ISSN 1977-0669

Επίσημη Εφημερίδα

της Ευρωπαϊκής Ένωσης

L 199

European flag  

Έκδοση στην ελληνική γλώσσα

Νομοθεσία

64ό έτος
7 Ιουνίου 2021


Περιεχόμενα

 

II   Μη νομοθετικές πράξεις

Σελίδα

 

 

ΚΑΝΟΝΙΣΜΟΙ

 

*

Εκτελεστικός κανονισμός (ΕΕ) 2021/909 της Επιτροπής, της 31ης Μαΐου 2021, σχετικά με τη δασμολογική κατάταξη ορισμένων εμπορευμάτων στη Συνδυασμένη Ονοματολογία

1

 

*

Εκτελεστικός κανονισμός (ΕΕ) 2021/910 της Επιτροπής, της 31ης Μαΐου 2021, σχετικά με τη δασμολογική κατάταξη ορισμένων εμπορευμάτων στη Συνδυασμένη Ονοματολογία

4

 

*

Εκτελεστικός κανονισμός (ΕΕ) 2021/911 της Επιτροπής, της 31ης Μαΐου 2021, σχετικά με τη δασμολογική κατάταξη ορισμένων εμπορευμάτων στη Συνδυασμένη Ονοματολογία

7

 

*

Εκτελεστικός κανονισμός (ΕΕ) 2021/912 της Επιτροπής, της 4ης Ιουνίου 2021, για την έγκριση τροποποιήσεων στις προδιαγραφές του νέου τροφίμου λακτο-N-νεοτετραόζη (μικροβιακής πηγής) και για την τροποποίηση του εκτελεστικού κανονισμού (ΕΕ) 2017/2470 ( 1 )

10

 

 

ΑΠΟΦΑΣΕΙΣ

 

*

Εκτελεστική απόφαση (ΕΕ) 2021/913 της Επιτροπής, της 3ης Ιουνίου 2021, σχετικά με τα εναρμονισμένα πρότυπα για τα οικιακά πλυντήρια πιάτων που εκπονήθηκαν προς υποστήριξη του κανονισμού (ΕΕ) 2019/2022 και του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2019/2017

13

 

*

Εκτελεστική απόφαση (ΕΕ) 2021/915 της Επιτροπής, της 4ης Ιουνίου 2021, για τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία βάσει του άρθρου 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του άρθρου 29 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 1 )

18

 

*

Εκτελεστική απόφαση (ΕΕ) 2021/914 της Επιτροπής, της 4ης Ιουνίου 2021, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου ( 1 )

31

 


 

(1)   Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ

EL

Οι πράξεις των οποίων οι τίτλοι έχουν τυπωθεί με λευκά στοιχεία αποτελούν πράξεις τρεχούσης διαχειρίσεως που έχουν θεσπισθεί στο πλαίσιο της γεωργικής πολιτικής και είναι γενικά περιορισμένης χρονικής ισχύος.

Οι τίτλοι όλων των υπολοίπων πράξεων έχουν τυπωθεί με μαύρα στοιχεία και επισημαίνονται με αστερίσκο.


II Μη νομοθετικές πράξεις

ΚΑΝΟΝΙΣΜΟΙ

7.6.2021   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 199/1


ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2021/909 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 31ης Μαΐου 2021

σχετικά με τη δασμολογική κατάταξη ορισμένων εμπορευμάτων στη Συνδυασμένη Ονοματολογία

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 952/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Οκτωβρίου 2013, για τη θέσπιση του ενωσιακού τελωνειακού κώδικα (1), και ιδίως το άρθρο 57 παράγραφος 4 και το άρθρο 58 παράγραφος 2,

Εκτιμώντας τα ακόλουθα:

(1)

Για να εξασφαλιστεί η ομοιόμορφη εφαρμογή της Συνδυασμένης Ονοματολογίας που προσαρτάται στον κανονισμό (ΕΟΚ) αριθ. 2658/87 του Συμβουλίου (2), είναι αναγκαίο να θεσπιστούν μέτρα όσον αφορά την κατάταξη των εμπορευμάτων που αναφέρονται στο παράρτημα του παρόντος κανονισμού.

(2)

Ο κανονισμός (ΕΟΚ) αριθ. 2658/87 προβλέπει τους γενικούς κανόνες για την ερμηνεία της Συνδυασμένης Ονοματολογίας (ΣΟ). Οι εν λόγω κανόνες ισχύουν επίσης και για κάθε άλλη ονοματολογία η οποία βασίζεται εν όλω ή εν μέρει στη ΣΟ ή προσθέτει σε αυτήν οποιαδήποτε νέα υποδιαίρεση και θεσπίζεται με ειδικές διατάξεις της Ένωσης με σκοπό την εφαρμογή δασμολογικών και άλλων μέτρων σχετικά με τις εμπορευματικές συναλλαγές.

(3)

Κατ’ εφαρμογή αυτών των γενικών κανόνων, τα εμπορεύματα που περιγράφονται στη στήλη (1) του πίνακα που περιλαμβάνεται στο παράρτημα θα πρέπει να καταταγούν στον κωδικό ΣΟ που εμφαίνεται στη στήλη (2), για τους λόγους που αναφέρονται στη στήλη (3) του εν λόγω πίνακα.

(4)

Είναι σκόπιμο να προβλεφθεί ότι ο δικαιούχος των δεσμευτικών δασμολογικών πληροφοριών, οι οποίες έχουν εκδοθεί σχετικά με τα εμπορεύματα που αφορά ο παρών κανονισμός και δεν είναι σύμφωνες με τον παρόντα κανονισμό, μπορεί να συνεχίσει να τις επικαλείται επί μια ορισμένη χρονική περίοδο, σύμφωνα με τις διατάξεις του άρθρου 34 παράγραφος 9 του κανονισμού (ΕΕ) αριθ. 952/2013. Η περίοδος αυτή θα πρέπει να είναι τρίμηνη.

(5)

Τα μέτρα που προβλέπονται στον παρόντα κανονισμό είναι σύμφωνα με τη γνώμη της Επιτροπής Τελωνειακού Κώδικα,

ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

Άρθρο 1

Τα εμπορεύματα που περιγράφονται στη στήλη (1) του πίνακα που περιλαμβάνεται στο παράρτημα κατατάσσονται στη Συνδυασμένη Ονοματολογία στον κωδικό ΣΟ που αναφέρεται στη στήλη (2) του εν λόγω πίνακα.

Άρθρο 2

Οι δεσμευτικές δασμολογικές πληροφορίες που δεν είναι σύμφωνες με τον παρόντα κανονισμό μπορούν να συνεχίσουν να αποτελούν αντικείμενο επίκλησης, σύμφωνα με τις διατάξεις του άρθρου 34 παράγραφος 9 του κανονισμού (ΕΕ) αριθ. 952/2013, κατά τη διάρκεια περιόδου τριών μηνών από την ημερομηνία έναρξης της ισχύος του παρόντος κανονισμού.

Άρθρο 3

Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 31 Μαΐου 2021.

Για την Επιτροπή,

εξ ονόματος της Προέδρου,

Gerassimos THOMAS

Γενικός Διευθυντής

Γενική Διεύθυνση Φορολογίας και Τελωνειακής Ένωσης


(1)   ΕΕ L 269 της 10.10.2013, σ. 1.

(2)  Κανονισμός (ΕΟΚ) αριθ. 2658/87 του Συμβουλίου, της 23ης Ιουλίου 1987, για τη δασμολογική και στατιστική ονοματολογία και το κοινό δασμολόγιο (ΕΕ L 256 της 7.9.1987, σ. 1).


ΠΑΡΑΡΤΗΜΑ

Περιγραφή των εμπορευμάτων

Κατάταξη (κωδικός ΣΟ)

Αιτιολογία

(1)

(2)

(3)

Εύκαμπτο είδος (αποκαλούμενο «μακαρόνι κολύμβησης») κατασκευασμένο από κυψελώδεις πλαστικές ύλες (αφρώδες πλαστικό) σε σχήμα κοίλου σωλήνα μήκους περίπου 1 m και διαμέτρου περίπου 8 cm. Το είδος επιπλέει στο νερό και παρουσιάζεται για χρήση ως βοήθημα άντωσης, σύμφωνα με το ευρωπαϊκό πρότυπο για βοηθήματα άντωσης για μαθήματα κολύμβησης (EN 13138-2:2014). Το είδος απορροφά επίσης την κρουστική ενέργεια και είναι θερμομονωτικό.

Βλ. εικόνες  (*1).

3926 90 97

Η κατάταξη καθορίζεται από τους γενικούς κανόνες 1 και 6 για την ερμηνεία της Συνδυασμένης Ονοματολογίας και από το κείμενο των κωδικών ΣΟ 3926 , 3926 90 και 3926 90 97 .

Η κατάταξη στην κλάση 9506 ως είδος και υλικό για τη φυσική αγωγή, τη γυμναστική, τον κλασικό αθλητισμό, τα άλλα αθλήματα ή τα παιχνίδια υπαίθρου αποκλείεται, διότι, λόγω του απλού, κοινού σχήματός του, το είδος δεν μπορεί να ταυτοποιηθεί ως είδος που είναι σχεδιασμένο για τη φυσική αγωγή ή τα αθλήματα της κλάσης 9506 , αν και, λόγω της ιδιότητάς του να επιπλέει, συμμορφώνεται με το πρότυπο για τα βοηθήματα άντωσης για μαθήματα κολύμβησης. Επιπλέον, λόγω του απλού σχήματος και του κοινού υλικού του, το είδος θα μπορούσε να χρησιμοποιηθεί για διάφορους σκοπούς (για παράδειγμα, ως προστατευτικό προϊόν για την απορρόφηση κρούσεων τυλιγμένο γύρω από στύλους, θερμομονωτικό προϊόν τυλιγμένο γύρω από σωλήνες, προϊόν για τη διασκέδαση των παιδιών).

Ομοίως, η κατάταξη στην κλάση 9503 ως άλλο παιχνίδι για παιδιά αποκλείεται, διότι το είδος δεν μπορεί να ταυτοποιηθεί με σαφήνεια ως είδος για τη διασκέδαση των παιδιών ή των ενηλίκων λόγω του σχεδιασμού του.

Κατά συνέπεια, το είδος πρέπει να καταταγεί σύμφωνα με τη συστατική του ύλη (πλαστικές ύλες).

Ως εκ τούτου, το είδος πρέπει να καταταγεί στον κωδικό ΣΟ 3926 90 97 , ως άλλο τεχνούργημα από πλαστικές ύλες.


(*1)  Οι εικόνες έχουν αποκλειστικά ενημερωτικό σκοπό.

Image 1


7.6.2021   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 199/4


ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2021/910 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 31ης Μαΐου 2021

σχετικά με τη δασμολογική κατάταξη ορισμένων εμπορευμάτων στη Συνδυασμένη Ονοματολογία

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 952/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Οκτωβρίου 2013, για τη θέσπιση του ενωσιακού τελωνειακού κώδικα (1), και ιδίως το άρθρο 57 παράγραφος 4 και το άρθρο 58 παράγραφος 2,

Εκτιμώντας τα ακόλουθα:

(1)

Για να εξασφαλιστεί η ομοιόμορφη εφαρμογή της Συνδυασμένης Ονοματολογίας που προσαρτάται στον κανονισμό (ΕΟΚ) αριθ. 2658/87 του Συμβουλίου (2), είναι αναγκαίο να θεσπιστούν μέτρα όσον αφορά την κατάταξη των εμπορευμάτων που αναφέρονται στο παράρτημα του παρόντος κανονισμού.

(2)

Ο κανονισμός (ΕΟΚ) αριθ. 2658/87 προβλέπει τους γενικούς κανόνες για την ερμηνεία της Συνδυασμένης Ονοματολογίας (ΣΟ). Οι εν λόγω κανόνες ισχύουν επίσης και για κάθε άλλη ονοματολογία η οποία βασίζεται εν όλω ή εν μέρει στη ΣΟ ή προσθέτει σε αυτήν οποιαδήποτε νέα υποδιαίρεση και θεσπίζεται με ειδικές διατάξεις της Ένωσης με σκοπό την εφαρμογή δασμολογικών και άλλων μέτρων σχετικά με τις εμπορευματικές συναλλαγές.

(3)

Κατ’ εφαρμογή αυτών των γενικών κανόνων, τα εμπορεύματα που περιγράφονται στη στήλη (1) του πίνακα που περιλαμβάνεται στο παράρτημα θα πρέπει να καταταγούν στον κωδικό ΣΟ που εμφαίνεται στη στήλη (2), για τους λόγους που αναφέρονται στη στήλη (3) του εν λόγω πίνακα.

(4)

Είναι σκόπιμο να προβλεφθεί ότι ο δικαιούχος των δεσμευτικών δασμολογικών πληροφοριών, οι οποίες έχουν εκδοθεί σχετικά με τα εμπορεύματα που αφορά ο παρών κανονισμός και δεν είναι σύμφωνες με τον παρόντα κανονισμό, μπορεί να συνεχίσει να τις επικαλείται επί μια ορισμένη χρονική περίοδο, σύμφωνα με τις διατάξεις του άρθρου 34 παράγραφος 9 του κανονισμού (ΕΕ) αριθ. 952/2013. Η περίοδος αυτή θα πρέπει να είναι τρίμηνη.

(5)

Τα μέτρα που προβλέπονται στον παρόντα κανονισμό είναι σύμφωνα με τη γνώμη της Επιτροπής Τελωνειακού Κώδικα,

ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

Άρθρο 1

Τα εμπορεύματα που περιγράφονται στη στήλη (1) του πίνακα που περιλαμβάνεται στο παράρτημα κατατάσσονται στη Συνδυασμένη Ονοματολογία στον κωδικό ΣΟ που αναφέρεται στη στήλη (2) του εν λόγω πίνακα.

Άρθρο 2

Οι δεσμευτικές δασμολογικές πληροφορίες που δεν είναι σύμφωνες με τον παρόντα κανονισμό μπορούν να συνεχίσουν να αποτελούν αντικείμενο επίκλησης, σύμφωνα με τις διατάξεις του άρθρου 34 παράγραφος 9 του κανονισμού (ΕΕ) αριθ. 952/2013, κατά τη διάρκεια περιόδου τριών μηνών από την ημερομηνία έναρξης της ισχύος του παρόντος κανονισμού.

Άρθρο 3

Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 31 Μαΐου 2021.

Για την Επιτροπή,

εξ ονόματος της Προέδρου,

Gerassimos THOMAS

Γενικός Διευθυντής

Γενική Διεύθυνση Φορολογίας και Τελωνειακής Ένωσης


(1)   ΕΕ L 269 της 10.10.2013, σ. 1.

(2)  Κανονισμός (ΕΟΚ) αριθ. 2658/87 του Συμβουλίου, της 23ης Ιουλίου 1987, για τη δασμολογική και στατιστική ονοματολογία και το κοινό δασμολόγιο (ΕΕ L 256 της 7.9.1987, σ. 1).


ΠΑΡΑΡΤΗΜΑ

Περιγραφή των εμπορευμάτων

Κατάταξη

(κωδικός ΣΟ)

Αιτιολογία

(1)

(2)

(3)

Βέργες από κεραμομεταλλουργική σύνθεση με ομοιόμορφη κυκλική διατομή. Τα είδη με διαφορετικά μήκη και διαμέτρους έχουν αμβλέα άκρα και μπορούν να είναι συμπαγή ή διάτρητα και να διαθέτουν ψυκτικά κανάλια. Ορισμένα από τα είδη μπορεί επίσης να είναι λοξοτομημένα.

Τα είδη αποτελούνται από κεραμομεταλλουργική σύνθεση, ήτοι από συντηγμένα μεταλλικά καρβίδια με βάση το καρβίδιο του βολφραμίου με κοβάλτιο ως συνδετική ουσία.

Λόγω του χαμηλού βαθμού κατεργασίας, της απλής μορφής και του σχήματος τους, τα είδη μπορούν να χρησιμοποιηθούν για ευρύ φάσμα χρήσεων, για παράδειγμα ως στοιχεία ενίσχυσης. Εάν υποβληθούν σε περαιτέρω κατεργασία, τα είδη μπορούν να χρησιμοποιηθούν για εργαλεία και ως εργαλεία.

8113 00 90

Η κατάταξη καθορίζεται από τους γενικούς κανόνες 1 και 6 για την ερμηνεία της Συνδυασμένης Ονοματολογίας, από τη σημείωση 4 του τμήματος XV, καθώς και από το κείμενο των κωδικών ΣΟ 8113 00 και 8113 00 90 .

Η κατάταξη στον κωδικό ΣΟ 8209 00 80 ως βέργες και παρόμοια αντικείμενα για εργαλεία, μη συναρμολογημένα, που αποτελούνται από κεραμομεταλλουργικές συνθέσεις αποκλείεται, δεδομένου ότι τα είδη μπορούν να χρησιμοποιηθούν για εργαλεία και ως εργαλεία μόνο εάν υποβληθούν σε περαιτέρω κατεργασία και είναι επίσης κατάλληλα για άλλες χρήσεις.

Τα είδη υπάγονται στην κλάση 8113 , η οποία καλύπτει τις κεραμομεταλλουργικές συνθέσεις, είτε σε ακατέργαστη μορφή είτε σε μορφή ειδών που δεν κατονομάζονται αλλού στη Συνδυασμένη Ονοματολογία (βλέπε επίσης τις Επεξηγηματικές Σημειώσεις του Εναρμονισμένου Συστήματος για την κλάση 8113 , έκτη παράγραφος).

Ως εκ τούτου, τα είδη πρέπει να καταταγούν στον κωδικό ΣΟ 8113 00 90 , ως κεραμομεταλλουργικές συνθέσεις και άλλα τεχνουργήματα από κεραμομεταλλουργικές συνθέσεις.


7.6.2021   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 199/7


ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2021/911 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 31ης Μαΐου 2021

σχετικά με τη δασμολογική κατάταξη ορισμένων εμπορευμάτων στη Συνδυασμένη Ονοματολογία

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 952/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Οκτωβρίου 2013, για τη θέσπιση του ενωσιακού τελωνειακού κώδικα (1), και ιδίως το άρθρο 57 παράγραφος 4 και το άρθρο 58 παράγραφος 2,

Εκτιμώντας τα ακόλουθα:

(1)

Για να εξασφαλιστεί η ομοιόμορφη εφαρμογή της Συνδυασμένης Ονοματολογίας που προσαρτάται στον κανονισμό (ΕΟΚ) αριθ. 2658/87 του Συμβουλίου (2), είναι αναγκαίο να θεσπιστούν μέτρα όσον αφορά την κατάταξη των εμπορευμάτων που αναφέρονται στο παράρτημα του παρόντος κανονισμού.

(2)

Ο κανονισμός (ΕΟΚ) αριθ. 2658/87 προβλέπει τους γενικούς κανόνες για την ερμηνεία της Συνδυασμένης Ονοματολογίας (ΣΟ). Οι εν λόγω κανόνες ισχύουν επίσης και για κάθε άλλη ονοματολογία η οποία βασίζεται εν όλω ή εν μέρει στη ΣΟ ή προσθέτει σε αυτήν οποιαδήποτε νέα υποδιαίρεση και θεσπίζεται με ειδικές διατάξεις της Ένωσης με σκοπό την εφαρμογή δασμολογικών και άλλων μέτρων σχετικά με τις εμπορευματικές συναλλαγές.

(3)

Κατ’ εφαρμογή αυτών των γενικών κανόνων, τα εμπορεύματα που περιγράφονται στη στήλη (1) του πίνακα που περιλαμβάνεται στο παράρτημα θα πρέπει να καταταγούν στον κωδικό ΣΟ που εμφαίνεται στη στήλη (2), για τους λόγους που αναφέρονται στη στήλη (3) του εν λόγω πίνακα.

(4)

Είναι σκόπιμο να προβλεφθεί ότι ο δικαιούχος των δεσμευτικών δασμολογικών πληροφοριών, οι οποίες έχουν εκδοθεί σχετικά με τα εμπορεύματα που αφορά ο παρών κανονισμός και δεν είναι σύμφωνες με τον παρόντα κανονισμό, μπορεί να συνεχίσει να τις επικαλείται επί μια ορισμένη χρονική περίοδο, σύμφωνα με τις διατάξεις του άρθρου 34 παράγραφος 9 του κανονισμού (ΕΕ) αριθ. 952/2013. Η περίοδος αυτή θα πρέπει να είναι τρίμηνη.

(5)

Τα μέτρα που προβλέπονται στον παρόντα κανονισμό είναι σύμφωνα με τη γνώμη της Επιτροπής Τελωνειακού Κώδικα,

ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

Άρθρο 1

Τα εμπορεύματα που περιγράφονται στη στήλη (1) του πίνακα που περιλαμβάνεται στο παράρτημα κατατάσσονται στη Συνδυασμένη Ονοματολογία στον κωδικό ΣΟ που αναφέρεται στη στήλη (2) του εν λόγω πίνακα.

Άρθρο 2

Οι δεσμευτικές δασμολογικές πληροφορίες που δεν είναι σύμφωνες με τον παρόντα κανονισμό μπορούν να συνεχίσουν να αποτελούν αντικείμενο επίκλησης, σύμφωνα με τις διατάξεις του άρθρου 34 παράγραφος 9 του κανονισμού (ΕΕ) αριθ. 952/2013, κατά τη διάρκεια περιόδου τριών μηνών από την ημερομηνία έναρξης της ισχύος του παρόντος κανονισμού.

Άρθρο 3

Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 31 Μαΐου 2021.

Για την Επιτροπή

εξ ονόματος της Προέδρου,

Γεράσιμος ΘΩΜΑΣ

Γενικός Διευθυντής

Γενική Διεύθυνση Φορολογίας και Τελωνειακής Ένωσης


(1)   ΕΕ L 269 της 10.10.2013, σ. 1.

(2)  Κανονισμός (ΕΟΚ) αριθ. 2658/87 του Συμβουλίου, της 23ης Ιουλίου 1987, για τη δασμολογική και στατιστική ονοματολογία και το κοινό δασμολόγιο (ΕΕ L 256 της 7.9.1987, σ. 1).


ΠΑΡΑΡΤΗΜΑ

Περιγραφή των εμπορευμάτων

Κατάταξη

(κωδικός ΣΟ)

Αιτιολογία

(1)

(2)

(3)

Κυλιόμενη πλατφόρμα μεταφοράς επίπλων αποτελούμενη από:

σανίδα με βάση το ξύλο (ινοσανίδα με στρογγυλεμένες γωνίες και ακμές)·

αντιολισθητικά πέλματα από πλαστικές ύλες στην άνω πλευρά της σανίδας·

τροχίσκους από πλαστικές ύλες.

μεταλλικούς βραχίονες για τη στερέωση των τροχίσκων από πλαστικές ύλες στο κάτω μέρος της σανίδας.

Το είδος έχει ενσωματωμένη λαβή ώστε να μπορεί, για παράδειγμα, να μεταφερθεί με το χέρι ή να αναρτηθεί σε τοίχο.

Το είδος είναι σχεδιασμένο να χρησιμοποιηθεί για τη μεταφορά διαφόρων αντικειμένων, ιδίως επίπλων και οποιωνδήποτε άλλων βαρέων αντικειμένων.

(Βλέπε εικόνα)  (*1)

4421 99 10

Η κατάταξη καθορίζεται από τους γενικούς κανόνες 1, 3 στοιχείο β) και 6 για την ερμηνεία της Συνδυασμένης Ονοματολογίας, τη σημείωση 3 του κεφαλαίου 44, καθώς και το κείμενο των κωδικών ΣΟ 4421 , 4421 99 και 4421 99 10 .

Η κατάταξη στον κωδικό ΣΟ 8716 80 00 ως άλλο όχημα, μη αυτοκινούμενο αποκλείεται, δεδομένου ότι τα αντικειμενικά χαρακτηριστικά και οι αντικειμενικές ιδιότητες του είδους δεν αντιστοιχούν πλήρως στους όρους της κλάσης 8716 και του κωδικού ΣΟ 8716 80 00 .

Λόγω των αντικειμενικών χαρακτηριστικών και ιδιοτήτων του, συμπεριλαμβανομένης της ενσωματωμένης λαβής που δεν χρησιμοποιείται για την ώθηση του είδους με το πόδι ή το χέρι, και του σχεδιασμού του για τη μεταφορά βαρέων αντικειμένων, όπως τα έπιπλα, με ώθηση των αντικειμένων, το είδος δεν είναι σχεδιασμένο για να ρυμουλκείται από άλλα οχήματα, να ωθείται ή να έλκεται με το χέρι, να ωθείται με το πόδι ή να σύρεται από ζώα (βλέπε επίσης τις Επεξηγηματικές Σημειώσεις του Εναρμονισμένου Συστήματος για την κλάση 8716 , δεύτερη παράγραφος).

Το είδος δεν μπορεί να θεωρηθεί όχημα, δεδομένου ότι δεν διαθέτει ορισμένα από τα χαρακτηριστικά και τις ιδιότητες του χειροκίνητου ή ποδοκίνητου οχήματος της κλάσης 8716 , επειδή δεν είναι αμαξίδιο, τροχοφόρο φορείο, χειραμάξιο ή καρότσι, ή δεν αποτελείται από συγκεκριμένο μέρος οχήματος, όπως το πλαίσιο.

Κατά συνέπεια, το είδος πρέπει να καταταγεί σύμφωνα με τη συστατική του ύλη.

Το είδος είναι σύνθετο προϊόν αποτελούμενο από διάφορα υλικά (ξύλο, πλαστική ύλη και μέταλλο). Το στοιχείο που προσδίδει στο είδος τον ουσιώδη χαρακτήρα του είναι το ξύλο, δεδομένου ότι η σανίδα από ξύλο αποτελεί το κύριο μέρος του σύνθετου προϊόντος και έχει τη μεγαλύτερη σημασία για τη σκοπούμενη χρήση του είδους.

Ως εκ τούτου, το είδος πρέπει να καταταγεί στον κωδικό ΣΟ 4421 99 10 , ως άλλο τεχνούργημα από πλάκες-διαφράγματα από ίνες.

Image 2


(*1)  Η εικόνα έχει αποκλειστικά ενημερωτικό σκοπό.


7.6.2021   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 199/10


ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2021/912 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 4ης Ιουνίου 2021

για την έγκριση τροποποιήσεων στις προδιαγραφές του νέου τροφίμου λακτο-N-νεοτετραόζη (μικροβιακής πηγής) και για την τροποποίηση του εκτελεστικού κανονισμού (ΕΕ) 2017/2470

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) 2015/2283 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2015, σχετικά με τα νέα τρόφιμα, την τροποποίηση του κανονισμού (ΕΕ) αριθ. 1169/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και την κατάργηση του κανονισμού (ΕΚ) αριθ. 258/97 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του κανονισμού (ΕΚ) αριθ. 1852/2001 της Επιτροπής (1), και ιδίως το άρθρο 12,

Εκτιμώντας τα ακόλουθα:

(1)

Ο κανονισμός (ΕΕ) 2015/2283 προβλέπει ότι μόνο τα νέα τρόφιμα που έχουν εγκριθεί και περιλαμβάνονται στον ενωσιακό κατάλογο μπορούν να διατίθενται στην αγορά της Ένωσης.

(2)

Σύμφωνα με το άρθρο 8 του κανονισμού (ΕΕ) 2015/2283, εκδόθηκε ο εκτελεστικός κανονισμός (ΕΕ) 2017/2470 της Επιτροπής (2) για την κατάρτιση του ενωσιακού καταλόγου εγκεκριμένων νέων τροφίμων.

(3)

Σύμφωνα με το άρθρο 12 του κανονισμού (ΕΕ) 2015/2283, η Επιτροπή υποβάλλει σχέδιο εκτελεστικής πράξης για την έγκριση της διάθεσης νέων τροφίμων στην αγορά της Ένωσης και την επικαιροποίηση του ενωσιακού καταλόγου.

(4)

Η εκτελεστική απόφαση (ΕΕ) 2016/375 της Επιτροπής (3) ενέκρινε τη διάθεση της λακτο-N-νεοτετραόζης χημικής σύνθεσης στην αγορά ως νέου συστατικού τροφίμων σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 258/97 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4).

(5)

Σύμφωνα με το άρθρο 5 του κανονισμού (ΕΚ) αριθ. 258/97, την 1η Σεπτεμβρίου 2016 η εταιρεία Glycom A/S ενημέρωσε την Επιτροπή για την πρόθεσή της να διαθέσει στην αγορά τη λακτο-N-νεοτετραόζη μικροβιακής πηγής που παράγεται με το στέλεχος Escherichia coli Κ-12 ως νέο συστατικό τροφίμων.

(6)

Στην κοινοποίηση στην Επιτροπή, η Glycom A/S υπέβαλε επίσης έκθεση που εκδόθηκε από την αρμόδια αρχή της Ιρλανδίας σύμφωνα με το άρθρο 3 παράγραφος 4 του κανονισμού (ΕΚ) αριθ. 258/97 και η οποία, με βάση τα επιστημονικά στοιχεία που υπέβαλε η εν λόγω εταιρεία, είχε καταλήξει στο συμπέρασμα ότι η λακτο-N-νεοτετραόζη που παράγεται με το στέλεχος Escherichia coli K-12 είναι ουσιαστικά ισοδύναμη με τη λακτο-N-νεοτετραόζη χημικής σύνθεσης που εγκρίθηκε με την εκτελεστική απόφαση (ΕΕ) 2016/375. Επομένως, η λακτο-N-νεοτετραόζη μικροβιακής πηγής συμπεριλήφθηκε στον ενωσιακό κατάλογο νέων τροφίμων.

(7)

Στις 23 Ιουνίου 2019 η εταιρεία Chr. Hansen A/S (στο εξής: αιτών) υπέβαλε στην Επιτροπή αίτηση σύμφωνα με το άρθρο 10 παράγραφος 1 του κανονισμού (ΕΕ) 2015/2283 για την έγκριση της λακτο-N-νεοτετραόζης (μικροβιακής πηγής) που παράγεται με τη συνδυασμένη δραστηριότητα των παράγωγων στελεχών PS-LNnT-JBT και DS-LNnT-JBT του στελέχους Escherichia coli BL21(DE3) ως νέου τροφίμου, με προϋποθέσεις χρήσης ίδιες με εκείνες που εγκρίθηκαν προσφάτως για τη λακτο-N-νεοτετραόζη χημικής σύνθεσης και τη λακτο-N-νεοτετραόζη μικροβιακής πηγής. Ο αιτών ζήτησε επικαιροποίηση του ενωσιακού καταλόγου όσον αφορά τη νέα πηγή του εν λόγω νέου τροφίμου.

(8)

Επιπλέον, ο αιτών πρότεινε την επικαιροποίηση ορισμένων προδιαγραφών της λακτο-N-νεοτετραόζης (μικροβιακής πηγής) που παράγεται με την εν λόγω νέα πηγή, δεδομένου ότι διαφέρουν από τις προδιαγραφές της εγκεκριμένης λακτο-N-νεοτετραόζης μικροβιακής πηγής που παράγεται με το στέλεχος Escherichia coli K-12, όσον αφορά τα επίπεδα τέφρας, τα οποία αυξάνονται από ≤ 0,4 % σε ≤ 1,0 %· το επίπεδο για την παρουσία ζυμομυκήτων και ευρωτομυκήτων, όπου οι μονάδες σχηματισμού αποικιών (στο εξής: CFU) αυξάνονται από τις τρέχουσες ≤ 10 CFU/g νέου τροφίμου για κάθε τύπο μικροοργανισμού σε ≤ 50 CFU/g για τον συνδυασμό των δύο· και τη μεθανόλη, η οποία απουσιάζει (σε αντίθεση με την τρέχουσα τιμή ≤ 100 mg/kg), και το ισομερές φρουκτόζης της λακτο-N-νεοτετραόζης, το οποίο απουσιάζει (σε αντίθεση με την τρέχουσα τιμή ≤ 1,0 %).

(9)

Στις 17 Ιανουαρίου 2020 η Επιτροπή ζήτησε από την Ευρωπαϊκή Αρχή για την Ασφάλεια των Τροφίμων (στο εξής: Αρχή) να διενεργήσει αξιολόγηση της λακτο-N-νεοτετραόζης που παράγεται με τη συνδυασμένη δραστηριότητα των παράγωγων στελεχών PS-LNnT-JBT και DS-LNnT-JBT του στελέχους Escherichia coli BL21(DE3) σύμφωνα με τις απαιτήσεις του άρθρου 11 του κανονισμού (ΕΕ) 2015/2283.

(10)

Στις 22 Οκτωβρίου 2020 η Αρχή εξέδωσε επιστημονική γνώμη με τίτλο: «Safety of lacto-N-neotetraose (LNnT) produced by derivative strains of E. coli BL21 as a novel food pursuant to Regulation (EU) 2015/2283» (5) [«Ασφάλεια της λακτο-N-νεοτετραόζης (LNnT) που παράγεται με παράγωγα στελέχη του στελέχους E. coli BL21 ως νέου τροφίμου σύμφωνα με τον κανονισμό (ΕΕ) 2015/2283»].

(11)

Στην επιστημονική γνώμη της, η Αρχή καταλήγει στο συμπέρασμα ότι η λακτο-N-νεοτετραόζη (LNnT) που παράγεται με τη συνδυασμένη δραστηριότητα των παράγωγων στελεχών PS-LNnT-JBT και DS-LNnT-JBT του στελέχους Escherichia coli BL21(DE3) ως νέο τρόφιμο σύμφωνα με τον κανονισμό (ΕΕ) 2015/2283 είναι ασφαλής για τις τρέχουσες εγκεκριμένες προϋποθέσεις χρήσης. Ως εκ τούτου, η εν λόγω επιστημονική γνώμη παρέχει επαρκείς λόγους για να διαπιστωθεί ότι η λακτο-N-νεοτετραόζη (LNnT) που παράγεται με τη συνδυασμένη δραστηριότητα των παράγωγων στελεχών PS-LNnT-JBT και DS-LNnT-JBT του στελέχους Escherichia coli BL21(DE3) συμμορφώνεται με το άρθρο 12 παράγραφος 1 του κανονισμού (ΕΕ) 2015/2283.

(12)

Συνεπώς, είναι σκόπιμο να τροποποιηθούν οι προδιαγραφές της μικροβιακά παραγόμενης λακτο-N-νεοτετραόζης, να περιληφθούν τα παράγωγα στελέχη PS-LNnT-JBT και DS-LNnT-JBT του στελέχους Escherichia coli BL21(DE3) ως πηγή του νέου τροφίμου επιπλέον του εγκεκριμένου στελέχους Escherichia coli K12 και να τροποποιηθούν τα προτεινόμενα επίπεδα για την παρουσία τέφρας, ευρωτομυκήτων, καθώς και ζυμομυκήτων.

(13)

Συνεπώς, το παράρτημα του κανονισμού (ΕΕ) 2017/2470 θα πρέπει να τροποποιηθεί αναλόγως.

(14)

Τα μέτρα που προβλέπονται στον παρόντα κανονισμό είναι σύμφωνα με τη γνώμη της μόνιμης επιτροπής φυτών, ζώων, τροφίμων και ζωοτροφών,

ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

Άρθρο 1

Η καταχώριση στον ενωσιακό κατάλογο εγκεκριμένων νέων τροφίμων, όπως προβλέπεται στο άρθρο 6 του κανονισμού (ΕΕ) 2015/2283, σχετικά με την ουσία λακτο-N-νεοτετραόζη (μικροβιακής πηγής) τροποποιείται όπως ορίζεται στο παράρτημα του παρόντος κανονισμού.

Άρθρο 2

Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 4 Ιουνίου 2021.

Για την Επιτροπή

Η Πρόεδρος

Ursula VON DER LEYEN


(1)   ΕΕ L 327 της 11.12.2015, σ. 1.

(2)  Εκτελεστικός κανονισμός (ΕΕ) 2017/2470 της Επιτροπής, της 20ής Δεκεμβρίου 2017, για την κατάρτιση ενωσιακού καταλόγου νέων τροφίμων σύμφωνα με τον κανονισμό (ΕΕ) 2015/2283 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τα νέα τρόφιμα (ΕΕ L 351 της 30.12.2017, σ. 72).

(3)  Εκτελεστική απόφαση (ΕΕ) 2016/375 της Επιτροπής, της 11ης Μαρτίου 2016, για την έγκριση της διάθεσης στην αγορά της λακτο-N-νεοτετραόζης ως νέου συστατικού τροφίμων σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 258/97 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 70 της 16.3.2016, σ. 22).

(4)  Κανονισμός (ΕΚ) αριθ. 258/97 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τα νέα τρόφιμα και τα νέα συστατικά τροφίμων (ΕΕ L 43 της 14.2.1997, σ. 1).

(5)  EFSA Journal 2020·18(11):6305.


ΠΑΡΑΡΤΗΜΑ

Στον πίνακα 2 (Προδιαγραφές) του παραρτήματος του εκτελεστικού κανονισμού (ΕΕ) 2017/2470, η καταχώριση για τη «Λακτο-N-νεοτετραόζη (μικροβιακής πηγής)» αντικαθίσταται από το ακόλουθο κείμενο:

«Λακτο-N-νεοτετραόζη

(μικροβιακή πηγή)

Ορισμός:

Χημική ονομασία: β-d-Γαλακτοπυρανοζυλ-(1→4)-2-ακεταμιδο-2-δεοξυ-β-d-γλυκοπυρανοζυλο-(1→3)-β-d-γαλακτοπυρανοζυλο-(1→4)-d-γλυκοπυρανόζη

Χημικός τύπος: C26H45NO21

Αριθ. CAS: 13007-32-4

Μοριακό βάρος: 707,63 g/mol

Πηγή:

Γενετικά τροποποιημένο στέλεχος Escherichia coli K-12 ή

συνδυασμός των γενετικώς τροποποιημένων στελεχών PS-LNnT-JBT και DS-LNnT-JBT του Escherichia coli BL21 (DE3)

Περιγραφή:

H λακτο-N-νεοτετραόζη είναι λευκή έως υπόλευκη κρυσταλλική σκόνη που παράγεται μέσω μικροβιακής διεργασίας.

Καθαρότητα:

Δοκιμασία (χωρίς ύδωρ): ≥ 80 %

D-Λακτόζη: ≤ 10,0 %

Λακτο-N-τριόζη II: ≤ 3,0 %

para-Λακτο-N-νεοεξαόζη: ≤ 5,0 %

Ισομερές φρουκτόζης της λακτο-N-νεοτετραόζης: ≤ 1,0 %

Άθροισμα σακχαριτών (Λακτο-N-νεοτετραόζη, D-Λακτόζη, Λακτο-N-τριόζη II, para-Λακτο-N-νεοεξαόζη, ισομερές φρουκτόζης της λακτο-N-νεοτετραόζης): ≥ 92 % (% w/w ξηράς ουσίας)

pH (20 °C, διάλυμα 5 %): 4,0-7,0

Νερό: ≤ 9,0 %

Θειική τέφρα: ≤ 1,0 %

Υπολειμματικοί διαλύτες (μεθανόλη): ≤ 100 mg/kg

Υπολειμματικές πρωτεΐνες: ≤ 0,01 %

Μικροβιολογικά κριτήρια:

Συνολικός αριθμός αερόβιων μεσόφιλων βακτηρίων: ≤ 500 CFU/g

Ζυμομύκητες και ευρωτομύκητες: ≤ 50 CFU/g

Υπολειμματικές ενδοτοξίνες: ≤ 10 EU/mg

CFU: Colony Forming Units (μονάδες σχηματισμού αποικιών)· ΕU: Endotoxin Units (μονάδες ενδοτοξίνης)»


ΑΠΟΦΑΣΕΙΣ

7.6.2021   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 199/13


ΕΚΤΕΛΕΣΤΙΚΗ ΑΠΟΦΑΣΗ (ΕΕ) 2021/913 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 3ης Ιουνίου 2021

σχετικά με τα εναρμονισμένα πρότυπα για τα οικιακά πλυντήρια πιάτων που εκπονήθηκαν προς υποστήριξη του κανονισμού (ΕΕ) 2019/2022 και του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2019/2017

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Οκτωβρίου 2012, σχετικά με την ευρωπαϊκή τυποποίηση, την τροποποίηση των οδηγιών του Συμβουλίου 89/686/ΕΟΚ και 93/15/ΕΟΚ και των οδηγιών του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 94/9/ΕΚ, 94/25/ΕΚ, 95/16/ΕΚ, 97/23/ΕΚ, 98/34/ΕΚ, 2004/22/ΕΚ, 2007/23/ΕΚ, 2009/23/ΕΚ και 2009/105/ΕΚ και την κατάργηση της απόφασης 87/95/ΕΟΚ του Συμβουλίου και της απόφασης αριθ. 1673/2006/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (1), και ιδίως το άρθρο 10 παράγραφος 6,

Εκτιμώντας τα ακόλουθα:

(1)

Σύμφωνα με το άρθρο 9 παράγραφος 2 της οδηγίας 2009/125/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2), τα κράτη μέλη οφείλουν να θεωρούν ότι τα προϊόντα για τα οποία έχουν εφαρμοσθεί εναρμονισμένα πρότυπα, οι αριθμοί αναφοράς των οποίων έχουν δημοσιευθεί στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης, έχουν συμμορφωθεί με όλες τις σχετικές απαιτήσεις του ισχύοντος μέτρου εφαρμογής στο οποίο αναφέρονται τα εν λόγω πρότυπα. Στο άρθρο 4 και στο παράρτημα III του κανονισμού (ΕΕ) 2019/2022 της Επιτροπής (3) καθορίζονται οι σχετικές απαιτήσεις μέτρησης και υπολογισμού για τα οικιακά πλυντήρια πιάτων.

(2)

Σύμφωνα με το άρθρο 13 του κανονισμού (ΕΕ) 2017/1369 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4), μετά την έκδοση κατ’ εξουσιοδότηση πράξης σύμφωνα με το άρθρο 16 του εν λόγω κανονισμού η οποία θέτει ειδικές απαιτήσεις επισήμανσης η Επιτροπή οφείλει να δημοσιεύει αναφορές σε εναρμονισμένα πρότυπα τα οποία πληρούν τις σχετικές απαιτήσεις μέτρησης και υπολογισμού της κατ’ εξουσιοδότηση πράξης στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. Όταν, κατά την αξιολόγηση της συμμόρφωσης ενός προϊόντος, εφαρμόζονται τα εν λόγω εναρμονισμένα πρότυπα, θα πρέπει να τεκμαίρεται ότι το μοντέλο συμμορφώνεται προς τις σχετικές απαιτήσεις μέτρησης και υπολογισμού που ορίζονται στην κατ’ εξουσιοδότηση πράξη. Στο άρθρο 3 και στο παράρτημα IV του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2019/2017 της Επιτροπής (5) καθορίζονται οι απαιτήσεις μέτρησης και υπολογισμού για τα οικιακά πλυντήρια πιάτων.

(3)

Με την εκτελεστική απόφαση C(2020) 4329 (6), η Επιτροπή ζήτησε από την Ευρωπαϊκή Επιτροπή Τυποποίησης (CEN), την Ευρωπαϊκή Επιτροπή Ηλεκτροτεχνικής Τυποποίησης (Cenelec) και το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προτύπων (ETSI) να αναθεωρήσουν τα υφιστάμενα εναρμονισμένα πρότυπα για τα οικιακά πλυντήρια πιάτων, τα οικιακά πλυντήρια ρούχων και τα οικιακά πλυντήρια-στεγνωτήρια, προς υποστήριξη των κανονισμών (ΕΕ) 2019/2022 και (ΕΕ) 2019/2023 και των κατ’ εξουσιοδότηση κανονισμών (ΕΕ) 2019/2017 και (ΕΕ) 2019/2014.

(4)

Βάσει του αιτήματος που διατυπώνεται στην εκτελεστική απόφαση C(2020) 4329, η Cenelec συνέταξε το εναρμονισμένο πρότυπο EN 60436:2020 προκειμένου να ληφθεί υπόψη η τεχνική και επιστημονική πρόοδος. Η Cenelec ενέκρινε επίσης την τροποποίηση EN 60436:2020/A11:2020 και το διορθωτικό EN 60436:2020/AC:2020-6 του εν λόγω προτύπου.

(5)

Η Επιτροπή, από κοινού με την Cenelec, αξιολόγησε κατά πόσον το εναρμονισμένο πρότυπο EN 60436:2020, όπως τροποποιήθηκε με το EN 60436:2020/A11:2020 και διορθώθηκε με το EN 60436:2020/AC:2020-6, συμμορφώνεται με το αίτημα που διατυπώνεται στην εκτελεστική απόφαση C(2020) 4329.

(6)

Το εναρμονισμένο πρότυπο EN 60436:2020, όπως τροποποιήθηκε με το EN 60436:2020/A11:2020 και διορθώθηκε με το EN 60436:2020/AC:2020-6, πληροί τις απαιτήσεις που αποσκοπεί να καλύψει και οι οποίες ορίζονται στον κανονισμό (ΕΕ) 2019/2022 και στον κατ’ εξουσιοδότηση κανονισμό (ΕΕ) 2019/2017.

(7)

Είναι αναγκαίο να διευκρινιστεί ποιες εκδοχές των προτύπων που αναφέρονται στη ρήτρα «3 Modification of Clause 2 ‘Normative references’» (Τροποποίηση της ρήτρας 2 ‘Κανονιστικά στοιχεία αναφοράς’) του προτύπου EN 60436:2020 πρέπει να εφαρμόζονται για τους σκοπούς του τεκμηρίου συμμόρφωσης.

(8)

Η στήλη «Remarks/Notes»* (παρατηρήσεις/σημειώσεις) του πίνακα ZZA.1 στο πρότυπο EN 60436:2020 για τους σκοπούς του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2019/2017 και η στήλη «Remarks/Notes»* (παρατηρήσεις/σημειώσεις) του πίνακα ZZB.1 στο πρότυπο EN 60436:2020 για τους σκοπούς του κανονισμού (ΕΕ) 2019/2022 θα πρέπει να εξαιρεθούν από τη δημοσίευση λόγω ασυμφωνίας των εν λόγω στηλών με τις απαιτήσεις στο κύριο κανονιστικό σώμα του προτύπου και λόγω της νομικής αβεβαιότητας που προκύπτει από την ερμηνεία των νομικών συνεπειών του τεκμηρίου συμμόρφωσης που περιλαμβάνεται στην υποσημείωση των εν λόγω στηλών.

(9)

Ως εκ τούτου, είναι σκόπιμο να δημοσιευθούν τα στοιχεία αναφοράς του εναρμονισμένου προτύπου EN 60436:2020, όπως τροποποιήθηκε με το EN 60436:2020/A11:2020 και διορθώθηκε με το EN 60436:2020/AC:2020-6, στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης με περιορισμούς.

(10)

Το εναρμονισμένο πρότυπο EN 60436:2020 αντικαθιστά το εναρμονισμένο πρότυπο EN 50242:2016, που δημοσιεύθηκε με την ανακοίνωση 2016/C 416/05 της Επιτροπής (7). Ως εκ τούτου, είναι σκόπιμο να καταργηθεί η εν λόγω ανακοίνωση.

(11)

Η συμμόρφωση με εναρμονισμένο πρότυπο συνιστά τεκμήριο συμμόρφωσης με τις αντίστοιχες απαιτήσεις που καθορίζονται στην ενωσιακή νομοθεσία εναρμόνισης από την ημερομηνία δημοσίευσης των στοιχείων αναφοράς του οικείου προτύπου στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. Συνεπώς, η παρούσα απόφαση θα πρέπει να αρχίσει να ισχύει την ημέρα της δημοσίευσής της,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Τα στοιχεία αναφοράς του εναρμονισμένου προτύπου για την επισήμανση της κατανάλωσης ενέργειας των οικιακών πλυντηρίων πιάτων, το οποίο εκπονήθηκε προς υποστήριξη του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2019/2017 και παρατίθεται στο παράρτημα I της παρούσας απόφασης, δημοσιεύεται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης με περιορισμούς.

Τα στοιχεία αναφοράς του εναρμονισμένου προτύπου για τον οικολογικό σχεδιασμό των οικιακών πλυντηρίων πιάτων, το οποίο εκπονήθηκε προς υποστήριξη του κανονισμού (ΕΕ) 2019/2022 και παρατίθεται στο παράρτημα II της παρούσας απόφασης, δημοσιεύεται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης με περιορισμούς.

Άρθρο 2

Η ανακοίνωση 2016/C 416/05 καταργείται.

Άρθρο 3

Η παρούσα απόφαση αρχίζει να ισχύει την ημέρα της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Βρυξέλλες, 3 Ιουνίου 2021.

Για την Επιτροπή

Η Πρόεδρος

Ursula VON DER LEYEN


(1)   ΕΕ L 316 της 14.11.2012, σ. 12.

(2)  Οδηγία 2009/125/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 21ης Οκτωβρίου 2009, για τη θέσπιση πλαισίου για τον καθορισμό απαιτήσεων οικολογικού σχεδιασμού όσον αφορά τα συνδεόμενα με την ενέργεια προϊόντα (ΕΕ L 285 της 31.10.2009, σ. 10).

(3)  Κανονισμός (ΕΕ) 2019/2022 της Επιτροπής, της 1ης Οκτωβρίου 2019, για τον καθορισμό απαιτήσεων οικολογικού σχεδιασμού των οικιακών πλυντηρίων πιάτων σύμφωνα με την οδηγία 2009/125/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, για την τροποποίηση του κανονισμού (ΕΚ) αριθ. 1275/2008 της Επιτροπής και την κατάργηση του κανονισμού (ΕΕ) αριθ. 1016/2010 της Επιτροπής (ΕΕ L 315 της 5.12.2019, σ. 267).

(4)  Κανονισμός (ΕΕ) 2017/1369 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 4ης Ιουλίου 2017, σχετικά με τον καθορισμό ενός πλαισίου για την ενεργειακή σήμανση και για την κατάργηση της οδηγίας 2010/30/ΕΕ (ΕΕ L 198 της 28.7.2017, σ. 1).

(5)  Κατ’ εξουσιοδότηση κανονισμός (ΕΕ) 2019/2017 της Επιτροπής, της 11ης Μαρτίου 2019, για τη συμπλήρωση του κανονισμού (ΕΕ) 2017/1369 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την ενεργειακή επισήμανση των οικιακών πλυντηρίων πιάτων και για την κατάργηση του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) αριθ. 1059/2010 της Επιτροπής (ΕΕ L 315 της 5.12.2019, σ. 134).

(6)  Commission Implementing Decision C(2020) 4329 of 1 July 2020 on a standardisation request to the European Committee for Standardisation, the European Committee for Electrotechnical Standardisation and the European Telecommunications Standards Institute as regards ecodesign and energy labelling requirements for household dishwashers, household washing machines and household washer-dryers in support of Commission Regulations (EU) 2019/2022 and (EU) 2019/2023 and Commission Delegated Regulations (EU) 2019/2017 and (EU) 2019/2014.

(7)  Ανακοίνωση της Επιτροπής στο πλαίσιο της εφαρμογής του κανονισμού (ΕΕ) αριθ. 1016/2010 της Επιτροπής σχετικά με την εφαρμογή της οδηγίας 2009/125/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά τις απαιτήσεις οικολογικού σχεδιασμού για οικιακά πλυντήρια πιάτων και του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) αριθ. 1059/2010 της Επιτροπής που συμπληρώνει την οδηγία 2010/30/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την επισήμανση της κατανάλωσης ενέργειας των οικιακών πλυντηρίων πιάτων (δημοσίευση τίτλων και στοιχείων αναφοράς εναρμονισμένων προτύπων βάσει της ενωσιακής νομοθεσίας εναρμόνισης) (ΕΕ C 416 της 11.11.2016, σ. 14).


ΠΑΡΑΡΤΗΜΑ I

Στοιχεία αναφοράς του εναρμονισμένου προτύπου που εκπονήθηκε προς υποστήριξη του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2019/2017

EN 60436:2020

Ηλεκτρικά πλυντήρια πιάτων οικιακής χρήσης — Μέθοδοι μέτρησης των επιδόσεων

EN 60436:2020/A11:2020

EN 60436:2020/AC:2020-6

Περιορισμοί:

α)

για τους σκοπούς της ρήτρας «2 Normative references» (κανονιστικά στοιχεία αναφοράς), ισχύουν οι ακόλουθες εκδόσεις των εναρμονισμένων προτύπων:

(i)

EN 50564:2011·

(ii)

EN 50643:2018 όπως τροποποιήθηκε από το EN 50643:2018/A1:2020·

(iii)

EN 60704-2-3:2019·

(iv)

EN 60704-2-3:2019 όπως τροποποιήθηκε από το EN 60704-2-3:2019/A11:2019·

(v)

EN 60705:2015 όπως τροποποιήθηκε από το EN 60705:2015/A2:2018·

(vi)

EN 60734:2012·

(vii)

ISO 607:1980.

β)

η παρούσα δημοσίευση δεν καλύπτει τη στήλη «Remarks/Notes*» (παρατηρήσεις/σημειώσεις) του πίνακα ZZA.1.


ΠΑΡΑΡΤΗΜΑ II

Στοιχεία αναφοράς του εναρμονισμένου προτύπου που εκπονήθηκε προς υποστήριξη του κανονισμού (ΕΕ) 2019/2022

EN 60436:2020

Ηλεκτρικά πλυντήρια πιάτων οικιακής χρήσης — Μέθοδοι μέτρησης των επιδόσεων

EN 60436:2020/A11:2020

EN 60436:2020/AC:2020-6

Περιορισμοί:

α)

για τους σκοπούς της ρήτρας «2 Normative references» (κανονιστικά στοιχεία αναφοράς), ισχύουν οι ακόλουθες εκδόσεις των εναρμονισμένων προτύπων:

(i)

EN 50564:2011·

(ii)

EN 50643:2018 όπως τροποποιήθηκε από το EN 50643:2018/A1:2020·

(iii)

EN 60704-2-3:2019·

(iv)

EN 60704-2-3:2019 όπως τροποποιήθηκε από το EN 60704-2-3:2019/A11:2019·

(v)

EN 60705:2015 όπως τροποποιήθηκε από το EN 60705:2015/A2:2018·

(vi)

EN 60734:2012·

(vii)

ISO 607:1980.

β)

η παρούσα δημοσίευση δεν καλύπτει τη στήλη «Remarks/Notes*» (παρατηρήσεις/σημειώσεις) του πίνακα ZZB.1.


7.6.2021   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 199/18


ΕΚΤΕΛΕΣΤΙΚΗ ΑΠΟΦΑΣΗ (ΕΕ) 2021/915 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 4ης Ιουνίου 2021

για τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία βάσει του άρθρου 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του άρθρου 29 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (1), και ιδίως το άρθρο 28 παράγραφος 7,

Έχοντας υπόψη τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (2), και ιδίως το άρθρο 29 παράγραφος 7,

Εκτιμώντας τα ακόλουθα:

(1)

Οι έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία έχουν εξαιρετικά μεγάλη σημασία για την εφαρμογή του κανονισμού (ΕΕ) 2016/679 και του κανονισμού (ΕΕ) 2018/1725. Ο υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για τους σκοπούς του κανονισμού (ΕΕ) 2018/1725, υπεύθυνος επεξεργασίας είναι το όργανο ή ο οργανισμός της Ένωσης ή η Γενική Διεύθυνση ή οποιαδήποτε άλλη διοικητική ενότητα που, αυτοτελώς ή από κοινού με άλλους, καθορίζει τους στόχους και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι στόχοι και ο τρόπος της εν λόγω επεξεργασίας καθορίζονται σε ειδική πράξη της Ένωσης, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορεί να προβλέπονται από την Ένωση. Ο εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας.

(2)

Το ίδιο σύνολο τυποποιημένων συμβατικών ρητρών θα πρέπει να εφαρμόζεται όσον αφορά τη σχέση μεταξύ των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που υπόκεινται στον κανονισμό (ΕΕ) 2016/679 και αυτών που υπόκεινται στον κανονισμό (ΕΕ) 2018/1725. Αυτό ισχύει διότι, προκειμένου να επιτευχθεί συνεκτική προσέγγιση στην προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση και η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, οι κανόνες προστασίας των δεδομένων του κανονισμού (ΕΕ) 2016/679, οι οποίοι εφαρμόζονται στον δημόσιο τομέα των κρατών μελών, και οι κανόνες προστασίας των δεδομένων του κανονισμού (ΕΕ) 2018/1725, οι οποίοι εφαρμόζονται στα θεσμικά και λοιπά όργανα και στους οργανισμούς της Ένωσης, έχουν ευθυγραμμιστεί, στο μέτρο του δυνατού, μεταξύ τους.

(3)

Προκειμένου να διασφαλίζεται η συμμόρφωση με τις απαιτήσεις του κανονισμού (ΕΕ) 2016/679 και του κανονισμού (ΕΕ) 2018/1725, όταν αναθέτει σε εκτελούντα την επεξεργασία δραστηριότητες επεξεργασίας, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί μόνο εκτελούντες την επεξεργασία οι οποίοι παρέχουν επαρκείς εγγυήσεις, ιδίως από πλευράς εμπειρογνωσίας, αξιοπιστίας και πόρων, για την εφαρμογή τεχνικών και οργανωτικών μέτρων που ανταποκρίνονται στις απαιτήσεις του κανονισμού (ΕΕ) 2016/679 και του κανονισμού (ΕΕ) 2018/1725, συμπεριλαμβανομένων εκείνων που αφορούν την ασφάλεια της επεξεργασίας.

(4)

Η επεξεργασία από τον εκτελούντα την επεξεργασία πρέπει να διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή κράτους μέλους που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει τα στοιχεία που παρατίθενται στο άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 ή στο άρθρο 29 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725. Η εν λόγω σύμβαση ή πράξη είναι έγγραφη, συμπεριλαμβανομένης της ηλεκτρονικής μορφής.

(5)

Σύμφωνα με το άρθρο 28 παράγραφος 6 του κανονισμού (ΕΕ) 2016/679 και το άρθρο 29 παράγραφος 6 του κανονισμού (ΕΕ) 2018/1725, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία μπορούν να επιλέξουν να διαπραγματευτούν ατομική σύμβαση στην οποία περιλαμβάνονται τα υποχρεωτικά στοιχεία που καθορίζονται στο άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 ή στο άρθρο 29 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725, αντιστοίχως, ή να χρησιμοποιήσουν, εν όλω ή εν μέρει, τυποποιημένες συμβατικές ρήτρες που έχουν θεσπιστεί από την Επιτροπή δυνάμει του άρθρου 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 και του άρθρου 29 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725.

(6)

Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θα πρέπει να έχουν τη δυνατότητα να ενσωματώσουν τις τυποποιημένες συμβατικές ρήτρες της παρούσας απόφασης σε ευρύτερη σύμβαση, καθώς και να προσθέσουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, υπό τον όρο ότι αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις τυποποιημένες συμβατικές ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. Η χρήση των τυποποιημένων συμβατικών ρητρών δεν θίγει οποιαδήποτε άλλη συμβατική υποχρέωση του υπευθύνου επεξεργασίας και/ή του εκτελούντος την επεξεργασία να διασφαλίζει την τήρηση των εφαρμοστέων προνομίων και ασυλιών.

(7)

Στις τυποποιημένες συμβατικές ρήτρες θα πρέπει να περιλαμβάνονται τόσο ουσιαστικοί όσο και διαδικαστικοί κανόνες. Σύμφωνα με το άρθρο 28 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 και το άρθρο 29 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει, επίσης, να απαιτούν από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία να καθορίσουν το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της, το είδος των σχετικών δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες των υποκειμένων των δεδομένων, καθώς και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας.

(8)

Σύμφωνα με το άρθρο 28 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 και το άρθρο 29 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725, ο εκτελών την επεξεργασία πρέπει να ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή του υπευθύνου επεξεργασίας παραβιάζει τον κανονισμό (ΕΕ) 2016/679 ή τον κανονισμό (ΕΕ) 2018/1725 ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

(9)

Αν ο εκτελών την επεξεργασία προσλάβει άλλον εκτελούντα την επεξεργασία για την εκτέλεση συγκεκριμένων δραστηριοτήτων, θα πρέπει να εφαρμόζονται οι ειδικές απαιτήσεις που αναφέρονται στο άρθρο 28 παράγραφοι 2 και 4 του κανονισμού (ΕΕ) 2016/679 ή στο άρθρο 29 παράγραφοι 2 και 4 του κανονισμού (ΕΕ) 2018/1725. Ιδίως, απαιτείται προηγούμενη ειδική ή γενική γραπτή άδεια. Ανεξάρτητα από το αν η εν λόγω προηγούμενη άδεια είναι ειδική ή γενική, ο πρώτος εκτελών την επεξεργασία θα πρέπει να τηρεί επικαιροποιημένο κατάλογο των άλλων εκτελούντων την επεξεργασία.

(10)

Για την τήρηση των απαιτήσεων του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή εξέδωσε τυποποιημένες συμβατικές ρήτρες δυνάμει του άρθρου 46 παράγραφος 2 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679. Οι εν λόγω ρήτρες πληρούν επίσης τις απαιτήσεις του άρθρου 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 για τις διαβιβάσεις δεδομένων από υπευθύνους επεξεργασίας που υπόκεινται στον κανονισμό (ΕΕ) 2016/679 προς εκτελούντες την επεξεργασία εκτός του εδαφικού πεδίου εφαρμογής του εν λόγω κανονισμού ή από εκτελούντες την επεξεργασία που υπόκεινται στον κανονισμό (ΕΕ) 2016/679 προς υπεργολάβους επεξεργασίας εκτός του εδαφικού πεδίου εφαρμογής του εν λόγω κανονισμού. Οι εν λόγω τυποποιημένες συμβατικές ρήτρες δεν μπορούν να χρησιμοποιούνται ως τυποποιημένες συμβατικές ρήτρες για τους σκοπούς του κεφαλαίου V του κανονισμού (ΕΕ) 2016/679.

(11)

Τρίτοι θα πρέπει να έχουν τη δυνατότητα να καθίστανται συμβαλλόμενα μέρη των τυποποιημένων συμβατικών ρητρών καθ’ όλη τη διάρκεια της σύμβασης.

(12)

Η λειτουργία των τυποποιημένων συμβατικών ρητρών θα πρέπει να αξιολογείται στο πλαίσιο της περιοδικής αξιολόγησης του κανονισμού (ΕΕ) 2016/679 που όπως αναφέρεται στο άρθρο 97 του εν λόγω κανονισμού.

(13)

Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων σύμφωνα με το άρθρο 42 παράγραφοι 1 και 2 του κανονισμού (ΕΕ) 2018/1725 και εξέδωσαν κοινή γνωμοδότηση στις 14 Ιανουαρίου 2021 (3), η οποία λήφθηκε υπόψη κατά την κατάρτιση της παρούσας απόφασης.

(14)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 93 του κανονισμού (ΕΕ) 2016/679 και του άρθρου 96 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Οι τυποποιημένες συμβατικές ρήτρες που καθορίζονται στο παράρτημα πληρούν τις απαιτήσεις για συμβάσεις μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία σύμφωνα με το άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 και το άρθρο 29 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725.

Άρθρο 2

Οι τυποποιημένες συμβατικές ρήτρες που καθορίζονται στο παράρτημα μπορούν να χρησιμοποιούνται σε συμβάσεις μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία ο οποίος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας.

Άρθρο 3

Η Επιτροπή αξιολογεί την πρακτική εφαρμογή των τυποποιημένων συμβατικών ρητρών που καθορίζονται στο παράρτημα με βάση όλες τις διαθέσιμες πληροφορίες ως μέρος της περιοδικής αξιολόγησης που προβλέπεται στο άρθρο 97 του κανονισμού (ΕΕ) 2016/679.

Άρθρο 4

Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Βρυξέλλες, 4 Ιουνίου 2021.

Για την Επιτροπή

Η Πρόεδρος

Ursula VON DER LEYEN


(1)   ΕΕ L 119 της 4.5.2016, σ. 1.

(2)   ΕΕ L 295 της 21.11.2018, σ. 39.

(3)  Κοινή γνωμοδότηση ΕΣΠΔ-ΕΕΠΔ 1/2021 σχετικά με την εκτελεστική απόφαση της Ευρωπαϊκής Επιτροπής για τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία για τα ζητήματα που αναφέρονται στο άρθρο 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 και στο άρθρο 29 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725.


ΠΑΡΑΡΤΗΜΑ

Τυποποιημένες συμβατικές ρήτρες

ΤΜΗΜΑ I

Ρήτρα 1

Σκοπός και πεδίο εφαρμογής

α)

Οι παρούσες τυποποιημένες συμβατικές ρήτρες (στο εξής: ρήτρες) έχουν ως σκοπό να διασφαλίζουν τη συμμόρφωση με [να επιλεγεί η κατάλληλη επιλογή: ΕΠΙΛΟΓΗ 1: το άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτώνκαι την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός Προστασίας Δεδομένων)]/[ΕΠΙΛΟΓΗ 2: το άρθρο 29 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ].

β)

Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία που απαριθμούνται στο παράρτημα Ι συμφώνησαν τις παρούσες ρήτρες προκειμένου να διασφαλίζεται η συμμόρφωση με το άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 και/ή το άρθρο 29 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2018/1725.

γ)

Οι παρούσες ρήτρες εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα όπως καθορίζεται στο παράρτημα ΙΙ.

δ)

Τα παραρτήματα Ι έως ΙV είναι αναπόσπαστο μέρος των ρητρών.

ε)

Οι παρούσες ρήτρες δεν θίγουν τις υποχρεώσεις στις οποίες υπόκειται ο υπεύθυνος επεξεργασίας δυνάμει του κανονισμού (ΕΕ) 2016/679 και/ή του κανονισμού (ΕΕ) 2018/1725.

στ)

Οι παρούσες ρήτρες δεν διασφαλίζουν από μόνες τους τη συμμόρφωση με τις υποχρεώσεις που σχετίζονται με τις διεθνείς διαβιβάσεις σύμφωνα με το κεφάλαιο V του κανονισμού (ΕΕ) 2016/679 και/ή του κανονισμού (ΕΕ) 2018/1725.

Ρήτρα 2

Αμετάβλητος χαρακτήρας των ρητρών

α)

Τα μέρη δεσμεύονται να μην τροποποιούν τις ρήτρες παρά μόνο για να προσθέσουν ή να επικαιροποιήσουν πληροφορίες στα παραρτήματα.

β)

Η δέσμευση αυτή δεν εμποδίζει τα μέρη να ενσωματώνουν τις τυποποιημένες συμβατικές ρήτρες που ορίζονται στις παρούσες ρήτρες σε ευρύτερη σύμβαση ούτε να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, υπό τον όρο ότι αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων.

Ρήτρα 3

Ερμηνεία

α)

Όπου στις παρούσες ρήτρες χρησιμοποιούνται όροι που ορίζονται στον κανονισμό (ΕΕ) 2016/679 ή στον κανονισμό (ΕΕ) 2018/1725 αντιστοίχως, οι εν λόγω όροι έχουν την ίδια έννοια με αυτή που έχουν στον οικείο κανονισμό.

β)

Η ανάγνωση και ερμηνεία των παρουσών ρητρών πραγματοποιούνται υπό το πρίσμα των διατάξεων του κανονισμού (ΕΕ) 2016/679 ή του κανονισμού (ΕΕ) 2018/1725 αντιστοίχως.

γ)

Οι παρούσες ρήτρες δεν ερμηνεύονται με τρόπο που αντιβαίνει προς τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στον κανονισμό (ΕΕ) 2016/679 / τον κανονισμό (ΕΕ) 2018/1725 ή με τρόπο που θίγει τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων.

Ρήτρα 4

Ιεραρχία

Σε περίπτωση αντίφασης μεταξύ των παρουσών ρητρών και των διατάξεων συναφών συμφωνιών μεταξύ των μερών οι οποίες ισχύουν κατά τον χρόνο που συμφωνούνται ή συνάπτονται οι παρούσες ρήτρες, οι παρούσες ρήτρες υπερισχύουν.

Ρήτρα 5 - Προαιρετική

Ρήτρα σύνδεσης

α)

Οποιαδήποτε οντότητα που δεν είναι συμβαλλόμενο μέρος των παρουσών ρητρών μπορεί, με τη συγκατάθεση όλων των συμβαλλόμενων μερών, να προσχωρήσει στις παρούσες ρήτρες ανά πάσα στιγμή, ως υπεύθυνος επεξεργασίας ή ως εκτελών την επεξεργασία, συμπληρώνοντας τα παραρτήματα και υπογράφοντας το παράρτημα Ι.

β)

Αφού συμπληρωθούν και υπογραφούν τα παραρτήματα του στοιχείου α), η προσχωρούσα οντότητα λογίζεται ως συμβαλλόμενο μέρος των παρουσών ρητρών και έχει τα δικαιώματα και τις υποχρεώσεις υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, σύμφωνα με τον χαρακτηρισμό της στο παράρτημα Ι.

γ)

Η προσχωρούσα οντότητα δεν έχει δικαιώματα ή υποχρεώσεις που απορρέουν από τις παρούσες ρήτρες όσον αφορά το διάστημα πριν καταστεί συμβαλλόμενο μέρος.

ΤΜΗΜΑ ΙΙ

ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ

Ρήτρα 6

Περιγραφή της επεξεργασίας

Οι λεπτομέρειες των πράξεων επεξεργασίας, ιδίως οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα και οι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας, καθορίζονται στο παράρτημα ΙΙ.

Ρήτρα 7

Υποχρεώσεις των συμβαλλόμενων μερών

7.1.   Εντολές

α)

Ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία. Στην περίπτωση αυτή, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος. Ο υπεύθυνος επεξεργασίας μπορεί επίσης να δίνει μεταγενέστερες εντολές καθ’ όλη τη διάρκεια της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Οι εν λόγω εντολές είναι πάντοτε έγγραφες.

β)

Ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψη του εκτελούντος της επεξεργασία, κάποια εντολή του υπευθύνου επεξεργασίας παραβιάζει τον κανονισμό (ΕΕ) 2016/679 / τον κανονισμό (ΕΕ) 2018/1725 ή ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων.

7.2.   Περιορισμός του σκοπού

Ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον συγκεκριμένο σκοπό ή σκοπούς της επεξεργασίας που ορίζονται στο παράρτημα ΙΙ, εκτός αν λάβει περαιτέρω εντολές από τον υπεύθυνο επεξεργασίας.

7.3.   Διάρκεια της επεξεργασίας δεδομένων προσωπικού χαρακτήρα

Η επεξεργασία από τον εκτελούντα την επεξεργασία πραγματοποιείται μόνο για το χρονικό διάστημα που καθορίζεται στο παράρτημα ΙΙ.

7.4.   Ασφάλεια της επεξεργασίας

α)

Ο εκτελών την επεξεργασία εφαρμόζει τουλάχιστον τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο παράρτημα III προκειμένου να διασφαλίζει την ασφάλεια των δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο αυτό συμπεριλαμβάνεται η προστασία των δεδομένων από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, τα συμβαλλόμενα μέρη λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους που συντρέχουν για τα υποκείμενα των δεδομένων.

β)

Ο εκτελών την επεξεργασία παρέχει σε μέλη του προσωπικού του πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία μόνο στο μέτρο που είναι απολύτως αναγκαίο για την εκτέλεση, τη διαχείριση και την παρακολούθηση της σύμβασης. Ο εκτελών την επεξεργασία διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα λαμβανόμενα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή υπόκεινται σε δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

7.5.   Ευαίσθητα δεδομένα

Αν η επεξεργασία περιλαμβάνει δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία ή τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εκτελών την επεξεργασία εφαρμόζει ειδικούς περιορισμούς και/ή πρόσθετες εγγυήσεις.

7.6.   Τεκμηρίωση και συμμόρφωση

α)

Τα συμβαλλόμενα μέρη είναι σε θέση να αποδείξουν τη συμμόρφωσή τους με τις παρούσες ρήτρες.

β)

Ο εκτελών την επεξεργασία ανταποκρίνεται άμεσα και επαρκώς σε όλα τα αιτήματα πληροφοριών του υπευθύνου επεξεργασίας σχετικά με την επεξεργασία δεδομένων σύμφωνα με τις παρούσες ρήτρες.

γ)

Ο εκτελών την επεξεργασία θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που καθορίζονται στις παρούσες ρήτρες και απορρέουν απευθείας από τον κανονισμό (ΕΕ) 2016/679 και/ή τον κανονισμού (ΕΕ) 2018/1725. Επιπλέον, κατόπιν αιτήματος του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία επιτρέπει και διευκολύνει ελέγχους των δραστηριοτήτων επεξεργασίας που καλύπτονται από τις παρούσες ρήτρες, σε εύλογα τακτά χρονικά διαστήματα ή αν υπάρχουν ενδείξεις μη συμμόρφωσης. Όταν αποφασίζει για επανεξέταση ή έλεγχο, ο υπεύθυνος επεξεργασίας μπορεί να λαμβάνει υπόψη σχετικές πιστοποιήσεις του εκτελούντος την επεξεργασία.

δ)

Ο υπεύθυνος επεξεργασίας μπορεί να επιλέγει να διενεργήσει τον έλεγχο ο ίδιος ή να τον αναθέσει σε ανεξάρτητο ελεγκτή. Οι έλεγχοι είναι δυνατόν να περιλαμβάνουν και επιθεωρήσεις στους χώρους ή τις φυσικές εγκαταστάσεις του εκτελούντος την επεξεργασία, ενώ, όταν ενδείκνυται, διενεργούνται έπειτα από εύλογη προθεσμία προειδοποίησης.

ε)

Τα συμβαλλόμενα μέρη θέτουν τις πληροφορίες που αναφέρονται στην παρούσα ρήτρα, συμπεριλαμβανομένων των αποτελεσμάτων τυχόν ελέγχων, στη διάθεση της/των αρμόδιας/-ων εποπτικής/-ών αρχής/-ών, κατόπιν σχετικού αιτήματός της/τους.

7.7.   Χρήση υπεργολάβων επεξεργασίας

α)

ΕΠΙΛΟΓΗ 1: ΠΡΟΗΓΟΥΜΕΝΗ ΕΙΔΙΚΗ ΑΔΕΙΑ: Ο εκτελών την επεξεργασία δεν αναθέτει σε υπεργολάβο επεξεργασίας καμία από τις πράξεις επεξεργασίας που εκτελεί για λογαριασμό του υπευθύνου επεξεργασίας σύμφωνα με τις παρούσες ρήτρες, χωρίς την προηγούμενη ειδική γραπτή άδεια του υπευθύνου επεξεργασίας. Ο εκτελών την επεξεργασία υποβάλλει το αίτημα για ειδική άδεια τουλάχιστον [ΝΑ ΣΥΜΠΛΗΡΩΘΕΙ ΤΟ ΧΡΟΝΙΚΟ ΔΙΑΣΤΗΜΑ] πριν από την πρόσληψη του οικείου υπεργολάβου επεξεργασίας, μαζί με τις πληροφορίες που απαιτούνται προκειμένου να μπορεί ο υπεύθυνος επεξεργασίας να αποφασίσει για τη χορήγηση της άδειας. Στο παράρτημα IV περιλαμβάνεται κατάλογος των υπεργολάβων επεξεργασίας που έχουν λάβει άδεια από τον υπεύθυνο επεξεργασίας. Τα συμβαλλόμενα μέρη επικαιροποιούν το παράρτημα IV.

ΕΠΙΛΟΓΗ 2: ΓΕΝΙΚΗ ΓΡΑΠΤΗ ΑΔΕΙΑ: Ο εκτελών την επεξεργασία έχει τη γενική άδεια του υπευθύνου επεξεργασίας για την πρόσληψη υπεργολάβων επεξεργασίας από κατάλογο που έχει συμφωνηθεί. Ο εκτελών την επεξεργασία ενημερώνει ειδικά και εγγράφως τον υπεύθυνο επεξεργασίας για κάθε τυχόν σκοπούμενη αλλαγή στον εν λόγω κατάλογο η οποία αφορά την προσθήκη ή την αντικατάσταση υπεργολάβων επεξεργασίας τουλάχιστον [ΝΑ ΣΥΜΠΛΗΡΩΘΕΙ ΤΟ ΧΡΟΝΙΚΟ ΔΙΑΣΤΗΜΑ] πριν, παρέχοντας στον υπεύθυνο επεξεργασίας επαρκή χρόνο ώστε να μπορεί να εναντιωθεί στην εν λόγω αλλαγή πριν από την πρόσληψη του σχετικού υπεργολάβου ή των σχετικών υπεργολάβων επεξεργασίας. Ο εκτελών την επεξεργασία παρέχει στον υπεύθυνο επεξεργασίας τις πληροφορίες που απαιτούνται ώστε ο υπεύθυνος επεξεργασίας να είναι σε θέση να ασκήσει το δικαίωμα εναντίωσης.

β)

Όταν ο εκτελών την επεξεργασία προσλαμβάνει υπεργολάβο επεξεργασίας για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του υπευθύνου επεξεργασίας), το πράττει μέσω σύμβασης η οποία επιβάλλει στον υπεργολάβο επεξεργασίας, στην ουσία, τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με αυτές που επιβάλλονται στον εκτελούντα την επεξεργασία σύμφωνα με τις παρούσες ρήτρες. Ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεργολάβος επεξεργασίας συμμορφώνεται με τις υποχρεώσεις στις οποίες υπόκειται ο εκτελών την επεξεργασία σύμφωνα με τις παρούσες ρήτρες και τον κανονισμό (ΕΕ) 2016/679 και/ή τον κανονισμό (ΕΕ) 2018/1725.

γ)

Κατόπιν αιτήματος του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία παρέχει στον υπεύθυνο επεξεργασίας αντίγραφο της συμφωνίας με τον υπεργολάβο και κάθε τυχόν μεταγενέστερης πράξης τροποποίησής της. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, ο εκτελών την επεξεργασία μπορεί να απαλείψει τις εμπιστευτικές πληροφορίες από το κείμενο της συμφωνίας πριν από την κοινοποίηση του αντιγράφου.

δ)

Ο εκτελών την επεξεργασία παραμένει πλήρως υπεύθυνος έναντι του υπευθύνου επεξεργασίας για την εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας σύμφωνα με τη σύμβασή του με τον εκτελούντα την επεξεργασία. Ο εκτελών την επεξεργασία γνωστοποιεί στον υπεύθυνο επεξεργασίας κάθε περίπτωση μη εκπλήρωσης των συμβατικών υποχρεώσεων του υπεργολάβου επεξεργασίας.

ε)

Ο εκτελών την επεξεργασία συμφωνεί με τον υπεργολάβο επεξεργασίας ρήτρα δικαιούχου τρίτου, βάσει της οποίας —σε περίπτωση που ο εκτελών την επεξεργασία έπαυσε να υφίσταται από πραγματική ή νομική άποψη ή κατέστη αφερέγγυος— ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να καταγγείλει τη σύμβαση με τον υπεργολάβο επεξεργασίας και να του δώσει εντολή να διαγράψει ή να επιστρέψει τα δεδομένα προσωπικού χαρακτήρα.

7.8.   Διεθνείς διαβιβάσεις

α)

Κάθε διαβίβαση δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό από τον εκτελούντα την επεξεργασία πραγματοποιείται μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας ή προκειμένου να εκπληρωθεί ειδική απαίτηση του δικαίου της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία και εκτελείται σύμφωνα με τους όρους του κεφαλαίου V του κανονισμού (ΕΕ) 2016/679 ή του κανονισμού (ΕΕ) 2018/1725.

β)

Ο υπεύθυνος επεξεργασίας συμφωνεί ότι στις περιπτώσεις που ο εκτελών την επεξεργασία προσλαμβάνει υπεργολάβο επεξεργασίας σύμφωνα με τη ρήτρα 7.7 για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του υπευθύνου επεξεργασίας) και οι εν λόγω δραστηριότητες επεξεργασίας περιλαμβάνουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα κατά την έννοια του κεφαλαίου V του κανονισμού (ΕΕ) 2016/679, ο εκτελών την επεξεργασία και ο υπεργολάβος επεξεργασίας μπορούν να διασφαλίζουν τη συμμόρφωση με το κεφάλαιο V του κανονισμού (EΕ) 2016/679 μέσω της χρήσης τυποποιημένων συμβατικών ρητρών που έχει εκδώσει η Επιτροπή σύμφωνα με το άρθρο 46 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679, υπό τον όρο ότι πληρούνται οι προϋποθέσεις για τη χρήση των εν λόγω τυποποιημένων συμβατικών ρητρών.

Ρήτρα 8

Συνδρομή στον υπεύθυνο επεξεργασίας

α)

Ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας για κάθε αίτημα που έχει λάβει από υποκείμενο των δεδομένων. Δεν απαντά ο ίδιος στο αίτημα, εκτός αν λάβει σχετική εξουσιοδότηση από τον υπεύθυνο επεξεργασίας.

β)

Ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας στην εκπλήρωση της υποχρέωσής του να απαντά στα αιτήματα των υποκειμένων των δεδομένων για άσκηση των δικαιωμάτων τους, λαμβανομένης υπόψη της φύσης της επεξεργασίας. Κατά την εκπλήρωση των υποχρεώσεών του σύμφωνα με τα στοιχεία α) και β), ο εκτελών την επεξεργασία συμμορφώνεται με τις εντολές του υπευθύνου επεξεργασίας.

γ)

Επιπρόσθετα στην υποχρέωση του εκτελούντος την επεξεργασία να βοηθά τον υπεύθυνο επεξεργασίας σύμφωνα με τη ρήτρα 8 στοιχείο β), ο εκτελών την επεξεργασία βοηθά επίσης τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις παρακάτω υποχρεώσεις, λαμβανομένων υπόψη της φύσης της επεξεργασίας δεδομένων και των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία:

1)

την υποχρέωση να διενεργεί εκτίμηση του αντικτύπου των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα (εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων), όταν ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων·

2)

την υποχρέωση να ζητεί τη γνώμη της/των αρμόδιας/-ων εποπτικής/-ών αρχής/-ών πριν από την επεξεργασία, όταν μια εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας·

3)

την υποχρέωση να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και επικαιροποιημένα, ενημερώνοντας χωρίς καθυστέρηση τον υπεύθυνο επεξεργασίας σε περίπτωση που ο εκτελών την επεξεργασία αντιληφθεί ότι τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται είναι ανακριβή ή παρωχημένα·

4)

τις υποχρεώσεις που προβλέπονται [ΕΠΙΛΟΓΗ 1] στο άρθρο 32 του κανονισμού (ΕΕ) 2016/679 / [ΕΠΙΛΟΓΗ 2] στα άρθρα 33 και 36 έως 38 του κανονισμού (ΕΕ) 2018/1725.

δ)

Τα συμβαλλόμενα μέρη καθορίζουν στο παράρτημα ΙΙΙ τα κατάλληλα τεχνικά και οργανωτικά μέτρα με τα οποία ο εκτελών την επεξεργασία υποχρεούται να βοηθά τον υπεύθυνο επεξεργασίας για την εφαρμογή της παρούσας ρήτρας, καθώς και το πεδίο εφαρμογής και την έκταση της απαιτούμενης βοήθειας.

Ρήτρα 9

Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο εκτελών την επεξεργασία συνεργάζεται με τον υπεύθυνο επεξεργασίας και τον βοηθά να συμμορφωθεί προς τις υποχρεώσεις του που απορρέουν από τα άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679 ή τα άρθρα 34 και 35 του κανονισμού (ΕΕ) 2018/1725, ανάλογα με την περίπτωση, λαμβανομένων υπόψη της φύσης της επεξεργασίας και των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία.

9.1.   Παραβίαση δεδομένων που αφορά δεδομένα που επεξεργάζεται ο υπεύθυνος επεξεργασίας

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που αφορά δεδομένα που επεξεργάζεται ο υπεύθυνος επεξεργασίας, ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας:

α)

να γνωστοποιήσει την παραβίαση δεδομένων προσωπικού χαρακτήρα στην/στις αρμόδια/-ες εποπτική/-ές αρχή/-ές, αμελλητί από τη στιγμή που ο υπεύθυνος επεξεργασίας απέκτησε γνώση του γεγονότος, κατά περίπτωση/(εκτός αν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων)·

β)

να συγκεντρώσει τις παρακάτω πληροφορίες, οι οποίες, σύμφωνα με [ΕΠΙΛΟΓΗ 1] το άρθρο 33 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 / [ΕΠΙΛΟΓΗ 2] το άρθρο 34 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725, αναφέρονται στη γνωστοποίηση του υπευθύνου επεξεργασίας και πρέπει να περιλαμβάνουν κατ’ ελάχιστο:

1)

τη φύση των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα·

2)

τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα·

3)

τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες αυτές οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ πρόσθετες πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.

γ)

να συμμορφωθεί, σύμφωνα με το [ΕΠΙΛΟΓΗ 1] άρθρο 34 του κανονισμού (ΕΕ) 2016/679 / [ΕΠΙΛΟΓΗ 2] άρθρο 35 του κανονισμού (ΕΕ) 2018/1725, με την υποχρέωση να ανακοινώνει αμελλητί στο υποκείμενο των δεδομένων την παραβίαση δεδομένων προσωπικού χαρακτήρα, όταν αυτή ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

9.2.   Παραβίαση δεδομένων που αφορά δεδομένα που επεξεργάζεται ο εκτελών την επεξεργασία

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που αφορά δεδομένα που επεξεργάζεται ο εκτελών την επεξεργασία, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση από τη στιγμή που αποκτά γνώση της παραβίασης. Η εν λόγω γνωστοποίηση περιλαμβάνει κατ’ ελάχιστο:

α)

περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων και αρχείων δεδομένων)·

β)

τα στοιχεία του σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες σχετικά με την παραβίαση των δεδομένων προσωπικού χαρακτήρα·

γ)

τις ενδεχόμενες συνέπειες και τα ληφθέντα ή προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες αυτές οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ πρόσθετες πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.

Τα συμβαλλόμενα μέρη καθορίζουν στο παράρτημα ΙΙΙ όλα τα άλλα στοιχεία που πρέπει να παρέχονται από τον εκτελούντα την επεξεργασία κατά την παροχή βοήθειας στον υπεύθυνο επεξεργασίας για τη συμμόρφωση προς τις υποχρεώσεις του υπευθύνου επεξεργασίας σύμφωνα με τα [ΕΠΙΛΟΓΗ 1] άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679 / [ΕΠΙΛΟΓΗ 2] άρθρα 34 και 35 του κανονισμού (ΕΕ) 2018/1725.

ΤΜΗΜΑ III

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Ρήτρα 10

Μη συμμόρφωση με τις ρήτρες και καταγγελία

α)

Με την επιφύλαξη των διατάξεων του κανονισμού (ΕΕ) 2016/679 και/ή του κανονισμού (ΕΕ) 2018/1725, σε περίπτωση που ο εκτελών την επεξεργασία παραβιάζει τις υποχρεώσεις του σύμφωνα με τις παρούσες ρήτρες, ο υπεύθυνος επεξεργασίας μπορεί να δώσει εντολή στον εκτελούντα την επεξεργασία να αναστείλει την επεξεργασία δεδομένων προσωπικού χαρακτήρα έως ότου ο τελευταίος συμμορφωθεί με τις παρούσες ρήτρες ή καταγγελθεί η σύμβαση. Ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας σε περίπτωση που αδυνατεί να συμμορφωθεί με τις παρούσες ρήτρες, για οποιονδήποτε λόγο.

β)

Ο υπεύθυνος επεξεργασίας έχει δικαίωμα να καταγγείλει τη σύμβαση στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις παρούσες ρήτρες, αν:

1)

η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον εκτελούντα την επεξεργασία ανεστάλη από τον υπεύθυνο επεξεργασίας σύμφωνα με το στοιχείο α) και η συμμόρφωση με τις παρούσες ρήτρες δεν αποκαταστάθηκε εντός εύλογου χρονικού διαστήματος και, σε κάθε περίπτωση, εντός ενός μηνός από την ημερομηνία της αναστολής·

2)

ο εκτελών την επεξεργασία παραβιάζει ουσιωδώς ή με τρόπο διαρκή τις παρούσες ρήτρες ή τις υποχρεώσεις του βάσει του κανονισμού (ΕΕ) 2016/679 και/ή του κανονισμού (ΕΕ) 2018/1725·

3)

ο εκτελών την επεξεργασία δεν συμμορφώνεται με δεσμευτική απόφαση αρμόδιου δικαστηρίου ή της/των αρμόδιας/-ων εποπτικής/-ών αρχής/-ών όσον αφορά τις υποχρεώσεις του σύμφωνα με τις παρούσες ρήτρες ή τον κανονισμό (ΕΕ) 2016/679 και/ή τον κανονισμό (ΕΕ) 2018/1725.

γ)

Ο εκτελών την επεξεργασία έχει δικαίωμα να καταγγείλει τη σύμβαση στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις παρούσες ρήτρες αν, παρόλο που έχει ενημερώσει τον υπεύθυνο επεξεργασίας ότι οι εντολές του παραβιάζουν εφαρμοστέες νομικές απαιτήσεις σύμφωνα με τη ρήτρα 7.1 στοιχείο β), ο υπεύθυνος επεξεργασίας εμμένει στη συμμόρφωση με τις εν λόγω εντολές.

δ)

Μετά την καταγγελία της σύμβασης, ο εκτελών την επεξεργασία, κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται για λογαριασμό του υπευθύνου επεξεργασίας και πιστοποιεί στον υπεύθυνο επεξεργασίας ότι το έχει πράξει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός αν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα. Έως τη διαγραφή ή την επιστροφή των δεδομένων, ο εκτελών την επεξεργασία συνεχίζει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες.


ΠΑΡΑΡΤΗΜΑ Ι

Κατάλογος συμβαλλόμενων μερών

Υπεύθυνος/-οι επεξεργασίας: [Ταυτότητα και στοιχεία επικοινωνίας του/των υπευθύνου/-ων επεξεργασίας και, κατά περίπτωση, του υπευθύνου προστασίας δεδομένων του υπευθύνου επεξεργασίας]

1.

Όνομα: …

 

Διεύθυνση: …

 

Όνομα, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: …

 

Υπογραφή και ημερομηνία προσχώρησης: …

2.

 

Εκτελών/-ούντες την επεξεργασία [Ταυτότητα και στοιχεία επικοινωνίας του/των εκτελούντος/-ων την επεξεργασία και, κατά περίπτωση, του υπευθύνου προστασίας δεδομένων του εκτελούντος την επεξεργασία]

1.

Όνομα: …

 

Διεύθυνση: …

 

Όνομα, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: …

 

Υπογραφή και ημερομηνία προσχώρησης: …

2.

 


ΠΑΡΑΡΤΗΜΑ II

Περιγραφή της επεξεργασίας

Κατηγορίες υποκειμένων δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία

Κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία

Ευαίσθητα δεδομένα που υποβάλλονται σε επεξεργασία (αν συντρέχει τέτοια περίπτωση) και περιορισμοί ή εγγυήσεις που εφαρμόζονται ώστε να λαμβάνονται πλήρως υπόψη η φύση των δεδομένων και οι υφιστάμενοι κίνδυνοι, όπως, για παράδειγμα, αυστηρός περιορισμός του σκοπού, περιορισμοί στην πρόσβαση (συμπεριλαμβανομένης της πρόσβασης αποκλειστικά από προσωπικό που έχει λάβει εξειδικευμένη κατάρτιση), τήρηση αρχείου πρόσβασης στα δεδομένα, περιορισμοί στις περαιτέρω διαβιβάσεις ή πρόσθετα μέτρα ασφάλειας.

Φύση της επεξεργασίας

Σκοπός/-οί για τον οποίο ή τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για λογαριασμό του υπευθύνου επεξεργασίας

Διάρκεια της επεξεργασίας

Για την επεξεργασία από εκτελούντες την επεξεργασία (υπεργολάβους επεξεργασίας), να διευκρινιστεί επίσης το αντικείμενο, η φύση και η διάρκεια της επεξεργασίας


ΠΑΡΑΡΤΗΜΑ III

Τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένων των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας των δεδομένων

ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ:

Τα τεχνικά και οργανωτικά μέτρα πρέπει να περιγράφονται με συγκεκριμένο και όχι με γενικό τρόπο.

Περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που εφαρμόζονται από τον/τους εκτελούντα/-ες την επεξεργασία (συμπεριλαμβανομένων των τυχόν σχετικών πιστοποιήσεων) με στόχο τη διασφάλιση κατάλληλου επιπέδου ασφάλειας, λαμβανομένων υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, καθώς και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Παραδείγματα πιθανών μέτρων:

 

Μέτρα ψευδωνυμοποίησης και κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα.

 

Μέτρα για τη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση.

 

Μέτρα για τη διασφάλιση της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος.

 

Διαδικασίες για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

 

Μέτρα για την ταυτοποίηση και αδειοδότηση χρηστών.

 

Μέτρα για την προστασία των δεδομένων κατά τη διαβίβαση.

 

Μέτρα για την προστασία των δεδομένων κατά την αποθήκευση.

 

Μέτρα για τη διασφάλιση της φυσικής ασφάλειας των εγκαταστάσεων όπου πραγματοποιείται επεξεργασία δεδομένων προσωπικού χαρακτήρα.

 

Μέτρα για τη διασφάλιση της καταγραφής περιστατικών ασφάλειας.

 

Μέτρα για τη διασφάλιση της διαμόρφωσης συστημάτων, συμπεριλαμβανομένης της προκαθορισμένης διαμόρφωσης.

 

Μέτρα για τις εσωτερικές ΤΠ και τη διακυβέρνηση και διαχείριση της ασφάλειας ΤΠ.

 

Μέτρα για την πιστοποίηση/διασφάλιση διαδικασιών και προϊόντων.

 

Μέτρα για τη διασφάλιση της ελαχιστοποίησης των δεδομένων.

 

Μέτρα για τη διασφάλιση της ποιότητας των δεδομένων.

 

Μέτρα για τη διασφάλιση της περιορισμένης διατήρησης των δεδομένων.

 

Μέτρα για τη διασφάλιση της λογοδοσίας.

 

Μέτρα που επιτρέπουν τη φορητότητα των δεδομένων και διασφαλίζουν τη διαγραφή τους.

Για διαβιβάσεις σε εκτελούντες την επεξεργασία (υπεργολάβους επεξεργασίας), να περιγραφούν επίσης τα συγκεκριμένα τεχνικά και οργανωτικά μέτρα που πρέπει να ληφθούν από τον εκτελούντα την επεξεργασία (υπεργολάβο επεξεργασίας) ώστε να είναι σε θέση να παρέχει βοήθεια στον υπεύθυνο επεξεργασίας.

Περιγραφή των συγκεκριμένων τεχνικών και οργανωτικών μέτρων που πρέπει να ληφθούν από τον εκτελούντα την επεξεργασία ώστε να είναι σε θέση να παρέχει βοήθεια στον υπεύθυνο επεξεργασίας.


ΠΑΡΑΡΤΗΜΑ IV

Κατάλογος υπεργολάβων επεξεργασίας

ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ:

Το παρόν παράρτημα πρέπει να συμπληρωθεί σε περίπτωση ειδικής άδειας για χρήση υπεργολάβων επεξεργασίας [ρήτρα 7.7 στοιχείο α) επιλογή 1].

Ο υπεύθυνος επεξεργασίας έχει δώσει άδεια για τη χρήση των παρακάτω υπεργολάβων επεξεργασίας:

1.

Όνομα: …

 

Διεύθυνση: …

 

Όνομα, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: …

 

Περιγραφή της επεξεργασίας (συμπεριλαμβανομένης σαφούς οριοθέτησης των αρμοδιοτήτων σε περίπτωση που έχει δοθεί άδεια σε περισσότερους από έναν υπεργολάβους επεξεργασίας): …

2.


7.6.2021   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 199/31


ΕΚΤΕΛΕΣΤΙΚΗ ΑΠΟΦΑΣΗ (ΕΕ) 2021/914 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 4ης Ιουνίου 2021

σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (1), και ιδίως το άρθρο 28 παράγραφος 7 και το άρθρο 46 παράγραφος 2 στοιχείο γ),

Εκτιμώντας τα ακόλουθα:

(1)

Οι τεχνολογικές εξελίξεις διευκολύνουν τη διασυνοριακή κυκλοφορία δεδομένων που είναι απαραίτητη για την επέκταση της διεθνούς συνεργασίας και του διεθνούς εμπορίου. Παράλληλα, είναι αναγκαίο να διασφαλιστεί ότι δεν υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο κανονισμός (ΕΕ) 2016/679 όταν δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτες χώρες, συμπεριλαμβανομένων των περιπτώσεων περαιτέρω διαβιβάσεων. (2) Οι διατάξεις σχετικά με τις διαβιβάσεις δεδομένων στο κεφάλαιο V του κανονισμού (ΕΕ) 2016/679 αποσκοπούν στη διασφάλιση της συνέχισης αυτού του υψηλού επιπέδου προστασίας όταν τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα. (3)

(2)

Σύμφωνα με το άρθρο 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, ελλείψει απόφασης επάρκειας από την Επιτροπή δυνάμει του άρθρου 45 παράγραφος 3, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα μόνο εάν έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων. Οι εγγυήσεις αυτές μπορούν να προβλέπονται από τυποποιημένες ρήτρες προστασίας δεδομένων που εκδίδονται από την Επιτροπή σύμφωνα με το άρθρο 46 παράγραφος 2 στοιχείο γ).

(3)

Ο ρόλος των τυποποιημένων συμβατικών ρητρών περιορίζεται στη διασφάλιση κατάλληλων εγγυήσεων προστασίας των δεδομένων όσον αφορά τις διεθνείς διαβιβάσεις δεδομένων. Ως εκ τούτου, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα (στο εξής: εξαγωγέας των δεδομένων) και ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία που λαμβάνει τα δεδομένα προσωπικού χαρακτήρα (στο εξής: εισαγωγέας των δεδομένων) είναι ελεύθεροι να ενσωματώνουν τις εν λόγω τυποποιημένες συμβατικές ρήτρες σε ευρύτερη σύμβαση και να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις εφόσον αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις τυποποιημένες συμβατικές ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων. Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία ενθαρρύνονται να παράσχουν πρόσθετες εγγυήσεις μέσω συμβατικών δεσμεύσεων που δρουν συμπληρωματικά ως προς τις τυποποιημένες συμβατικές ρήτρες (4). Η χρήση των τυποποιημένων συμβατικών ρητρών δεν θίγει οποιαδήποτε άλλη συμβατική υποχρέωση του εξαγωγέα των δεδομένων και/ή του εισαγωγέα των δεδομένων σε σχέση με τη διασφάλιση της τήρησης των εφαρμοστέων προνομίων και ασυλιών.

(4)

Ο εξαγωγέας των δεδομένων, πέραν της χρήσης τυποποιημένων συμβατικών ρητρών για την παροχή κατάλληλων εγγυήσεων για διαβιβάσεις σύμφωνα με το άρθρο 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, πρέπει να εκπληρώνει τις γενικές του αρμοδιότητες ως υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία δυνάμει του κανονισμού (ΕΕ) 2016/679. Οι αρμοδιότητες αυτές περιλαμβάνουν την υποχρέωση του υπευθύνου επεξεργασίας να παρέχει στα υποκείμενα των δεδομένων πληροφορίες σχετικά με το γεγονός ότι προτίθεται να διαβιβάσει τα δεδομένα προσωπικού χαρακτήρα των εν λόγω υποκειμένων σε τρίτη χώρα σύμφωνα με το άρθρο 13 παράγραφος 1 στοιχείο στ) και το άρθρο 14 παράγραφος 1 στοιχείο στ) του κανονισμού (ΕΕ) 2016/679. Στην περίπτωση των διαβιβάσεων σύμφωνα με το άρθρο 46 του κανονισμού (ΕΕ) 2016/679, στις εν λόγω πληροφορίες πρέπει να περιλαμβάνεται αναφορά στις κατάλληλες εγγυήσεις, καθώς και στα μέσα για να αποκτηθεί αντίγραφό τους ή πληροφορίες σχετικά με το πού διατέθηκαν.

(5)

Οι αποφάσεις 2001/497/ΕΚ (5) και 2010/87/ΕΕ (6) της Επιτροπής περιλαμβάνουν τυποποιημένες συμβατικές ρήτρες για τη διευκόλυνση των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας δεδομένων εγκατεστημένο στην Ένωση σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία εγκατεστημένο σε τρίτη χώρα η οποία δεν παρέχει επαρκές επίπεδο προστασίας. Οι εν λόγω αποφάσεις βασίστηκαν στην οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7).

(6)

Σύμφωνα με το άρθρο 46 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679, η απόφαση 2001/497/ΕΚ και η απόφαση 2010/87/ΕΕ παραμένουν σε ισχύ έως ότου τροποποιηθούν, αντικατασταθούν ή καταργηθούν, εάν απαιτείται, με απόφαση της Επιτροπής που εκδίδεται σύμφωνα με το άρθρο 46 παράγραφος 2 του εν λόγω κανονισμού. Οι τυποποιημένες συμβατικές ρήτρες στις αποφάσεις έχρηζαν επικαιροποίησης με βάση τις νέες απαιτήσεις στον κανονισμό (ΕΕ) 2016/679. Επιπλέον, μετά την έκδοση των αποφάσεων, έχουν σημειωθεί σημαντικές εξελίξεις στην ψηφιακή οικονομία, με την ευρεία χρήση νέων και πιο πολύπλοκων πράξεων επεξεργασίας, στις οποίες συχνά συμμετέχουν πολλοί εισαγωγείς και εξαγωγείς των δεδομένων, και περιλαμβάνονται εκτεταμένες και πολύπλοκες αλυσίδες επεξεργασίας, καθώς και εξελισσόμενες επιχειρηματικές σχέσεις. Αυτό απαιτεί τον εκσυγχρονισμό των τυποποιημένων συμβατικών ρητρών ώστε να αντικατοπτρίζεται καλύτερα η πραγματικότητα αυτή, με την κάλυψη επιπλέον καταστάσεων επεξεργασίας και διαβίβασης και τη δυνατότητα για πιο ευέλικτη προσέγγιση, για παράδειγμα, όσον αφορά τον αριθμό των συμβαλλόμενων μερών που μπορούν να συμμετέχουν στη σύμβαση.

(7)

Ο υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία μπορεί να χρησιμοποιεί τις τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα της παρούσας απόφασης προκειμένου να παρέχονται κατάλληλες εγγυήσεις κατά την έννοια του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679 για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντα την επεξεργασία ή υπεύθυνο επεξεργασίας εγκατεστημένο σε τρίτη χώρα, με την επιφύλαξη της ερμηνείας της έννοιας της διεθνούς διαβίβασης στον κανονισμό (ΕΕ) 2016/679. Οι τυποποιημένες συμβατικές ρήτρες μπορούν να χρησιμοποιούνται για την εν λόγω διαβίβαση μόνο στον βαθμό που η επεξεργασία από τον εισαγωγέα δεν εμπίπτει στο πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679. Αυτό περιλαμβάνει επίσης τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, στον βαθμό που η επεξεργασία υπόκειται στον κανονισμό (ΕΕ) 2016/679 (σύμφωνα με το άρθρο 3 παράγραφος 2 του εν λόγω κανονισμού), διότι αφορά την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων στην Ένωση ή την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.

(8)

Δεδομένης της γενικής ευθυγράμμισης των κανονισμών (ΕΕ) 2016/679 και (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8), θα πρέπει να είναι δυνατή η χρήση των τυποποιημένων συμβατικών ρητρών και στο πλαίσιο σύμβασης, όπως προβλέπεται στο άρθρο 29 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1725 για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε υπεργολάβο επεξεργασίας σε τρίτη χώρα από εκτελούντα την επεξεργασία που δεν είναι όργανο ή οργανισμός της Ένωσης, αλλά υπόκειται στον κανονισμό (ΕΕ) 2016/679 και επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό οργάνου ή οργανισμού της Ένωσης σύμφωνα με το άρθρο 29 του κανονισμού (ΕΕ) 2018/1725. Υπό την προϋπόθεση ότι η σύμβαση αντικατοπτρίζει τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με εκείνες που προβλέπονται στη σύμβαση ή σε άλλη νομική πράξη μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με το άρθρο 29 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725, ιδίως με την παροχή επαρκών εγγυήσεων για τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζεται ότι η επεξεργασία πληροί τις απαιτήσεις του εν λόγω κανονισμού, με τον τρόπο αυτόν θα διασφαλιστεί η συμμόρφωση με το άρθρο 29 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1725. Ειδικότερα, αυτό συμβαίνει όταν ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία χρησιμοποιούν τις τυποποιημένες συμβατικές ρήτρες της εκτελεστικής απόφασης της Επιτροπής σχετικά με τις τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία δυνάμει του άρθρου 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του άρθρου 29 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9).

(9)

Όταν η επεξεργασία περιλαμβάνει διαβιβάσεις δεδομένων από υπευθύνους επεξεργασίας που υπόκεινται στον κανονισμό (ΕΕ) 2016/679 σε εκτελούντες την επεξεργασία εκτός του εδαφικού πεδίου εφαρμογής του ή από εκτελούντες την επεξεργασία που υπόκεινται στον κανονισμό (ΕΕ) 2016/679 σε υπεργολάβους επεξεργασίας εκτός του εδαφικού πεδίου εφαρμογής του, οι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα της παρούσας απόφασης θα πρέπει επίσης να επιτρέπουν την εκπλήρωση των απαιτήσεων του άρθρου 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679.

(10)

Οι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα της παρούσας απόφασης συνδυάζουν γενικές ρήτρες με μια προσέγγιση βάσει ενοτήτων, ώστε να λαμβάνονται υπόψη διάφορα σενάρια διαβίβασης καθώς και η πολυπλοκότητα των σύγχρονων αλυσίδων επεξεργασίας. Εκτός από τις γενικές ρήτρες, οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να επιλέγουν την ενότητα που αφορά την περίπτωσή τους ώστε να προσαρμόζουν τις υποχρεώσεις τους στο πλαίσιο των τυποποιημένων συμβατικών ρητρών στον ρόλο και τις αντίστοιχες αρμοδιότητές τους σε σχέση με την εκάστοτε επεξεργασία δεδομένων. Θα πρέπει να είναι δυνατή η προσχώρηση περισσοτέρων των δύο συμβαλλόμενων μερών στις τυποποιημένες συμβατικές ρήτρες. Επιπλέον, θα πρέπει να μπορούν πρόσθετοι υπεύθυνοι επεξεργασίας και εκτελούντες την επεξεργασία να προσχωρούν στις τυποποιημένες συμβατικές ρήτρες ως εξαγωγείς ή εισαγωγείς των δεδομένων καθ’ όλη τη διάρκεια ισχύος της σύμβασης της οποίας αποτελούν μέρος οι εν λόγω ρήτρες.

(11)

Για να παρέχονται κατάλληλες εγγυήσεις, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να διασφαλίζουν για τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που διασφαλίζεται εντός της Ένωσης (10). Για να διασφαλίζεται η διαφάνεια της επεξεργασίας, τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν αντίγραφο των τυποποιημένων συμβατικών ρητρών και να ενημερώνονται, ειδικότερα, για τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, το δικαίωμα λήψης αντιγράφου των τυποποιημένων συμβατικών ρητρών και κάθε περαιτέρω διαβίβαση. Θα πρέπει να επιτρέπονται οι περαιτέρω διαβιβάσεις από τον εισαγωγέα των δεδομένων σε τρίτον σε άλλη τρίτη χώρα μόνον αν ο εν λόγω τρίτος προσχωρήσει στις τυποποιημένες συμβατικές ρήτρες, σε περίπτωση που η συνέχεια της προστασίας διασφαλίζεται με άλλον τρόπο ή σε συγκεκριμένες περιπτώσεις, όπως με βάση τη ρητή και εν πλήρη επιγνώσει συγκατάθεση του υποκειμένου των δεδομένων.

(12)

Με κάποιες εξαιρέσεις, ιδίως όσον αφορά ορισμένες υποχρεώσεις που αφορούν αποκλειστικά τη σχέση μεταξύ του εξαγωγέα των δεδομένων και του εισαγωγέα των δεδομένων, τα υποκείμενα των δεδομένων θα πρέπει να μπορούν να επικαλούνται και, όπου απαιτείται, να επιβάλλουν τις τυποποιημένες συμβατικές ρήτρες ως δικαιούχοι τρίτοι. Ως εκ τούτου, ενώ τα συμβαλλόμενα μέρη θα πρέπει να έχουν τη δυνατότητα να επιλέγουν το δίκαιο ενός από τα κράτη μέλη ως το δίκαιο που θα διέπει τις τυποποιημένες συμβατικές ρήτρες, το δίκαιο αυτό πρέπει να επιτρέπει δικαιώματα δικαιούχων τρίτων. Προκειμένου να διευκολύνεται η ατομική έννομη προστασία, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να απαιτούν από τον εισαγωγέα των δεδομένων να ενημερώνει τα υποκείμενα των δεδομένων σχετικά με το σημείο επικοινωνίας και να εξετάζει αμέσως τυχόν καταγγελίες ή αιτήματα. Σε περίπτωση διαφοράς μεταξύ του εισαγωγέα των δεδομένων και υποκειμένου των δεδομένων το οποίο επικαλείται τα δικαιώματά του ως δικαιούχου τρίτου, το υποκείμενο των δεδομένων θα πρέπει να μπορεί να υποβάλει καταγγελία στην αρμόδια εποπτική αρχή ή να παραπέμψει τη διαφορά στα αρμόδια δικαστήρια στην ΕΕ.

(13)

Για να διασφαλίζεται αποτελεσματική επιβολή, θα πρέπει να απαιτείται από τον εισαγωγέα των δεδομένων να αποδέχεται την αρμοδιότητα της εν λόγω αρχής και των εν λόγω δικαστηρίων και να δεσμεύεται να συμμορφώνεται με οποιαδήποτε δεσμευτική απόφαση βάσει του εφαρμοστέου δικαίου του κράτους μέλους. Ειδικότερα, ο εισαγωγέας των δεδομένων θα πρέπει να συμφωνήσει να απαντά σε αιτήματα πληροφοριών, να υποβάλλεται σε ελέγχους και να συμμορφώνεται με τα μέτρα που θεσπίζει η εποπτική αρχή, συμπεριλαμβανομένων διορθωτικών και αντισταθμιστικών μέτρων. Επιπλέον, ο εισαγωγέας των δεδομένων θα πρέπει να έχει τη δυνατότητα να παρέχει στα υποκείμενα των δεδομένων την ευκαιρία να προσφεύγουν δωρεάν σε ανεξάρτητο φορέα επίλυσης διαφορών. Σύμφωνα με το άρθρο 80 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, τα υποκείμενα των δεδομένων θα πρέπει να μπορούν να εκπροσωπούνται από ενώσεις ή άλλους φορείς όσον αφορά διαφορές κατά του εισαγωγέα των δεδομένων, εφόσον το επιθυμούν.

(14)

Οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να προβλέπουν κανόνες για την ευθύνη μεταξύ των συμβαλλόμενων μερών και σε σχέση με τα υποκείμενα των δεδομένων, και κανόνες για την αποζημίωση μεταξύ των συμβαλλόμενων μερών. Όταν το υποκείμενο των δεδομένων έχει υποστεί υλική ή μη υλική ζημία ως αποτέλεσμα οποιασδήποτε προσβολής δικαιωμάτων του δικαιούχου τρίτου στο πλαίσιο των τυποποιημένων συμβατικών ρητρών, θα πρέπει να δικαιούται αποζημίωση. Το γεγονός αυτό δεν θα πρέπει να θίγει τυχόν ευθύνη στο πλαίσιο του κανονισμού (ΕΕ) 2016/679.

(15)

Σε περίπτωση διαβίβασης σε εισαγωγέα των δεδομένων που ενεργεί ως εκτελών την επεξεργασία ή υπεργολάβος επεξεργασίας, θα πρέπει να ισχύουν ειδικές απαιτήσεις σύμφωνα με το άρθρο 28 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679. Οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να απαιτούν από τον εισαγωγέα των δεδομένων να καθιστά διαθέσιμη κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που ορίζονται στις ρήτρες και να επιτρέπει και να διευκολύνει τους ελέγχους των οικείων δραστηριοτήτων επεξεργασίας που διενεργεί ο εξαγωγέας των δεδομένων. Όσον αφορά την πρόσληψη υπεργολάβου επεξεργασίας από τον εισαγωγέα των δεδομένων, σύμφωνα με το άρθρο 28 παράγραφοι 2 και 4 του κανονισμού (ΕΕ) 2016/679, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει ειδικότερα να καθορίζουν τη διαδικασία για τη χορήγηση γενικής ή ειδικής άδειας από τον εξαγωγέα των δεδομένων, καθώς και την απαίτηση γραπτής σύμβασης με τον υπεργολάβο επεξεργασίας η οποία να διασφαλίζει το ίδιο επίπεδο προστασίας με εκείνο που προβλέπεται στις ρήτρες.

(16)

Είναι σκόπιμο να προβλέπονται διαφορετικές εγγυήσεις στις τυποποιημένες συμβατικές ρήτρες οι οποίες να καλύπτουν την ειδική περίπτωση της διαβίβασης δεδομένων προσωπικού χαρακτήρα από εκτελούντα την επεξεργασία στην Ένωση προς τον υπεύθυνο επεξεργασίας σε τρίτη χώρα και να αντικατοπτρίζουν τις περιορισμένες αυτοτελείς υποχρεώσεις των εκτελούντων την επεξεργασία δυνάμει του κανονισμού (ΕΕ) 2016/679. Ειδικότερα, οι τυποποιημένες συμβατικές ρήτρες θα πρέπει να απαιτούν από τον εκτελούντα την επεξεργασία να ενημερώνει τον υπεύθυνο επεξεργασίας αν δεν είναι σε θέση να εκτελέσει εντολές του υπευθύνου επεξεργασίας, μεταξύ άλλων αν οι εν λόγω εντολές παραβίαζαν το δίκαιο της Ένωσης για την προστασία των δεδομένων, και να απαιτούν από τον υπεύθυνο επεξεργασίας να απέχει από κάθε ενέργεια που θα εμπόδιζε τον εκτελούντα την επεξεργασία να εκπληρώσει τις υποχρεώσεις του δυνάμει του κανονισμού (ΕΕ) 2016/679. Θα πρέπει επίσης να απαιτούν από τα συμβαλλόμενα μέρη να παρέχουν αμοιβαία συνδρομή ώστε να απαντούν σε αιτήματα πληροφοριών και άλλα αιτήματα που υποβάλλουν τα υποκείμενα των δεδομένων σύμφωνα με το τοπικό δίκαιο στο οποίο υπόκειται ο εισαγωγέας των δεδομένων ή, για την επεξεργασία δεδομένων στην Ένωση, δυνάμει του κανονισμού (ΕΕ) 2016/679. Θα πρέπει να εφαρμόζονται πρόσθετες απαιτήσεις για την αντιμετώπιση τυχόν αποτελεσμάτων του δικαίου της τρίτης χώρας προορισμού στη συμμόρφωση του υπευθύνου επεξεργασίας προς τις ρήτρες, και ιδίως τον τρόπο χειρισμού δεσμευτικών αιτημάτων από δημόσιες αρχές της τρίτης χώρας για κοινολόγηση των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα, όταν ο εκτελών την επεξεργασία στην Ένωση συνδυάζει τα δεδομένα προσωπικού χαρακτήρα που λαμβάνει από τον υπεύθυνο επεξεργασίας στην τρίτη χώρα με δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον εκτελούντα την επεξεργασία στην Ένωση. Αντιθέτως, τέτοιες απαιτήσεις δεν δικαιολογούνται όταν η εξωτερική ανάθεση συνεπάγεται απλώς την επεξεργασία και την επιστροφή δεδομένων προσωπικού χαρακτήρα που ελήφθησαν από τον υπεύθυνο επεξεργασίας και, σε κάθε περίπτωση, υπάγονταν και θα εξακολουθήσουν να υπάγονται στη δικαιοδοσία της εκάστοτε τρίτης χώρας.

(17)

Τα συμβαλλόμενα μέρη θα πρέπει να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με τις τυποποιημένες συμβατικές ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων θα πρέπει να υποχρεούται να τηρεί κατάλληλη τεκμηρίωση για τις δραστηριότητες επεξεργασίας για τις οποίες είναι υπεύθυνος και να ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που αδυνατεί να συμμορφωθεί με τις ρήτρες, για οποιονδήποτε λόγο. Με τη σειρά του, ο εξαγωγέας των δεδομένων θα πρέπει να αναστέλλει τη διαβίβαση και, σε ιδιαίτερα σοβαρές περιπτώσεις, να έχει δικαίωμα καταγγελίας της σύμβασης, στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει τυποποιημένων συμβατικών ρητρών, όταν ο εισαγωγέας των δεδομένων παραβαίνει ή αδυνατεί να συμμορφωθεί με τις ρήτρες. Θα πρέπει να εφαρμόζονται ειδικοί κανόνες όταν η τοπική νομοθεσία επηρεάζει τη συμμόρφωση με τις ρήτρες. Τα δεδομένα προσωπικού χαρακτήρα που έχουν διαβιβαστεί πριν από την καταγγελία της σύμβασης και τυχόν αντίγραφά τους θα πρέπει, κατ’ επιλογή του εξαγωγέα των δεδομένων, να επιστρέφονται στον εξαγωγέα των δεδομένων ή να καταστρέφονται στο σύνολό τους.

(18)

Στις τυποποιημένες συμβατικές ρήτρες θα πρέπει να προβλέπονται ειδικές εγγυήσεις, λαμβανομένης ειδικότερα υπόψη της νομολογίας του Δικαστηρίου (11), για την αντιμετώπιση των αποτελεσμάτων του δικαίου της τρίτης χώρας προορισμού στη συμμόρφωση του εισαγωγέα των δεδομένων προς τις ρήτρες και, πιο συγκεκριμένα, τον τρόπο χειρισμού των δεσμευτικών αιτημάτων των δημόσιων αρχών της εν λόγω χώρας για την κοινολόγηση των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα.

(19)

Η διαβίβαση και επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει τυποποιημένων συμβατικών ρητρών δεν θα πρέπει να πραγματοποιούνται αν η νομοθεσία και οι πρακτικές της τρίτης χώρας προορισμού εμποδίζουν τον εισαγωγέα των δεδομένων να συμμορφώνεται προς τις ρήτρες. Στο πλαίσιο αυτό, η νομοθεσία και οι πρακτικές που σέβονται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και δεν υπερβαίνουν ό,τι είναι αναγκαίο και αναλογικό σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός από τους στόχους που απαριθμούνται στο άρθρο 23 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679 δεν θα πρέπει να θεωρούνται ότι αντίκεινται προς τις τυποποιημένες συμβατικές ρήτρες. Τα συμβαλλόμενα μέρη θα πρέπει να εγγυώνται ότι, κατά τη στιγμή της συμφωνίας σχετικά με τις τυποποιημένες συμβατικές ρήτρες, δεν έχουν λόγο να πιστεύουν ότι η νομοθεσία και οι πρακτικές που εφαρμόζονται για τον εισαγωγέα των δεδομένων δεν συνάδουν με τις εν λόγω απαιτήσεις.

(20)

Τα συμβαλλόμενα μέρη θα πρέπει ειδικότερα να λαμβάνουν υπόψη τις ειδικές περιστάσεις της διαβίβασης (όπως το περιεχόμενο και τη διάρκεια της σύμβασης, τη φύση των διαβιβαζόμενων δεδομένων, το είδος του αποδέκτη, τον σκοπό της επεξεργασίας), τη νομοθεσία και τις πρακτικές της τρίτης χώρας προορισμού που είναι σχετικές δεδομένων των περιστάσεων της διαβίβασης, και τυχόν εγγυήσεις που έχουν θεσπιστεί για τη συμπλήρωση των εγγυήσεων αυτών βάσει των τυποποιημένων συμβατικών ρητρών (συμπεριλαμβανομένων των σχετικών συμβατικών, τεχνικών και οργανωτικών μέτρων που εφαρμόζονται στη διαβίβαση και στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα στη χώρα προορισμού). Όσον αφορά τον αντίκτυπο της εν λόγω νομοθεσίας και πρακτικών στη συμμόρφωση με τις τυποποιημένες συμβατικές ρήτρες, διάφορα στοιχεία μπορούν να ληφθούν υπόψη στο πλαίσιο μιας συνολικής αξιολόγησης, συμπεριλαμβανομένων αξιόπιστων πληροφοριών σχετικά με την εφαρμογή της νομοθεσίας στην πράξη (όπως νομολογία και εκθέσεις ανεξάρτητων εποπτικών φορέων), της ύπαρξης ή της απουσίας αιτημάτων εντός του ίδιου τομέα και, υπό αυστηρές προϋποθέσεις, της τεκμηριωμένης πρακτικής πείρας του εξαγωγέα και/ή του εισαγωγέα των δεδομένων.

(21)

Ο εισαγωγέας των δεδομένων θα πρέπει να ενημερώνει τον εξαγωγέα των δεδομένων σε περίπτωση που, αφού έχει συμφωνήσει με τις τυποποιημένες συμβατικές ρήτρες, έχει λόγους να πιστεύει ότι δεν είναι σε θέση να συμμορφωθεί με τις τυποποιημένες συμβατικές ρήτρες. Αν ο εξαγωγέας των δεδομένων λάβει τέτοια γνωστοποίηση ή αντιληφθεί με άλλον τρόπο ότι ο εισαγωγέας των δεδομένων δεν είναι πλέον σε θέση να συμμορφωθεί με τις τυποποιημένες συμβατικές ρήτρες, θα πρέπει να προσδιορίσει κατάλληλα μέτρα για την αντιμετώπιση της κατάστασης, εφόσον κριθεί αναγκαίο, σε διαβούλευση με την αρμόδια εποπτική αρχή. Στα μέτρα αυτά είναι δυνατόν να περιλαμβάνονται συμπληρωματικά μέτρα που θεσπίζονται από τον εξαγωγέα και/ή τον εισαγωγέα των δεδομένων, όπως τεχνικά ή οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας και της εμπιστευτικότητας. Ο εξαγωγέας των δεδομένων θα πρέπει να υποχρεούται να αναστέλλει τη διαβίβαση αν θεωρεί ότι δεν είναι δυνατόν να διασφαλιστούν κατάλληλες εγγυήσεις ή αν λάβει σχετική εντολή από την αρμόδια εποπτική αρχή.

(22)

Εφόσον είναι δυνατόν, ο εισαγωγέας των δεδομένων θα πρέπει να ενημερώνει τον εξαγωγέα δεδομένων και το υποκείμενο των δεδομένων αν λάβει νομικά δεσμευτικό αίτημα από δημόσια αρχή (συμπεριλαμβανομένης της δικαστικής αρχής) δυνάμει του δικαίου της χώρας προορισμού σχετικά με κοινολόγηση δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται βάσει των τυποποιημένων συμβατικών ρητρών. Ομοίως, θα πρέπει να τους ενημερώνει αν περιέλθει σε γνώση του οποιαδήποτε άμεση πρόσβαση από δημόσιες αρχές στα σχετικά δεδομένα προσωπικού χαρακτήρα σύμφωνα με το δίκαιο της τρίτης χώρας προορισμού. Αν, παρά κάθε δυνατή προσπάθειά του, ο εισαγωγέας των δεδομένων δεν είναι σε θέση να ειδοποιήσει τον εξαγωγέα των δεδομένων και/ή το υποκείμενο των δεδομένων σχετικά με συγκεκριμένα αιτήματα κοινολόγησης, θα πρέπει να παρέχει στον εξαγωγέα των δεδομένων όσο το δυνατόν περισσότερες σχετικές πληροφορίες όσον αφορά τα αιτήματα. Επιπλέον, ο εισαγωγέας των δεδομένων θα πρέπει να παρέχει στον εξαγωγέα των δεδομένων συγκεντρωτικές πληροφορίες σε τακτά χρονικά διαστήματα. Ο εισαγωγέας των δεδομένων θα πρέπει επίσης να υποχρεούται να τεκμηριώνει κάθε αίτημα κοινολόγησης που λαμβάνει, καθώς και την απάντηση που δίδεται και να θέτει τις εν λόγω πληροφορίες στη διάθεση του εξαγωγέα των δεδομένων ή της αρμόδιας εποπτικής αρχής, ή και των δύο, κατόπιν αιτήματος. Αν, κατόπιν ελέγχου της νομιμότητας του εν λόγω αιτήματος σύμφωνα με τη νομοθεσία της χώρας προορισμού, ο εισαγωγέας των δεδομένων καταλήξει στο συμπέρασμα ότι υπάρχουν βάσιμοι λόγοι να θεωρηθεί ότι το αίτημα είναι παράνομο βάσει της νομοθεσίας της τρίτης χώρας προορισμού, θα πρέπει να το αμφισβητήσει, μεταξύ άλλων, κατά περίπτωση, με την εξάντληση των διαθέσιμων δυνατοτήτων προσφυγής. Σε κάθε περίπτωση, αν ο εισαγωγέας των δεδομένων δεν είναι πλέον σε θέση να συμμορφωθεί με τις τυποποιημένες συμβατικές ρήτρες, θα πρέπει να ενημερώνει σχετικά τον εξαγωγέα των δεδομένων, ακόμη και όταν η μη συμμόρφωση αποτελεί συνέπεια του αιτήματος κοινολόγησης.

(23)

Δεδομένου ότι οι ανάγκες των ενδιαφερόμενων μερών, η τεχνολογία και οι πράξεις επεξεργασίας ενδέχεται να αλλάξουν, η Επιτροπή θα πρέπει να αξιολογεί την εφαρμογή των τυποποιημένων συμβατικών ρητρών υπό το πρίσμα της αποκτηθείσας πείρας, στο πλαίσιο της περιοδικής αξιολόγησης του κανονισμού (ΕΕ) 2016/679 που προβλέπεται στο άρθρο 97 του εν λόγω κανονισμού.

(24)

Η απόφαση 2001/497/ΕΚ και η απόφαση 2010/87/ΕΕ θα πρέπει να καταργηθούν τρεις μήνες από την έναρξη ισχύος της παρούσας απόφασης. Κατά τη διάρκεια της εν λόγω περιόδου, οι εξαγωγείς και οι εισαγωγείς των δεδομένων θα πρέπει, για τους σκοπούς του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, να μπορούν να συνεχίσουν να χρησιμοποιούν τις τυποποιημένες συμβατικές ρήτρες που ορίζονται στις αποφάσεις 2001/497/ΕΚ και 2010/87/ΕΕ. Για πρόσθετη περίοδο 15 μηνών, οι εξαγωγείς και οι εισαγωγείς των δεδομένων θα πρέπει, για τους σκοπούς του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, να είναι σε θέση να συνεχίσουν να επικαλούνται τις τυποποιημένες συμβατικές ρήτρες που ορίζονται στις αποφάσεις 2001/497/ΕΚ και 2010/87/ΕΕ για την εκτέλεση συμβάσεων που έχουν συναφθεί πριν από την ημερομηνία κατάργησης των εν λόγω αποφάσεων, υπό την προϋπόθεση ότι οι πράξεις επεξεργασίας που αποτελούν αντικείμενο σύμβασης παραμένουν αμετάβλητες και ότι η επίκληση των ρητρών διασφαλίζει ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα υπόκειται σε κατάλληλες εγγυήσεις κατά την έννοια του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679. Σε περίπτωση σχετικών αλλαγών στη σύμβαση, θα πρέπει να απαιτείται από τον εξαγωγέα των δεδομένων να επικαλείται νέο λόγο για διαβιβάσεις δεδομένων στο πλαίσιο της σύμβασης, ιδίως μέσω της αντικατάστασης της υφιστάμενης τυποποιημένης συμβατικής ρήτρας με τις τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα της παρούσας απόφασης. Το ίδιο θα πρέπει να ισχύει για οποιαδήποτε υπεργολαβική ανάθεση σε εκτελούντα την επεξεργασία (υπεργολάβο επεξεργασίας) πράξεων επεξεργασίας που καλύπτονται από τη σύμβαση.

(25)

Διενεργήθηκε διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 42 παράγραφοι 1 και 2 του κανονισμού (ΕΕ) 2018/1725, οι οποίοι εξέδωσαν κοινή γνωμοδότηση στις 14 Ιανουαρίου 2021 (12), η οποία λήφθηκε υπόψη κατά την εκπόνηση της παρούσας απόφασης.

(26)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί βάσει του άρθρου 93 του κανονισμού (ΕΕ) 2016/679,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

1.   Οι τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στο παράρτημα θεωρείται ότι παρέχουν κατάλληλες εγγυήσεις κατά την έννοια του άρθρου 46 παράγραφος 1 και παράγραφος 2 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679 για τη διαβίβαση, από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, δεδομένων προσωπικού χαρακτήρα —που υποβάλλονται σε επεξεργασία σύμφωνα με τις διατάξεις του εν λόγω κανονισμού (εξαγωγέας των δεδομένων) προς υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία (υπεργολάβο επεξεργασίας) ο οποίος εκτελεί επεξεργασία που δεν υπόκειται στις διατάξεις του εν λόγω κανονισμού (εισαγωγέας των δεδομένων).

2.   Οι τυποποιημένες συμβατικές ρήτρες καθορίζουν επίσης τα δικαιώματα και τις υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σε σχέση με τα ζητήματα που προβλέπονται στο άρθρο 28 παράγραφοι 3 και 4 του κανονισμού (ΕΕ) 2016/679 όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας σε εκτελούντα την επεξεργασία ή από εκτελούντα την επεξεργασία σε υπεργολάβο επεξεργασίας.

Άρθρο 2

Όταν οι αρμόδιες αρχές των κρατών μελών ασκούν διορθωτικές εξουσίες σύμφωνα με το άρθρο 58 του κανονισμού (ΕΕ) 2016/679 αποκρινόμενες στην περίπτωση που ο εισαγωγέας των δεδομένων υπόκειται ή θα καταστεί υποκείμενος σε νομοθεσία ή πρακτικές στην τρίτη χώρα προορισμού που τον εμποδίζουν να συμμορφωθεί με τις τυποποιημένες συμβατικές ρήτρες του παραρτήματος, με αποτέλεσμα την αναστολή ή την απαγόρευση των διαβιβάσεων δεδομένων σε τρίτες χώρες, το οικείο κράτος μέλος ενημερώνει χωρίς καθυστέρηση την Επιτροπή, η οποία διαβιβάζει τις πληροφορίες στα άλλα κράτη μέλη.

Άρθρο 3

Η Επιτροπή αξιολογεί την πρακτική εφαρμογή των τυποποιημένων συμβατικών ρητρών που ορίζονται στο παράρτημα με βάση όλες τις διαθέσιμες πληροφορίες στο πλαίσιο της περιοδικής αξιολόγησης που απαιτείται βάσει του άρθρου 97 του κανονισμού (ΕΕ) 2016/679.

Άρθρο 4

1.   Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2.   Η απόφαση 2001/497/ΕΚ καταργείται από τις 27 Σεπτεμβρίου 2021.

3.   Η απόφαση 2010/87/ΕΕ καταργείται από τις 27 Σεπτεμβρίου 2021.

4.   Οι συμβάσεις που συνάπτονται πριν από τις 27 Σεπτεμβρίου 2021 με βάση την απόφαση 2001/497/ΕΚ ή την απόφαση 2010/87/ΕΕ θεωρείται ότι παρέχουν κατάλληλες εγγυήσεις κατά την έννοια του άρθρου 46 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679 έως τις 27 Δεκεμβρίου 2022, υπό την προϋπόθεση ότι οι πράξεις επεξεργασίας που αποτελούν αντικείμενο της σύμβασης παραμένουν αμετάβλητες και ότι η επίκληση των ρητρών αυτών διασφαλίζει ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα υπόκειται σε κατάλληλες εγγυήσεις.

Βρυξέλλες, 4 Ιουνίου 2021.

Για την Επιτροπή

Η Πρόεδρος

Ursula VON DER LEYEN


(1)   ΕΕ L 119 της 4.5.2016, σ. 1.

(2)  Άρθρο 44 του κανονισμού (ΕΕ) 2016/679.

(3)  Βλέπε επίσης την απόφαση του Δικαστηρίου, της 16ης Ιουλίου 2020, στην υπόθεση C-311/18, Data Protection Commissioner κατά Facebook Ireland Ltd και Maximillian Schrems (στο εξής: Schrems II), ECLI:EU:C:2020:559, σκέψη 93.

(4)  Αιτιολογική σκέψη 109 του κανονισμού (ΕΕ) 2016/679.

(5)  Απόφαση 2001/497/ΕΚ της Επιτροπής, της 15ης Ιουνίου 2001, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει του άρθρου 26 παράγραφος 4 της οδηγίας 95/46/ΕΚ (ΕΕ L 181 της 4.7.2001, σ. 19).

(6)  Απόφαση 2010/87/ΕΕ της Επιτροπής, της 5ης Φεβρουαρίου 2010, σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 39 της 12.2.2010, σ. 5).

(7)  Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281 της 23.11.1995, σ. 31).

(8)  Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39)· βλέπε αιτιολογική σκέψη 5.

(9)  C(2021) 3701.

(10)   Schrems II, σκέψεις 96 και 103. Βλέπε επίσης κανονισμό (ΕΕ) 2016/679, αιτιολογικές σκέψεις 108 και 114.

(11)   Schrems II.

(12)  EDPB EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries for the matters referred to in Article 46(2)(c) of Regulation (EU) 2016/679 [Κοινή γνωμοδότηση ΕΣΠΔ–ΕΕΠΔ 2/2021 σχετικά με την εκτελεστική απόφαση της Ευρωπαϊκής Επιτροπής για τις τυποποιημένες συμβατικές ρήτρες όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες για τα θέματα που προβλέπονται στο άρθρο 46 παράγραφος 2 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679].


ΠΑΡΑΡΤΗΜΑ

ΤΥΠΟΠΟΙΗΜΕΝΕΣ ΣΥΜΒΑΤΙΚΕΣ ΡΗΤΡΕΣ

ΤΜΗΜΑ I

Ρήτρα 1

Σκοπός και πεδίο εφαρμογής

α)

Οι παρούσες τυποποιημένες συμβατικές ρήτρες έχουν ως σκοπό να διασφαλίζουν τη συμμόρφωση με τις απαιτήσεις του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (1) όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα.

β)

Τα συμβαλλόμενα μέρη:

i)

το/τα φυσικό/-ά ή νομικό/-ά πρόσωπο/-α, δημόσια/-ες αρχή/-ές, υπηρεσία/-ες ή άλλος/-οι φορέας/-είς (στο εξής: οντότητα/-ες) που διαβιβάζει/-ουν τα δεδομένα προσωπικού χαρακτήρα, όπως απαριθμούνται στο παράρτημα I.A (στο εξής: εξαγωγέας των δεδομένων), και

ii)

η οντότητα ή οι οντότητες σε τρίτη χώρα που λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα από τον εξαγωγέα των δεδομένων, άμεσα ή έμμεσα, μέσω άλλης οντότητας που είναι επίσης συμβαλλόμενο μέρος στις παρούσες ρήτρες, όπως απαριθμούνται στο παράρτημα I.A (στο εξής έκαστη εξ αυτών: εισαγωγέας των δεδομένων)

συμφώνησαν σχετικά με τις παρούσες τυποποιημένες συμβατικές ρήτρες (στο εξής: ρήτρες).

γ)

Οι παρούσες ρήτρες εφαρμόζονται σε σχέση με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα, όπως καθορίζεται στο παράρτημα I.B.

δ)

Το προσάρτημα των παρουσών ρητρών που περιέχει τα παραρτήματα που αναφέρονται σε αυτό αποτελεί αναπόσπαστο τμήμα των εν λόγω ρητρών.

Ρήτρα 2

Αποτέλεσμα και αμετάβλητος χαρακτήρας των ρητρών

α)

Οι παρούσες ρήτρες καθορίζουν τις κατάλληλες εγγυήσεις, συμπεριλαμβανομένων των εκτελεστών δικαιωμάτων των υποκειμένων των δεδομένων και των αποτελεσματικών ένδικων μέσων, σύμφωνα με το άρθρο 46 παράγραφος 1 και το άρθρο 46 παράγραφος 2 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679 και, όσον αφορά τις διαβιβάσεις δεδομένων από υπευθύνους επεξεργασίας σε εκτελούντες την επεξεργασία και/ή από εκτελούντες την επεξεργασία σε εκτελούντες την επεξεργασία, τις τυποποιημένες συμβατικές ρήτρες σύμφωνα με το άρθρο 28 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679, υπό την προϋπόθεση ότι δεν τροποποιούνται, εκτός από την επιλογή της/των κατάλληλης/-ων ενότητας/-ήτων ή την προσθήκη ή επικαιροποίηση πληροφοριών στο προσάρτημα. Αυτό δεν εμποδίζει τα συμβαλλόμενα μέρη από το να ενσωματώνουν τις τυποποιημένες συμβατικές ρήτρες που ορίζονται στις παρούσες ρήτρες σε ευρύτερη σύμβαση και/ή να προσθέτουν άλλες ρήτρες ή πρόσθετες εγγυήσεις, υπό την προϋπόθεση ότι αυτές δεν αντιφάσκουν, άμεσα ή έμμεσα, προς τις παρούσες ρήτρες ούτε θίγουν τα θεμελιώδη δικαιώματα ή τις ελευθερίες των υποκειμένων των δεδομένων.

β)

Οι παρούσες ρήτρες δεν θίγουν τις υποχρεώσεις στις οποίες υπόκειται ο εξαγωγέας των δεδομένων δυνάμει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 3

Δικαιούχοι τρίτοι

α)

Τα υποκείμενα των δεδομένων μπορούν να επικαλούνται και να επιβάλλουν τις παρούσες ρήτρες, ως δικαιούχοι τρίτοι, έναντι του εξαγωγέα των δεδομένων και/ή του εισαγωγέα των δεδομένων, με τις ακόλουθες εξαιρέσεις:

i)

ρήτρα 1, ρήτρα 2, ρήτρα 3, ρήτρα 6, ρήτρα 7·

ii)

ρήτρα 8 – πρώτη ενότητα: ρήτρα 8.5 παράγραφος ε) και ρήτρα 8.9 παράγραφος β)· δεύτερη ενότητα: ρήτρα 8.1 παράγραφος β), ρήτρα 8.9 παράγραφοι α), γ), δ) και ε)· τρίτη ενότητα: ρήτρα 8.1 παράγραφοι α), γ) και δ) και ρήτρα 8.9 παράγραφοι α), γ), δ), ε), στ) και ζ)· τέταρτη ενότητα: ρήτρα 8.1 παράγραφος β) και ρήτρα 8.3 παράγραφος β)·

iii)

ρήτρα 9 – δεύτερη ενότητα: ρήτρα 9 παράγραφοι α), γ), δ) και ε)· τρίτη ενότητα: ρήτρα 9 παράγραφοι α), γ), δ) και ε)·

iv)

ρήτρα 12 – πρώτη ενότητα: ρήτρα 12 παράγραφοι α) και δ)· δεύτερη και τρίτη ενότητα: ρήτρα 12 παράγραφοι α), δ) και στ)·

v)

ρήτρα 13·

vi)

ρήτρα 15.1 παράγραφοι γ), δ) και ε)·

vii)

ρήτρα 16 παράγραφος ε)·

viii)

ρήτρα 18 – πρώτη, δεύτερη και τρίτη ενότητα: ρήτρα 18 παράγραφοι α) και β)· τέταρτη ενότητα: ρήτρα 18.

β)

Η παράγραφος α) δεν θίγει τα δικαιώματα των υποκειμένων των δεδομένων δυνάμει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 4

Ερμηνεία

α)

Όταν στις παρούσες ρήτρες χρησιμοποιούνται όροι που ορίζονται στον κανονισμό (ΕΕ) 2016/679, οι εν λόγω όροι έχουν την ίδια έννοια με εκείνη του εν λόγω κανονισμού.

β)

Η ανάγνωση και ερμηνεία των παρουσών ρητρών πραγματοποιούνται με βάση τις διατάξεις του κανονισμού (ΕΕ) 2016/679.

γ)

Οι παρούσες ρήτρες δεν ερμηνεύονται κατά τρόπο που έρχεται σε σύγκρουση με τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στον κανονισμό (ΕΕ) 2016/679.

Ρήτρα 5

Ιεραρχία

Σε περίπτωση αντίφασης μεταξύ των παρουσών ρητρών και των διατάξεων συναφών συμφωνιών μεταξύ των συμβαλλόμενων μερών που ισχύουν κατά τον χρόνο που συμφωνούνται ή αρχίζουν να ισχύουν οι παρούσες ρήτρες, υπερισχύουν οι παρούσες ρήτρες.

Ρήτρα 6

Περιγραφή της/των διαβίβασης/-άσεων

Οι λεπτομέρειες της/των διαβίβασης/-άσεων, και ιδίως οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται και οι σκοποί για τους οποίους διαβιβάζονται, προσδιορίζονται στο παράρτημα I.Β.

Ρήτρα 7 – Προαιρετική

Ρήτρα σύνδεσης

α)

Οντότητα που δεν είναι συμβαλλόμενο μέρος των παρουσών ρητρών μπορεί, κατόπιν συμφωνίας των συμβαλλόμενων μερών, να προσχωρήσει στις παρούσες ρήτρες ανά πάσα στιγμή, είτε ως εξαγωγέας των δεδομένων είτε ως εισαγωγέας των δεδομένων, συμπληρώνοντας το προσάρτημα και υπογράφοντας το παράρτημα I.Α.

β)

Μετά τη συμπλήρωση του προσαρτήματος και την υπογραφή του παραρτήματος I.Α, η προσχωρούσα οντότητα λογίζεται ως συμβαλλόμενο μέρος των παρουσών ρητρών και έχει τα δικαιώματα και τις υποχρεώσεις εξαγωγέα των δεδομένων ή εισαγωγέα των δεδομένων, σύμφωνα με τον ορισμό τους στο παράρτημα I.Α.

γ)

Η προσχωρούσα οντότητα δεν έχει δικαιώματα και υποχρεώσεις που απορρέουν από τις παρούσες ρήτρες όσον αφορά την περίοδο πριν καταστεί συμβαλλόμενο μέρος.

ΤΜΗΜΑ II — ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ

Ρήτρα 8

Εγγυήσεις για την προστασία δεδομένων

Ο εξαγωγέας των δεδομένων εγγυάται ότι έχει καταβάλει εύλογες προσπάθειες ώστε να διαπιστώσει ότι ο εισαγωγέας των δεδομένων είναι σε θέση, μέσω της εφαρμογής των κατάλληλων τεχνικών και οργανωτικών μέτρων, να εκπληρώσει τις υποχρεώσεις του βάσει των παρουσών ρητρών.

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

8.1.   Περιορισμός του σκοπού

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον/τους συγκεκριμένο/-ους σκοπό/-ούς της διαβίβασης, όπως ορίζεται στο παράρτημα I.Β. Μπορεί να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για άλλον σκοπό μόνον:

i)

όταν έχει λάβει την προηγούμενη συναίνεση του υποκειμένου των δεδομένων·

ii)

όταν είναι αναγκαίο για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών· ή

iii)

όταν είναι αναγκαίο για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

8.2.   Διαφάνεια

α)

Για να μπορούν τα υποκείμενα των δεδομένων να ασκούν αποτελεσματικά τα δικαιώματά τους σύμφωνα με τη ρήτρα 10, ο εισαγωγέας των δεδομένων τα ενημερώνει, είτε απευθείας είτε μέσω του εξαγωγέα των δεδομένων σχετικά με τα εξής:

i)

τα στοιχεία ταυτότητας και τα στοιχεία επικοινωνίας του εισαγωγέα των δεδομένων·

ii)

τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία·

iii)

το δικαίωμα λήψης αντιγράφου των παρουσών ρητρών·

iv)

όταν προτίθεται να διαβιβάσει περαιτέρω τα δεδομένα προσωπικού χαρακτήρα του αποδέκτη ή κατηγοριών αποδεκτών (κατά περίπτωση με σκοπό την παροχή πληροφοριών) σε τρίτον/-ους, τον σκοπό της εν λόγω περαιτέρω διαβίβασης και τον λόγο αυτής, σύμφωνα με τη ρήτρα 8.7.

β)

Η παράγραφος α) δεν εφαρμόζεται όταν το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες, συμπεριλαμβανομένης της περίπτωσης που οι πληροφορίες αυτές έχουν ήδη παρασχεθεί από τον εξαγωγέα των δεδομένων, ή όταν η παροχή των πληροφοριών αποδεικνύεται αδύνατη ή συνεπάγεται δυσανάλογη προσπάθεια για τον εισαγωγέα των δεδομένων. Στην τελευταία περίπτωση, ο εισαγωγέας των δεδομένων καθιστά, στο μέτρο του δυνατού, τις πληροφορίες διαθέσιμες στο κοινό.

γ)

Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη θέτουν δωρεάν στη διάθεση του υποκειμένου των δεδομένων αντίγραφο των παρουσών ρητρών, συμπεριλαμβανομένου του προσαρτήματος, όπως έχει συμπληρωθεί από τα συμβαλλόμενα μέρη. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, τα συμβαλλόμενα μέρη μπορούν να απαλείψουν μέρος του κειμένου του προσαρτήματος πριν από την κοινοποίηση αντιγράφου, αλλά πρέπει να παρέχουν κατατοπιστική περίληψη, εφόσον σε αντίθετη περίπτωση το υποκείμενο των δεδομένων δεν θα ήταν σε θέση να κατανοήσει το περιεχόμενό του ή να ασκήσει τα δικαιώματά του. Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη παρέχουν στο υποκείμενο των δεδομένων τους λόγους της απαλοιφής, στο μέτρο του δυνατού, χωρίς να αποκαλύπτουν τις απαλειφθείσες πληροφορίες.

δ)

Οι παράγραφοι α) έως γ) εφαρμόζονται με την επιφύλαξη των υποχρεώσεων του εξαγωγέα των δεδομένων δυνάμει των άρθρων 13 και 14 του κανονισμού (ΕΕ) 2016/679.

8.3.   Ακρίβεια και ελαχιστοποίηση των δεδομένων

α)

Κάθε συμβαλλόμενο μέρος διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και, εφόσον απαιτείται, επικαιροποιούνται. Ο εισαγωγέας των δεδομένων λαμβάνει κάθε εύλογο μέτρο για να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή, σε σχέση με τον/τους σκοπό/-ούς της επεξεργασίας, διαγράφονται ή διορθώνονται χωρίς καθυστέρηση.

β)

Αν ένα από τα συμβαλλόμενα μέρη διαπιστώσει ότι τα δεδομένα προσωπικού χαρακτήρα που έχει διαβιβάσει ή λάβει είναι ανακριβή ή έχουν καταστεί παρωχημένα, ενημερώνει το έτερο συμβαλλόμενο μέρος χωρίς αδικαιολόγητη καθυστέρηση.

γ)

Ο εισαγωγέας των δεδομένων διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι επαρκή, συναφή και περιορίζονται σε ό,τι είναι αναγκαίο σε σχέση με τον/τους σκοπό/-ούς της επεξεργασίας.

8.4.   Περιορισμός της περιόδου αποθήκευσης

Ο εισαγωγέας των δεδομένων διατηρεί τα δεδομένα προσωπικού χαρακτήρα μόνο για το διάστημα που είναι αναγκαίο για τον/τους σκοπό/-ούς για τον/τους οποίο/-ους υποβάλλονται σε επεξεργασία. Εφαρμόζει κατάλληλα τεχνικά ή οργανωτικά μέτρα για τη διασφάλιση της συμμόρφωσης με την υποχρέωση αυτή, συμπεριλαμβανομένης της διαγραφής ή της ανωνυμοποίησης (2) των δεδομένων και όλων των εφεδρικών αντιγράφων στο τέλος της περιόδου διατήρησης.

8.5.   Ασφάλεια επεξεργασίας

α)

Ο εισαγωγέας των δεδομένων και, κατά τη διάρκεια της διαβίβασης, ομοίως ο εξαγωγέας των δεδομένων εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων. Τα συμβαλλόμενα μέρη εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας.

β)

Τα συμβαλλόμενα μέρη συμφώνησαν σχετικά με τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο παράρτημα II. Ο εισαγωγέας των δεδομένων διενεργεί τακτικούς ελέγχους για να διασφαλίζει ότι τα μέτρα αυτά εξακολουθούν να παρέχουν κατάλληλο επίπεδο ασφάλειας.

γ)

Ο εισαγωγέας των δεδομένων διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

δ)

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, ο εισαγωγέας των δεδομένων λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

ε)

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που ενδέχεται να θέσει σε κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο εισαγωγέας των δεδομένων ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τόσο τον εξαγωγέα των δεδομένων όσο και την αρμόδια εποπτική αρχή σύμφωνα με τη ρήτρα 13. Η εν λόγω γνωστοποίηση περιλαμβάνει i) περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων και των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα), ii) τις ενδεχόμενες συνέπειές της, iii) τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης και iv) τα στοιχεία ενός σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες. Στον βαθμό που ο εισαγωγέας των δεδομένων δεν είναι σε θέση να παράσχει όλες τις πληροφορίες ταυτόχρονα, μπορεί να το πράξει σταδιακά χωρίς αδικαιολόγητη περαιτέρω καθυστέρηση.

στ)

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που ενδέχεται να συνεπάγεται υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο εισαγωγέας των δεδομένων γνωστοποιεί επίσης αμελλητί στα επηρεαζόμενα υποκείμενα των δεδομένων την παραβίαση των δεδομένων προσωπικού χαρακτήρα και τη φύση της, αν απαιτείται σε συνεργασία με τον εξαγωγέα των δεδομένων, μαζί με τις πληροφορίες που αναφέρονται στην παράγραφο ε) σημεία ii) έως iv), εκτός αν ο εισαγωγέας των δεδομένων έχει εφαρμόσει μέτρα για τη σημαντική μείωση του κινδύνου για τα δικαιώματα ή τις ελευθερίες των φυσικών προσώπων, ή η γνωστοποίηση προϋποθέτει δυσανάλογες προσπάθειες. Στην τελευταία περίπτωση, ο εισαγωγέας των δεδομένων εκδίδει αντί της γνωστοποίησης δημόσια ανακοίνωση ή λαμβάνει παρόμοιο μέτρο για την ενημέρωση του κοινού σχετικά με την παραβίαση δεδομένων προσωπικού χαρακτήρα.

ζ)

Ο εισαγωγέας των δεδομένων τεκμηριώνει όλα τα σχετικά πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των συνεπειών της και τυχόν ληφθέντων διορθωτικών μέτρων, και τηρεί σχετικό αρχείο.

8.6.   Ευαίσθητα δεδομένα

Όταν η διαβίβαση αφορά δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες ή αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εισαγωγέας των δεδομένων εφαρμόζει ειδικούς περιορισμούς και/ή πρόσθετες εγγυήσεις που έχουν προσαρμοστεί στην ιδιαίτερη φύση των δεδομένων και των σχετικών κινδύνων. Αυτό μπορεί να περιλαμβάνει τον περιορισμό της πρόσβασης του προσωπικού που επιτρέπεται να έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα, πρόσθετα μέτρα ασφάλειας (όπως η ψευδωνυμοποίηση) και/ή πρόσθετους περιορισμούς όσον αφορά την περαιτέρω κοινολόγηση.

8.7.   Περαιτέρω διαβιβάσεις

Ο εισαγωγέας των δεδομένων δεν κοινολογεί τα δεδομένα προσωπικού χαρακτήρα σε τρίτον εγκατεστημένο εκτός της Ευρωπαϊκής Ένωσης (3) (στην ίδια χώρα με τον εισαγωγέα των δεδομένων ή σε άλλη τρίτη χώρα, στο εξής: περαιτέρω διαβίβαση), εκτός αν ο τρίτος δεσμεύεται ή συμφωνεί να δεσμεύεται από τις παρούσες ρήτρες, υπό την αντίστοιχη ενότητα. Διαφορετικά, ο εισαγωγέας των δεδομένων μπορεί να πραγματοποιεί περαιτέρω διαβίβαση μόνο αν:

i)

η περαιτέρω διαβίβαση γίνεται προς χώρα που επωφελείται από απόφαση επάρκειας σύμφωνα με το άρθρο 45 του κανονισμού (ΕΕ) 2016/679 η οποία καλύπτει την περαιτέρω διαβίβαση·

ii)

ο τρίτος εξασφαλίζει με άλλον τρόπο τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 ή 47 του κανονισμού (ΕΕ) 2016/679 όσον αφορά την εν λόγω επεξεργασία·

iii)

ο τρίτος συνάπτει δεσμευτική πράξη με τον εισαγωγέα των δεδομένων η οποία διασφαλίζει το ίδιο επίπεδο προστασίας των δεδομένων με εκείνο που προβλέπεται στις παρούσες ρήτρες, και ο εισαγωγέας των δεδομένων παρέχει αντίγραφο των εν λόγω εγγυήσεων στον εξαγωγέα των δεδομένων·

iv)

είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών·

v)

είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου. ή

vi)

εφόσον δεν συντρέχει καμία από τις λοιπές περιπτώσεις, ο εισαγωγέας των δεδομένων έχει λάβει τη ρητή συγκατάθεση του υποκειμένου των δεδομένων για περαιτέρω διαβίβαση σε ειδική κατάσταση, αφού έχει ενημερώσει το εν λόγω υποκείμενο για τον σκοπό ή τους σκοπούς της, την ταυτότητα του αποδέκτη και τους πιθανούς κινδύνους της εν λόγω διαβίβασης για το υποκείμενο των δεδομένων λόγω έλλειψης κατάλληλων εγγυήσεων προστασίας των δεδομένων. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων ενημερώνει τον εξαγωγέα των δεδομένων και, κατόπιν αιτήματος του εξαγωγέα των δεδομένων, του διαβιβάζει αντίγραφο των πληροφοριών που παρέχονται στο υποκείμενο των δεδομένων.

Κάθε περαιτέρω διαβίβαση προϋποθέτει ότι ο εισαγωγέας των δεδομένων τηρεί όλες τις άλλες εγγυήσεις που προβλέπονται στις παρούσες ρήτρες, και ιδίως τον περιορισμό του σκοπού.

8.8.   Επεξεργασία υπό την εποπτεία του εισαγωγέα των δεδομένων

Ο εισαγωγέας των δεδομένων διασφαλίζει ότι κάθε πρόσωπο που ενεργεί υπό την εποπτεία του, συμπεριλαμβανομένου του εκτελούντος την επεξεργασία, επεξεργάζεται τα δεδομένα μόνον κατ’ εντολή του εισαγωγέα των δεδομένων.

8.9.   Τεκμηρίωση και συμμόρφωση

α)

Κάθε συμβαλλόμενο μέρος είναι σε θέση να αποδεικνύει τη συμμόρφωση με τις υποχρεώσεις του στο πλαίσιο των παρουσών ρητρών. Ειδικότερα, ο εισαγωγέας των δεδομένων τηρεί κατάλληλη τεκμηρίωση των δραστηριοτήτων επεξεργασίας που διεξάγονται υπό την ευθύνη του.

β)

Ο εισαγωγέας των δεδομένων θέτει την εν λόγω τεκμηρίωση στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

8.1.   Εντολές

α)

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του εξαγωγέα των δεδομένων. Ο εξαγωγέας των δεδομένων μπορεί να παρέχει τις σχετικές εντολές καθ’ όλη τη διάρκεια ισχύος της σύμβασης.

β)

Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να εκτελέσει τις εν λόγω εντολές.

8.2.   Περιορισμός του σκοπού

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον συγκεκριμένο σκοπό ή σκοπούς της διαβίβασης, όπως ορίζεται στο παράρτημα I.Β, εκτός αν λάβει περαιτέρω εντολές από τον εξαγωγέα των δεδομένων.

8.3.   Διαφάνεια

Κατόπιν αιτήματος, ο εξαγωγέας των δεδομένων θέτει δωρεάν στη διάθεση του υποκειμένου των δεδομένων αντίγραφο των παρουσών ρητρών, συμπεριλαμβανομένου του προσαρτήματος, όπως έχει συμπληρωθεί από τα συμβαλλόμενα μέρη. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των μέτρων που περιγράφονται στο παράρτημα II και των δεδομένων προσωπικού χαρακτήρα, ο εξαγωγέας των δεδομένων μπορεί να απαλείψει μέρος του κειμένου του προσαρτήματος των παρουσών ρητρών πριν από την κοινοποίηση αντιγράφου, αλλά πρέπει να παρέχει κατατοπιστική περίληψη, εφόσον σε αντίθετη περίπτωση το υποκείμενο των δεδομένων δεν θα ήταν σε θέση να κατανοήσει το περιεχόμενό του ή να ασκήσει τα δικαιώματά του. Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη παρέχουν στο υποκείμενο των δεδομένων τους λόγους της απαλοιφής, στο μέτρο του δυνατού, χωρίς να αποκαλύπτουν τις απαλειφθείσες πληροφορίες. Η ρήτρα αυτή ισχύει με την επιφύλαξη των υποχρεώσεων του εξαγωγέα των δεδομένων δυνάμει των άρθρων 13 και 14 του κανονισμού (ΕΕ) 2016/679.

8.4.   Ακρίβεια

Αν ο εισαγωγέας των δεδομένων διαπιστώσει ότι τα δεδομένα προσωπικού χαρακτήρα που έχει λάβει είναι ανακριβή ή έχουν καταστεί παρωχημένα, ενημερώνει τον εξαγωγέα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων για τη διαγραφή ή τη διόρθωση των δεδομένων.

8.5.   Διάρκεια της επεξεργασίας και διαγραφή ή επιστροφή των δεδομένων

Η επεξεργασία από τον εισαγωγέα των δεδομένων πραγματοποιείται μόνο για το χρονικό διάστημα που καθορίζεται στο παράρτημα I.Β. Μετά το πέρας της παροχής υπηρεσιών επεξεργασίας, ο εισαγωγέας των δεδομένων, κατ’ επιλογή του εξαγωγέα των δεδομένων, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε επεξεργασία για λογαριασμό του εξαγωγέα των δεδομένων και πιστοποιεί στον εξαγωγέα των δεδομένων ότι το έπραξε, ή επιστρέφει στον εξαγωγέα των δεδομένων όλα τα δεδομένα προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του και διαγράφει τα υφιστάμενα αντίγραφα. Έως ότου τα δεδομένα διαγραφούν ή επιστραφούν, ο εισαγωγέας των δεδομένων εξακολουθεί να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες. Σε περίπτωση τοπικού δικαίου στο οποίο υπόκειται ο εισαγωγέας των δεδομένων και το οποίο απαγορεύει την επιστροφή ή τη διαγραφή των δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων εγγυάται ότι θα συνεχίσει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες και θα επεξεργάζεται τα δεδομένα μόνο στον βαθμό και για όσο διάστημα απαιτείται από το εν λόγω τοπικό δίκαιο. Αυτό ισχύει με την επιφύλαξη της ρήτρας 14, ειδικότερα της απαίτησης για τον εισαγωγέα των δεδομένων βάσει της ρήτρας 14 παράγραφος ε) να ενημερώνει τον εξαγωγέα δεδομένων καθ’ όλη τη διάρκεια ισχύος της σύμβασης αν έχει λόγους να πιστεύει ότι υπόκειται ή έχει καταστεί υποκείμενος σε νομοθεσία ή πρακτικές που δεν συνάδουν με τις απαιτήσεις της ρήτρας 14 παράγραφος α).

8.6.   Ασφάλεια επεξεργασίας

α)

Ο εισαγωγέας των δεδομένων και, κατά τη διάρκεια της διαβίβασης, ομοίως ο εξαγωγέας των δεδομένων εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων, συμπεριλαμβανομένης της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση των λόγω δεδομένων (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, τα συμβαλλόμενα μέρη λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων. Τα συμβαλλόμενα μέρη εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας. Σε περίπτωση ψευδωνυμοποίησης, οι συμπληρωματικές πληροφορίες για την απόδοση των δεδομένων προσωπικού χαρακτήρα σε συγκεκριμένο υποκείμενο δεδομένων παραμένουν, στο μέτρο του δυνατού, υπό τον αποκλειστικό έλεγχο του εξαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων, στο πλαίσιο της συμμόρφωσης του με τις υποχρεώσεις του δυνάμει της παρούσας παραγράφου, εφαρμόζει τουλάχιστον τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο παράρτημα II. Ο εισαγωγέας των δεδομένων διενεργεί τακτικούς ελέγχους για να διασφαλίσει ότι τα μέτρα αυτά εξακολουθούν να παρέχουν κατάλληλο επίπεδο ασφάλειας.

β)

Ο εισαγωγέας των δεδομένων παρέχει στα μέλη του προσωπικού του πρόσβαση στα δεδομένα προσωπικού χαρακτήρα μόνο στο μέτρο που είναι απολύτως αναγκαίο για την εκτέλεση, τη διαχείριση και την παρακολούθηση της σύμβασης. Διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

γ)

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, ο εισαγωγέας των δεδομένων λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση της παραβίασης δεδομένων, συμπεριλαμβανομένων μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. Μόλις λάβει γνώση της παραβίασης, ο εισαγωγέας των δεδομένων ενημερώνει επίσης τον εξαγωγέα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Η εν λόγω γνωστοποίηση περιλαμβάνει τα στοιχεία του σημείου επικοινωνίας από το οποίο μπορούν να αντληθούν περισσότερες πληροφορίες, την περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων και των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα), τις ενδεχόμενες συνέπειές της και τα ληφθέντα ή τα προτεινόμενα προς λήψη για την αντιμετώπιση της παραβίασης, συμπεριλαμβανομένων, κατά περίπτωση, μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ επιπλέον πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.

δ)

Ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων και τον επικουρεί ώστε να είναι σε θέση να εκπληρώνει τις υποχρεώσεις του στο πλαίσιο του κανονισμού (ΕΕ) 2016/679, ειδικότερα να ενημερώνει την αρμόδια εποπτική αρχή και τα επηρεαζόμενα υποκείμενα των δεδομένων, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που έχει στη διάθεσή του ο εισαγωγέας των δεδομένων.

8.7.   Ευαίσθητα δεδομένα

Όταν η διαβίβαση αφορά δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εισαγωγέας των δεδομένων εφαρμόζει τους ειδικούς περιορισμούς και/ή τις πρόσθετες εγγυήσεις που περιγράφονται στο παράρτημα I.Β.

8.8.   Περαιτέρω διαβιβάσεις

Ο εισαγωγέας των δεδομένων κοινολογεί τα δεδομένα προσωπικού χαρακτήρα σε τρίτον μόνο βάσει καταγεγραμμένων εντολών του εξαγωγέα των δεδομένων. Επιπλέον, τα δεδομένα μπορούν να κοινολογηθούν σε τρίτον εγκατεστημένο εκτός της Ευρωπαϊκής Ένωσης (4) (στην ίδια χώρα με τον εισαγωγέα των δεδομένων ή σε άλλη τρίτη χώρα, στο εξής: περαιτέρω διαβίβαση), μόνον αν ο τρίτος δεσμεύεται ή συμφωνεί να δεσμεύεται από τις παρούσες ρήτρες, υπό την αντίστοιχη ενότητα, ή αν:

i)

η περαιτέρω διαβίβαση γίνεται προς χώρα που επωφελείται από απόφαση επάρκειας σύμφωνα με το άρθρο 45 του κανονισμού (ΕΕ) 2016/679 η οποία καλύπτει την περαιτέρω διαβίβαση·

ii)

ο τρίτος εξασφαλίζει με άλλον τρόπο τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 ή 47 του κανονισμού (ΕΕ) 2016/679 όσον αφορά την εν λόγω επεξεργασία·

iii)

η περαιτέρω διαβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών· ή

iv)

η περαιτέρω διαβίβαση είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

Κάθε περαιτέρω διαβίβαση προϋποθέτει ότι ο εισαγωγέας των δεδομένων τηρεί όλες τις άλλες εγγυήσεις που προβλέπονται στις παρούσες ρήτρες, και ιδίως τον περιορισμό του σκοπού.

8.9.   Τεκμηρίωση και συμμόρφωση

α)

Ο εισαγωγέας των δεδομένων ανταποκρίνεται άμεσα και με επάρκεια στα αιτήματα πληροφοριών του εξαγωγέα των δεδομένων που σχετίζονται με την επεξεργασία σύμφωνα με τις παρούσες ρήτρες.

β)

Τα συμβαλλόμενα μέρη είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με τις παρούσες ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων τηρεί κατάλληλη τεκμηρίωση σχετικά με τις δραστηριότητες επεξεργασίας που διεξάγονται για λογαριασμό του εξαγωγέα των δεδομένων.

γ)

Ο εισαγωγέας των δεδομένων θέτει στη διάθεση του εξαγωγέα των δεδομένων κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που καθορίζονται στις παρούσες ρήτρες και, κατόπιν αιτήματος του εξαγωγέα των δεδομένων, επιτρέπει και διευκολύνει τη διενέργεια ελέγχων των δραστηριοτήτων επεξεργασίας που καλύπτονται από τις παρούσες ρήτρες, σε εύλογα τακτά χρονικά διαστήματα ή αν υπάρχουν ενδείξεις μη συμμόρφωσης. Όταν αποφασίζει για επανεξέταση ή έλεγχο, ο εξαγωγέας των δεδομένων μπορεί να λαμβάνει υπόψη σχετικές πιστοποιήσεις του εισαγωγέα των δεδομένων.

δ)

Ο εξαγωγέας των δεδομένων μπορεί να επιλέξει να διενεργήσει τον έλεγχο ο ίδιος ή να τον αναθέσει σε ανεξάρτητο ελεγκτή. Οι έλεγχοι μπορούν να περιλαμβάνουν επιθεωρήσεις στους χώρους ή τις φυσικές εγκαταστάσεις του εισαγωγέα των δεδομένων και, όπου κρίνεται απαραίτητο, να διενεργούνται έπειτα από εύλογη προθεσμία προειδοποίησης.

ε)

Τα συμβαλλόμενα μέρη θέτουν τις πληροφορίες που αναφέρονται στις παραγράφους β) και γ), περιλαμβανομένων των αποτελεσμάτων τυχόν ελέγχων, στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

8.1.   Εντολές

α)

Ο εξαγωγέας των δεδομένων έχει ενημερώσει τον εισαγωγέα των δεδομένων ότι ενεργεί ως εκτελών την επεξεργασία κατόπιν εντολών του/των υπευθύνου/-ων επεξεργασίας, τις οποίες ο εξαγωγέας των δεδομένων θέτει στη διάθεση του εισαγωγέα των δεδομένων πριν από την επεξεργασία.

β)

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, όπως έχουν κοινοποιηθεί στον εισαγωγέα των δεδομένων από τον εξαγωγέα των δεδομένων και βάσει τυχόν συμπληρωματικών καταγεγραμμένων εντολών του εξαγωγέα των δεδομένων. Οι εν λόγω συμπληρωματικές εντολές δεν έρχονται σε σύγκρουση με τις εντολές του υπευθύνου επεξεργασίας. Ο υπεύθυνος επεξεργασίας ή ο εξαγωγέας των δεδομένων μπορεί να δώσει περαιτέρω καταγεγραμμένες εντολές σχετικά με την επεξεργασία των δεδομένων καθ’ όλη τη διάρκεια ισχύος της σύμβασης.

γ)

Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να εκτελέσει τις εν λόγω εντολές. Όταν ο εισαγωγέας των δεδομένων δεν είναι σε θέση να τηρήσει τις εντολές του υπευθύνου επεξεργασίας, ο εξαγωγέας των δεδομένων ενημερώνει αμέσως σχετικά τον υπεύθυνο επεξεργασίας.

δ)

Ο εξαγωγέας των δεδομένων εγγυάται ότι έχει επιβάλει στον εισαγωγέα των δεδομένων τις ίδιες υποχρεώσεις προστασίας δεδομένων με εκείνες που ορίζονται στη σύμβαση ή σε άλλη νομική πράξη βάσει του δικαίου της Ένωσης ή κράτους μέλους μεταξύ του υπευθύνου επεξεργασίας και του εξαγωγέα των δεδομένων (5).

8.2.   Περιορισμός του σκοπού

Ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο για τον συγκεκριμένο σκοπό ή σκοπούς της διαβίβασης, όπως ορίζεται στο παράρτημα I.Β, εκτός αν λάβει περαιτέρω εντολές από τον υπεύθυνο επεξεργασίας, όπως κοινοποιήθηκαν στον εισαγωγέα των δεδομένων από τον εξαγωγέα των δεδομένων, ή από τον εξαγωγέα των δεδομένων.

8.3.   Διαφάνεια

Κατόπιν αιτήματος, ο εξαγωγέας των δεδομένων θέτει δωρεάν στη διάθεση του υποκειμένου των δεδομένων αντίγραφο των παρουσών ρητρών, συμπεριλαμβανομένου του προσαρτήματος, όπως έχει συμπληρωθεί από τα συμβαλλόμενα μέρη. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, ο εξαγωγέας των δεδομένων μπορεί να απαλείψει μέρος του κειμένου του προσαρτήματος πριν από την κοινοποίηση αντιγράφου, αλλά πρέπει να παρέχει κατατοπιστική περίληψη, εφόσον σε αντίθετη περίπτωση το υποκείμενο των δεδομένων δεν θα ήταν σε θέση να κατανοήσει το περιεχόμενό του ή να ασκήσει τα δικαιώματά του. Κατόπιν αιτήματος, τα συμβαλλόμενα μέρη παρέχουν στο υποκείμενο των δεδομένων τους λόγους της απαλοιφής, στο μέτρο του δυνατού, χωρίς να αποκαλύπτουν τις απαλειφθείσες πληροφορίες.

8.4.   Ακρίβεια

Αν ο εισαγωγέας των δεδομένων διαπιστώσει ότι τα δεδομένα προσωπικού χαρακτήρα που έχει λάβει είναι ανακριβή ή έχουν καταστεί παρωχημένα, ενημερώνει τον εξαγωγέα των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων για τη διόρθωση ή τη διαγραφή των δεδομένων.

8.5.   Διάρκεια της επεξεργασίας και διαγραφή ή επιστροφή των δεδομένων

Η επεξεργασία από τον εισαγωγέα των δεδομένων πραγματοποιείται μόνο για το χρονικό διάστημα που καθορίζεται στο παράρτημα I.Β. Μετά τη λήξη της παροχής των υπηρεσιών επεξεργασίας, ο εισαγωγέας των δεδομένων, κατ’ επιλογή του εξαγωγέα των δεδομένων, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε επεξεργασία για λογαριασμό του υπευθύνου επεξεργασίας δεδομένων και πιστοποιεί στον εξαγωγέα των δεδομένων ότι το έπραξε, ή επιστρέφει στον εξαγωγέα των δεδομένων όλα τα δεδομένα προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του και διαγράφει τα υφιστάμενα αντίγραφα. Έως ότου τα δεδομένα διαγραφούν ή επιστραφούν, ο εισαγωγέας των δεδομένων εξακολουθεί να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες. Σε περίπτωση τοπικού δικαίου στο οποίο υπόκειται ο εισαγωγέας των δεδομένων και το οποίο απαγορεύει την επιστροφή ή τη διαγραφή των δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων εγγυάται ότι θα συνεχίσει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες και θα επεξεργάζεται τα δεδομένα μόνο στον βαθμό και για όσο διάστημα απαιτείται από το εν λόγω τοπικό δίκαιο. Αυτό ισχύει με την επιφύλαξη της ρήτρας 14, ειδικότερα της απαίτησης για τον εισαγωγέα των δεδομένων βάσει της ρήτρας 14 παράγραφος ε) να ενημερώνει τον εξαγωγέα δεδομένων καθ’ όλη τη διάρκεια ισχύος της σύμβασης αν έχει λόγους να πιστεύει ότι υπόκειται ή έχει καταστεί υποκείμενος σε νομοθεσία ή πρακτικές που δεν συνάδουν με τις απαιτήσεις της ρήτρας 14 παράγραφος α).

8.6.   Ασφάλεια επεξεργασίας

α)

Ο εισαγωγέας των δεδομένων και, κατά τη διάρκεια της διαβίβασης, ομοίως ο εξαγωγέας των δεδομένων εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων, συμπεριλαμβανομένης της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση των λόγω δεδομένων (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων. Τα συμβαλλόμενα μέρη εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας. Σε περίπτωση ψευδωνυμοποίησης, οι πρόσθετες πληροφορίες για την απόδοση των δεδομένων προσωπικού χαρακτήρα σε συγκεκριμένο υποκείμενο δεδομένων παραμένουν, στο μέτρο του δυνατού, υπό τον αποκλειστικό έλεγχο του εξαγωγέα των δεδομένων ή του υπευθύνου επεξεργασίας. Ο εισαγωγέας των δεδομένων, στο πλαίσιο της συμμόρφωσης του με τις υποχρεώσεις του δυνάμει της παρούσας παραγράφου, εφαρμόζει τουλάχιστον τα τεχνικά και οργανωτικά μέτρα που καθορίζονται στο παράρτημα II. Ο εισαγωγέας των δεδομένων διενεργεί τακτικούς ελέγχους για να διασφαλίσει ότι τα μέτρα αυτά εξακολουθούν να παρέχουν κατάλληλο επίπεδο ασφάλειας.

β)

Ο εισαγωγέας των δεδομένων παρέχει στα μέλη του προσωπικού του πρόσβαση στα δεδομένα μόνο στο μέτρο που είναι απολύτως αναγκαίο για την εκτέλεση, τη διαχείριση και την παρακολούθηση της σύμβασης. Διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

γ)

Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, ο εισαγωγέας των δεδομένων λαμβάνει κατάλληλα μέτρα για την αντιμετώπιση της παραβίασης δεδομένων, συμπεριλαμβανομένων μέτρων για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της. Ο εισαγωγέας των δεδομένων ενημερώνει επίσης, χωρίς αδικαιολόγητη καθυστέρηση, τον εξαγωγέα των δεδομένων και, κατά περίπτωση και εφόσον είναι εφικτό, τον υπεύθυνο επεξεργασίας αφού λάβει γνώση της παραβίασης. Η εν λόγω γνωστοποίηση περιλαμβάνει τα στοιχεία του σημείου επικοινωνίας από το οποίο μπορούν να αντληθούν περισσότερες πληροφορίες, την περιγραφή της φύσης της παραβίασης (συμπεριλαμβανομένων, όπου είναι δυνατόν, των κατηγοριών και του κατά προσέγγιση αριθμού υποκειμένων των δεδομένων, και των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα), τις πιθανές συνέπειές της και τα μέτρα που ελήφθησαν ή προτείνονται για την αντιμετώπιση της παραβίασης των δεδομένων, συμπεριλαμβανομένων των μέτρων για τον μετριασμό των πιθανών δυσμενών συνεπειών της. Όταν και στον βαθμό που δεν είναι δυνατόν να παρασχεθούν όλες οι πληροφορίες ταυτόχρονα, στην αρχική γνωστοποίηση περιλαμβάνονται οι πληροφορίες που είναι διαθέσιμες τη δεδομένη στιγμή, ενώ επιπλέον πληροφορίες παρέχονται σε μεταγενέστερο χρόνο και χωρίς αδικαιολόγητη καθυστέρηση μόλις καταστούν διαθέσιμες.

δ)

Ο εισαγωγέας των δεδομένων συνεργάζεται με τον εξαγωγέα των δεδομένων και τον επικουρεί ώστε να είναι σε θέση να εκπληρώνει τις υποχρεώσεις του στο πλαίσιο του κανονισμού (ΕΕ) 2016/679, ειδικότερα να ενημερώνει τον υπεύθυνο επεξεργασίας ώστε αυτός με τη σειρά του να μπορεί να ειδοποιεί την αρμόδια εποπτική αρχή και τα επηρεαζόμενα υποκείμενα των δεδομένων, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που έχει στη διάθεσή του ο εισαγωγέας των δεδομένων.

8.7.   Ευαίσθητα δεδομένα

Όταν η διαβίβαση αφορά δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα (στο εξής: ευαίσθητα δεδομένα), ο εισαγωγέας των δεδομένων εφαρμόζει τους ειδικούς περιορισμούς και/ή τις πρόσθετες εγγυήσεις που ορίζονται στο παράρτημα I.Β.

8.8.   Περαιτέρω διαβιβάσεις

Ο εισαγωγέας των δεδομένων κοινολογεί τα δεδομένα προσωπικού χαρακτήρα σε τρίτον μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, όπως κοινοποιούνται στον εισαγωγέα των δεδομένων από τον εξαγωγέα των δεδομένων. Επιπλέον, τα δεδομένα μπορούν να κοινολογηθούν σε τρίτον εγκατεστημένο εκτός της Ευρωπαϊκής Ένωσης (6) (στην ίδια χώρα με τον εισαγωγέα των δεδομένων ή σε άλλη τρίτη χώρα, στο εξής: περαιτέρω διαβίβαση), μόνον αν ο τρίτος δεσμεύεται ή συμφωνεί να δεσμεύεται από τις παρούσες ρήτρες, υπό την αντίστοιχη ενότητα, ή αν:

i)

η περαιτέρω διαβίβαση γίνεται προς χώρα που επωφελείται από απόφαση επάρκειας σύμφωνα με το άρθρο 45 του κανονισμού (ΕΕ) 2016/679 η οποία καλύπτει την περαιτέρω διαβίβαση·

ii)

ο τρίτος εξασφαλίζει με άλλον τρόπο τις κατάλληλες εγγυήσεις σύμφωνα με το άρθρο 46 ή 47 του κανονισμού (ΕΕ) 2016/679·

iii)

η περαιτέρω διαβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων στο πλαίσιο ειδικών διοικητικών, κανονιστικών ή δικαστικών διαδικασιών· ή

iv)

η περαιτέρω διαβίβαση είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου.

Κάθε περαιτέρω διαβίβαση προϋποθέτει ότι ο εισαγωγέας των δεδομένων τηρεί όλες τις άλλες εγγυήσεις που προβλέπονται στις παρούσες ρήτρες, και ιδίως τον περιορισμό του σκοπού.

8.9.   Τεκμηρίωση και συμμόρφωση

α)

Ο εισαγωγέας των δεδομένων ανταποκρίνεται άμεσα και με επάρκεια στα αιτήματα πληροφοριών του εξαγωγέα των δεδομένων ή του υπευθύνου επεξεργασίας που σχετίζονται με την επεξεργασία σύμφωνα με τις παρούσες ρήτρες.

β)

Τα συμβαλλόμενα μέρη είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με τις παρούσες ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων τηρεί κατάλληλη τεκμηρίωση των δραστηριοτήτων επεξεργασίας που διεξάγονται για λογαριασμό του υπευθύνου επεξεργασίας.

γ)

Ο εισαγωγέας των δεδομένων θέτει στη διάθεση του εξαγωγέα των δεδομένων κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που ορίζονται στις παρούσες ρήτρες και ο εξαγωγέας των δεδομένων τη διαβιβάζει στον υπεύθυνο επεξεργασίας.

δ)

Ο εισαγωγέας των δεδομένων επιτρέπει και διευκολύνει ελέγχους των δραστηριοτήτων επεξεργασίας που καλύπτονται από τις παρούσες ρήτρες, οι οποίοι διενεργούνται από τον εξαγωγέα των δεδομένων, σε εύλογα τακτά χρονικά διαστήματα ή αν υπάρχουν ενδείξεις μη συμμόρφωσης. Το ίδιο ισχύει όταν ο εξαγωγέας των δεδομένων ζητεί έλεγχο κατ’ εντολή του υπευθύνου επεξεργασίας. Όταν αποφασίζει για έλεγχο, ο εξαγωγέας των δεδομένων μπορεί να λαμβάνει υπόψη σχετικές πιστοποιήσεις του εισαγωγέα των δεδομένων.

ε)

Όταν ο έλεγχος διενεργείται κατ’ εντολή του υπευθύνου επεξεργασίας, ο εξαγωγέας των δεδομένων θέτει τα αποτελέσματα στη διάθεση του υπευθύνου επεξεργασίας.

στ)

Ο εξαγωγέας των δεδομένων μπορεί να επιλέξει να διενεργήσει τον έλεγχο ο ίδιος ή να τον αναθέσει σε ανεξάρτητο ελεγκτή. Οι έλεγχοι μπορούν να περιλαμβάνουν επιθεωρήσεις στους χώρους ή τις φυσικές εγκαταστάσεις του εισαγωγέα των δεδομένων και, όπου κρίνεται απαραίτητο, να διενεργούνται έπειτα από εύλογη προθεσμία προειδοποίησης.

ζ)

Τα συμβαλλόμενα μέρη θέτουν τις πληροφορίες που αναφέρονται στις παραγράφους β) και γ), περιλαμβανομένων των αποτελεσμάτων τυχόν ελέγχων, στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

8.1.   Εντολές

α)

Ο εξαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του εισαγωγέα των δεδομένων που ενεργεί ως υπεύθυνος επεξεργασίας.

β)

Ο εξαγωγέας των δεδομένων ενημερώνει αμέσως τον εισαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να εκτελέσει τις εν λόγω εντολές, μεταξύ άλλων αν οι εντολές αυτές παραβιάζουν τον κανονισμό (ΕΕ) 2016/679 ή άλλη νομοθεσία της Ένωσης ή κράτους μέλους σχετικά με την προστασία των δεδομένων.

γ)

Ο εισαγωγέας των δεδομένων απέχει από κάθε ενέργεια που θα εμπόδιζε τον εξαγωγέα των δεδομένων να εκπληρώσει τις υποχρεώσεις του βάσει του κανονισμού (ΕΕ) 2016/679, μεταξύ άλλων στο πλαίσιο υπεργολαβίας επεξεργασίας ή όσον αφορά τη συνεργασία με τις αρμόδιες εποπτικές αρχές.

δ)

Μετά το πέρας της παροχής των υπηρεσιών επεξεργασίας, ο εξαγωγέας των δεδομένων, κατ’ επιλογή του εισαγωγέα των δεδομένων, διαγράφει όλα τα δεδομένα προσωπικού χαρακτήρα που έχουν υποβληθεί σε επεξεργασία για λογαριασμό του εισαγωγέα των δεδομένων και πιστοποιεί στον εισαγωγέα των δεδομένων ότι το έπραξε, ή επιστρέφει στον εισαγωγέα των δεδομένων όλα τα δεδομένα προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία για λογαριασμό του και διαγράφει τα υφιστάμενα αντίγραφα.

8.2.   Ασφάλεια επεξεργασίας

α)

Τα συμβαλλόμενα μέρη εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των δεδομένων, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, και της προστασίας από παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση (στο εξής: παραβίαση δεδομένων προσωπικού χαρακτήρα). Κατά την αξιολόγηση του κατάλληλου επιπέδου ασφάλειας, τα συμβαλλόμενα μέρη λαμβάνουν δεόντως υπόψη τις τελευταίες εξελίξεις, το κόστος της εφαρμογής, τη φύση των δεδομένων προσωπικού χαρακτήρα (7), τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τον/τους σκοπό/-ούς της επεξεργασίας, καθώς και τους κινδύνους που προκύπτουν από την επεξεργασία για τα υποκείμενα των δεδομένων, και εξετάζουν ειδικότερα το ενδεχόμενο χρησιμοποίησης κρυπτογράφησης ή ψευδωνυμοποίησης, μεταξύ άλλων κατά τη διάρκεια της διαβίβασης, όταν με αυτόν τον τρόπο μπορεί να επιτευχθεί ο σκοπός της επεξεργασίας.

β)

Ο εξαγωγέας των δεδομένων συνδράμει τον εισαγωγέα των δεδομένων ώστε να εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων σύμφωνα με την παράγραφο α). Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από τον εξαγωγέα των δεδομένων σύμφωνα με τις παρούσες ρήτρες, ο εξαγωγέας των δεδομένων ενημερώνει τον εισαγωγέα των δεδομένων αμελλητί, μόλις αντιληφθεί την παραβίαση και τον συνδράμει στην αντιμετώπιση της παραβίασης αυτής.

γ)

Ο εξαγωγέας των δεδομένων διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας.

8.3.   Τεκμηρίωση και συμμόρφωση

α)

Τα συμβαλλόμενα μέρη είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους με τις παρούσες ρήτρες.

β)

Ο εξαγωγέας των δεδομένων θέτει στη διάθεση του εισαγωγέα των δεδομένων κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις του στο πλαίσιο των παρουσών ρητρών και επιτρέπει και διευκολύνει τη διενέργεια ελέγχων.

Ρήτρα 9

Χρήση υπεργολάβων επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

α)

ΕΠΙΛΟΓΗ 1: ΠΡΟΗΓΟΥΜΕΝΗ ΕΙΔΙΚΗ ΑΔΕΙΑ Ο εισαγωγέας των δεδομένων δεν εκχωρεί σε υπεργολάβο επεξεργασίας καμία από τις δραστηριότητες επεξεργασίας που εκτελεί για λογαριασμό του εξαγωγέα των δεδομένων σύμφωνα με τις παρούσες ρήτρες χωρίς προηγούμενη ειδική γραπτή άδεια του εξαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων υποβάλλει το αίτημα για ειδική άδεια τουλάχιστον [Να συμπληρωθεί το χρονικό διάστημα] πριν από την πρόσληψη του υπεργολάβου επεξεργασίας, μαζί με τις πληροφορίες που είναι αναγκαίες ώστε να μπορεί ο εξαγωγέας των δεδομένων να αποφασίσει για τη χορήγηση της άδειας. Στο παράρτημα III περιλαμβάνεται κατάλογος των υπεργολάβων επεξεργασίας που έχουν ήδη λάβει άδεια από τον εξαγωγέα των δεδομένων. Τα συμβαλλόμενα μέρη επικαιροποιούν το παράρτημα III.

β)

ΕΠΙΛΟΓΗ 2: ΓΕΝΙΚΗ ΓΡΑΠΤΗ ΑΔΕΙΑ Ο εισαγωγέας των δεδομένων έχει τη γενική άδεια του εξαγωγέα των δεδομένων για την πρόσληψη υπεργολάβου/-ων επεξεργασίας από κατάλογο που έχει συμφωνηθεί. Ο εισαγωγέας των δεδομένων παρέχει ειδική γραπτή ενημέρωση στον εξαγωγέα των δεδομένων για τυχόν σκοπούμενες αλλαγές σε αυτόν τον κατάλογο οι οποίες αφορούν την προσθήκη ή την αντικατάσταση υπεργολάβων επεξεργασίας τουλάχιστον [Να συμπληρωθεί το χρονικό διάστημα] νωρίτερα, παρέχοντας στον εξαγωγέα των δεδομένων επαρκή χρόνο ώστε να μπορεί να αντιταχθεί στις εν λόγω αλλαγές πριν από την πρόσληψη του/των υπεργολάβου/-ων επεξεργασίας. Ο εισαγωγέας των δεδομένων παρέχει στον εξαγωγέα των δεδομένων τις πληροφορίες που είναι αναγκαίες ώστε ο εξαγωγέας των δεδομένων να είναι σε θέση να ασκήσει το δικαίωμα εναντίωσης.

γ)

Όταν ο εισαγωγέας των δεδομένων προσλαμβάνει υπεργολάβο επεξεργασίας για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του εξαγωγέα των δεδομένων), το πράττει μέσω γραπτής σύμβασης η οποία προβλέπει, επί της ουσίας, τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με εκείνες που δεσμεύουν τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, μεταξύ άλλων όσον αφορά τα δικαιώματα δικαιούχων τρίτων, για τα υποκείμενα των δεδομένων (8). Τα συμβαλλόμενα μέρη συμφωνούν ότι, με τη συμμόρφωση προς την παρούσα ρήτρα, ο εισαγωγέας των δεδομένων εκπληρώνει τις υποχρεώσεις του βάσει της ρήτρας 8.8. Ο εισαγωγέας των δεδομένων διασφαλίζει ότι ο υπεργολάβος επεξεργασίας συμμορφώνεται με τις υποχρεώσεις στις οποίες υπόκειται ο εισαγωγέας των δεδομένων σύμφωνα με τις παρούσες ρήτρες.

δ)

Ο εισαγωγέας των δεδομένων παρέχει στον εξαγωγέα των δεδομένων, κατόπιν αιτήματος του τελευταίου, αντίγραφο της συμφωνίας με τον υπεργολάβο επεξεργασίας και οποιεσδήποτε μεταγενέστερες τροποποιήσεις. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, περιλαμβανομένων δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων μπορεί να απαλείψει κείμενο της συμφωνίας πριν από την κοινοποίηση του αντιγράφου.

ε)

Ο εισαγωγέας των δεδομένων διατηρεί την πλήρη ευθύνη έναντι του εξαγωγέα των δεδομένων όσον αφορά την εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της σύμβασής του με τον εισαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων γνωστοποιεί στον εξαγωγέα των δεδομένων τυχόν μη εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της εν λόγω σύμβασης.

στ)

Ο εισαγωγέας των δεδομένων συμφωνεί με τον υπεργολάβο επεξεργασίας όσον αφορά τη ρήτρα δικαιούχου τρίτου, βάσει της οποίας —σε περίπτωση που ο εισαγωγέας των δεδομένων έπαυσε να υφίσταται από πραγματική ή νομική άποψη ή κατέστη αφερέγγυος— ο εξαγωγέας των δεδομένων έχει το δικαίωμα να καταγγείλει τη σύμβαση με τον υπεργολάβο επεξεργασίας και να του δώσει εντολή να διαγράψει ή να επιστρέψει τα δεδομένα προσωπικού χαρακτήρα.

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

ΕΠΙΛΟΓΗ 1: ΠΡΟΗΓΟΥΜΕΝΗ ΕΙΔΙΚΗ ΑΔΕΙΑ Ο εισαγωγέας των δεδομένων δεν εκχωρεί σε υπεργολάβο επεξεργασίας καμία από τις δραστηριότητες επεξεργασίας που εκτελεί για λογαριασμό του εξαγωγέα των δεδομένων σύμφωνα με τις παρούσες ρήτρες χωρίς προηγούμενη ειδική γραπτή άδεια από τον υπεύθυνο επεξεργασίας. Ο εισαγωγέας των δεδομένων υποβάλλει το αίτημα για ειδική άδεια τουλάχιστον [Να συμπληρωθεί το χρονικό διάστημα] πριν από την πρόσληψη του υπεργολάβου επεξεργασίας, μαζί με τις πληροφορίες που είναι αναγκαίες ώστε να μπορεί ο υπεύθυνος επεξεργασίας να αποφασίσει για τη χορήγηση της άδειας. Ενημερώνει τον εξαγωγέα των δεδομένων για την εν λόγω πρόσληψη. Στο παράρτημα III περιλαμβάνεται κατάλογος των υπεργολάβων επεξεργασίας που έχουν ήδη λάβει άδεια από τον υπεύθυνο επεξεργασίας. Τα συμβαλλόμενα μέρη επικαιροποιούν το παράρτημα III.

ΕΠΙΛΟΓΗ 2: ΓΕΝΙΚΗ ΓΡΑΠΤΗ ΑΔΕΙΑ Ο εισαγωγέας των δεδομένων έχει τη γενική άδεια του υπευθύνου επεξεργασίας για την πρόσληψη υπεργολάβου/-ων επεξεργασίας από κατάλογο που έχει συμφωνηθεί. Ο εισαγωγέας των δεδομένων παρέχει ειδική γραπτή ενημέρωση στον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές σε αυτόν τον κατάλογο οι οποίες αφορούν την προσθήκη ή την αντικατάσταση υπεργολάβων επεξεργασίας τουλάχιστον [Να συμπληρωθεί το χρονικό διάστημα] νωρίτερα, παρέχοντας στον υπεύθυνο επεξεργασίας επαρκή χρόνο ώστε να μπορεί να αντιταχθεί στις εν λόγω αλλαγές πριν από την πρόσληψη του/των υπεργολάβου/-ων επεξεργασίας. Ο εισαγωγέας των δεδομένων παρέχει στον υπεύθυνο επεξεργασίας τις πληροφορίες που είναι αναγκαίες ώστε ο υπεύθυνος επεξεργασίας να είναι σε θέση να ασκήσει το δικαίωμα εναντίωσης. Ο εισαγωγέας των δεδομένων ενημερώνει τον εξαγωγέα των δεδομένων για την πρόσληψη του/των υπεργολάβου/-ων επεξεργασίας.

β)

Όταν ο εισαγωγέας των δεδομένων προσλαμβάνει υπεργολάβο επεξεργασίας για την εκτέλεση συγκεκριμένων δραστηριοτήτων επεξεργασίας (για λογαριασμό του υπευθύνου επεξεργασίας), το πράττει μέσω γραπτής σύμβασης η οποία προβλέπει, επί της ουσίας, τις ίδιες υποχρεώσεις όσον αφορά την προστασία των δεδομένων με εκείνες που δεσμεύουν τον εισαγωγέα των δεδομένων βάσει των παρουσών ρητρών, μεταξύ άλλων όσον αφορά τα δικαιώματα δικαιούχων τρίτων για τα υποκείμενα των δεδομένων (9). Τα συμβαλλόμενα μέρη συμφωνούν ότι, με τη συμμόρφωση προς την παρούσα ρήτρα, ο εισαγωγέας των δεδομένων εκπληρώνει τις υποχρεώσεις του βάσει της ρήτρας 8.8. Ο εισαγωγέας των δεδομένων διασφαλίζει ότι ο υπεργολάβος επεξεργασίας συμμορφώνεται με τις υποχρεώσεις στις οποίες υπόκειται ο εισαγωγέας των δεδομένων σύμφωνα με τις παρούσες ρήτρες.

γ)

Ο εισαγωγέας τω ν δεδομένων παρέχει, κατόπιν αιτήματος του εξαγωγέα των δεδομένων ή του υπευθύνου επεξεργασίας, αντίγραφο της συμφωνίας με τον υπεργολάβο επεξεργασίας και οποιεσδήποτε μεταγενέστερες τροποποιήσεις. Στον βαθμό που είναι αναγκαίο για την προστασία επαγγελματικών απορρήτων ή άλλων εμπιστευτικών πληροφοριών, περιλαμβανομένων δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων μπορεί να απαλείψει κείμενο της συμφωνίας πριν από την κοινοποίηση του αντιγράφου.

δ)

Ο εισαγωγέας των δεδομένων διατηρεί την πλήρη ευθύνη έναντι του εξαγωγέα των δεδομένων όσον αφορά την εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της σύμβασής του με τον εισαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων γνωστοποιεί στον εξαγωγέα των δεδομένων τυχόν μη εκπλήρωση των υποχρεώσεων του υπεργολάβου επεξεργασίας στο πλαίσιο της εν λόγω σύμβασης.

ε)

Ο εισαγωγέας των δεδομένων συμφωνεί με τον υπεργολάβο επεξεργασίας όσον αφορά τη ρήτρα δικαιούχου τρίτου, βάσει της οποίας —σε περίπτωση που ο εισαγωγέας των δεδομένων έπαυσε να υφίσταται από πραγματική ή νομική άποψη ή κατέστη αφερέγγυος— ο εξαγωγέας των δεδομένων έχει το δικαίωμα να καταγγείλει τη σύμβαση με τον υπεργολάβο επεξεργασίας και να του δώσει εντολή να διαγράψει ή να επιστρέψει τα δεδομένα προσωπικού χαρακτήρα.

Ρήτρα 10

Δικαιώματα των υποκειμένων των δεδομένων

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

α)

Ο εισαγωγέας των δεδομένων, κατά περίπτωση με τη συνδρομή του εξαγωγέα των δεδομένων, ανταποκρίνεται χωρίς αδικαιολόγητη καθυστέρηση σε κάθε αίτημα πληροφοριών και άλλο αίτημα που λαμβάνει από το υποκείμενο των δεδομένων σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων βάσει των παρουσών ρητρών και το αργότερο εντός ενός μήνα από την παραλαβή του αιτήματος πληροφοριών ή άλλου αιτήματος. (10) Ο εισαγωγέας των δεδομένων λαμβάνει τα κατάλληλα μέτρα για να διευκολύνει τα εν λόγω αιτήματα πληροφοριών και άλλα αιτήματα, καθώς και την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων. Κάθε πληροφορία που παρέχεται στο υποκείμενο των δεδομένων πρέπει να είναι κατανοητή και εύκολα προσβάσιμη, με τη χρήση σαφούς και απλής διατύπωσης.

β)

Συγκεκριμένα, κατόπιν αιτήματος του υποκειμένου των δεδομένων, ο εισαγωγέας των δεδομένων παρέχει ατελώς:

i)

επιβεβαίωση στο υποκείμενο των δεδομένων ως προς το εάν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εφόσον συντρέχει τέτοια περίπτωση, αντίγραφο των δεδομένων που το αφορούν και τις πληροφορίες του παραρτήματος I· εάν τα δεδομένα προσωπικού χαρακτήρα έχουν διαβιβασθεί ή πρόκειται να διαβιβαστούν περαιτέρω, πληροφορίες σχετικά με τους αποδέκτες ή τις κατηγορίες αποδεκτών (κατά περίπτωση, με σκοπό την παροχή χρήσιμων πληροφοριών) στους οποίους διαβιβάστηκαν ή πρόκειται να διαβιβαστούν περαιτέρω τα δεδομένα προσωπικού χαρακτήρα, τον σκοπό αυτών των περαιτέρω διαβιβάσεων και την αιτιολόγησή τους σύμφωνα με τη ρήτρα 8.7· και πληροφορίες σχετικά με το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή σύμφωνα με τη ρήτρα 12 παράγραφος γ) στοιχείο i)·

ii)

διορθώνει ανακριβή ή ελλιπή δεδομένα που αφορούν το υποκείμενο των δεδομένων·

iii)

διαγράφει δεδομένα προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων, αν τα εν λόγω δεδομένα υποβάλλονται ή έχουν υποβληθεί σε επεξεργασία κατά παράβαση οποιασδήποτε από τις παρούσες ρήτρες, διασφαλίζοντας τα δικαιώματα δικαιούχων τρίτων, ή αν το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία.

γ)

Όταν ο εισαγωγέας των δεδομένων επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για σκοπούς απευθείας εμπορικής προώθησης, παύει την επεξεργασία για τους σκοπούς αυτούς, αν το υποκείμενο των δεδομένων αντιταχθεί σε αυτήν την επεξεργασία.

δ)

Ο εισαγωγέας των δεδομένων δεν λαμβάνει απόφαση που να βασίζεται αποκλειστικά στην αυτοματοποιημένη επεξεργασία των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα (στο εξής: αυτοματοποιημένη λήψη αποφάσεων), η οποία θα παρήγε έννομα αποτελέσματα όσον αφορά το υποκείμενο των δεδομένων ή θα το επηρέαζε σημαντικά με παρόμοιο τρόπο, εκτός αν έχει δοθεί ρητή συγκατάθεση από το υποκείμενο των δεδομένων ή αν κάτι τέτοιο επιτρέπεται από τη νομοθεσία της χώρας προορισμού, υπό την προϋπόθεση ότι η εν λόγω νομοθεσία προβλέπει τα κατάλληλα μέτρα για τη διαφύλαξη των δικαιωμάτων και έννομων συμφερόντων του υποκειμένου των δεδομένων. Στην περίπτωση αυτή, ο εισαγωγέας των δεδομένων, εφόσον απαιτείται σε συνεργασία με τον εξαγωγέα των δεδομένων:

i)

ενημερώνει το υποκείμενο των δεδομένων σχετικά με την προβλεπόμενη αυτοματοποιημένη λήψη αποφάσεων, τις προβλεπόμενες συνέπειες και τη λογική που ακολουθείται· και

ii)

εφαρμόζει κατάλληλες εγγυήσεις, τουλάχιστον παρέχοντας στο υποκείμενο των δεδομένων τη δυνατότητα να αμφισβητήσει τη λήψη αποφάσεων, να εκφράσει την άποψή του και να εξασφαλίσει επανεξέταση από άνθρωπο.

ε)

Όταν τα αιτήματα των υποκειμένων των δεδομένων είναι υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο εισαγωγέας των δεδομένων μπορεί είτε να επιβάλει ένα εύλογο τέλος λαμβάνοντας υπόψη τα διοικητικά έξοδα για την ικανοποίηση του αιτήματος ή να αρνηθεί να δώσει συνέχεια στο αίτημα.

στ)

Ο εισαγωγέας των δεδομένων μπορεί να απορρίψει αίτημα του υποκειμένου των δεδομένων αν η απόρριψη αυτή επιτρέπεται βάσει της νομοθεσίας της χώρας προορισμού και είναι αναγκαία και αναλογική σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός από τους σκοπούς που απαριθμούνται στο άρθρο 23 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679.

ζ)

Αν ο εισαγωγέας των δεδομένων προτίθεται να απορρίψει αίτημα του υποκειμένου των δεδομένων, ενημερώνει το υποκείμενο των δεδομένων για τους λόγους της απόρριψης και για τη δυνατότητα υποβολής καταγγελίας στην αρμόδια εποπτική αρχή και/ή τη δυνατότητα προσφυγής στη δικαιοσύνη.

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

α)

Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σχετικά με οποιοδήποτε αίτημα που έλαβε από το υποκείμενο των δεδομένων. Δεν απαντά ο ίδιος στο αίτημα αυτό, εκτός αν έχει λάβει σχετική εξουσιοδότηση από τον εξαγωγέα των δεδομένων.

β)

Ο εισαγωγέας των δεδομένων επικουρεί τον εξαγωγέα των δεδομένων στην εκπλήρωση της υποχρέωσής του να απαντά στα αιτήματα των υποκειμένων των δεδομένων που αφορούν την άσκηση των δικαιωμάτων τους βάσει του κανονισμού (ΕΕ) 2016/679. Στο πλαίσιο αυτό, τα συμβαλλόμενα μέρη καθορίζουν στο παράρτημα II τα κατάλληλα τεχνικά και οργανωτικά μέτρα —λαμβανομένης υπόψη της φύσης της επεξεργασίας— με τα οποία παρέχεται η συνδρομή, καθώς και το πεδίο εφαρμογής και την έκταση της απαιτούμενης συνδρομής.

γ)

Κατά την εκπλήρωση των υποχρεώσεών του σύμφωνα με τις παραγράφους α) και β), ο εισαγωγέας των δεδομένων συμμορφώνεται με τις εντολές του εξαγωγέα των δεδομένων.

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων και, κατά περίπτωση, τον υπεύθυνο επεξεργασίας για κάθε αίτημα που έλαβε από υποκείμενο των δεδομένων, χωρίς να απαντά στο αίτημα αυτό, εκτός αν έχει λάβει σχετική άδεια από τον υπεύθυνο επεξεργασίας.

β)

Ο εισαγωγέας των δεδομένων επικουρεί, κατά περίπτωση, σε συνεργασία με τον εξαγωγέα των δεδομένων, τον υπεύθυνο επεξεργασίας για την εκπλήρωση των υποχρεώσεών του να απαντά στα αιτήματα των υποκειμένων των δεδομένων για την άσκηση των δικαιωμάτων τους δυνάμει του κανονισμού (ΕΕ) 2016/679 ή του κανονισμού (ΕΕ) 2018/1725, κατά περίπτωση. Στο πλαίσιο αυτό, τα συμβαλλόμενα μέρη καθορίζουν στο παράρτημα II τα κατάλληλα τεχνικά και οργανωτικά μέτρα —λαμβανομένης υπόψη της φύσης της επεξεργασίας— με τα οποία παρέχεται η συνδρομή, καθώς και το πεδίο εφαρμογής και την έκταση της απαιτούμενης συνδρομής.

γ)

Κατά την εκπλήρωση των υποχρεώσεών του σύμφωνα με τις παραγράφους α) και β), ο εισαγωγέας των δεδομένων συμμορφώνεται με τις εντολές του υπευθύνου επεξεργασίας, όπως τις κοινοποίησε ο εξαγωγέας των δεδομένων.

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

Τα συμβαλλόμενα μέρη παρέχουν αμοιβαία συνδρομή ώστε να απαντούν σε αιτήματα πληροφοριών και άλλα αιτήματα που υποβάλλουν τα υποκείμενα των δεδομένων σύμφωνα με το τοπικό δίκαιο στο οποίο υπόκειται ο εισαγωγέας των δεδομένων ή, για την επεξεργασία δεδομένων από τον εξαγωγέα των δεδομένων στην Ένωση, βάσει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 11

Μέσα προσφυγής

α)

Ο εισαγωγέας των δεδομένων ενημερώνει τα υποκείμενα των δεδομένων σε διαφανή και εύκολα προσβάσιμη μορφή, μέσω ατομικής ειδοποίησης ή μέσω του ιστοτόπου του, σχετικά με σημείο επικοινωνίας εξουσιοδοτημένο να χειρίζεται καταγγελίες. Εξετάζει αμέσως τυχόν καταγγελίες που λαμβάνει από υποκείμενο των δεδομένων.

[ΕΠΙΛΟΓΗ: Ο εισαγωγέας των δεδομένων συμφωνεί ότι τα υποκείμενα των δεδομένων μπορούν επίσης να υποβάλλουν καταγγελία σε ανεξάρτητο φορέα επίλυσης διαφορών (11) χωρίς κόστος για το υποκείμενο των δεδομένων. Ενημερώνει τα υποκείμενα των δεδομένων, με τον τρόπο που ορίζεται στην παράγραφο α), σχετικά με τον εν λόγω μηχανισμό προσφυγής και ότι δεν υποχρεούνται να κάνουν χρήση του ούτε να ακολουθήσουν μια συγκεκριμένη ακολουθία κατά την άσκηση προσφυγής.]

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

Σε περίπτωση διαφοράς μεταξύ του υποκειμένου των δεδομένων και ενός εκ των συμβαλλόμενων μερών όσον αφορά τη συμμόρφωση με τις παρούσες ρήτρες, το εν λόγω συμβαλλόμενο μέρος καταβάλλει κάθε δυνατή προσπάθεια για την έγκαιρη φιλική επίλυση του ζητήματος. Τα συμβαλλόμενα μέρη ενημερώνουν το ένα το άλλο σχετικά με τις εν λόγω διαφορές και, κατά περίπτωση, συνεργάζονται για την επίλυσή τους.

β)

Όταν το υποκείμενο των δεδομένων επικαλείται δικαίωμα δικαιούχου τρίτου σύμφωνα με τη ρήτρα 3, ο εισαγωγέας των δεδομένων αποδέχεται την απόφαση του υποκειμένου των δεδομένων:

i)

να υποβάλει καταγγελία στην εποπτική αρχή του κράτους μέλους της συνήθους διαμονής ή του τόπου εργασίας του υποκειμένου των δεδομένων ή στην αρμόδια εποπτική αρχή σύμφωνα με τη ρήτρα 13·

ii)

να παραπέμψει τη διαφορά στα αρμόδια δικαστήρια κατά την έννοια της ρήτρας 18.

γ)

Τα συμβαλλόμενα μέρη δέχονται ότι το υποκείμενο των δεδομένων μπορεί να εκπροσωπείται από μη κερδοσκοπικό φορέα, οργανισμό ή ένωση υπό τους όρους που καθορίζονται στο άρθρο 80 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679.

δ)

Ο εισαγωγέας των δεδομένων συμμορφώνεται με δεσμευτική απόφαση βάσει του εφαρμοστέου δικαίου της ΕΕ ή κράτους μέλους.

ε)

Ο εισαγωγέας των δεδομένων συμφωνεί ότι η επιλογή του υποκειμένου των δεδομένων δεν θίγει τα ουσιαστικού ή δικονομικού δικαίου δικαιώματά του να αναζητήσει έννομη προστασία σύμφωνα με το εφαρμοστέο δίκαιο.

Ρήτρα 12

Ευθύνη

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

α)

Κάθε συμβαλλόμενο μέρος ευθύνεται έναντι του/των άλλου/-ων συμβαλλόμενου/-ων μέρους/-ών για κάθε ζημία που του/τους προκαλεί λόγω οποιασδήποτε παράβασης των παρουσών ρητρών.

β)

Κάθε συμβαλλόμενο μέρος ευθύνεται έναντι του υποκειμένου των δεδομένων και το υποκείμενο των δεδομένων δικαιούται να λάβει αποζημίωση για κάθε υλική ή μη υλική ζημία που το συμβαλλόμενο μέρος προκαλεί στο υποκείμενο των δεδομένων προσβάλλοντας τα δικαιώματα δικαιούχου τρίτου δυνάμει των παρουσών ρητρών. Αυτό ισχύει με την επιφύλαξη της ευθύνης του εξαγωγέα των δεδομένων δυνάμει του κανονισμού (ΕΕ) 2016/679.

γ)

Σε περίπτωση που περισσότερα του ενός συμβαλλόμενα μέρη ευθύνονται για οποιαδήποτε ζημία προκληθεί στο υποκείμενο των δεδομένων ως αποτέλεσμα παράβασης των παρουσών ρητρών, όλα τα υπεύθυνα συμβαλλόμενα μέρη ευθύνονται αλληλεγγύως και εις ολόκληρον, και το υποκείμενο των δεδομένων δικαιούται να προσφύγει ενώπιον δικαστηρίου κατά οποιουδήποτε από τα εν λόγω συμβαλλόμενα μέρη.

δ)

Τα συμβαλλόμενα μέρη συμφωνούν ότι αν ένα συμβαλλόμενο μέρος θεωρηθεί υπεύθυνο δυνάμει της παραγράφου γ), δικαιούται να ζητήσει από το/τα άλλο/-α συμβαλλόμενο/-α μέρος/-η την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στην ευθύνη του/τους λόγω της ζημίας.

ε)

Ο εισαγωγέας των δεδομένων δεν μπορεί να επικαλεστεί τη συμπεριφορά εκτελούντος την επεξεργασία ή υπεργολάβου επεξεργασίας για να απαλλαγεί από την ευθύνη του.

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

Κάθε συμβαλλόμενο μέρος ευθύνεται έναντι του/των άλλου/-ων συμβαλλόμενου/-ων μέρους/-ών για κάθε ζημία που του/τους προκαλεί λόγω οποιασδήποτε παράβασης των παρουσών ρητρών.

β)

O εισαγωγέας των δεδομένων ευθύνεται έναντι του υποκειμένου των δεδομένων και το υποκείμενο των δεδομένων δικαιούται να λάβει αποζημίωση για κάθε υλική ή μη υλική ζημία που ο εισαγωγέας των δεδομένων ή υπεργολάβος επεξεργασίας προκαλεί στο υποκείμενο των δεδομένων προσβάλλοντας τα δικαιώματα δικαιούχου τρίτου δυνάμει των παρουσών ρητρών.

γ)

Κατά παρέκκλιση από την παράγραφο β), ο εξαγωγέας των δεδομένων ευθύνεται έναντι του υποκειμένου των δεδομένων και το υποκείμενο των δεδομένων δικαιούται να λάβει αποζημίωση για κάθε υλική ή μη υλική ζημία που ο εξαγωγέας των δεδομένων ή ο εισαγωγέας των δεδομένων (ή ο υπεργολάβος επεξεργασίας) προκαλεί στο υποκείμενο των δεδομένων προσβάλλοντας τα δικαιώματα δικαιούχου τρίτου δυνάμει των παρουσών ρητρών. Αυτό ισχύει με την επιφύλαξη της ευθύνης του εξαγωγέα των δεδομένων και, όταν ο εξαγωγέας των δεδομένων είναι ο εκτελών την επεξεργασία που ενεργεί για λογαριασμό υπευθύνου επεξεργασίας, της ευθύνης του υπευθύνου επεξεργασίας δυνάμει του κανονισμού (ΕΕ) 2016/679 ή του κανονισμού (ΕΕ) 2018/1725, κατά περίπτωση.

δ)

Τα συμβαλλόμενα μέρη συμφωνούν ότι αν ο εξαγωγέας των δεδομένων θεωρηθεί υπεύθυνος βάσει της παραγράφου γ) για ζημίες που προκλήθηκαν από τον εισαγωγέα των δεδομένων (ή τον υπεργολάβο επεξεργασίας), δικαιούται να ζητήσει από τον εισαγωγέα των δεδομένων την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στην ευθύνη του εισαγωγέα των δεδομένων λόγω της ζημίας.

ε)

Σε περίπτωση που περισσότερα του ενός συμβαλλόμενα μέρη ευθύνονται για οποιαδήποτε ζημία προκληθεί στο υποκείμενο των δεδομένων ως αποτέλεσμα παράβασης των παρουσών ρητρών, όλα τα υπεύθυνα συμβαλλόμενα μέρη ευθύνονται αλληλεγγύως και εις ολόκληρον, και το υποκείμενο των δεδομένων δικαιούται να προσφύγει ενώπιον δικαστηρίου κατά οποιουδήποτε από τα εν λόγω συμβαλλόμενα μέρη.

στ)

Τα συμβαλλόμενα μέρη συμφωνούν ότι αν ένα συμβαλλόμενο μέρος θεωρηθεί υπεύθυνο δυνάμει της παραγράφου ε), δικαιούται να ζητήσει από το/τα άλλο/-α συμβαλλόμενο/-α μέρος/μέρη την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στην ευθύνη του/τους λόγω της ζημίας.

ζ)

Ο εισαγωγέας των δεδομένων δεν μπορεί να επικαλείται τη συμπεριφορά υπεργολάβου επεξεργασίας για να απαλλαγεί από την ευθύνη του.

Ρήτρα 13

Εποπτεία

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

[Όταν ο εξαγωγέας των δεδομένων είναι εγκατεστημένος σε κράτος μέλος της ΕΕ:] Η εποπτική αρχή η οποία είναι υπεύθυνη να διασφαλίζει τη συμμόρφωση του εξαγωγέα των δεδομένων με τον κανονισμό (ΕΕ) 2016/679 όσον αφορά τη διαβίβαση δεδομένων, όπως αναφέρεται στο παράρτημα I.Γ, ενεργεί ως αρμόδια εποπτική αρχή.

[Όταν ο εξαγωγέας των δεδομένων δεν είναι εγκατεστημένος σε κράτος μέλος της ΕΕ αλλά υπάγεται στο εδαφικό πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679 σύμφωνα με το άρθρο 3 παράγραφος 2 του εν λόγω κανονισμού και έχει ορίσει εκπρόσωπο δυνάμει του άρθρου 27 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679:] Η εποπτική αρχή του κράτους μέλους όπου είναι εγκατεστημένος ο εκπρόσωπος κατά την έννοια του άρθρου 27 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, όπως αναφέρεται στο παράρτημα I.Γ, ενεργεί ως αρμόδια εποπτική αρχή.

[Όταν ο εξαγωγέας των δεδομένων δεν είναι εγκατεστημένος σε κράτος μέλος της ΕΕ αλλά υπάγεται στο εδαφικό πεδίο εφαρμογής του κανονισμού (ΕΕ) 2016/679 σύμφωνα με το άρθρο 3 παράγραφος 2 του εν λόγω κανονισμού χωρίς, ωστόσο, να χρειάζεται να ορίσει εκπρόσωπο δυνάμει του άρθρου 27 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679:] Η εποπτική αρχή ενός από τα κράτη μέλη όπου είναι εγκατεστημένα τα υποκείμενα των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται δυνάμει των παρουσών ρητρών σε σχέση με προσφορά αγαθών και υπηρεσιών σε αυτά ή των οποίων η συμπεριφορά παρακολουθείται, όπως αναφέρεται στο παράρτημα I.Γ., ενεργεί ως αρμόδια εποπτική αρχή.

β)

Ο εισαγωγέας των δεδομένων συμφωνεί να αποδέχεται την αρμοδιότητα της αρμόδιας εποπτικής αρχής και να συνεργάζεται μαζί της σε όλες τις διαδικασίες που αποσκοπούν στη διασφάλιση της συμμόρφωσης με τις παρούσες ρήτρες. Ειδικότερα, ο εισαγωγέας των δεδομένων συμφωνεί να απαντά σε αιτήματα πληροφοριών, να υποβάλλεται σε ελέγχους και να συμμορφώνεται με τα μέτρα που θεσπίζει η εποπτική αρχή, συμπεριλαμβανομένων διορθωτικών και αντισταθμιστικών μέτρων. Παρέχει στην εποπτική αρχή γραπτή επιβεβαίωση ότι έχουν ληφθεί τα αναγκαία μέτρα.

ΤΜΗΜΑ III — ΤΟΠΙΚΗ ΝΟΜΟΘΕΣΙΑ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΣΕ ΠΕΡΙΠΤΩΣΗ ΠΡΟΣΒΑΣΗΣ ΑΠΟ ΤΙΣ ΔΗΜΟΣΙΕΣ ΑΡΧΕΣ

Ρήτρα 14

Τοπική νομοθεσία και πρακτικές που επηρεάζουν τη συμμόρφωση με τις ρήτρες

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας (όπου ο εκτελών την επεξεργασία στην ΕΕ συνδυάζει τα δεδομένα προσωπικού χαρακτήρα που λαμβάνει από υπεύθυνο επεξεργασίας τρίτης χώρας με δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον εκτελούντα την επεξεργασία στην ΕΕ)

α)

Τα συμβαλλόμενα μέρη εγγυώνται ότι δεν έχουν λόγο να πιστεύουν ότι η νομοθεσία και οι πρακτικές της τρίτης χώρας προορισμού που εφαρμόζονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον εισαγωγέα των δεδομένων, συμπεριλαμβανομένων τυχόν απαιτήσεων κοινολόγησης δεδομένων προσωπικού χαρακτήρα ή μέτρων που επιτρέπουν την πρόσβαση από δημόσιες αρχές, εμποδίζουν τον εισαγωγέα των δεδομένων να εκπληρώσει τις υποχρεώσεις του βάσει των παρουσών ρητρών. Αυτό βασίζεται στο σκεπτικό ότι η νομοθεσία και οι πρακτικές που σέβονται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και δεν υπερβαίνουν όσα είναι αναγκαία και αναλογικά σε μια δημοκρατική κοινωνία για τη διασφάλιση ενός από τους σκοπούς που απαριθμούνται στο άρθρο 23 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679 δεν έρχονται σε αντίθεση με τις παρούσες ρήτρες.

β)

Τα συμβαλλόμενα μέρη δηλώνουν ότι κατά την παροχή της εγγύησης που αναφέρεται στην παράγραφο α), έλαβαν δεόντως υπόψη ιδίως τα ακόλουθα στοιχεία:

i)

τις ειδικές περιστάσεις της διαβίβασης, συμπεριλαμβανομένου του μήκους της αλυσίδας επεξεργασίας, του αριθμού των εμπλεκόμενων παραγόντων και των διαύλων διαβίβασης που χρησιμοποιήθηκαν· τις σκοπούμενες περαιτέρω διαβιβάσεις· τον τύπο του αποδέκτη· τον σκοπό της επεξεργασίας· τις κατηγορίες και τον μορφότυπο των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα· τον οικονομικό τομέα στον οποίο πραγματοποιείται η διαβίβαση· τη θέση αποθήκευσης των διαβιβαζόμενων δεδομένων·

ii)

τη νομοθεσία και τις πρακτικές της τρίτης χώρας προορισμού —συμπεριλαμβανομένων εκείνων που απαιτούν την κοινολόγηση δεδομένων σε δημόσιες αρχές ή επιτρέπουν την πρόσβαση των εν λόγω αρχών— που είναι σχετικές δεδομένων των ειδικών περιστάσεων της διαβίβασης, και τους ισχύοντες περιορισμούς και εγγυήσεις· (12)

iii)

τυχόν σχετικές συμβατικές, τεχνικές ή οργανωτικές εγγυήσεις που έχουν θεσπιστεί συμπληρωματικά προς τις εγγυήσεις δυνάμει των παρουσών ρητρών, συμπεριλαμβανομένων των μέτρων που εφαρμόζονται κατά τη διαβίβαση, και για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στη χώρα προορισμού.

γ)

Ο εισαγωγέας των δεδομένων εγγυάται ότι, κατά τη διενέργεια της αξιολόγησης βάσει της παραγράφου β), κατέβαλε κάθε δυνατή προσπάθεια για να παράσχει στον εξαγωγέα των δεδομένων τις σχετικές πληροφορίες και συμφωνεί ότι θα συνεχίσει να συνεργάζεται με τον εξαγωγέα των δεδομένων για τη διασφάλιση της συμμόρφωσης με τις παρούσες ρήτρες.

δ)

Τα συμβαλλόμενα μέρη συμφωνούν να τεκμηριώνουν την αξιολόγηση βάσει της παραγράφου β) και να τη θέτουν στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ε)

Ο εισαγωγέας των δεδομένων συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που, αφού συμφωνήσει με τις παρούσες ρήτρες και για τη διάρκεια ισχύος της σύμβασης, έχει λόγους να πιστεύει ότι υπόκειται ή έχει καταστεί υποκείμενος σε νομοθεσία ή πρακτικές που δεν συνάδουν με τις απαιτήσεις της παραγράφου α), μεταξύ άλλων κατόπιν αλλαγής της νομοθεσίας στην τρίτη χώρα, ή σε μέτρο (όπως αίτημα κοινολόγησης) που υποδεικνύει εφαρμογή της εν λόγω νομοθεσίας στην πράξη η οποία δεν συνάδει με τις απαιτήσεις της παραγράφου α). [Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων διαβιβάζει τη γνωστοποίηση στον υπεύθυνο επεξεργασίας.]

στ)

Μετά τη γνωστοποίηση σύμφωνα με την παράγραφο ε) ή αν ο εξαγωγέας των δεδομένων έχει άλλως λόγους να πιστεύει ότι ο εισαγωγέας των δεδομένων δεν μπορεί πλέον να εκπληρώσει τις υποχρεώσεις του στο πλαίσιο των παρουσών ρητρών, ο εξαγωγέας των δεδομένων προσδιορίζει αμέσως τα κατάλληλα μέτρα (π.χ. τεχνικά ή οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας και της εμπιστευτικότητας) που πρέπει να ληφθούν από τον εξαγωγέα και/ή τον εισαγωγέα των δεδομένων για την αντιμετώπιση της κατάστασης [για την τρίτη ενότητα: κατά περίπτωση, σε διαβούλευση με τον υπεύθυνο επεξεργασίας]. Ο εξαγωγέας των δεδομένων αναστέλλει τη διαβίβαση δεδομένων, αν κρίνει ότι δεν μπορούν να διασφαλιστούν οι κατάλληλες εγγυήσεις για τη διαβίβαση αυτή ή αν λάβει σχετική εντολή από [για την τρίτη ενότητα: τον υπεύθυνο επεξεργασίας ή] την αρμόδια εποπτική αρχή. Στην περίπτωση αυτή, ο εξαγωγέας των δεδομένων δικαιούται να καταγγείλει τη σύμβαση, στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει των παρουσών ρητρών. Εάν η σύμβαση αφορά περισσότερα από δύο συμβαλλόμενα μέρη, ο εξαγωγέας των δεδομένων μπορεί να ασκήσει το εν λόγω δικαίωμα καταγγελίας μόνο σε σχέση με το οικείο συμβαλλόμενο μέρος, εκτός αν τα συμβαλλόμενα μέρη έχουν συμφωνήσει διαφορετικά. Σε περίπτωση καταγγελίας της σύμβασης δυνάμει της παρούσας ρήτρας, εφαρμόζεται η ρήτρα 16 παράγραφοι δ) και ε).

Ρήτρα 15

Υποχρεώσεις του εισαγωγέα των δεδομένων σε περίπτωση πρόσβασης από δημόσιες αρχές

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας (όπου ο εκτελών την επεξεργασία στην ΕΕ συνδυάζει τα δεδομένα προσωπικού χαρακτήρα που λαμβάνει από υπεύθυνο επεξεργασίας τρίτης χώρας με δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον εκτελούντα την επεξεργασία στην ΕΕ)

15.1.   Γνωστοποίηση

α)

Ο εισαγωγέας των δεδομένων συμφωνεί να ενημερώνει αμέσως τον εξαγωγέα των δεδομένων και, αν είναι δυνατόν, το υποκείμενο των δεδομένων (αν είναι αναγκαίο με τη συνδρομή του εξαγωγέα των δεδομένων) σε περίπτωση που:

i)

λάβει νομικά δεσμευτικό αίτημα δημόσιας αρχής, συμπεριλαμβανομένων των δικαστικών αρχών, σύμφωνα με τη νομοθεσία της χώρας προορισμού για την κοινολόγηση δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται σύμφωνα με τις παρούσες ρήτρες· η εν λόγω γνωστοποίηση περιλαμβάνει πληροφορίες σχετικά με τα ζητούμενα δεδομένα προσωπικού χαρακτήρα, την αιτούσα αρχή, τη νομική βάση του αιτήματος και την παρασχεθείσα απάντηση· ή

ii)

λάβει γνώση τυχόν άμεσης πρόσβασης των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται δυνάμει των παρουσών ρητρών σύμφωνα με τη νομοθεσία της χώρας προορισμού· η γνωστοποίηση αυτή περιλαμβάνει όλες τις πληροφορίες που έχει στη διάθεσή του ο εισαγωγέας.

[Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων διαβιβάζει τη γνωστοποίηση στον υπεύθυνο επεξεργασίας.]

β)

Αν απαγορεύεται στον εισαγωγέα των δεδομένων να ενημερώσει τον εξαγωγέα των δεδομένων και/ή το υποκείμενο των δεδομένων σύμφωνα με τη νομοθεσία της χώρας προορισμού, ο εισαγωγέας των δεδομένων συμφωνεί να καταβάλει κάθε δυνατή προσπάθεια για να επιτύχει την άρση της απαγόρευσης, με σκοπό την κοινοποίηση όσο το δυνατόν περισσότερων πληροφοριών και το συντομότερο δυνατόν. Ο εισαγωγέας των δεδομένων συμφωνεί να τεκμηριώνει τις προσπάθειές του ώστε να είναι σε θέση να τις αποδείξει κατόπιν αιτήματος του εξαγωγέα των δεδομένων.

γ)

Όταν επιτρέπεται από τη νομοθεσία της χώρας προορισμού, ο εισαγωγέας των δεδομένων συμφωνεί να παρέχει στον εξαγωγέα των δεδομένων, σε τακτά χρονικά διαστήματα κατά τη διάρκεια ισχύος της σύμβασης, όσο το δυνατόν περισσότερες σχετικές πληροφορίες σχετικά με τα παραληφθέντα αιτήματα (ειδικότερα, τον αριθμό των αιτημάτων, το είδος των ζητούμενων δεδομένων, την αιτούσα αρχή ή αρχές, το αν τα αιτήματα έχουν αμφισβητηθεί και την έκβαση των εν λόγω αμφισβητήσεων κ.λπ.). [Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων διαβιβάζει τις πληροφορίες στον υπεύθυνο επεξεργασίας.]

δ)

Ο εισαγωγέας των δεδομένων συμφωνεί να διατηρεί τις πληροφορίες σύμφωνα με τις παραγράφους α) έως γ) κατά τη διάρκεια ισχύος της σύμβασης και να τις θέτει στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος.

ε)

Οι παράγραφοι α) έως γ) δεν θίγουν την υποχρέωση του εισαγωγέα των δεδομένων σύμφωνα με τη ρήτρα 14 παράγραφος ε) και τη ρήτρα 16 να ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση που δεν είναι σε θέση να συμμορφωθεί με τις εν λόγω ρήτρες.

15.2.   Έλεγχος της νομιμότητας και ελαχιστοποίηση των δεδομένων

α)

Ο εισαγωγέας των δεδομένων συμφωνεί να ελέγχει τη νομιμότητα του αιτήματος κοινολόγησης, ειδικότερα το αν παραμένει εντός των ορίων των εξουσιών της αιτούσας δημόσιας αρχή, και να αμφισβητεί το αίτημα, αν, μετά από προσεκτική αξιολόγηση, καταλήξει στο συμπέρασμα ότι υπάρχουν βάσιμοι λόγοι να θεωρηθεί ότι το αίτημα είναι παράνομο βάσει της νομοθεσίας της χώρας προορισμού, των εφαρμοστέων υποχρεώσεων βάσει του διεθνούς δικαίου και των αρχών της διεθνούς αβροφροσύνης. Ο εισαγωγέας των δεδομένων, υπό τους ίδιους όρους, αξιοποιεί τις δυνατότητες προσφυγής. Κατά την αμφισβήτηση αιτήματος, ο εισαγωγέας των δεδομένων ζητεί τη λήψη προσωρινών μέτρων με σκοπό την αναστολή των αποτελεσμάτων του αιτήματος έως ότου η αρμόδια δικαστική αρχή αποφανθεί επί της ουσίας του αιτήματος. Δεν γνωστοποιεί τα ζητούμενα δεδομένα προσωπικού χαρακτήρα έως ότου αυτό απαιτηθεί σύμφωνα με τους εφαρμοστέους διαδικαστικούς κανόνες. Οι απαιτήσεις αυτές ισχύουν με την επιφύλαξη των υποχρεώσεων του εισαγωγέα των δεδομένων δυνάμει της ρήτρας 14 παράγραφος ε).

β)

Ο εισαγωγέας των δεδομένων συμφωνεί να τεκμηριώνει τη νομική του αξιολόγηση και κάθε αμφισβήτηση αιτήματος κοινολόγησης και, στον βαθμό που επιτρέπεται από τη νομοθεσία της χώρας προορισμού, να καθιστά την εν λόγω τεκμηρίωση διαθέσιμη στον εξαγωγέα των δεδομένων. Ο εισαγωγέας των δεδομένων θέτει την εν λόγω τεκμηρίωση και στη διάθεση της αρμόδιας εποπτικής αρχής κατόπιν αιτήματος. [Για την τρίτη ενότητα: Ο εξαγωγέας των δεδομένων θέτει την αξιολόγηση στη διάθεση του υπευθύνου επεξεργασίας.]

γ)

Ο εισαγωγέας των δεδομένων συμφωνεί να παρέχει τις ελάχιστες επιτρεπόμενες πληροφορίες όταν απαντά σε αίτημα κοινολόγησης, βάσει εύλογης ερμηνείας του αιτήματος.

ΤΜΗΜΑ IV - ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Ρήτρα 16

Μη συμμόρφωση με τις ρήτρες και καταγγελία

α)

Ο εισαγωγέας των δεδομένων ενημερώνει αμέσως τον εξαγωγέα των δεδομένων σε περίπτωση μη συμμόρφωσής του με τις παρούσες ρήτρες, για οποιονδήποτε λόγο.

β)

Αν ο εισαγωγέας των δεδομένων παραβεί τις παρούσες ρήτρες ή δεν είναι σε θέση να συμμορφωθεί με τις παρούσες ρήτρες, ο εξαγωγέας των δεδομένων αναστέλλει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα των δεδομένων έως ότου διασφαλιστεί ξανά η συμμόρφωση ή καταγγελθεί η σύμβαση. Αυτό ισχύει με την επιφύλαξη της ρήτρας 14 παράγραφος στ).

γ)

Ο εξαγωγέας των δεδομένων δικαιούται να καταγγείλει τη σύμβαση στον βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις παρούσες ρήτρες, όταν:

i)

ο εξαγωγέας των δεδομένων έχει αναστείλει τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα στον εισαγωγέα των δεδομένων σύμφωνα με την παράγραφο β) και η συμμόρφωση με τις παρούσες ρήτρες δεν αποκαταστάθηκε εντός εύλογου χρονικού διαστήματος και, σε κάθε περίπτωση, εντός ενός μήνα από την ημερομηνία της αναστολής·

ii)

ο εισαγωγέας των δεδομένων διαπράττει σοβαρή ή διαρκή παράβαση των παρουσών ρητρών· ή

iii)

ο εισαγωγέας των δεδομένων δεν συμμορφώνεται με δεσμευτική απόφαση αρμόδιου δικαστηρίου ή εποπτικής αρχής όσον αφορά τις υποχρεώσεις του βάσει των παρουσών ρητρών.

Σε αυτές τις περιπτώσεις, ενημερώνει την αρμόδια εποπτική αρχή [για την τρίτη ενότητα: και τον υπεύθυνο επεξεργασίας] σχετικά με την εν λόγω μη συμμόρφωση. Σε περίπτωση που η σύμβαση αφορά περισσότερα από δύο συμβαλλόμενα μέρη, ο εξαγωγέας των δεδομένων μπορεί να ασκήσει το εν λόγω δικαίωμα καταγγελίας μόνο σε σχέση με το οικείο συμβαλλόμενο μέρος, εκτός αν τα συμβαλλόμενα μέρη έχουν συμφωνήσει διαφορετικά.

δ)

[Για την πρώτη, δεύτερη και τρίτη ενότητα: τα δεδομένα προσωπικού χαρακτήρα που είχαν διαβιβαστεί πριν από την καταγγελία της σύμβασης δυνάμει της παραγράφου γ) επιστρέφονται αμέσως, κατ’ επιλογή του εξαγωγέα των δεδομένων, στον εξαγωγέα των δεδομένων ή διαγράφονται στο σύνολό τους. Το ίδιο ισχύει για τυχόν αντίγραφα των δεδομένων.] [Για την τέταρτη ενότητα: τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από τον εξαγωγέα των δεδομένων στην ΕΕ και έχουν ήδη διαβιβαστεί πριν από την καταγγελία της σύμβασης δυνάμει της παραγράφου γ) διαγράφονται αμέσως στο σύνολό τους, συμπεριλαμβανομένων τυχόν αντιγράφων αυτών.] Ο εισαγωγέας των δεδομένων πιστοποιεί τη διαγραφή των δεδομένων στον εξαγωγέα των δεδομένων. Έως ότου τα δεδομένα διαγραφούν ή επιστραφούν, ο εισαγωγέας των δεδομένων εξακολουθεί να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες. Σε περίπτωση τοπικού δικαίου στο οποίο υπόκειται ο εισαγωγέας των δεδομένων και το οποίο απαγορεύει την επιστροφή ή τη διαγραφή των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα, ο εισαγωγέας των δεδομένων εγγυάται ότι θα συνεχίσει να διασφαλίζει τη συμμόρφωση με τις παρούσες ρήτρες και θα επεξεργάζεται τα δεδομένα μόνο στον βαθμό και για όσο διάστημα απαιτείται από το εν λόγω τοπικό δίκαιο.

ε)

Κάθε συμβαλλόμενο μέρος μπορεί να ανακαλέσει τη συμφωνία του να δεσμεύεται από τις παρούσες ρήτρες, όταν i) η Ευρωπαϊκή Επιτροπή εκδίδει απόφαση σύμφωνα με το άρθρο 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 που καλύπτει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα στην οποία εφαρμόζονται οι παρούσες ρήτρες· ή ii) ο κανονισμός (ΕΕ) 2016/679 καθίσταται μέρος του νομικού πλαισίου της χώρας στην οποία διαβιβάζονται τα δεδομένα προσωπικού χαρακτήρα. Αυτό ισχύει με την επιφύλαξη άλλων υποχρεώσεων που εφαρμόζονται στην εκάστοτε επεξεργασία δυνάμει του κανονισμού (ΕΕ) 2016/679.

Ρήτρα 17

Εφαρμοστέο δίκαιο

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

[ΕΠΙΛΟΓΗ 1: Οι παρούσες ρήτρες διέπονται από το δίκαιο ενός από τα κράτη μέλη της ΕΕ, υπό την προϋπόθεση ότι το δίκαιο αυτό προβλέπει δικαιώματα δικαιούχων τρίτων. Τα συμβαλλόμενα μέρη συμφωνούν ότι αυτό θα είναι το δίκαιο τ _______ (να προσδιοριστεί το κράτος μέλος).]

[ΕΠΙΛΟΓΗ 2 (για τη δεύτερη και τρίτη ενότητα): Οι παρούσες ρήτρες διέπονται από το δίκαιο του κράτους μέλους της ΕΕ στο οποίο είναι εγκατεστημένος ο εξαγωγέας των δεδομένων. Όταν το δίκαιο αυτό δεν επιτρέπει δικαιώματα δικαιούχων τρίτων, οι παρούσες ρήτρες διέπονται από το δίκαιο άλλου κράτους μέλους της ΕΕ που επιτρέπει δικαιώματα δικαιούχων τρίτων. Τα συμβαλλόμενα μέρη συμφωνούν ότι αυτό θα είναι το δίκαιο της/του/των _______ (να προσδιοριστεί το κράτος μέλος).]

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

Οι παρούσες ρήτρες διέπονται από το δίκαιο χώρας που επιτρέπει τα δικαιώματα δικαιούχων τρίτων. Τα συμβαλλόμενα μέρη συμφωνούν ότι αυτό θα είναι το δίκαιο της/του/των _______ (να προσδιοριστεί η χώρα).

Ρήτρα 18

Επιλογή δικαστηρίου και δικαιοδοσίας

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

α)

Κάθε διαφορά που προκύπτει από τις παρούσες ρήτρες επιλύεται από τα δικαστήρια κράτους μέλους της ΕΕ.

β)

Τα συμβαλλόμενα μέρη συμφωνούν ότι αυτά θα είναι τα δικαστήρια τ _____ (να προσδιοριστεί το κράτος μέλος).

γ)

Το υποκείμενο των δεδομένων μπορεί να κινήσει επίσης νομικές διαδικασίες κατά του εξαγωγέα και/ή του εισαγωγέα των δεδομένων ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του.

δ)

Τα συμβαλλόμενα μέρη συμφωνούν να αποδέχονται την αρμοδιότητα των δικαστηρίων αυτών.

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

 

Κάθε διαφορά που προκύπτει από τις παρούσες ρήτρες επιλύεται από τα δικαστήρια τ _____ (να προσδιοριστεί η χώρα).


(1)  Όταν ο εξαγωγέας των δεδομένων είναι εκτελών την επεξεργασία ο οποίος υπόκειται στον κανονισμό (ΕΕ) 2016/679 και ενεργεί για λογαριασμό οργάνου ή οργανισμού της Ένωσης ως υπευθύνου επεξεργασίας, η επίκληση των εν λόγω ρητρών κατά την πρόσληψη άλλου εκτελούντος την επεξεργασία (υπεργολαβία επεξεργασίας) που δεν υπόκειται στον κανονισμό (ΕΕ) 2016/679 διασφαλίζει επίσης τη συμμόρφωση με το άρθρο 29 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39), στον βαθμό που οι εν λόγω ρήτρες ευθυγραμμίζονται με τις υποχρεώσεις όσον αφορά την προστασία των δεδομένων που προβλέπονται στη σύμβαση ή σε άλλη νομική πράξη μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με το άρθρο 29 παράγραφος 3 του κανονισμού (ΕΕ) 2018/1725. Αυτό θα ισχύει ιδιαίτερα στην περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία βασίζονται στις τυποποιημένες συμβατικές ρήτρες που περιλαμβάνονται στην απόφαση 2021/915.

(2)  Η διαδικασία αυτή απαιτεί να καθίστανται τα δεδομένα ανώνυμα κατά τρόπο ώστε να μην είναι πλέον δυνατή η εξακρίβωση της ταυτότητας του φυσικού προσώπου από κανέναν, σύμφωνα με την αιτιολογική σκέψη 26 του κανονισμού (ΕΕ) 2016/679, και είναι μη αναστρέψιμη.

(3)  Η Συμφωνία για τον Ευρωπαϊκό Οικονομικό Χώρο (συμφωνία ΕΟΧ) προβλέπει την επέκταση της εσωτερικής αγοράς της Ευρωπαϊκής Ένωσης στα τρία κράτη του ΕΟΧ, την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Η νομοθεσία της Ένωσης για την προστασία των δεδομένων, συμπεριλαμβανομένου του κανονισμού (ΕΕ) 2016/679, καλύπτεται από τη συμφωνία ΕΟΧ και έχει ενσωματωθεί στο παράρτημα XI αυτής. Ως εκ τούτου, οποιαδήποτε κοινολόγηση από τον εισαγωγέα των δεδομένων σε τρίτον εγκατεστημένο στον ΕΟΧ δεν θεωρείται περαιτέρω διαβίβαση για τους σκοπούς των παρουσών ρητρών.

(4)  Η Συμφωνία για τον Ευρωπαϊκό Οικονομικό Χώρο (συμφωνία ΕΟΧ) προβλέπει την επέκταση της εσωτερικής αγοράς της Ευρωπαϊκής Ένωσης στα τρία κράτη του ΕΟΧ, την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Η νομοθεσία της Ένωσης για την προστασία των δεδομένων, συμπεριλαμβανομένου του κανονισμού (ΕΕ) 2016/679, καλύπτεται από τη συμφωνία ΕΟΧ και έχει ενσωματωθεί στο παράρτημα XI αυτής. Ως εκ τούτου, οποιαδήποτε κοινολόγηση από τον εισαγωγέα των δεδομένων σε τρίτον εγκατεστημένο στον ΕΟΧ δεν θεωρείται περαιτέρω διαβίβαση για τους σκοπούς των παρουσών ρητρών.

(5)  Βλέπε άρθρο 28 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679 και, όταν ο υπεύθυνος επεξεργασίας είναι θεσμικό όργανο ή οργανισμός της ΕΕ, άρθρο 29 παράγραφος 4 του κανονισμού (ΕΕ) 2018/1725.

(6)  Η Συμφωνία για τον Ευρωπαϊκό Οικονομικό Χώρο (συμφωνία ΕΟΧ) προβλέπει την επέκταση της εσωτερικής αγοράς της Ευρωπαϊκής Ένωσης στα τρία κράτη του ΕΟΧ, την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Η νομοθεσία της Ένωσης για την προστασία των δεδομένων, συμπεριλαμβανομένου του κανονισμού (ΕΕ) 2016/679, καλύπτεται από τη συμφωνία ΕΟΧ και έχει ενσωματωθεί στο παράρτημα XI αυτής. Ως εκ τούτου, οποιαδήποτε κοινολόγηση από τον εισαγωγέα των δεδομένων σε τρίτον εγκατεστημένο στον ΕΟΧ δεν θεωρείται περαιτέρω διαβίβαση για τους σκοπούς των παρουσών ρητρών.

(7)  Περιλαμβάνεται το αν η διαβίβαση και η περαιτέρω επεξεργασία αφορούν δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και γενετικά δεδομένα ή βιομετρικά δεδομένα με σκοπό την αδιαμφισβήτητη ταυτοποίηση φυσικού προσώπου, δεδομένα που αφορούν την υγεία ή δεδομένα που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου, ή δεδομένα που αφορούν ποινικές καταδίκες ή αδικήματα.

(8)  Η εν λόγω απαίτηση είναι δυνατό να πληρούται με την προσχώρηση του υπεργολάβου επεξεργασίας στις παρούσες ρήτρες υπό την αντίστοιχη ενότητα, σύμφωνα με τη ρήτρα 7.

(9)  Η εν λόγω απαίτηση είναι δυνατό να πληρούται με την προσχώρηση του υπεργολάβου επεξεργασίας στις παρούσες ρήτρες υπό την αντίστοιχη ενότητα, σύμφωνα με τη ρήτρα 7.

(10)  Η εν λόγω προθεσμία μπορεί να παραταθεί το πολύ κατά δύο ακόμη μήνες, στον βαθμό που είναι αναγκαίο, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο εισαγωγέας των δεδομένων ενημερώνει δεόντως και αμέσως το υποκείμενο των δεδομένων για κάθε τέτοια παράταση.

(11)  Ο εισαγωγέας των δεδομένων μπορεί να προσφέρει ανεξάρτητη επίλυση διαφορών μέσω οργάνου διαιτησίας μόνον αν είναι εγκατεστημένος σε χώρα που έχει κυρώσει τη σύμβαση της Νέας Υόρκης για την εκτέλεση των διαιτητικών αποφάσεων.

(12)  Όσον αφορά τον αντίκτυπο της εν λόγω νομοθεσίας και πρακτικών στη συμμόρφωση με τις παρούσες ρήτρες, μπορούν να εξεταστούν διάφορα στοιχεία στο πλαίσιο μιας συνολικής αξιολόγησης. Στα στοιχεία αυτά μπορεί να περιλαμβάνεται σχετική και τεκμηριωμένη πρακτική πείρα από προηγούμενες περιπτώσεις αιτημάτων κοινολόγησης από δημόσιες αρχές ή η απουσία τέτοιων αιτημάτων, η οποία να καλύπτει επαρκώς αντιπροσωπευτικό χρονικό πλαίσιο. Πρόκειται κυρίως για εσωτερικά αρχεία ή άλλα έγγραφα, τα οποία καταρτίζονται σε συνεχή βάση σύμφωνα με τη δέουσα επιμέλεια και πιστοποιούνται σε ανώτερη βαθμίδα διοίκησης, υπό την προϋπόθεση ότι οι πληροφορίες αυτές μπορούν να κοινοποιούνται νομίμως σε τρίτους. Η εν λόγω πρακτική πείρα, όταν γίνεται επίκλησή της ώστε να συναχθεί το συμπέρασμα ότι δεν θα εμποδιστεί η συμμόρφωση του εισαγωγέα των δεδομένων προς τις παρούσες ρήτρες, πρέπει να υποστηρίζεται από άλλα σχετικά, αντικειμενικά στοιχεία, και εναπόκειται στα συμβαλλόμενα μέρη να εξετάζουν προσεκτικά το αν τα στοιχεία αυτά από κοινού έχουν επαρκή βαρύτητα, ως προς την αξιοπιστία και την αντιπροσωπευτικότητά τους, ώστε να υποστηρίξουν αυτό το συμπέρασμα. Ειδικότερα, τα συμβαλλόμενα μέρη πρέπει να λαμβάνουν υπόψη το αν η πρακτική πείρα τους επιβεβαιώνεται και δεν αντικρούεται από δημοσίως διαθέσιμες ή με άλλον τρόπο προσβάσιμες, αξιόπιστες πληροφορίες σχετικά με την ύπαρξη ή την απουσία αιτημάτων στον ίδιο τομέα και/ή την εφαρμογή της νομοθεσίας στην πράξη, όπως η νομολογία και οι εκθέσεις ανεξάρτητων εποπτικών φορέων.


ΠΡΟΣΑΡΤΗΜΑ

ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ:

Πρέπει να είναι δυνατόν να γίνεται σαφής διάκριση των πληροφοριών που ισχύουν για κάθε διαβίβαση ή κατηγορία διαβιβάσεων και, στο πλαίσιο αυτό, να καθορίζεται ο/οι αντίστοιχος/-οι ρόλος/-οι των συμβαλλόμενων μερών ως εξαγωγέων και/ή εισαγωγέων των δεδομένων. Προς τούτο δεν απαιτείται απαραιτήτως η συμπλήρωση και η υπογραφή χωριστών προσαρτημάτων για κάθε διαβίβαση/κατηγορία διαβιβάσεων και/ή συμβατική σχέση, όταν η διαφάνεια αυτή μπορεί να επιτευχθεί μέσω ενός προσαρτήματος. Ωστόσο, όταν είναι αναγκαίο για να διασφαλίζεται επαρκής σαφήνεια, θα πρέπει να χρησιμοποιούνται χωριστά προσαρτήματα.


ΠΑΡΑΡΤΗΜΑ I

Α.   ΚΑΤΑΛΟΓΟΣ ΤΩΝ ΣΥΜΒΑΛΛΟΜΕΝΩΝ ΜΕΡΩΝ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

Εξαγωγέας/-είς των δεδομένων: [Ταυτότητα και στοιχεία επικοινωνίας του/των εξαγωγέα/-ων των δεδομένων και, κατά περίπτωση, του υπευθύνου προστασίας δεδομένων και/ή του εκπροσώπου του εξαγωγέα των δεδομένων στην Ευρωπαϊκή Ένωση]

1.

Ονοματεπώνυμο: …

Διεύθυνση: …

Ονοματεπώνυμο, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: …

Δραστηριότητες σχετικές με τα δεδομένα που διαβιβάζονται βάσει των παρουσών ρητρών: …

Υπογραφή και ημερομηνία: …

Ρόλος (υπεύθυνος επεξεργασίας/εκτελών την επεξεργασία): …

2.

Εισαγωγέας/-είς των δεδομένων: [Ταυτότητα και στοιχεία επικοινωνίας του/των εισαγωγέα/-ων των δεδομένων, συμπεριλαμβανομένου κάθε υπευθύνου επικοινωνίας που είναι αρμόδιος για την προστασία των δεδομένων]

1.

Ονοματεπώνυμο: …

Διεύθυνση: …

Ονοματεπώνυμο, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: …

Δραστηριότητες σχετικές με τα δεδομένα που διαβιβάζονται βάσει των παρουσών ρητρών: …

Υπογραφή και ημερομηνία: …

Ρόλος (υπεύθυνος επεξεργασίας/εκτελών την επεξεργασία): …

2.

Β.   ΠΕΡΙΓΡΑΦΗ ΔΙΑΒΙΒΑΣΗΣ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΤΕΤΑΡΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς υπεύθυνο επεξεργασίας.

Κατηγορίες υποκειμένων των δεδομένων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται

Κατηγορίες διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα

Διαβιβαζόμενα ευαίσθητα δεδομένα (κατά περίπτωση) και εφαρμοζόμενοι περιορισμοί ή εγγυήσεις που λαμβάνουν πλήρως υπόψη τη φύση των δεδομένων και τους σχετικούς κινδύνους, όπως για παράδειγμα αυστηρός περιορισμός του σκοπού, περιορισμοί πρόσβασης (συμπεριλαμβανομένης της πρόσβασης μόνο από προσωπικό που έχει λάβει εξειδικευμένη κατάρτιση), τήρηση αρχείου πρόσβασης στα δεδομένα, περιορισμοί στις περαιτέρω διαβιβάσεις ή πρόσθετα μέτρα ασφάλειας.

Συχνότητα της διαβίβασης (π.χ. εάν τα δεδομένα διαβιβάζονται εφάπαξ ή σε συνεχή βάση).

Φύση της επεξεργασίας

Σκοπός/-οί της διαβίβασης και της περαιτέρω επεξεργασίας των δεδομένων

Το χρονικό διάστημα διατήρησης των δεδομένων προσωπικού χαρακτήρα ή, αν αυτό είναι αδύνατον, τα κριτήρια που χρησιμοποιούνται για τον καθορισμό του εν λόγω χρονικού διαστήματος

Για διαβιβάσεις σε εκτελούντες την επεξεργασία (υπεργολάβους επεξεργασίας), να διευκρινιστεί επίσης το αντικείμενο, η φύση και η διάρκεια της επεξεργασίας

Γ.   ΑΡΜΟΔΙΑ ΕΠΟΠΤΙΚΗ ΑΡΧΗ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

Να προσδιοριστεί/-ούν η/οι αρμόδια/-ες εποπτική/-ές αρχή/-ές σύμφωνα με τη ρήτρα 13


ΠΑΡΑΡΤΗΜΑ II

ΤΕΧΝΙΚΑ ΚΑΙ ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ, ΣΥΜΠΕΡΙΛΑΜΒΑΝΟΜΕΝΩΝ ΤΩΝ ΤΕΧΝΙΚΩΝ ΚΑΙ ΟΡΓΑΝΩΤΙΚΩΝ ΜΕΤΡΩΝ ΓΙΑ ΤΗ ΔΙΑΣΦΑΛΙΣΗ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

ΠΡΩΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς υπεύθυνο επεξεργασίας

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ:

Τα τεχνικά και οργανωτικά μέτρα πρέπει να περιγράφονται με συγκεκριμένους (και όχι με γενικούς) όρους. Βλέπε επίσης τη γενική παρατήρηση στην πρώτη σελίδα του προσαρτήματος, ιδίως όσον αφορά την ανάγκη να αναφέρονται σαφώς τα μέτρα που εφαρμόζονται σε κάθε διαβίβαση/δέσμη διαβιβάσεων.

Περιγραφή των τεχνικών και οργανωτικών μέτρων που εφαρμόζονται από τον/τους εισαγωγέα/-είς των δεδομένων (συμπεριλαμβανομένων τυχόν σχετικών πιστοποιήσεων) για την εξασφάλιση κατάλληλου επιπέδου ασφάλειας, λαμβανομένων υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

[Παραδείγματα πιθανών μέτρων:

Μέτρα ψευδωνυμοποίησης και κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα.

Μέτρα για τη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση.

Μέτρα για τη διασφάλιση της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος.

Διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.

Μέτρα για την ταυτοποίηση και αδειοδότηση χρηστών.

Μέτρα για την προστασία των δεδομένων κατά τη διαβίβαση.

Μέτρα για την προστασία των δεδομένων κατά την αποθήκευση.

Μέτρα για τη διασφάλιση της φυσικής ασφάλειας των εγκαταστάσεων όπου πραγματοποιείται επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Μέτρα για τη διασφάλιση της καταγραφής περιστατικών ασφάλειας.

Μέτρα για τη διασφάλιση της διαμόρφωσης συστήματος, περιλαμβανομένης της προεπιλεγμένης διαμόρφωσης.

Μέτρα για τις εσωτερικές ΤΠ και τη διακυβέρνηση και διαχείριση της ασφάλειας ΤΠ.

Μέτρα για την πιστοποίηση/διασφάλιση διαδικασιών και προϊόντων.

Μέτρα για τη διασφάλιση της ελαχιστοποίησης των δεδομένων.

Μέτρα για τη διασφάλιση της ποιότητας των δεδομένων.

Μέτρα για τη διασφάλιση της περιορισμένης διατήρησης των δεδομένων.

Μέτρα για τη διασφάλιση της λογοδοσίας.

Μέτρα που επιτρέπουν τη φορητότητα των δεδομένων και διασφαλίζουν τη διαγραφή τους.

Για διαβιβάσεις σε εκτελούντες την επεξεργασία (υπεργολάβους επεξεργασίας), να περιγραφούν επίσης τα συγκεκριμένα τεχνικά και οργανωτικά μέτρα που πρόκειται να ληφθούν από τον εκτελούντα την επεξεργασία (υπεργολάβο επεξεργασίας) ώστε να είναι σε θέση να παρέχει συνδρομή στον υπεύθυνο επεξεργασίας και, για διαβιβάσεις από εκτελούντα την επεξεργασία σε υπεργολάβο επεξεργασίας, στον εξαγωγέα των δεδομένων.


ΠΑΡΑΡΤΗΜΑ III

ΚΑΤΑΛΟΓΟΣ ΥΠΕΡΓΟΛΑΒΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ

ΔΕΥΤΕΡΗ ΕΝΟΤΗΤΑ: Διαβίβαση από υπεύθυνο επεξεργασίας προς εκτελούντα την επεξεργασία

ΤΡΙΤΗ ΕΝΟΤΗΤΑ: Διαβίβαση από εκτελούντα την επεξεργασία προς εκτελούντα την επεξεργασία

ΕΠΕΞΗΓΗΜΑΤΙΚΟ ΣΗΜΕΙΩΜΑ:

Το παρόν παράρτημα πρέπει να συμπληρωθεί για τη δεύτερη και τρίτη ενότητα, σε περίπτωση ειδικής άδειας για χρήση υπεργολάβων επεξεργασίας (ρήτρα 9 στοιχείο α) επιλογή 1).

Ο υπεύθυνος επεξεργασίας έχει δώσει άδεια για τη χρήση των παρακάτω υπεργολάβων επεξεργασίας:

1.

Ονοματεπώνυμο: …

Διεύθυνση: …

Ονοματεπώνυμο, θέση και στοιχεία επικοινωνίας του υπευθύνου επικοινωνίας: …

Περιγραφή της επεξεργασίας (περιλαμβανομένης σαφούς οριοθέτησης των αρμοδιοτήτων σε περίπτωση που έχει δοθεί άδεια σε περισσότερους από έναν υπεργολάβους επεξεργασίας): …

2.