Клаузула 2, Клаузула 3, Клаузула 6 и Xxxxxxxx 7;
б) Клаузула 8 - Модул еден: Xxxxxxxx 8.5 став 4 и Xxxxxxxx 8.9 став 2; Модул два: Клаузула 8.1 став 2, 8.9 ставови 1, 3, 4 и 5; Модул три: Xxxxxxxx 8.1 ставови 1, 3 и 4 и Xxxxxxxx 8.9 ставови 1, 3, 4, 5, 6 и 7; Модул четири: Xxxxxxxx 8.1 став 2 и Клаузула 8.3 став 2;
в) Клаузула 9 - Модул два: Xxxxxxxx 9 ставови 1, 3, 4 и 5; Модул три: Xxxxxxxx 9 ставови 1, 3, 4 и 5;
г) Xxxxxxxx 12 - Модул еден: Xxxxxxxx 12 ставови 1 и 4; Модули два и три: Xxxxxxxx 12 ставови 1, 4 и 6;
д) Клаузула 13;
ѓ) Xxxxxxxx 15.1 ставови 3, 4 и 5;
е) Xxxxxxxx 16 став 5;
ж) Xxxxxxxx 18 ставови 1 и 2.
Ставот 1 на оваа Xxxxxxxx не е во спротивност со правата на субјектите на лични податоци според одредбите од ЗЗЛП.
Клаузула 4
Толкување
Кога овие Клаузули ги користат изразите дефинирани во ЗЗЛП тие го имаат истото значење како и во ЗЗЛП.
Овие Xxxxxxxx се читаат и толкуваат во смисла на одредбите од ЗЗЛП.
Овие Xxxxxxxx нема да се толкуваат на начин што е во спротивност со правата и обврските предвидени со ЗЗЛП.
Клаузула 5
Хиерархија
Во случај на противречност помеѓу овие Xxxxxxxx и одредбите на склучените договори помеѓу Договорните страни кои што постоеле во времето кога овие Xxxxxxxx се договорени или склучени после ова, овие Клаузули ќе имаат предност.
Клаузула 6
Опис на преносот
Деталите за преносот/ите, а особено категориите на лични податоци што се пренесуваат и целта/ите за кои се пренесени, се наведени во Анексот бр.1Б., а каде што ЗЗЛП се применува на извозникот на лични податоци кој што го врши таквиот пренос.
Клаузула 7 - (Незадолжителна клаузула)
Клаузула за пристапување
Секој субјект кој не е Договорна страна на овие Xxxxxxxx може да пристапи кон овие Клаузули во кое било време како извозник на лични податоци или како увозник на лични податоци, со пополнување на Додатокот и потпишување на Анексот бр.1А, а по согласување на сите Договорни страни.
Откако ќе го комплетира Xxxxxxxxx и ќе го потпише Анексот бр.1А, субјектот што пристапува ќе се третира како Договорна страна на овие Xxxxxxxx и ќе има права и обврски на извозник на лични податоци или увозник на лични податоци во согласност со неговото назначување во Анексот бр.1А.
Субјектот што пристапува нема да има права или обврски што произлегуваат од овие Клаузули од периодот пред да стане Договорна страна.
ДЕЛ II - ОБВРСКИ НА ДОГОВОРНИТЕ СТРАНИ
Клаузула 8
Заштитни мерки за личните податоци
Извозникот на лични податоци гарантира дека користел разумни напори да утврди дека увозникот на лични податоци е во можност, преку спроведување на соодветни технички и организациски мерки, да ги задоволи своите обврски согласно овие Xxxxxxxx.
МОДУЛ ЕДЕН: Пренос од контролор на контролор
Ограничување на целите
Увозникот на лични податоци треба да ги обработува личните податоци само за конкретна/и цел/и на преносот, како што е утврдено во Анексот бр.1Б, при што може да ги обработува личните податоци за друга цел само кога:
а) има добиено претходна согласност од субјектот на лични податоци;
б) е потребно за утврдување, извршување или одбрана на правни барања во контекст на посебни управни, регулаторни или судски постапки; или
в) е потребно поради цел да се заштитат суштинските интереси на субјектот на личните податоци или на друго физичко лице.
Транспарентност
Со цел да им се овозможи на субјектите на лични податоци ефикасно да ги остваруваат своите права согласно Xxxxxxxxxx 10, увозникот на лични податоци треба да ги информира субјектите на лични податоци директно или преку извозникот на лични податоци за:
а) неговиот идентитет и контакт податоци;
б) категориите на лични податоци кои се обработуваат;
в) правото да се добие копија од овие Клаузули;
г) целите на понатамошниот пренос и основот согласно Xxxxxxxxxx 8.7, тогаш кога има намера да врши пренос на личните податоци на трети лица, за примателот или категориите на приматели (како што е соодветно со цел да се обезбедат значајни информации).
Ставот 1. на оваа Клаузула не се применува кога субјектот на лични податоци веќе ги има информациите, вклучително и кога таквите информации се веќе обезбедени од извозникот на лични податоци, или обезбедувањето на информациите се покажува невозможно, или би вклучувало несразмерен напор за увозникот на личните податоци. Во случај кога би претставувало значителен напор за увозникот на лични податоци, тогаш увозникот треба да ги направи информациите јавно достапни.
Договорните страни на барање на субјектот на лични податоци ќе му направат бесплатна копија од овие Клаузули, вклучувајќи го и Додатокот што го пополнуваат. Во случај на заштита на деловна тајна, или други доверливи информации, вклучително и лични податоци, Договорните страни пред да ја достават копијата од Додатокот, можат дел од текстот на истиот да го редактираат (да применат механизми за прикривање на дел од текстот), при што треба да обезбедат и смислен краток опис во случај кога субјектот на лични податоци не е во можност да ја разбере неговата содржина или да ги користи неговите права. Договорните страни на барање на субјектите на лични податоци ќе ги информираат за причините за редактирањето без при тоа да ги откријат изменетите информации.
Ставовите 1, 2 и 3 од оваа Xxxxxxxx не се во спротивност со обврските за извозникот на лични податоци според членовите 17 и 18 од ЗЗЛП.
Точност и минимален обем на податоци
Секоја Договорна страна ќе обезбеди дека личните податоци се точни и каде што е потребно ажурирани. Увозникот на лични податоци треба да преземе разумни чекори за да обезбеди дека личните податоци коишто не се точни, ќе бидат избришани или изменети без одложување, имајќи ги предвид целта/ите за нивна обработка.
Доколку една од Договорните страни дојде до знаење дека личните податоци коишто ги пренела или примила се неточни или се неажурирани, таа треба веднаш да ја извести другата Договорна страна.
Увозникот на лични податоци гарантира дека личните податоци се соодветни, релевантни и ограничени на она што е неопходно во однос на целта/ите за кои се обработуваат.
Ограничување на рокот на чување
Увозникот на лични податоци ги чува личните податоци не подолго од она што е неопходно во однос на целта/ите поради кои што се обработуваат личните податоци, при што воспоставува соодветни технички или организациски мерки за да се обезбеди усогласеност со оваа обврска, вклучително и бришење или анонимизација на податоците1, како и на сите сигурносни копии на крајот на рокот на чување.
Безбедност на обработката
Увозникот на лични податоци и извозникот на лични податоци при пренесувањето треба да спроведат соодветни технички и организациски мерки за да се обезбеди безбедност на личните податоци, вклучувајќи и заштита од нарушување на безбедноста која доведува до случајно или незаконско уништување, губење, менување, неовластено откривање или пристап (во натамошниот текст: „нарушување на безбедноста на личните податоци“). При проценка на соодветното ниво на безбедност, тие треба да ги земат предвид најновите технолошки достигнувања, трошоците за спроведување, природата, обемот, контекстот и целта/ите на обработката, како и ризиците вклучени во обработката за субјектот на лични податоци. Договорните страни треба да ја разгледаат особено можноста за примена на мерки за криптирање или псевдонимизација, вклучувајќи и при пренесувањето, а каде што целта на обработката може да се исполни на таков начин.
Договорните страни се согласуваат за техничките и организациските мерки утврдени во Анексот бр.2. Увозникот на лични податоци ќе треба да спроведува редовни проверки за да се обезбеди дека овие мерки продолжуваат да обезбедуваат соодветно ниво на безбедност.
Увозникот на лични податоци гарантира дека лицата овластени за обработка на личните податоци се обврзани на доверливост или се под соодветна законска обврска за доверливост.
Во случај на нарушување на безбедноста на личните податоци кои ги обработува увозникот на лични податоци според овие Xxxxxxxx, увозникот треба да преземе соодветни мерки за справување со нарушувањето на безбедноста на личните податоци, вклучувајќи и мерки за ублажување на неговите можни негативни ефекти.
Во случај кога нарушувањето на безбедноста на личните податоци може да доведе до ризик за правата и слободите на физичките лица, увозникот на лични податоци веднаш треба го извести извозникот на лични податоци и Агенцијата за заштита на личните податоци (АЗЛП) согласно Xxxxxxxxxx 13. Таквото известување содржи а) опис на природата на нарушувањето на безбедноста (вклучувајќи, каде што е можно, категории и приближниот број на засегнати субјекти на лични податоци и засегнати евидентирани лични податоци), б) негови можни последици, в) преземени или предложени мерки за справување со нарушувањето на безбедноста и г) детали за лицето за контакт од кое може да се добијат повеќе информации. Доколку е невозможно увозникот на лични податоци да ги обезбеди сите информации истовремено, тоа може да го стори во фази без понатамошно непотребно одлагање.
Во случај кога нарушувањето на безбедноста на личните податоци може да резултира со висок ризик за правата и слободите на физичките лица, увозникот на лични податоци веднаш треба да ги извести засегнатите субјекти на личните податоци за нарушувањето на безбедноста на личните податоци и неговата природа, доколку е потребно во соработка со извозникот на лични податоци, заедно со информациите наведени во ставот 5, точки од б) до г) од оваа Клаузула, освен ако увозникот на лични податоци не спроведе мерки за значително намалување на ризикот врз правата или слободите на физичките лица, или известувањето би вклучувало несразмерен напор. Во случај кога би претставувало значителен напор, увозникот на лични податоци наместо тоа, треба да издаде јавно известување или да примени друга слична мерка за да ја информира јавноста за нарушувањето на безбедноста на личните податоци.
Увозникот на лични податоци треба да ги документира сите релевантни факти во врска со нарушувањето на безбедноста на личните податоци, вклучувајќи ги и нејзините последици, како и сите преземени активности за справување со нарушувањето, при што води евиденција за тоа.
Посебни категории на лични податоци
Кога преносот вклучува лични податоци кои откриваат расно или етничко потекло, политички мислења, верски или филозофски убедувања или членство во синдикални организации, како и генетски податоци или биометриски податоци со цел единствена идентификација на физичкото лице, податоци што се однесуваат на здравјето или сексуалниот живот на физичкото лице или сексуалната ориентација, или податоци што се однесуваат на казнени осуди или казнени дела (во натамошниот текст: посебни категории на лични податоци), увозникот на лични податоци треба да примени конкретни ограничувања и/или дополнителни заштитни мерки прилагодени на конкретната природа на податоците и вклучените ризици. Ова може да вклучува ограничување на персоналот со дозволен пристап до личните податоци, дополнителни безбедносни мерки (како псевдонимизација) и/или дополнителни ограничувања во врска со понатамошно откривање.
Понатамошни преноси
Увозникот на лични податоци не треба да ги открива личните податоци на трета страна лоцирана надвор од Република Северна Македонија (во истата земја со увозникот на лични податоци или во друга трета земја, во натамошниот текст: „понатамошен пренос“), освен ако третата страна е или се согласи да биде обврзана со овие Xxxxxxxx, под соодветниот Модул. Инаку, понатамошниот пренос од увозникот на лични податоци може да се изврши само ако:
а) тоа е кон земја која е опфатена со одлуката за соодветност согласно членот 49 од ЗЗЛП која што го опфаќа понатамошниот пренос;
б) третата страна на друг начин обезбедува соодветни заштитни мерки согласно членот 50 или членот 51 од ЗЗЛП во однос на предметната обработка;
в) третата страна влегува во обврзувачки инструмент со увозникот на лични податоци обезбедувајќи го истото ниво на заштита на личните податоци како и во овие Клаузули, а увозникот на лични податоци му обезбедува копија од овие заштитни мерки на извозникот на лични податоци;
г) тоа е потребно за утврдување, извршување или одбрана на правни барања во контекст на конкретни управни, регулаторни или судски постапки;
д) тоа е потребно со цел да се заштитат суштинските интереси на субјектот на лични податоци или на друго физичко лице; или
ѓ) кога не се применува ниту еден од другите услови, увозникот на лични податоци има добиено изречна согласност од субјектот на лични податоци за понатамошен пренос во конкретна ситуација, откако ќе го информира за неговата/ите цел/и, идентитетот на примателот и можните ризици од таквиот пренос до него поради недостаток на соодветни заштитни мерки за заштита на личните податоци. Во овој случај, увозникот на лични податоци го известува извозникот на лични податоци и на барање на извозникот, му доставува копија од информациите доставени до субјектот на лични податоци.
Секој понатамошен пренос е предмет на усогласување на увозникот на лични податоци со сите други заштитни мерки според овие Xxxxxxxx, во однос на ограничувањето на целите.
Обработка по овластување на увозникот на лични податоци
Увозникот на лични податоци треба да гарантира дека секое лице кое дејствува под негово овластување, вклучително и обработувачот, ги обработува личните податоци само според неговите упатства.
Документација и усогласување
Секоја Договорна страна треба да биде во можност да ја демонстрира усогласеноста со своите обврски според овие Xxxxxxxx. Увозникот на лични податоци треба да ја чува соодветната документација за активностите за обработка извршени под негова одговорност.
Увозникот на лични податоци треба да ја направи таквата документација достапна на АЗЛП на нејзино барање.
МОДУЛ ДВА: Пренос од контролор до обработувач
Упатства
Увозникот на лични податоци ги обработува личните податоци само по документирани упатства од извозникот на лични податоци. Извозникот на лични податоци може да дава такви упатства за времетраење на договорот.
Увозникот на лични податоци веднаш го известува извозникот на лични податоци доколку не е во можност да ги следи овие упатства.
Ограничување на целите
Увозникот на лични податоци треба да ги обработува личните податоци само за конкретна/ни цел/и на преносот, како што е утврдено во Анексот бр.1Б, освен доколку не се дадени понатамошни упатства од страна на извозникот на лични податоци.
Транспарентност
Извозникот на лични податоци на барање на субјектот на лични податоци ќе му направи бесплатна копија од овие Xxxxxxxx, вклучувајќи го и Додатокот што го пополнуваат Договорните страни. Во случај на заштита на деловна тајна, или други доверливи информации, вклучувајќи ги и мерките опишани во Анексот бр.2, како и лични податоци, извозникот на лични податоци пред да ја достави копијата од Додатокот на овие Xxxxxxxx, може дел од текстот на истиот да го редактира (да примени механизми за прикривање на дел од текстот), при што треба да обезбеди и смислен краток опис во случај кога субјектот на лични податоци не е во можност да ја разбере неговата содржина или да ги користи неговите права. Договорните страни на барање на субјектите на лични податоци ќе ги информираат за причините за редактирањето без при тоа да ги откријат изменетите информации. Оваа клаузула не е во спротивност со обврските за извозникот на лични податоци според членовите 17 и 18 од ЗЗЛП.
Точност
Доколку увозникот на лични податоци дојде до знаење дека личните податоци што ги примил се неточни или се неажурирани, тој треба веднаш да го извести извозникот на лични податоци. Во овој случај, увозникот на лични податоци треба да соработува со извозникот на лични податоци за бришење или исправка на податоците.
Времетраење на обработката и бришење или враќање на податоците
Обработката од страна на увозникот на лични податоци се одвива само во текот за времетраењето одредено во Анексот бр.1Б. По завршување на обезбедување на услугите за обработка, увозникот на лични податоци треба по избор на извозникот на лични податоци, да ги избрише сите лични податоци обработени во негово име и да му потврди на извозникот дека го сторил тоа, или да ги врати на извозникот сите лични податоци обработени во негово име и да ги избрише постоечките копии. Додека податоците не бидат избришани или вратени, увозникот на лични податоци треба да продолжи да обезбедува усогласеност со овие Клаузули. Во случај на постоење на локален закон на којшто подлежи увозникот на лични податоци, а кој забранува враќање или бришење на личните податоци, увозникот на лични податоци гарантира дека тој ќе продолжи да обезбедува усогласеност со овие Xxxxxxxx и ќе ги обработува само до степен и онолку колку што е потребно според тој закон. Ова не е во спротивност со Xxxxxxxxxx 14, особено барањето за увозникот на лични податоци според Xxxxxxxxxx 14 став 5 да го известува извозникот на лични податоци во текот на времетраењето на договорот ако има причина да верува дека тој е или станал предмет на закони или практики кои не се во согласност со барањата според Xxxxxxxxxx 14 став 1.
Безбедност на обработката
Увозникот на лични податоци и извозникот на лични податоци при пренесувањето треба да спроведат соодветни технички и организациски мерки за да се обезбеди безбедноста на податоците, вклучувајќи и заштита од нарушување на безбедноста која доведува до случајно или незаконско уништување, губење, менување, неовластено откривање или пристап до тие податоци (во натамошниот текст: „нарушување на безбедноста на личните податоци“). При проценка на соодветното ниво на безбедност, Договорните страни треба да ги земат предвид најновите технолошки достигнувања, трошоците за спроведување, природата, обемот, контекстот и целта/ите на обработката, како и ризиците вклучени во обработката за субјектите на лични податоци. Договорните страни треба да ја разгледаат особено можноста за примена на мерки за криптирање или псевдонимизација, вклучувајќи и при пренесувањето, а каде што целта на обработката може да се исполни на таков начин. Во случај на псевдонимизација, дополнителните информации за личните податоци преку кои ќе може да се идентификува одреден субјект на лични податоци, каде што е можно, треба да останат под контрола исклучиво на извозникот на лични податоци. Во согласност со своите обврски од овој став, увозникот на лични податоци ќе треба најмалку да ги спроведе техничките и организациските мерки наведени во Анексот бр.2. Увозникот на лични податоци треба да спроведува редовни проверки за да се обезбеди дека овие мерки продолжуваат да обезбедуваат соодветно ниво на безбедност.
Увозникот на лични податоци ќе им овозможи пристап до личните податоци на членовите од неговиот персонал само до тој степен кој е строго неопходен за спроведување, управување и следење на договорот, при што ќе обезбеди дека лицата овластени за обработка на лични податоци се обврзани на доверливост или се под соодветна законска обврска за доверливост.
Во случај на нарушување на безбедноста на личните податоци во врска со личните податоци што ги обработува увозникот на лични податоци според овие Xxxxxxxx, увозникот треба да презема соодветни мерки за справување со нарушувањето на безбедноста, вклучувајќи и мерки за ублажување на неговите негативни ефекти. Исто така, увозникот на лични податоци веднаш треба да го извести извозникот на лични податоци, откако дознал за нарушувањето на безбедноста. Таквото известување ги содржи деталите за лицето за контакт каде што може да се добијат повеќе информации, опис на природата на нарушувањето на безбедноста (вклучувајќи, каде што е можно, категории и приближен број на засегнати субјекти на лични податоци и засегнати евидентирани лични податоци), неговите можни последици, како и преземени или предложени мерки за справување со нарушувањето на безбедноста, вклучувајќи, каде што е соодветно, мерки за ублажување на неговите можни негативни ефекти. Во случај и доколку не е можно да се обезбедат сите информации истовремено, првичното известување ги содржи информациите што тогаш се достапни, а дополнителните информации, како што ќе стануваат достапни, така се обезбедуваат без непотребно одложување.
Увозникот на лични податоци треба да соработува и да му помага на извозникот на лични податоци за да му овозможи на извозникот на лични податоци да ги почитува своите обврски согласно XXXX, особено за да ја извести АЗЛП и засегнатите субјекти на лични податоци, земајќи ја предвид природата на обработката и информациите што му се достапни на увозникот на лични податоци.
Посебни категории на лични податоци
Кога преносот вклучува лични податоци кои откриваат расно или етничко потекло, политички мислења, верски или филозофски убедувања или членство во синдикални организации, како и генетски податоци или биометриски податоци со цел единствена идентификација на физичкото лице, податоци што се однесуваат на здравјето или сексуалниот живот на физичкото лице или сексуалната ориентација или податоци што се однесуваат на казнени осуди и казнени дела (во натамошниот текст: посебни категории на лични податоци), увозникот на лични податоци треба да примени конкретни ограничувања и/или дополнителни заштитни мерки кои се опишани во Анексот бр.1 Б.
Понатамошни преноси
Увозникот на лични податоци треба да ги открива личните податоци на трета страна само според документирани упатства од страна на извозникот на лични податоци. Покрај тоа, податоците можат да бидат откриени на трета страна лоцирана надвор од Република Северна Македонија (во истата земја со увозникот на лични податоци или во друга трета земја, во натамошниот текст „понатамошен пренос“), само доколку третата страна е или се согласи да биде обврзана со овие Клаузули, според соодветниот Модул, или ако:
а) понатамошниот пренос е во земја која е опфатена со одлуката за соодветност согласно членот 49 од ЗЗЛП, а која го опфаќа тој пренос;
б) третата страна на друг начин обезбедува соодветни заштитни мерки согласно членот 50 или членот 51 од ЗЗЛП во однос на предметната обработка;
в) понатамошниот пренос е неопходен за утврдување, извршување или одбрана на правни барања во контекст на конкретни управни, регулаторни или судски постапки; или
г) понатамошниот пренос е неопходен со цел да се заштитат суштинските интереси на субјектот на лични податоци или на друго физичко лице.
Секој понатамошен пренос е предмет на усогласување на увозникот на лични податоци со сите други заштитни мерки според овие Xxxxxxxx, особено во однос на ограничувањето на целите.
Документација и усогласување
1. Увозникот на лични податоци треба веднаш и соодветно да се справи со прашањата од извозникот на лични податоци коишто се однесуваат на обработката според овие Xxxxxxxx.
2. Договорните страни треба да бидат во можност да ја демонстрираат својата усогласеност со овие Xxxxxxxx. Особено, увозникот на лични податоци треба да ја чува соодветната документација за активностите за обработка извршени во име на извозникот на лични податоци.
3. Увозникот на лични податоци треба да му ги стави на располагање на извозникот на лични податоци сите информации потребни за да се демонстрира усогласеноста со обврските утврдени во овие Клаузули и на барање на извозникот на лични податоци, дозволува и придонесува за ревизии на активностите за обработка опфатени со овие Клаузули, во разумни интервали или ако има индикации за неусогласеност. При одлучување за преглед или ревизија, извозникот на лични податоци може да ги земе предвид релевантните сертификации што ги има увозникот на лични податоци.
4. Извозникот на лични податоци може да избере да ја спроведе ревизијата сам или да назначи независен ревизор. Ревизиите може да вклучуваат инспекции во просториите или физичките објекти на увозникот на лични податоци и доколку е соодветно, ќе се вршат со разумно известување.
5. Договорните страни треба да ги направат достапни информациите наведени во ставовите 2. и 3. од оваа Клауазула, вклучувајќи ги и резултатите од сите ревизии на АЗЛП на нејзино барање.
МОДУЛ ТРИ: Пренос од обработувач на обработувач
Упатства
Извозникот на лични податоци го известил увозникот на лични податоци дека дејствува како обработувач според упатствата на неговиот/те контролор/и, а за ова увозникот на лични податоци треба да биде информиран од извозникот на лични податоци пред да ја започне обработката на личните податоци.
Увозникот на лични податоци треба да ги обработува личните податоци само според документираните упатства на контролорот, како што извозникот на лични податоци му ги соопштил на увозникот на лични податоци, како и според сите дополнителни документирани упатства од извозникот на лични податоци. Таквите дополнителни упатства не треба да бидат во спротивност со упатствата од контролорот. Контролорот или извозникот на лични податоци може да даде дополнителни документирани упатства во врска со обработката на личните податоци за времетраењето на договорот.
Увозникот на лични податоци треба веднаш да го извести извозникот на лични податоци доколку не е во можност да ги следи тие упатства. Кога увозникот на лични податоци не е во можност да ги следи упатствата од контролорот, извозникот на лични податоци веднаш го известува контролорот.
Извозникот на лични податоци гарантира дека на увозникот на лични податоци му ги наложил истите обврски за заштита на личните податоци како што е утврдено во договорот или друг правен акт согласно закон, помеѓу контролорот и извозникот на лични податоци2.
Ограничување на целите
Увозникот на личните податоци треба да ги обработува личните податоци само за конкретна/и цел/и на преносот, како што е утврдено во Анекс бр.1Б., освен ако не се дадени дополнителни упатства од контролорот, како што му се соопштени на увозникот преку извозникот на личните податоци, или од извозникот.
Транспарентност
Извозникот на лични податоци на барање на субјектот на лични податоци ќе му направи бесплатна копија од овие Xxxxxxxx, вклучувајќи го и Додатокот што го пополнуваат Договорните страни. Во случај на заштита на деловна тајна, или други доверливи информации, вклучувајќи и лични податоци, извозникот на лични податоци пред да ја достави копијата од Додатокот, можат дел од текстот на истиот да го редактираат (да применат механизми за прикривање на дел од текстот), при што треба да обезбедат и смислен краток опис во случај кога субјектот на лични податоци не е во можност да ја разбере неговата содржина или да ги користи неговите права. Договорните страни на барање на субјектите на лични податоци ќе ги информираат за причините за редактирањето без при тоа да ги откријат изменетите информации.
Точност
Доколку увозникот на лични податоци дојде до знаење дека личните податоци што ги примил се неточни или не се ажурирани, тој треба веднаш да го извести извозникот на личните податоци. Во овој случај, увозникот на личните податоци треба да соработува со извозникот на личните податоци за да ги исправи или избрише податоците.
Времетраење на обработката и бришење или враќање на личните податоци
Обработката од страна на увозникот на лични податоци се одвива само во текот на времетраењето одредено во Анексот бр.1Б. По завршување на обезбедување на услугите за обработка, увозникот на лични податоци треба по избор на извозникот на лични податоци, да ги избрише сите лични податоци обработени во име на контролорот и да му потврди на извозникот на личните податоци дека го сторил тоа, или да ги врати на извозникот на лични податоци сите лични податоци обработени во негово име и да ги избрише постоечките копии. Додека податоците не бидат избришани или вратени, увозникот на личните податоци треба да продолжи да обезбедува усогласеност со овие Клаузули. Во случај на постење на локален закон на коишто подлежи увозникот на лични податоци, а кој забранува враќање или бришење на личните податоци, увозникот на лични податоци гарантира дека тој ќе продолжи да обезбедува усогласеност со овие Xxxxxxxx и ќе ги обработува само до степен и онолку колку што е потребно според тој закон. Ова не е во спротивност со Xxxxxxxxxx 14, особено барањето за увозникот на лични податоци според Xxxxxxxxxx 14 став 5 да го известува извозникот на лични податоци во текот на времетраењето на договорот ако има причина да верува дека тој е или станал предмет на закони или практики кои не се во согласност со барањата според Xxxxxxxxxx 14 став 1.
Безбедност на обработката
Увозникот на лични податоци и извозникот на лични податоци при пренесувањето треба да спроведат соодветни технички и организациски мерки за да се обезбеди безбедноста на личните податоци, вклучувајќи и заштита од нарушување на безбедноста која доведува до случајно или незаконско уништување, губење, менување, неовластено откривање или пристап до тие лични податоци (во натамошниот текст „нарушување на безбедноста на личните податоци“). При проценка на соодветното ниво на безбедност, тие треба да ги земат предвид најновите технолошки достигнувања, трошоците за спроведување, природата, обемот, контекстот и целта/ите на обработката, како и ризиците вклучени во обработката за субјектите на лични податоци. Договорните страни треба да ја разгледаат особено можноста за примена на мерки за криптирање или псевдонимизација, вклучувајќи и при пренесувањето, а каде што целта на обработката може да се исполни на таков начин. Во случај на псевдонимизација, дополнителните информации за личните податоци преку кои ќе може да се идентификува одреден субјект на лични податоци, каде што е можно, треба да останат под контрола исклучиво на извозникот на лични податоци или контролорот. Во согласност со своите обврски од овој став, увозникот на лични податоци ќе треба најмалку да ги спроведе техничките и организациските мерки наведени во Анексот бр.2. Увозникот на лични податоци треба да спроведува редовни проверки за да се обезбеди дека овие мерки продолжуваат да обезбедуваат соодветно ниво на безбедност.
Увозникот на лични податоци ќе им овозможи пристап до личните податоци на членовите на неговиот персонал само до тој степен кој е строго неопходен за спроведување, управување и следење на договорот, при што ќе обезбеди дека лицата овластени за обработка на личните податоци се обврзани на доверливост или се под соодветна законска обврска за доверливост.
Во случај на нарушување на безбедноста на личните податоци во врска со личните податоци што ги обработува увозникот на лични податоци според овие Xxxxxxxx, увозникот на лични податоци треба да презема соодветни мерки за справување со нарушувањето на безбедноста, вклучувајќи и мерки за ублажување на неговите негативни ефекти. Исто така, увозникот на лични податоци, веднаш треба да го извести извозникот на лични податоци, во случаи кога е соодветно и возможно и контролорот, откако дознал за нарушувањето на безбедноста. Таквото известување ги содржи деталите за лицето за контакт каде што може да се добијат повеќе информации, опис на природата на нарушувањето на безбедноста (вклучувајќи, каде што е можно, категории и приближен број на засегнати субјекти на лични податоци и засегнати евидентирани лични податоци), неговите можни последици, како и преземени или предложени мерки за справување со нарушувањето на безбедноста, вклучувајќи, каде што е соодветно, мерки за ублажување на неговите можни негативни ефекти. Во случај и доколку не е можно да се обезбедат сите информации истовремено, првичното известување ги содржи информациите што тогаш се достапни, а дополнителните информации, како што ќе станат достапни, така се обезбедуваат без непотребно одложување.
Увозникот на лични податоци треба да соработува и да му помага на извозникот на лични податоци за да му овозможи на извозникот на лични податоци да ги почитува своите обврски согласно XXXX, особено за да го извести неговиот контролор за тој да може за возврат да ја извести АЗЛП и засегнатите субјекти на лични податоци, земајќи ја предвид природата на обработката и информациите што се достапни на увозникот на лични податоци.
Посебни категории на лични податоци
Кога преносот вклучува лични податоци кои откриваат расно или етничко потекло, политички мислења, верски или филозофски убедувања или членство во синдикални организации, како и генетски податоци или биометриски податоци со цел единствена идентификација на физичкото лице, податоци што се однесуваат на здравјето или сексуалниот живот на физичкото лице или сексуалната ориентација или податоци што се однесуваат на казнени осуди и казнени дела (во натамошниот текст: посебни категории на лични податоци), увозникот на лични податоци треба да примени конкретни ограничувања и/или дополнителни заштитни мерки кои се опишани во Анексот бр.1Б.
Понатамошни преноси
Увозникот на лични податоци треба да ги открива личните податоци на трета страна само според документирани упатства од контролорот, а како што му е соопштено на увозникот на лични податоци од извозникот на лични податоци. Покрај тоа, податоците можат да бидат откриени на трета страна лоцирана надвор од Република Северна Македонија (во истата земја со увозникот на лични податоци или во друга трета земја, во натамошниот текст „понатамошен пренос“), само доколку третата страна е или се согласи да биде обврзана со овие Клаузули, според соодветниот Модул, или ако:
а) понатамошниот пренос е во земја која е опфатена со одлуката за соодветност согласно членот 49 од ЗЗЛП која го опфаќа понатамошниот пренос;
б) третата страна на друг начин обезбедува соодветни заштитни мерки согласно членот 50 или членот 51 од ЗЗЛП;
в) понатамошниот пренос е неопходен за утврдување, извршување или одбрана на правни барања во контекст на конкретни управни, регулаторни или судски постапки; или
г) понатамошниот пренос е неопходен со цел да се заштитат суштинските интереси на субјектот на лични податоци или на друго физичко лице.
Секој понатамошен пренос е предмет на усогласување на увозникот на лични податоци со сите други заштитни мерки според овие Xxxxxxxx, особено во однос на ограничувањето на целите.
Документација и усогласување
Увозникот на лични податоци треба веднаш и соодветно да се справи со прашањата од извозникот на лични податоци или од контролорот коишто се однесуваат на обработката според овие Xxxxxxxx.
Договорните страни треба да бидат во можност да ја демонстрираат својата усогласеност со овие Xxxxxxxx. Особено, увозникот на лични податоци треба да ја чува соодветната документација за активностите за обработка извршени во име на контролорот.
Увозникот на лични податоци треба да му ги стави на располагање на извозникот на лични податоци сите потребни информации за да се демонстрира усогласеност со обврските утврдени во овие Клаузули, а коишто му се доставуваат и на контролорот.
Увозникот на личните податоци треба да дозволи и да придонесе за ревизии од страна на извозникот на лични податоци за активностите за обработка опфатени со овие Клаузули, во разумни интервали или ако има индикации за неусогласеност. Истото треба да се применува кога извозникот на лични податоци бара ревизија по упатства на контролорот. При одлучување за ревизија, извозникот на лични податоци може да ги земе предвид релевантните сертификации што ги има увозникот на лични податоци.
Кога ревизијата се спроведува според упатства на контролорот, извозникот на лични податоци треба резултатите да ги става на располагање на контролорот.
Извозникот на лични податоци може да избере да ја спроведе ревизијата сам или да назначи независен ревизор. Ревизиите може да вклучуваат инспекции во просториите или физичките објекти на увозникот на лични податоци и доколку е соодветно, ќе се вршат со разумно известување
Договорните страни треба да ги направат достапни информациите наведени во ставовите 2 и 3 од оваа Xxxxxxxxx, вклучувајќи ги и резултатите од сите ревизии на АЗЛП на нејзино барање.
МОДУЛ ЧЕТИРИ: Пренос од обработувач на контролор
Упатства
Извозникот на лични податоци треба да ги обработува личните податоци само според документирани упатства од страна на увозникот на лични податоци кој дејствува како негов контролор.
Извозникот на лични податоци треба веднаш да го извести увозникот на лични податоци доколку не е во можност да ги следи овие упатства, вклучувајќи и ако тие упатства не го почитуваат ЗЗЛП.
Увозникот на лични податоци треба да се воздржи од какво било дејствие што би го спречило извозникот на лични податоци да ги исполнува своите обврски согласно ЗЗЛП, вклучувајќи и во контекст на подобработката или во врска со соработка со АЗЛП.
По завршување на обезбедувањето на услуги за обработка, извозникот на лични податоци, по избор на увозникот на лични податоци, треба да ги избрише сите лични податоци обработени во име на увозникот и да му потврди на увозникот дека го сторил тоа или да ги врати на увозникот сите лични податоци обработени во негово име, како и да ги избрише постојните копии.
Безбедност на обработката
Договорните страни треба да спроведат соодветни технички и организациски мерки за да ја обезбедат безбедноста на личните податоци, вклучувајќи и за време на пренесувањето, како и заштита од нарушување на безбедноста која доведува до случајно или незаконско уништување, губење, менување, неовластено откривање или пристап (во натамошниот текст „нарушување на безбедноста на личните податоци“). При проценка на соодветното ниво на безбедност, тие треба да ги земат предвид најновите технолошки достигнувања, трошоците за спроведување, природата на личните податоци3, природата, обемот, контекстот и целите на обработката и ризиците вклучени во обработката за субјектите на лични податоци, а особено можноста да се применат мерки за криптирање или псевдонимизација, вклучувајќи и при пренесувањето, кога целта на обработката може да се исполни на тој начин.
Извозникот на лични податоци треба да му помогне на увозникот на лични податоци во обезбедување на соодветна безбедност на личните податоци во согласност со ставот 1 на оваа Xxxxxxxx. Во случај на нарушување на безбедноста на личните податоци во врска со личните податоци што ги обработува извозникот на лични податоци согласно овие Xxxxxxxx, извозникот треба да го извести увозникот на лични податоци веднаш откако ќе дознае за тоа, како и да му помогне на увозникот во справувањето со нарушувањето на безбедноста.
Извозникот на лични податоци треба да гарантира дека лицата овластени за обработка на личните податоци се обврзани на доверливост или се под соодветна законска обврска за доверливост.
Документација и усогласување
Договорните страни треба да бидат во можност да ја демонстрираат својата усогласеност со овие Xxxxxxxx.
Извозникот на лични податоци треба да му ги стави на располагање на увозникот на лични податоци сите информации потребни за да ја демонстрира усогласеноста со своите обврски согласно овие Xxxxxxxx, како и да дозволи и да придонесе кон спроведување на ревизии.
Клаузула 9
Употреба на подобработувачи
МОДУЛ ДВА: Пренос од контролор на обработувач
Опција 1: ПРЕТХОДНО ПОСЕБНО ОВЛАСТУВАЊЕ. Увозникот на лични податоци нема да договори подизведувач за која било од неговите активности за обработка извршени во име на извозникот на лични податоци согласно овие Xxxxxxxx на друг подобработувач без претходно посебно писмено овластување од извозникот на лични податоци. Увозникот на лични податоци треба да го поднесе барањето за посебно овластување најмалку Наведете го временскиот период. пред ангажирање на подобработувачот, заедно со неопходните информации за да му се овозможи на извозникот на лични податоци да одлучи за овластувањето. Списокот на подобработувачи веќе овластени од извозникот на лични податоци се наведени во Анексот бр.3. Договорните страни треба редовно да го ажурираат Анексот бр.3.
Опција 2: ОПШТО ПИСМЕНО ОВЛАСТУВАЊЕ. Увозникот на лични податоци има општо овластување од извозникот на лични податоци за ангажирање на подобработувач/и од договорениот список. Увозникот на лични податоци треба посебно да го извести извозникот на лични податоци во писмена форма за какви било наменети промени на тој список преку додавање или замена на подобработувачи најмалку Наведете го временскиот период. однапред, со што на извозникот на лични податоци ќе му се даде доволно време да може да се спротивстави на таквите промени пред ангажирање на подобработувачот/ите. Увозникот на лични податоци треба да му ги обезбеди на извозникот на лични податоци потребните информации за да му се овозможи на извозникот на лични податоци да го искористи своето право на приговор.
Кога увозникот на лични податоци ангажира подобработувач за извршување на посебни активности за обработка (во име на извозникот на личните податоци), тоа треба да го стори преку писмен договор кој во суштина ги предвидува истите обврски за заштита на личните податоци како и оние што го обврзуваат увозникот на лични податоци согласно овие Клаузули, вклучувајќи и во однос на правата на субјектите на лични податоци како заинтересирани трети лица4. Договорните страни се согласуваат дека, усогласувајќи се со оваа Xxxxxxxx, увозникот на лични податоци ги исполнува своите обврски според Xxxxxxxxxx 8.8. Увозникот на лични податоци треба да гарантира дека подобработувачот е усогласен со обврските на кои подлежи увозникот на лични податоци во согласност со овие Xxxxxxxx.
На барање на извозникот на лични податоци, увозникот на лични податоци треба да обезбеди копија од таквиот договор со подобработувачот и какви било последователни негови измени и дополнувања. Во случај на заштита на деловна тајна, или други доверливи информации, вклучувајќи и лични податоци, увозникот на лични податоци пред да ја достави копијата, може текстот на договорот да го редактира (да примени механизми за прикривање на текстот).
Увозникот на лични податоци останува целосно одговорен пред извозникот на лични податоци за извршувањето на обврските на подобработувачот според неговиот договор со увозникот на лични податоци. Увозникот на лични податоци треба да го извести извозникот на лични податоци за каков било неуспех од страна на подобработувачот да ги исполни своите договорни обврски.
Увозникот на лични податоци треба да договори клаузула за заинтересирано трето лице со подобработувачот според која - во случај увозникот на лични податоци да престане да постои (смрт на физичкото лице), да престане законски да постои (престанување на правно лице) или стане неликвиден - извозникот на лични податоци да има право да го раскине договорот со подобработувачот и да му наложи на подобработувачот да ги избрише или врати личните податоци.
МОДУЛ ТРИ: Пренос од обработувач на обработувач
Опција 1: ПРЕТХОДНО ПОСЕБНО ОВЛАСТУВАЊЕ. Увозникот на лични податоци нема да договори подизведувач за која било од неговите активности за обработка извршени во име на извозникот на лични податоци според овие Клаузули на друг подобработувач без претходно посебно писмено овластување од контролорот. Увозникот на лични податоци треба да го поднесе барањето за посебно овластување најмалку Наведете го временскиот период. пред ангажирање на подобработувачот, заедно со неопходните информации за да му се овозможи на контролорот да одлучи за овластувањето при што ќе го информира извозникот на лични податоци за таквото ангажирање. Списокот на подобработувачи веќе овластени од контролорот се наведени во Анексот бр.3. Договорните страни треба редовно да го ажурираат Анексот бр.3.
Опција 2: ОПШТО ПИСМЕНО ОВЛАСТУВАЊЕ. Увозникот на лични податоци има општо овластување од контролорот за ангажирање на подобработувач/и од договорениот список. Увозникот на лични податоци треба посебно да го извести контролорот во писмена форма за какви било наменети промени на тој список преку додавање или замена на подобработувачи најмалку Наведете го временскиот период. однапред, со што на контролорот ќе му се даде доволно време за да може да се спротивстави на таквите промени пред ангажирање на подобработувачот/ите. Увозникот на лични податоци треба да му ги обезбеди на контролорот неопходните информации за да му се овозможи на контролорот да го искористи своето право на приговор. Увозникот на лични податоци го известува извозникот на лични податоци за ангажирањето на подобработувачот/ите.
Кога увозникот на лични податоци ангажира подобработувач за извршување на посебни активности за обработка (во име на контролорот), тоа треба да го стори преку писмен договор кој во суштина ги предвидува истите обврски за заштита на личните податоци како и оние кои го обврзуваат увозникот на лични податоци според овие Xxxxxxxx, вклучувајќи и во однос на правата на субјектите на лични податоци како заинтересирани трети лица5. Договорните страни се согласуваат дека, усогласувајќи се со оваа Xxxxxxxx, увозникот на лични податоци ги исполнува своите обврски според Xxxxxxxxxx 8.8. Увозникот на лични податоци треба да гарантира дека подобработувачот е усогласен со обврските на кои подлежи увозникот на лични податоци во согласност со овие Xxxxxxxx.
На барање на извозникот на лични податоци или на контролорот, увозникот на лични податоци треба да обезбеди копија од таквиот договор со подобработувачот и какви било последователни негови измени и дополнувања. Во случај на заштита на деловна тајна, или други доверливи информации, вклучувајќи и лични податоци, увозникот на лични податоци пред да ја достави копијата, може текстот на договорот да го редактира (да примени механизми за прикривање на текстот).
Увозникот на лични податоци останува целосно одговорен пред извозникот на лични податоци за извршувањето на обврските на подобработувачот според неговиот договор со увозникот на лични податоци. Увозникот на лични податоци треба да го извести извозникот на лични податоци за каков било неуспех од страна на подобработувачот да ги исполни своите договорни обврски.
Увозникот на лични податоци треба да договори клаузула за заинтересирано трето лице со подобработувачот според која - во случај увозникот на лични податоци да престане да постои (смрт на физичкото лице), да престане законски да постои (престанување на правно лице) или стане неликвиден - извозникот на лични податоци да има право да го раскине договорот со подобработувачот и да му наложи на подобработувачот да ги избрише или врати личните податоци.
Клаузула 10
Права на субјектите на лични податоци
МОДУЛ ЕДЕН: Пренос од контролор на контролор
Увозникот на лични податоци, каде што е релевантно и со помош на извозникот на лични податоци, треба да презема дејствија во однос на сите прашања и барања што ги добива од субјектот на лични податоци поврзани со обработката на неговите лични податоци, како и во однос на остварувањето на неговите права според овие Xxxxxxxx без непотребно одложување, а најдоцна во рок од еден месец од денот на приемот на прашањето или барањето6. Увозникот на лични податоци треба да преземе соодветни мерки за да ја олесни постапката за ваквите прашања, барања и остварување на правата на субјектот на лични податоци. Секоја информација доставена до субјектот на личните податоци треба да биде во разбирлива и лесно достапна форма со користење на јасен и едноставен јазик.
На барање на субјектот на лични податоци, увозникот на личните податоци треба бесплатно особено да му:
а) даде потврда за тоа дали се обработуваат лични податоци што се однесуваат на него и доколку е тоа случај, копија од податоците што се однесуваат на него, како и информации од Анексот бр.1; ако личните податоци биле пренесени или ќе бидат понатаму пренесени, да му обезбеди информации за примателите или категориите на приматели (на соодветен начин, со цел да се обезбедат значајни информации) на кои биле пренесени или ќе бидат понатаму пренесени личните податоци, целта на тој понатамошен пренос и нивната основа во согласност со Xxxxxxxxxx 8.7; како и да му обезбеди информации за правото да се поднесе барање до АЗЛП во согласност со Клаузулата 11 став 3 точка (а);
б) ги исправи неговите неточни или нецелосни лични податоци;
в) ги избрише неговите лични податоци доколку таквите податоци се во обработка или биле обработени во спротивност на која било од овие Xxxxxxxx со кои се обезбедуваат правата како заинтересирано трето лице, или ако тој ја повлекол неговата согласност врз која се обработуваат личните податоци.
Кога увозникот на лични податоци ги обработува личните податоци за цели на директен маркетинг, тој престанува да ги обработува за такви цели доколку субјектот на личните податоци приговори на таквата обработка.
Увозникот на лични податоци нема да донесе одлука заснована само на автоматска обработка на пренесените лични податоци (во натамошниот текст: „автоматска одлука“), што ќе произведе правни последици во однос на субјектот на лични податоци или слични последици кои значително ќе влијаат на него, освен ако е со изречна согласност на субјектот на лични податоци или доколку е овластен да го стори тоа според законите на земјата на дестинација, под услов таквите закони да утврдат соодветни заштитни мерки за правата и легитимните интереси на субјектот на лични податоци. Во овој случај, увозникот на лични податоци, доколку е потребно и во соработка со извозникот на лични податоци, треба да:
а) го информира субјектот на лични податоци за предвидената автоматска одлука, предвидените последици и вклучената логика; и
б) спроведе соодветни заштитни мерки, барем со тоа што ќе му овозможи на субјектот на лични податоци да ја оспори одлуката, да го изрази својот личен став, како и при одлучувањето да добие право на обезбедување на човечка интервенција.
Кога барањата од субјектот на лични податоци се прекумерни, особено поради нивниот повторлив карактер, увозникот на лични податоци може или да наплати разумен надомест земајќи ги предвид административните трошоци за одобрувањето на барањето или да одбие да постапува по барањето.
Увозникот на лични податоци може да го одбие барањето на субјектот на лични податоци ако таквото одбивање е дозволено според законите на земјата на дестинација и е неопходно и пропорционално во демократското општество за да се заштити една од целите наведени во членот 27 став (1) од ЗЗЛП.
Доколку увозникот на лични податоци има намера да го одбие барањето на субјектот на лични податоци, тој треба да го информира субјектот на лични податоци за причините за одбивањето и можноста за поднесување барање до АЗЛП и/или за барање за надомест на штета пред надлежен суд согласно закон.
МОДУЛ ДВА: Пренос од контролор на обработувач
Увозникот на лични податоци треба веднаш да го извести извозникот на лични податоци за секое барање што го добил од субјектот на лични податоци. Тој не треба да одговори на самото барање, освен ако не е овластен за тоа од извозникот на лични податоци.
Увозникот на лични податоци треба да му помогне на извозникот на лични податоци во исполнувањето на неговите обврски да одговори на барањата на субјектите на лични податоци за остварување на нивните права согласно ЗЗЛП. Во врска со ова, Договорните страни треба да ги наведат соодветните технички и организациски мерки во Анексот бр.2, земајќи ја предвид природата на обработката, со коишто ќе се обезбеди помош, како и обемот и опсегот на потребната помош.
Во исполнувањето на своите обврски од ставовите 1 и 2 на оваа Xxxxxxxx, увозникот на лични податоци треба да се усогласува со упатствата од страна на извозникот на лични податоци.
МОДУЛ ТРИ: Пренос од обработувач на обработувач
Увозникот на лични податоци треба веднаш да го извести извозникот на лични податоци, а кога е соодветно и контролорот, за секое барање што го добил од субјектот на лични податоци, без да одговори на тоа барање освен ако за тоа не е овластен од контролорот.
Увозникот на лични податоци, во случај кога е соодветно и во соработка со извозникот на лични податоци, треба да му помогне на контролорот во исполнувањето на неговите обврски да одговори на барањата на субјектите на лични податоци за остварување на нивните права согласно ЗЗЛП. Во врска со ова, Договорните страни треба да ги наведат соодветните технички и организациски мерки во Анексот бр.2, земајќи ја предвид природата на обработката, со коишто ќе се обезбеди помош, како и обемот и опсегот на потребната помош.
Во исполнувањето на своите обврски од ставовите 1 и 2 од оваа Xxxxxxxx, увозникот на лични податоци треба да се усогласува со упатствата од страна на контролорот, како што му се соопштени од извозникот на лични податоци.
МОДУЛ ЧЕТИРИ: Пренос од обработувач на контролор
Договорните страни треба да си помагаат едни на други во одговарање на прашањата и барањата на субјектите на лични податоци согласно локалниот закон којшто се применува на увозникот на лични податоци или, за обработката на личните податоци од страна на извозникот на лични податоци во Република Северна Македонија според ЗЗЛП.
Клаузула 11
Надомест на штета
Увозникот на лични податоци треба да ги информира субјектите на лични податоци во транспарентен и лесно достапен формат, преку индивидуално известување или на својата веб-страница за контакт лицето овластено да постапува со барања, а кое веднаш се справува со сите барања што ги добива од субјектот на лични податоци.
[ОПЦИЈА: Увозникот на лични податоци се согласува дека субјектите на лични податоци исто така можат да поднесат барање до независно тело за решавање спорови7 без никаков трошок за субјектот на лични податоци. Тој треба да ги информира субјектите на лични податоци, на начинот утврден во ставот 1. од оваа Клаузула, за таквиот механизам за надомест на штета и дека од нив не се бара да го ко ристат или да следат одреден редослед при барањето за надомест на штета.]
МОДУЛ ЕДЕН: Пренос од контролор на контролор
МОДУЛ ДВА: Пренос од контролор на обработувач
МОДУЛ ТРИ: Пренос од обработувач на обработувач
Во случај на спор помеѓу субјектот на лични податоци и една од Договорните страни во однос на усогласеноста со овие Xxxxxxxx, таа Договорна страна треба да ги вложи своите најголеми напори навремено да го реши проблемот и на пријателски начин. Договорните страни треба да се информираат едни со други за ваквите спорови и каде што е соодветно ќе соработуваат во решавањето на истите.
Доколку субјектот на лични податоци се повика на правото на заинтересирано трето лице во согласност со Xxxxxxxxxx 3, увозникот на личните податоци ја прифаќа одлуката на субјектот на лични податоци да:
а) поднесе барање до АЗЛП согласно Клаузулата 13;
б) го упати спорот до надлежните судови во смисла на Клаузулата 18.
Договорните страни прифаќаат дека субјектот на лични податоци може да биде претставен од здружение под условите утврдени во членот 100 став (1) од ЗЗЛП.
Увозникот на лични податоци треба да се придржува до одлуката што е обврзувачка според важечкото законодавство на Република Северна Македонија.
Увозникот на лични податоци се согласува дека изборот направен од субјектот на лични податоци нема да ги наруши неговите материјални и процесни права да бара правни лекови во согласност со важечките закони.
Клаузула 12
Одговорност
МОДУЛ ЕДЕН: Пренос од контролор на контролор
МОДУЛ ЧЕТИРИ: Пренос од обработувач на контролор
Секоја Договорна страна е одговорна за каква било штета што ѝ ја предизвикало на другата/ите Договорна/и страна/и со какво било кршење на овие Клаузули.
Секоја Договорна страна е одговорна пред субјектот на лични податоци, а субјектот на лични податоци има право да добие надомест за каква било материјална или нематеријална штета која Договорната страна ја предизвикува на субјектот на личните податоци со кршење на правата како заинтересирано трето лице според овие Xxxxxxxx. Ова не е во спротивност со одговорноста на извозникот на лични податоци според ЗЗЛП.
Кога повеќе од една Договорна страна е одговорна за каква било штета предизвикана на субјектот на личните податоци како резултат на кршење на овие Клаузули, сите Договорни страни ќе бидат солидарно и поединечно одговорни и субјектот на лични податоци има право да покрене тужба на суд против која било од овие Договорни страни.
Договорните страни се согласуваат дека ако едната Договорна страна е одговорна според ставот 3 на оваа Xxxxxxxx, таа има право да го бара од другата/ите Договорна/и страна/и тој дел од надоместокот што одговара на нејзината/нивната одговорност за штетата.
Увозникот на лични податоци не може да се повика на однесување на обработувач или подобработувач за да ја избегне сопствената одговорност.
МОДУЛ ДВА: Пренос од контролор на обработувач
МОДУЛ ТРИ: Пренос од обработувач на обработувач
Секоја Договорна страна е одговорна за каква било штета што ѝ ја предизвикало на другата/ите Договорна/и страна/и со какво било кршење на овие Клаузули.
Увозникот на лични податоци е одговорен пред субјектот на лични податоци, а субјектот на лични податоци има право да добие надомест за каква било материјална или нематеријална штета којашто увозникот на лични податоци или неговиот подобработувач ја предизвикува на субјектот на личните податоци со кршење на правата како заинтересирано трето лице според овие Xxxxxxxx.
Без оглед на ставот 2 од оваа Xxxxxxxx, извозникот на лични податоци е одговорен пред субјектот на лични податоци, а субјектот на лични податоци има право да добие надомест за каква било материјална или нематеријална штета којашто извозникот на лични податоци или увозникот на лични податоци (или неговиот подобработувач) ја предизвикува на субјектот на лични податоци со кршење на правата како заинтересирано трето лице според овие Клаузули. Ова не е во спротивност со одговорноста на извозникот на лични податоци, и кога извозникот на лични податоци е обработувач кој дејствува во име на контролор, како и на одговорноста на контролорот според ЗЗЛП, како што е применливо.
Договорните страни се согласуваат дека доколку извозникот на лични податоци е одговорен според ставот 3 од оваа Xxxxxxxx за штети предизвикани од увозникот на лични податоци (или неговиот подобработувач), тој има право да му го врати на увозникот тој дел од надоместокот што одговара според одговорноста на увозникот за штетата.
Кога повеќе од една Договорна страна е одговорна за каква било штета предизвикана на субјектот на лични податоци како резултат на кршење на овие Xxxxxxxx, сите одговорни Договорни страни ќе бидат солидарно и поединечно одговорни и субјектот на лични податоци има право да покрене тужба на суд против која било од овие Договорни страни.
Договорните страни се согласуваат дека ако едната Договорна страна е одговорна според ставот 5 од оваа Xxxxxxxx, таа има право да го бара од другата/ите Договорна/и страна/и тој дел од надоместокот што одговара на нејзината/нивната одговорност за штетата.
Увозникот на лични податоци не може да се повика на однесување на подобработувач за да ја избегне сопствената одговорност.
Клаузула 13
Супервизија
МОДУЛ ЕДЕН: Пренос од контролор на контролор
МОДУЛ ДВА: Пренос од контролор на обработувач
МОДУЛ ТРИ: Пренос од обработувач на обработувач
[Кога извозникот на лични податоци е основан во Република Северна Македонија:] АЗЛП е одговорна за обезбедување на усогласеност од страна на извозникот на лични податоци со ЗЗЛП во однос на преносот на лични податоци, како што е наведено во Анексот 1В., и ќе дејствува како надлежен надзорен орган.
[Кога извозникот на лични податоци не е основан во Република Северна Македонија, но спаѓа во територијалниот опсег на примена на ЗЗЛП во согласност со членот 3 став (2) и има определено претставник согласно членот 31 став (1) од ЗЗЛП:] АЗЛП во смисла на членот 31 став (1) од ЗЗЛП, како што е наведено во Анексот 1В., ќе дејствува како надлежен надзорен орган.
[Кога извозникот на лични податоци не е основан во Република Северна Македонија, но спаѓа во територијалниот опсег на примена на ЗЗЛП во согласност со членот 3 став (2), без притоа да мора да определи претставник согласно членот 31 став (2) од ЗЗЛП:] АЗЛП во Република Северна Македонија каде се наоѓаат субјектите на лични податоци чии лични податоци се пренесуваат според овие Клаузули во врска со понудата на стоки или услуги на нив или чие однесување се следи, како што е наведено во Анексот 1В., ќе дејствува како надлежен надзорен орган.
Увозникот на лични податоци се согласува да прифати надлежност на АЗЛП и да соработува со АЗЛП во какви било постапки насочени кон обезбедување на усогласеност со овие Клаузули. Увозникот на лични податоци особено се согласува да одговори на прашањата, да се подложи на ревизии и да се усогласи со мерките донесени од АЗЛП, вклучително и мерките за надоместување и компензација, при што ќе и обезбеди на АЗЛП писмена потврда дека се преземени неопходните активности.
ДЕЛ III - ЛОКАЛНИ ЗАКОНИ И ОБВРСКИ ВО СЛУЧАЈ НА ПРИСТАП ОД ЈАВНИ ОРГАНИ
Клаузула 14
Локални закони и практики кои влијаат на усогласеноста со Xxxxxxxxxx
МОДУЛ ЕДЕН: Пренос од контролор на контролор
МОДУЛ ДВА: Пренос од контролор на обработувач
МОДУЛ ТРИ: Пренос од обработувач на обработувач
МОДУЛ ЧЕТИРИ: Пренос од обработувач на контролор (кога обработувачот од Република Северна Македонија ги комбинира личните податоци добиени од контролорот од трета земја со лични податоци собрани од обработувачот во Република Северна Македонија)
Договорните страни гарантираат дека немаат причина да веруваат дека законите и практиките во третата земја на дестинација коишто се применуваат за обработка на лични податоци од страна на увозникот на лични податоци, вклучувајќи и какви било барања за откривање на лични податоци или мерки за одобрување на пристап од јавните органи, го спречуваат увозникот на лични податоци да ги исполнува своите обврски согласно овие Xxxxxxxx. Ова се заснова на разбирање дека законите и практиките што ја почитуваат суштината на основните човекови права и слободи не го надминуваат она што е потребно и пропорционално во едно демократско општество за да се заштити една од целите наведени во членот 27 став (1) од ЗЗЛП и дека не се во спротивност со овие Клаузули.
Договорните страни изјавуваат дека при обезбедување на гаранцијата од ставот 1 на оваа Клаузула, соодветно ги зеле предвид следниве елементи:
а) посебните околности на преносот, вклучувајќи ја должината на низата на обработката, бројот на вклучени страни и користените канали за пренесување; предвидените понатамошни преноси; видот на корисникот; целта на обработката; категориите и форматот на пренесените лични податоци; економскиот сектор во кој се случува преносот; локацијата за чување на пренесените лични податоци;
б) законите и практиките на третата земја на дестинација - вклучувајќи и оние што бараат откривање на лични податоци до јавните органи или одобрување на пристап од страна на таквите органи - релевантни во светло на посебните околности на преносот и применливите ограничувања и заштитни мерки8;
в) какви било релевантни договорни, технички или организациски заштитни мерки воспоставени за дополнување на заштитните мерки според овие Xxxxxxxx, вклучувајќи и мерки применети при пренесување и на обработката на лични податоци во земјата на дестинација.
Увозникот на лични податоци гарантира дека, при спроведувањето на проценката од ставот 2 на оваа Xxxxxxxx, се потрудил да му обезбеди на извозникот на лични податоци релевантни информации и се согласува дека ќе продолжи да соработува со извозникот за да се обезбеди усогласеност со овие Клаузули.
Договорните страни се согласуваат да ја документираат проценката според ставот 2 на оваа Xxxxxxxx и да ја стават на располагање на АЗЛП на нејзино барање.
Увозникот на лични податоци се согласува веднаш да го извести извозникот на лични податоци доколку, откако се согласил на овие Xxxxxxxx и за времетраењето на договорот, има причина да верува дека тој е или станал предмет на закони или практики што не се во согласност со барањата од ставот 1 на оваа Клаузула, вклучувајќи и следење на промена во законите на третата земја или мерка (како што е барање за откривање) која што укажува на примена на овие закони во практиката, што не е во согласност со барањата од ставот 1. на оваа Клаузула. [За Модул три: Извозникот на лични податоци го испраќа известувањето до контролорот.]
По известувањето согласно со ставот 5 на оваа Клаузула, или доколку извозникот на лични податоци има поинаква причина да верува дека увозникот на лични податоци не може повеќе да ги исполнува своите обврски согласно овие Xxxxxxxx, извозникот треба веднаш да идентификува соодветни мерки (на пр. технички или организациски мерки за да се обезбеди безбедност и доверливост) што треба да ги усвои извозникот и/или увозникот за справување со ситуацијата [за Модул три:, доколку е соодветно, во консултација со контролорот]. Извозникот на лични податоци треба да го прекине преносот на лични податоци ако смета дека не може да се обезбедат соодветни заштитни мерки за таквиот пренос или ако е наредено од [за Модул три: контролорот или] АЗЛП да го стори тоа. Во овој случај, извозникот на лични податоци има право да го раскине договорот, доколку се однесува на обработката на лични податоци според овие Xxxxxxxx. Доколку договорот вклучува повеќе од две Договорни страни, извозникот на лични податоци може да го искористи ова право на раскинување само во однос на соодветната Договорна страна, освен ако Договорните страни не се договориле поинаку. Кога договорот е раскинат во согласност со оваа Xxxxxxxx, ќе се применува Xxxxxxxxxx 16 ставови 4 и 5.
Клаузула 15
Обврски на увозникот на лични податоци во случај на пристап од јавните органи
МОДУЛ ЕДЕН: Пренос од контролор на контролор
МОДУЛ ДВА: Пренос од контролор на обработувач
МОДУЛ ТРИ: Пренос од обработувач на обработувач
МОДУЛ ЧЕТИРИ: Пренос од обработувач на контролор каде обработувачот од Република Северна Македонија ги комбинира личните податоци добиени од контролорот од трета земја со лични податоци собрани од обработувачот во Република Северна Македонија)
15.1 Известување
1. Увозникот на лични податоци се согласува навремено да го извести извозникот на лични податоци и кога е можно, субјектот на лични податоци (доколку е потребно со помош на извозникот на лични податоци) ако:
а) добие законски обврзувачко барање од јавен орган, вклучувајќи и судски органи, според законите на земјата на дестинација за откривање на лични податоци пренесени во согласност со овие Xxxxxxxx; таквото известување вклучува информации за бараните лични податоци, органот што ги бара, правната основа за барањето и дадениот одговор; или
б) стане свесен за секој директен пристап на јавните органи до личните податоци пренесени според овие Xxxxxxxx, а во согласност со законите на земјата на дестинација; таквото известување ги вклучува сите информации што му се достапни на увозникот.
[За Модул три: Извозникот на лични податоци треба да го испрати известувањето до контролорот.]
2. Доколку на увозникот на лични податоци му е забрането да го известува извозникот на личните податоци и/или субјектот на лични податоци според законите на земјата на дестинација, увозникот се согласува да ги вложи своите најдобри напори да добие ослободување од забраната, со цел да обезбеди што е возможно повеќе информации, а во најкус можен временски рок. Увозникот на лични податоци се согласува да ги документира своите најдобри напори за да може да ги демонстрира на барање на извозникот на личните податоци.
3. Кога е дозволено според законите на земјата на дестинација, увозникот на лични податоци се согласува да му обезбеди на извозникот на лични податоци, во редовни интервали за времетраење на договорот, што е можно повеќе релевантни информации за примените барања (особено број на барања, вид на барани лични податоци, орган/и кои поднеле барање, дали се оспорени барањата и исходот од ваквите постапки, итн.). [За Модул три: Извозникот на лични податоци треба да ги испрати информациите до контролорот.]
4. Увозникот на лични податоци се согласува да ги зачува информациите согласно ставовите од 1 до 3 од оваа Клазула за времетраењето на договорот и да ги стави на располагање на АЗЛП на нејзино барање.
5. Ставовите од 1 до 3 од оваа Xxxxxxxx не се во спротивност со обврската на увозникот на лични податоци во согласност со Xxxxxxxxxx 14 став 5 и Клаузулата 16 да го извести извозникот на лични податоци веднаш, доколку не е во можност да се усогласи со овие Клаузули.
15.2 Преглед на законитоста и минимален обем на податоци
1. Увозникот на лични податоци се согласува да ја разгледа законитоста на барањето за откривање, особено дали тоа останува во рамките на овластувањата доделени на јавниот орган што ги бара, како и да го оспори барањето доколку, по внимателно проценување, заклучи дека постојат разумни основи да се смета дека барањето е незаконско според законите на земјата на дестинација, применливите обврски според меѓународното право и начелата на меѓународната заедница. Увозникот на лични податоци под истите услови ќе ги бара можностите за поднесување на жалба. Кога оспорува барање, увозникот на лични податоци ќе бара привремени мерки со цел суспендирање на ефектите од барањето сè додека надлежниот судски орган не донесе одлука за неговата основа. Тој нема да ги открие бараните лични податоци сè додека не се побара тоа според важечките процесни правила. Овие барања не се во спротивност со обврските на увозникот на лични податоци според Xxxxxxxxxx 14 став 5.
2. Увозникот на лични податоци се согласува да ја документира својата правна проценка и какво било оспорување на барањето за откривање и до степенот што е дозволен според законите на земјата на дестинација, да ја направи документацијата достапна на извозникот на лични податоци, како и да ја стави на располагање на АЗЛП на нејзино барање. [За Модул три: Извозникот на лични податоци ја прави проценката достапна на контролорот.]
3. Увозникот на лични податоци се согласува да обезбеди минимален обем на дозволена информација кога одговара на барањето за откривање, засновано врз разумно толкување на барањето.
ДЕЛ IV – ЗАВРШНИ ОДРЕДБИ
Клаузула 16
Непочитување на Клаузулите и раскинување на договорот
Увозникот на лични податоци веднаш треба да го извести извозникот на лични податоци ако од која било причина не е во можност да ги почитува овие Xxxxxxxx.
Во случај увозникот на лични податоци да ги прекршил овие Xxxxxxxx или да не е во можност да ги почитува овие Xxxxxxxx, извозникот на лични податоци ќе го прекине преносот на лични податоци до увозникот на лични податоци сè додека повторно не се обезбеди усогласеност или не се раскине договорот. Ова не е во спротивност со Xxxxxxxxxx 14 став 6.
Извозникот на лични податоци има право да го раскине договорот, доколку се однесува на обработка на лични податоци според овие Xxxxxxxx, кога:
а) извозникот на лични податоци го прекинал преносот на лични податоци до увозникот на лични податоци во согласност со ставот 2 од оваа Xxxxxxxx и усогласеноста со овие клаузули не е обновена во разумен рок, а во секој случај во рок од еден месец од прекинувањето;
б) увозникот на лични податоци суштински или постојано ги прекршува овие Xxxxxxxx; или
в) увозникот на лични податоци не ја почитува обврзувачката одлука на надлежниот суд или АЗЛП во врска со неговите обврски според овие Xxxxxxxx.
Во овие случаи, тој ќе ја извести АЗЛП [за Модул три: и контролорот] за таквата неусогласеност. Кога договорот вклучува повеќе од две Договорни страни, извозникот на лични податоци може да го искористи ова право на раскинување само во однос на соодветната Договорна страна, освен ако Договорните страни не се договорат поинаку.
[За Модулите еден, два и три: Личните податоци што се пренесени пред раскинувањето на договорот согласно со ставот 3 на оваа Xxxxxxxx, по избор на извозникот на лични податоци, веднаш треба да бидат вратени на извозникот на лични податоци или да бидат избришани во целост. Истото се однесува на сите копии на податоците.] [За Модул четири: Личните податоци собрани од извозникот на лични податоци во Република Северна Македонија, кои се пренесени пред раскинувањето на договорот согласно со ставот 3 на оваа Клаузула, веднаш треба да се избришат во целост, вклучувајќи и која било нивна копија.] Увозникот на лични податоци го потврдува бришењето на податоците до извозникот на лични податоци. Додека личните податоци не се избришат или вратат, увозникот на лични податоци треба да продолжи да обезбедува усогласеност со овие Xxxxxxxx. Во случај на локални закони што се применуваат на увозникот на лични податоци кои забрануваат враќање или бришење на пренесените лични податоци, увозникот на лични податоци гарантира дека тој ќе продолжи да обезбедува усогласеност со овие Xxxxxxxx и ќе ги обработува податоците само до степен и сè додека тоа се бара според тој локален закон.
Секоја Договорна страна може да го поништи својот договор да биде обврзана со овие Xxxxxxxx кога (а) АЗЛП ќе донесе одлука согласно членот 49 став (3) од ЗЗЛП што опфаќа пренесување лични податоци за коишто се однесуваат овие Xxxxxxxx; или (б) Регулативата (ЕУ) 2016/679 станува дел од правната рамка на земјата во која се пренесуваат личните податоци. Ова не е во спротивност со другите обврски коишто се применуваат на предметната обработка според ЗЗЛП.
Клаузула 17
Владејачко право
Овие Xxxxxxxx ќе се толкуваат во согласност со законите во Република Северна Македонија.
Клаузула 18
Избор на суд и надлежност
Секој спор што произлегува од овие Клаузули го решаваат судовите на Република Северна Македонија.
Договорните страни се согласуваат дека тоа ќе биде _______________.
Субјектот на лични податоци исто така може да покрене правна постапка против извозникот на лични податоци и/или увозникот на лични податоци пред судовите на Република Северна Македонија.
ДОДАТОК
ОБЈАСНУВАЊЕ:
Мора да биде можно јасно да се разликуваат информациите кои се применуваат за секој пренос или категорија на преноси и во врска со ова, да се утврди соодветната улога/и на Договорните страни како извозник/ци на лични податоци и/или увозник/ци на лични податоци. Ова не мора неопходно да бара пополнување и потпишување на одделни додатоци за секој пренос/категорија на преноси и/или договорни односи, во случај кога оваа транспарентност може да се постигне преку еден додаток. Сепак, кога е потребно за да се обезбеди доволна јасност, треба да се користат посебни додатоци.
Анекс бр.1
СПИСОК НА ДОГОВОРНИ СТРАНИ
МОДУЛ ЕДЕН: Пренос од контролор на контролор
МОДУЛ ДВА: Пренос од контролор на обработувач
МОДУЛ ТРИ: Пренос од обработувач на обработувач
МОДУЛ ЧЕТИРИ: Пренос од обработувач на контролор
Извозник/ци на лични податоци: [Идентитет и контакт податоци на извозникот/ците на лични податоци и кога е применливо, на неговиот/нивниот офицер за заштита на личните податоци и/или претставник во Република Северна Македонија]
Назив/име и презиме:…
Седиште/Адреса:…
Име и презиме, позиција и контакт податоци на лицето за контакт:…
Активности релевантни за личните податоци кои се пренесуваат според овие Xxxxxxxx: …
Потпис и датум: …
Улога (контролор/обработувач): …
Извозник/ици на лични податоци: [Идентитет и контакт податоци на извозникот/ците на лични податоци, вклучувајќи и контакт податоци на одговорните лица за заштита на личните податоци]
Назив/име и презиме:…
Седиште/Адреса:…
Име и презиме, позиција и контакт податоци на лицето за контакт:…
Активности релевантни за личните податоци кои се пренесуваат според овие Xxxxxxxx: …
Потпис и датум: …
Улога (контролор/обработувач): …
Б. ОПИС НА ПРЕНОС
МОДУЛ ЕДЕН: Пренос од контролор на контролор
МОДУЛ ДВА: Пренос од контролор на обработувач
МОДУЛ ТРИ: Пренос од обработувач на обработувач
МОДУЛ ЧЕТИРИ: Пренос од обработувач на контролор
Категории на субјекти на лични податоци чиишто лични податоци се пренесуваат
………………………..
Категории на лични податоци коишто се пренесуваат
………………………..
Посебни категории на лични податоци коишто се пренесуваат (доколку е применливо) и применети ограничувања или заштитни мерки кои целосно ја земаат предвид природата на личните податоци и ризиците што се вклучени, како што е на пример строго ограничување на целите, ограничувања на пристапот (вклучувајќи и пристап само за персоналот што следел специјализирана обука), чување запис за пристап до податоците, ограничувања за понатамошен пренос или дополнителни безбедносни мерки.
………………………..
Динамика на преносот (на пр. дали личните податоци се пренесуваат еднократно или континуирано).
………………………..
Природа на обработката
………………………..
Цел/и на преносот на лични податоци и понатамошна обработка
………………………..
Временскиот период за кој ќе се чуваат личните податоци или, ако тоа не е можно, критериумите користени за одредување на тој период
………………………..
За пренос до (под)обработувачи, наведете го предметот, природата и времетраењето на обработката
………………………..
В. НАДЛЕЖЕН НАДЗОРЕН ОРГАН
МОДУЛ ЕДЕН: Пренос од контролор на контролор
МОДУЛ ДВА: Пренос од контролор на обработувач
МОДУЛ ТРИ: Пренос од обработувач на обработувач
АЗЛП согласно Клаузулата 13
Анекс бр.2
Технички и организациски мерки, вклучувајќи технички и организациски мерки за да се обезбеди безбедност на личните податоци
МОДУЛ ЕДЕН: Пренос од контролор на контролор
МОДУЛ ДВА: Пренос од контролор на обработувач
МОДУЛ ТРИ: Пренос од обработувач на обработувач
ОБЈАСНУВАЊЕ:
Техничките и организациските мерки мора да бидат опишани конкретно, (и не на општ начин). Погледнете го исто така општиот коментар на првата страница од Додатокот, особено за потребата јасно да се наведе кои мерки се применуваат за секој пренос/збир на преноси.
Опис на техничките и организациските мерки спроведени од увозникот/ците на лични податоци (вклучувајќи ги и сите релевантни сертификации) за да се обезбеди соодветно ниво на безбедност, земајќи ги предвид природата, обемот, контекстот и целта на обработката, како и ризиците за правата и слободите на физичките лица.
[Примери за можни мерки:
Мерки за псевдонимизација и криптирање на лични податоци
Мерки за обезбедување на постојана доверливост, интегритет, достапност и отпорност на системите и услугите за обработка
Мерки за обезбедување на можност за навремено враќање на достапноста и пристапот до личните податоци во случај на физички или технички инцидент
Процеси за редовно тестирање, проценка и оценување на ефективноста на техничките и организациските мерки со цел да се обезбеди безбедност на обработката
Мерки за идентификација и авторизација на корисникот
Мерки за заштита на личните податоци за време на пренесувањето
Мерки за заштита на личните податоци за време на чувањето
Мерки за обезбедување на физичка безбедност на локациите на кои се обработуваат лични податоци
Мерки за обезбедување на евиденција за секој пристап (logs)
Мерки за обезбедување на системска конфигурација, вклучувајќи и стандардна конфигурација
Мерки за внатрешна ИТ и безбедносно ИТ владеење и управување
Мерки за сертифицирање/обезбедување на процеси и производи
Мерки за обезбедување на минимален обем на податоци
Мерки за обезбедување на квалитет на податоци
Мерки за обезбедување на ограничено чување на личните податоци
Мерки за обезбедување на отчетност
Мерки за дозволување на преносливост на личните податоци и обезбедување на бришење]
За преноси до под(обработувачи), опишете ги и специфичните технички и организациски мерки што треба да ги преземе (под)обработувачот за да може да обезбеди помош на контролорот, како и за преноси од обработувач до подобработувач, до извозникот на личните податоци
Анекс бр.3
Список на подобработувачи
МОДУЛ ДВА: Пренос од контролор на обработувач
МОДУЛ ТРИ: Пренос од обработувач на обработувач
ОБЈАСНУВАЊЕ:
Овој прилог мора да се пополни за Модулите два и три, во случај на посебно овластување на подобработувачи (Клаузула 9 став 1, Опција 1).
Контролорот овластува користење на следните подобработувачи:
1. Назив/име и презиме:…
Седиште/Адреса: …
Име и презиме, позиција и контакт податоци на лицето за контакт:…
Опис на обработката (вклучувајќи и јасно разграничување на одговорностите во случај да се овластени неколку подобработувачи): …
2. …
1 Анонимизација се врши на таков начин што личните податоци на физичкото лице повеќе никој не може да го идентификува при што овој процес е неповратен.
2 Види член 32 став (4) од ЗЗЛП.
3 Ова вклучува дали преносот и понатамошната обработка вклучува лични податоци кои откриваат расно или етничко потекло, политички мислења, верски или филозофски убедувања или членство во синдикални организации, како и генетски податоци или биометриски податоци со цел единствена идентификација на физичкото лице, податоци што се однесуваат на здравјето или сексуалниот живот на физичкото лице или сексуалната ориентација или податоци што се однесуваат на казнени осуди или казнени дела.
4 Ова барање може да биде задоволено од подобработувачот кој пристапува на овие Xxxxxxxx според соодветниот Модул, во согласност со Xxxxxxxxxx 7.
5 Ова барање може да биде задоволено од подобработувачот кој пристапува на овие Клаузули според соодветниот Модул, во согласност со Клаузулата 7.
6 Тој период може да биде продолжен за најмногу уште два месеци, до степен што е неопходен, земајќи ја предвид комплексноста и бројот на барањата. Увозникот на лични податоци треба уредно и навремено да го информира субјектот на лични податоци за продолжувањето на рокот.
7 Увозникот на лични податоци може да понуди независно решавање на спорот преку арбитражно тело само доколку е основано во земја што ja има ратификувано Њујоршката конвенција за признавање и допуштање на извршување на арбитражните одлуки.
8 Што се однесува до влијанието на ваквите закони и практики врз усогласеноста со овие Клаузули, различни елементи може да се сметаат како дел од целокупната проценка. Таквите елементи може да вклучуваат релевантно и документирано практично искуство со претходни случаи на барање за откривање од јавни органи, или отсуство на такви барања, покривајќи доволно репрезентативна временска рамка. Ова особено се однесува на внатрешната евиденција или друга документација, составена на континуирана основа, во согласност со должно внимание и заверена на раководно ниво, под услов овие информации да можат законски да се споделуваат со трети страни. Кога се потпира на ова практично искуство, за да се заклучи дека увозникот на лични податоци нема да биде спречен да ги почитува овие Xxxxxxxx, тој треба да биде поддржан од други релевантни, објективни елементи, а на Договорните страни е да разгледаат внимателно дали овие елементи заедно носат доволно тежина, во смисла на нивната сигурност и репрезентативност, за да го поддржат овој заклучок. Договорните страни особено треба да земат предвид дали нивното практично искуство е потврдено и не е во спротивност со јавно достапни или на друг начин достапни, веродостојни информации за постоењето или отсуството на барањата во истиот сектор и/или примената на законот во практиката, како што се судската пракса и извештаи од независни тела за надзор.