Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2021.199.18

Decyzja wykonawcza 2021/915 w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725

DECYZJA WYKONAWCZA KOMISJI (UE) 2021/915
z dnia 4 czerwca 2021 r.
w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ("rozporządzenie (UE) 2016/679") 1 , w szczególności jego art. 28 ust. 7,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE ("rozporządzenie (UE) 2018/1725") 2 , w szczególności jego art. 29 ust. 7,

a także mając na uwadze, co następuje:

(1) Pojęcia administratora i podmiotu przetwarzającego odgrywają kluczową rolę w stosowaniu rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725. "Administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Do celów rozporządzenia (UE) 2018/1725 administrator oznacza instytucję lub organ Unii lub dyrekcję generalną lub jakąkolwiek inną jednostkę organizacyjną, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w konkretnym akcie unijnym, Unia może wyznaczyć administratora lub określić konkretne kryteria jego wyznaczania. "Podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

(2) Do relacji między administratorami danych a podmiotami przetwarzającymi dane podlegającymi rozporządzeniu (UE) 2016/679 powinien mieć zastosowanie ten sam zestaw standardowych klauzul umownych - również gdy administratorzy i podmioty przetwarzające podlegają rozporządzeniu (UE) 2018/1725. Wynika to z faktu, że w celu zapewnienia spójnego podejścia do ochrony danych osobowych w całej Unii oraz swobodnego przepływu danych osobowych w Unii, przepisy o ochronie danych zawarte w rozporządzeniu (UE) 2016/679, mające zastosowanie do sektora publicznego w państwach członkowskich, oraz przepisy o ochronie danych zawarte w rozporządzeniu (UE) 2018/1725, mające zastosowanie do instytucji, organów i jednostek organizacyjnych Unii, dostosowano wzajemnie w jak największym stopniu.

(3) Aby zapewnić przestrzeganie wymogów rozporządzeń (UE) 2016/679 i (UE) 2018/1725, administrator powinien, powierzając podmiotowi przetwarzającemu dane czynności przetwarzania, korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje - w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby - wdrożenia środków technicznych i organizacyjnych, które spełniają wymogi rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725, w tym wymogi bezpieczeństwa przetwarzania.

(4) Przetwarzanie przez podmiot przetwarzający powinno odbywać się na podstawie umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora oraz określają elementy wymienione w art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 lub w art. 29 ust. 3 i 4 rozporządzenia (UE) 2018/1725. Umowa lub akt ma formę pisemną, w tym formę elektroniczną.

(5) Zgodnie z art. 28 ust. 6 rozporządzenia (UE) 2016/679 i art. 29 ust. 6 rozporządzenia (UE) 2018/1725 administrator i podmiot przetwarzający mogą podjąć decyzję o wynegocjowaniu indywidualnej umowy zawierającej obowiązkowe elementy określone odpowiednio w art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 lub w art. 29 ust. 3 i 4 rozporządzenia (UE) 2018/1725 lub o stosowaniu, w całości lub w części, standardowych klauzul umownych przyjętych przez Komisję zgodnie z art. 28 ust. 7 rozporządzenia (UE) 2016/679 i art. 29 ust. 7 rozporządzenia (UE) 2018/1725.

(6) Administrator i podmiot przetwarzający powinni mieć swobodę umieszczania standardowych klauzul umownych określonych w niniejszej decyzji w treści umowy o szerszym zakresie oraz dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie będą one bezpośrednio lub pośrednio sprzeczne ze standardowymi klauzulami umownymi ani nie będą naruszały podstawowych praw lub wolności osób, których dane dotyczą. Stosowanie standardowych klauzul umownych pozostaje bez uszczerbku dla zobowiązań umownych administratora lub podmiotu przetwarzającego do zapewnienia poszanowania obowiązujących przywilejów i immunitetów.

(7) Standardowe klauzule umowne powinny obejmować zarówno przepisy materialne, jak i proceduralne. W art. 28 ust. 3 rozporządzenia (UE) 2016/679 i art. 29 ust. 3 rozporządzenia (UE) 2018/1725 określono, że standardowe klauzule umowne powinny również zobowiązywać administratora i podmiot przetwarzający do określenia przedmiotu i czasu trwania przetwarzania, jego charakteru i celu, rodzaju danych osobowych, kategorii osób, których dane dotyczą, oraz obowiązków i praw administratora.

(8) Zgodnie z art. 28 ust. 3 rozporządzenia (UE) 2016/679 i art. 29 ust. 3 rozporządzenia (UE) 2018/1725 podmiot przetwarzający powinien niezwłocznie poinformować administratora, jeżeli jego zdaniem polecenie wydane mu przez administratora stanowi naruszenie rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725 lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

(9) Jeżeli podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego przy wykonywaniu określonych czynności, zastosowanie powinny mieć szczególne wymogi, o których mowa w art. 28 ust. 2 i 4 rozporządzenia (UE) 2016/679 lub w art. 29 ust. 2 i 4 rozporządzenia (UE) 2018/1725. W szczególności wymagana jest uprzednia szczegółowa lub ogólna pisemna zgoda administratora. Niezależnie od tego, czy uprzednia zgoda ma charakter szczegółowy czy ogólny, pierwszy podmiot przetwarzający powinien prowadzić aktualny wykaz innych podmiotów przetwarzających.

(10) Aby spełnić wymogi określone w art. 46 ust. 1 rozporządzenia (UE) 2016/679, Komisja przyjęła standardowe klauzule umowne na podstawie art. 46 ust. 2 lit. c) rozporządzenia (UE) 2016/679. Klauzule te spełniają również wymogi określone w art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych przez administratorów podlegających rozporządzeniu (UE) 2016/679 podmiotom przetwarzającym nieobjętym zakresem terytorialnym stosowania tego rozporządzenia lub przez podmioty przetwarzające podlegające rozporządzeniu (UE) 2016/679 podmiotom podprzetwarzającym nieobjętym zakresem terytorialnym stosowania tego rozporządzenia. Standardowych klauzul umownych nie można stosować jako standardowych klauzul umownych do celów rozdziału V rozporządzenia (UE) 2016/679.

(11) Osoby trzecie powinny mieć możliwość stania się stroną standardowych klauzul umownych przez cały okres obowiązywania umowy.

(12) Funkcjonowanie standardowych klauzul umownych należy ocenić w ramach okresowej oceny rozporządzenia (UE) 2016/679, o której mowa w art. 97 tego rozporządzenia.

(13) Zgodnie z art. 42 ust. 1 i 2 rozporządzenia (UE) 2018/1725 przeprowadzono konsultacje z Europejskim Inspektorem Ochrony Danych i Europejską Radą Ochrony Danych, które to konsultacje zakończyły się wydaniem wspólnej opinii w dniu 14 stycznia 2021 r. 3  Opinia ta została uwzględniona podczas przygotowywania niniejszej decyzji.

(14) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 93 rozporządzenia (UE) 2016/679 i art. 96 ust. 2 rozporządzenia (UE) 2018/1725,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Standardowe klauzule umowne określone w załączniku spełniają wymogi dotyczące umów zawieranych między administratorami a podmiotami przetwarzającymi określone w art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 oraz w art. 29 ust. 3 i 4 rozporządzenia (UE) 2018/1725.

Artykuł  2

Standardowe klauzule umowne określone w załączniku można stosować w umowach zawieranych między administratorem a podmiotem przetwarzającym, który przetwarza dane osobowe w jego imieniu.

Artykuł  3

Komisja ocenia praktyczne stosowanie standardowych klauzul umownych określonych w załączniku na podstawie wszystkich dostępnych informacji w ramach oceny okresowej, o której mowa w art. 97 rozporządzenia (UE) 2016/679.

Artykuł  4

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Brukseli dnia 4 czerwca 2021 r.
W imieniu Komisji
Ursula VON DER LEYEN
Przewodnicząca

ZAŁĄCZNIK

Standardowe klauzule umowne

SEKCJA  I

Klauzula  1

Cel i zakres

a)
Celem niniejszych standardowych klauzul umownych ("klauzule") jest zapewnienie przestrzegania [należy wybrać odpowiednią opcję: OPCJA 1: art. 28 ust. 3 i 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)] / [OPCJA 2: art. 29 ust. 3 i 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE].
b)
Administratorzy i podmioty przetwarzające wymienieni w załączniku I uzgodnili niniejsze klauzule w celu zapewnienia przestrzegania art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 lub art. 29 ust. 3 i 4 rozporządzenia (UE) 2018/1725.
c)
Niniejsze klauzule mają zastosowanie do przetwarzania danych osobowych określonego w załączniku II.
d)
Załączniki I-IV stanowią integralną część klauzul.
e)
Niniejsze klauzule pozostają bez uszczerbku dla obowiązków, którym podlega administrator danych na mocy rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
f)
Niniejsze klauzule same w sobie nie zapewniają wypełnienia obowiązków związanych z międzynarodowym przekazywaniem danych zgodnie z rozdziałem V rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

Klauzula  2

Niezmienność klauzul

a)
Strony zobowiązują się nie zmieniać klauzul z wyjątkiem dodawania informacji do załączników lub aktualizowania zawartych w nich informacji.
b)
Postanowienie to nie uniemożliwia stronom umieszczania standardowych klauzul umownych określonych w niniejszych klauzulach w treści umowy o szerszym zakresie ani dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie będą one bezpośrednio lub pośrednio sprzeczne z klauzulami umownymi ani nie będą naruszały podstawowych praw lub wolności osób, których dane dotyczą.

Klauzula  3

Wykładnia

a)
Jeżeli w niniejszych klauzulach użyto terminów zdefiniowanych odpowiednio w rozporządzeniu (UE) 2016/679 lub rozporządzeniu (UE) 2018/1725, terminy te mają takie samo znaczenie jak w tych rozporządzeniach.
b)
Niniejsze klauzule odczytuje się i interpretuje w świetle odpowiednio przepisów rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
c)
Niniejszych klauzul nie interpretuje się w sposób sprzeczny z prawami i obowiązkami przewidzianymi w rozporządzeniu (UE) 2016/679 lub rozporządzeniu (UE) 2018/1725 ani w sposób naruszający podstawowe prawa lub wolności osób, których dane dotyczą.

Klauzula  4

Hierarchia

W razie sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między stronami istniejących w chwili uzgadniania niniejszych klauzul lub zawartych po ich uzgodnieniu, pierwszeństwo mają niniejsze klauzule.

Klauzula  5 

Klauzula przystąpienia

a)
Każdy podmiot niebędący stroną niniejszych klauzul może za zgodą wszystkich stron przystąpić do niniejszych klauzul jako administrator lub podmiot przetwarzający w dowolnym czasie, wypełniając załączniki i podpisując załącznik I.
b)
Po wypełnieniu i podpisaniu załączników wymienionych w lit. a) podmiot przystępujący jest traktowany jako strona niniejszych klauzul i ma prawa i obowiązki administratora lub podmiotu przetwarzającego, zgodnie z rolą nadaną mu w załączniku I.
c)
Przed przystąpieniem do niniejszych klauzul jako ich strona podmiot przystępujący nie ma żadnych praw ani obowiązków wynikających z niniejszych klauzul.

SEKCJA  II

OBOWIĄZKI STRON

Klauzula  6

Opis przetwarzania

Szczegóły dotyczące operacji przetwarzania, w szczególności kategorie danych osobowych i cele, dla których dane osobowe są przetwarzane w imieniu administratora, określono w załączniku II.

Klauzula  7

Obowiązki stron

7.1.
Polecenia
a)
Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny. Administrator może wydawać kolejne polecenia przez cały okres przetwarzania danych osobowych. Polecenia te są zawsze dokumentowane.
b)
Podmiot przetwarzający bezzwłocznie powiadamia administratora, jeżeli w opinii podmiotu przetwarzającego polecenie wydane przez administratora narusza rozporządzenie (UE) 2016/679 lub rozporządzenie (UE) 2018/1725 lub obowiązujące przepisy Unii lub państwa członkowskiego o ochronie danych.
7.2.
Ograniczenie celu

Podmiot przetwarzający przetwarza dane osobowe wyłącznie w konkretnym celu lub celach przetwarzania, określonych w załączniku II, chyba że otrzyma dalsze polecenia od administratora.

7.3.
Czas trwania przetwarzania danych osobowych

Przetwarzanie przez podmiot przetwarzający odbywa się wyłącznie przez okres określony w załączniku II.

7.4.
Bezpieczeństwo przetwarzania
a)
W celu zapewnienia bezpieczeństwa danych osobowych podmiot przetwarzający wdraża co najmniej środki techniczne i organizacyjne określone w załączniku III. Zapewnienie bezpieczeństwa danych obejmuje ochronę danych przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych (naruszenie ochrony danych osobowych). Oceniając odpowiedni poziom bezpieczeństwa, strony należycie uwzględniają stan wiedzy technicznej, koszty wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz związane z tym ryzyko dla osób, których dane dotyczą.
b)
Podmiot przetwarzający udziela członkom swojego personelu dostępu do danych osobowych podlegających przetwarzaniu jedynie w zakresie bezwzględnie niezbędnym do wykonania umowy, zarządzania nią i jej monitorowania. Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania otrzymanych danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
7.5.
Dane wrażliwe

Jeżeli przetwarzanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne do celów jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby, bądź dane dotyczące wyroków skazujących i czynów zabronionych ("dane wrażliwe"), podmiot przetwarzający stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia.

7.6.
Dokumentacja i zgodność
a)
Strony są w stanie wykazać zgodność z niniejszymi klauzulami.
b)
Podmiot przetwarzający niezwłocznie i odpowiednio rozpatruje zapytania administratora dotyczące przetwarzania danych zgodnie z niniejszymi klauzulami.
c)
Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków, które są określone w niniejszych klauzulach i wynikają bezpośrednio z rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725. Na wniosek administratora podmiot przetwarzający zezwala również na audyty czynności przetwarzania objętych niniejszymi klauzulami i uczestniczy w tych audytach. Audyty te przeprowadza się w rozsądnych odstępach czasu lub jeżeli istnieją przesłanki wskazujące na niezgodność. Podejmując decyzję w sprawie przeglądu lub audytu, administrator może wziąć pod uwagę odpowiednie certyfikaty, jakie ma podmiot przetwarzający.
d)
Administrator może przeprowadzić audyt samodzielnie lub upoważnić do jego przeprowadzenia niezależnego audytora. Audyty mogą również obejmować inspekcje w pomieszczeniach lub obiektach fizycznych podmiotu przetwarzającego. Audyty te przeprowadza się, informując o nich, w stosownych przypadkach, z odpowiednim wyprzedzeniem.
e)
Na wniosek właściwego(-ych) organu(-ów) nadzorczego(-ych) strony udostępniają mu (im) informacje, o których mowa w niniejszej klauzuli, w tym wyniki wszelkich audytów.
7.7.
Korzystanie z usług podmiotów podprzetwarzających
a)
OPCJA 1: UPRZEDNIA SZCZEGÓŁOWA ZGODA: Podmiot przetwarzający nie może podzlecać żadnych operacji przetwarzania dokonywanych w imieniu administratora zgodnie z niniejszymi klauzulami podmiotowi podprzetwarzają- cemu bez uprzedniej szczegółowej pisemnej zgody administratora. Podmiot przetwarzający składa wniosek o udzielenie szczegółowej zgody co najmniej [NALEŻY PODAĆ TERMIN] przed rozpoczęciem korzystania z usług danego podmiotu podprzetwarzającego wraz z informacjami niezbędnymi do tego, by administrator mógł podjąć decyzję w sprawie zgody. Załącznik IV zawiera wykaz podmiotów podprzetwarzających upoważnionych przez administratora. Strony są obowiązane do aktualizacji załącznika IV.

OPCJA 2: OGÓLNA PISEMNA ZGODA: Podmiot przetwarzający ma ogólną zgodę administratora na korzystanie z usług podmiotów podprzetwarzających wpisanych do uzgodnionego wykazu. Podmiot przetwarzający informuje administratora na piśmie o wszelkich zamierzonych zmianach w tym wykazie polegających na dodaniu lub zastąpieniu podmiotów pod- przetwarzających z wyprzedzeniem co najmniej [NALEŻY PODAĆ TERMIN], dając tym samym administratorowi wystarczająco dużo czasu na wyrażenie sprzeciwu wobec takich zmian przed rozpoczęciem korzystania z usług danego podmiotu podprzetwarzającego (podmiotów podprzetwarzających). Podmiot przetwarzający przekazuje administratorowi niezbędne informacje umożliwiające mu skorzystanie z prawa sprzeciwu.

b)
Jeżeli podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu administratora), dokonuje tego w drodze umowy, która nakłada na podmiot pod- przetwarzający zasadniczo takie same obowiązki w zakresie ochrony danych jak obowiązki nałożone na podmiot przetwarzający dane zgodnie z niniejszymi klauzulami. Podmiot przetwarzający zapewnia, aby podmiot podprzetwarzający wypełniał obowiązki, którym podlega podmiot przetwarzający na mocy niniejszych klauzul oraz rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
c)
Na wniosek administratora podmiot przetwarzający przekazuje administratorowi kopię umowy, jaką zawarł z podmiotem podprzetwarzającym, a w razie wprowadzenia zmian przekazuje administratorowi jej zaktualizowaną wersję. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, podmiot przetwarzający może utajnić tekst umowy przed jej udostępnieniem.
d)
Podmiot przetwarzający pozostaje w pełni odpowiedzialny przed administratorem za wykonanie obowiązków podmiotu podprzetwarzającego zgodnie z jego umową z podmiotem przetwarzającym. Podmiot przetwarzający powiadamia administratora o każdym przypadku niewywiązania się przez podmiot podprzetwarzający z jego zobowiązań umownych.
e)
Podmiot przetwarzający uzgadnia z podmiotem podprzetwarzającym klauzulę dotyczącą beneficjenta będącego osobą trzecią, zgodnie z którą to klauzulą - jeżeli podmiot przetwarzający przestanie istnieć faktycznie lub formalnie lub stanie się niewypłacalny - administrator ma prawo rozwiązać umowę z podmiotem podprzetwarzającym i nakazać mu usunięcie lub zwrot danych osobowych.
7.8.
Międzynarodowe przekazywanie danych
a)
Wszelkie przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej przez podmiot przetwarzający odbywa się wyłącznie na udokumentowane polecenie administratora lub w celu spełnienia szczególnego wymogu na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega podmiot przetwarzający, i odbywa się zgodnie z rozdziałem V rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
b)
Jeżeli zgodnie z klauzulą 7.7 podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu administratora), które wiążą się z przekazywaniem danych osobowych w rozumieniu rozdziału V rozporządzenia (UE) 2016/679, administrator wyraża zgodę na to, by podmioty te mogły zapewnić zgodność z rozdziałem V rozporządzenia (UE) 2016/679 za pomocą standardowych klauzul umownych przyjętych przez Komisję zgodnie z art. 46 ust. 2 rozporządzenia (UE) 2016/679, pod warunkiem że spełnione są warunki stosowania tych standardowych klauzul umownych.

Klauzula  8

Pomoc dla administratora

a)
Podmiot przetwarzający niezwłocznie zawiadamia administratora o każdym wniosku otrzymanym od osoby, której dane dotyczą. Podmiot przetwarzający nie odpowiada na taki wniosek samodzielnie, chyba że administrator wyraził na to zgodę.
b)
Podmiot przetwarzający pomaga administratorowi w wypełnianiu jego obowiązków dotyczących udzielania odpowiedzi na wnioski osób, których dane dotyczą, o skorzystanie z przysługujących im praw, z uwzględnieniem charakteru przetwarzania. Wypełniając swoje obowiązki zgodnie z lit. a) i b), podmiot przetwarzający stosuje się do poleceń administratora.
c)
Oprócz spoczywającego na podmiocie przetwarzającym obowiązku pomagania administratorowi zgodnie z klauzulą 8 lit. b) podmiot przetwarzający pomaga mu ponadto w zapewnieniu wypełniania następujących obowiązków, z uwzględnieniem charakteru przetwarzania danych oraz informacji, którymi dysponuje podmiot przetwarzający:
1)
obowiązek przeprowadzenia oceny wpływu planowanych operacji przetwarzania na ochronę danych osobowych ("ocena skutków dla ochrony danych"), jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych;
2)
obowiązek skonsultowania się z właściwym(-i) organem(-ami) nadzorczym(-i) przed rozpoczęciem przetwarzania, jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu jego ograniczenia;
3)
obowiązek zapewnienia prawidłowości i aktualności danych osobowych poprzez niezwłoczne poinformowanie administratora, jeżeli podmiot przetwarzający stwierdzi, że przetwarzane przez niego dane osobowe są nieprawidłowe lub nieaktualne;
4)
obowiązki określone w [OPCJA 1] art. 32 rozporządzenia (UE) 2016/679 / [OPCJA 2] art. 33 i 36-38 rozporządzenia (UE) 2018/1725.
d)
Strony określają w załączniku III odpowiednie środki techniczne i organizacyjne, za pomocą których podmiot przetwarzający jest zobowiązany pomagać administratorowi w stosowaniu niniejszej klauzuli, jak również zakres wymaganej pomocy.

Klauzula  9

Zgłaszanie naruszenia ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych podmiot przetwarzający współpracuje z administratorem i pomaga mu w wypełnianiu jego obowiązków wynikających z art. 33 i 34 rozporządzenia (UE) 2016/679 lub, w stosownych przypadkach, z art. 34 i 35 rozporządzenia (UE) 2018/1725, z uwzględnieniem charakteru przetwarzania i informacji, którymi dysponuje podmiot przetwarzający.
9.1.
Naruszenie ochrony danych dotyczące danych przetwarzanych przez administratora

W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez administratora podmiot przetwarzający wspomaga administratora:

a)
przy zgłaszaniu naruszenia ochrony danych osobowych właściwemu(-ym) organowi(-om) nadzorczemu(-ym) niezwłocznie po tym, jak administrator dowiedział się o naruszeniu, w stosownych przypadkach/(chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych);
b)
przy uzyskiwaniu następujących informacji, które zgodnie z [OPCJA 1] art. 33 ust. 3 rozporządzenia (UE) 2016/679 / [OPCJA 2] art. 34 ust. 3 rozporządzenia (UE) 2018/1725 powinny być zawarte w zgłoszeniu administratora i obejmować co najmniej:
1)
charakter danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
2)
możliwe konsekwencje naruszenia ochrony danych osobowych;
3)
środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli przekazanie wszystkich tych informacji równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki;

c)
przy wypełnianiu - zgodnie z [OPCJA 1] art. 34 rozporządzenia (UE) 2016/679 / [OPCJA 2] art. 35 rozporządzenia (UE) 2018/1725 - obowiązku zawiadomienia bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.
9.2.
Naruszenie ochrony danych dotyczące danych przetwarzanych przez podmiot przetwarzający

W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez podmiot przetwarzający podmiot przetwarzający zgłasza naruszenie administratorowi niezwłocznie po tym, jak dowiedział się o naruszeniu. Zgłoszenie to powinno zawierać co najmniej:

a)
opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz wpisów danych, których dotyczy naruszenie);
b)
dane punktu kontaktowego, w którym można uzyskać więcej informacji na temat naruszenia ochrony danych osobowych;
c)
wskazanie prawdopodobnych konsekwencji naruszenia oraz środków, które zostały lub mają zostać wprowadzone w celu zaradzenia naruszeniu, w tym w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli przekazanie wszystkich tych informacji równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki.

Strony określają w załączniku III wszystkie inne elementy, które ma przedstawić podmiot przetwarzający, wspomagając administratora w wypełnianiu jego obowiązków określonych w [OPCJA 1] art. 33 i 34 rozporządzenia (UE) 2016/679 / [OPCJA 2] art. 34 i 35 rozporządzenia (UE) 2018/1725.

SEKCJA  III

POSTANOWIENIA KOŃCOWE

Klauzula  10

Naruszenie klauzul i rozwiązanie umowy

a)
Bez uszczerbku dla przepisów rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725, w przypadku gdy podmiot przetwarzający narusza swoje obowiązki wynikające z niniejszych klauzul, administrator może polecić mu, by zawiesił przetwarzanie danych osobowych do czasu, gdy podmiot przetwarzający zapewni zgodność z niniejszymi klauzulami, lub umowa ulega rozwiązaniu. Podmiot przetwarzający niezwłocznie zawiadamia administratora, jeżeli z jakiegokolwiek powodu nie jest w stanie zastosować się do niniejszych klauzul.
b)
Administrator jest uprawniony do rozwiązania umowy w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z niniejszymi klauzulami, jeżeli:
1)
administrator zawiesił przetwarzanie danych osobowych przez podmiot przetwarzający zgodnie z lit. a) i jeżeli zgodność z niniejszymi klauzulami nie zostanie przywrócona w rozsądnym terminie, a w każdym razie w terminie jednego miesiąca od zawieszenia;
2)
podmiot przetwarzający poważnie lub stale narusza niniejsze klauzule lub swoje obowiązki wynikające z rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725;
3)
podmiot przetwarzający nie stosuje się do wiążącej decyzji właściwego sądu lub właściwego(-ych) organu(-ów) nad- zorczego(-ych) dotyczącej jego obowiązków wynikających z niniejszych klauzul lub z rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.
c)
Podmiot przetwarzający ma prawo rozwiązać umowę w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z niniejszymi klauzulami, jeżeli po zawiadomieniu administratora o tym, że jego polecenie narusza obowiązujące wymogi prawne zgodnie z klauzulą 7.1 lit. b), administrator nalega na wypełnienie polecenia.
d)
Po rozwiązaniu umowy podmiot przetwarzający, zależnie od decyzji administratora, usuwa wszystkie dane osobowe przetwarzane w imieniu administratora i poświadcza administratorowi, że tego dokonał, lub zwraca administratorowi wszystkie dane osobowe i usuwa istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Podmiot przetwarzający zapewnia przestrzeganie niniejszych klauzul do czasu usunięcia lub zwrotu danych.

Załącznik  I

Wykaz stron

Administrator (administratorzy): [dane identyfikacyjne i kontaktowe administratora (administratorów) oraz, w stosownych przypadkach, inspektora ochrony danych wyznaczonego przez administratora]
1.
Imię i nazwisko lub nazwa: .................................................................................

Adres: ..................................................................................................................................

Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: ........

Podpis i data przystąpienia: .................................................................................................

2.

...............................................................................................................................................

Podmiot przetwarzający (podmioty przetwarzające): [dane identyfikacyjne i kontaktowe podmiotu przetwarzającego (podmiotów przetwarzających) oraz, w stosownych przypadkach, inspektora ochrony danych wyznaczonego przez podmiot przetwarzający]

1.
Imię i nazwisko lub nazwa: ..................................................................................

Adres: ....................................................................................................................................

Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: ..........

Podpis i data przystąpienia: ...................................................................................................

2.

...............................................................................................................................................

Załącznik  II

Opis przetwarzania

Kategorie osób, których dane osobowe są przetwarzane

...............................................................................................................................................

Kategorie przetwarzanych danych osobowych

Przetwarzane dane wrażliwe (w stosownych przypadkach) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi zagrożenia, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla personelu, który odbył specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszego przekazywania danych lub dodatkowe środki bezpieczeństwa.

...............................................................................................................................................

Charakter przetwarzania

...............................................................................................................................................

Cel(e), w którym(-ych) dane osobowe są przetwarzane w imieniu administratora

...............................................................................................................................................

Czas trwania przetwarzania

...............................................................................................................................................

...............................................................................................................................................

W przypadku przetwarzania przez podmioty przetwarzające lub podprzetwarzające należy również określić przedmiot, charakter i czas trwania przetwarzania.

Załącznik  III

Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych

UWAGA WYJAŚNIAJĄCA:

Środki techniczne i organizacyjne należy opisać szczegółowo, a nie w sposób ogólny.

Opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych przez podmiot przetwarzający (podmioty przetwarzające) (w tym wszelkie stosowne certyfikaty) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych Przykłady możliwych środków:

Środki umożliwiające pseudonimizację i szyfrowanie danych osobowych

Środki zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania

Środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego

Procesy umożliwiające regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Środki umożliwiające identyfikację i autoryzację użytkowników

Środki zapewniające ochronę danych w czasie ich przekazywania

Środki zapewniające ochronę danych w czasie ich przechowywania

Środki służące zapewnieniu bezpieczeństwa fizycznego miejsc, w których przetwarzane są dane osobowe

Środki umożliwiające rejestrowanie zdarzeń

Środki służące do konfiguracji systemu, w tym konfiguracji domyślnej

Środki dotyczące zarządzania wewnętrznym systemem IT i bezpieczeństwem IT

Środki dotyczące certyfikacji / zapewnienia jakości procesów i produktów

Środki zapewniające minimalizację danych

Środki zapewniające odpowiednią jakość danych

Środki zapewniające ograniczone zatrzymywanie danych

Środki zapewniające rozliczalność

Środki umożliwiające przenoszenie danych i zapewnienie ich usuwania]

W przypadku przekazywania danych podmiotom przetwarzającym lub podprzetwarzającym należy również opisać konkretne środki techniczne i organizacyjne, jakie powinien zastosować podmiot przetwarzający lub podprzetwarzający, aby móc udzielić pomocy administratorowi.

Opis konkretnych środków technicznych i organizacyjnych, jakie powinien zastosować podmiot przetwarzający, aby móc udzielić pomocy administratorowi

Załącznik  IV

Wykaz podmiotów podprzetwarzających

UWAGA WYJAŚNIAJĄCA:

Niniejszy załącznik należy wypełnić w razie udzielenia szczegółowej zgody na korzystanie z usług podmiotów podprzetwarzających (klauzula 7.7 lit. a), opcja 1).

Administrator zezwolił na korzystanie z usług następujących podmiotów podprzetwarzających:

1.
Imię i nazwisko lub nazwa: ..................................................................................

Adres: ....................................................................................................................................

Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: ..........

Opis przetwarzania (w tym jasne określenie zakresu odpowiedzialności w przypadku upoważnienia kilku podmiotów pod- przetwarzających): ............................................................

2.
...............................................................................................................................
1 Dz.U. L 119 z 4.5.2016, s. 1.
2 Dz.U. L 295 z 21.11.2018, s. 39.
3 Wspólna opinia EROD i EIOD 1/2021 dotycząca decyzji wykonawczej Komisji Europejskiej w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi dotyczących kwestii, o których mowa w art. 28 ust. 7Dz.U.UE.L.2016.119.1(art(28)ust(7)) rozporządzenia (UE) 2016/679 i art. 29 ust. 7 rozporządzenia (UE) 2018/1725

Zmiany w prawie

Ustawa doprecyzowująca termin wypłaty ekwiwalentu za urlop opublikowana
Ustawa doprecyzowująca termin wypłaty ekwiwalentu za urlop opublikowana

Uproszczenie i uporządkowanie niektórych regulacji kodeksu pracy dotyczących m.in. wykorzystania postaci elektronicznej przy wybranych czynnościach z zakresu prawa pracy oraz terminu wypłaty ekwiwalentu za niewykorzystany urlop wypoczynkowy przewiduje nowelizacja kodeksu pracy oraz ustawy o zakładowym funduszu świadczeń socjalnych, która wejdzie w życie w dniu 27 stycznia.

Grażyna J. Leśniak 12.01.2026
Powierzchnia użytkowa mieszkań już bez ścianek działowych
Powierzchnia użytkowa mieszkań już bez ścianek działowych

W Dzienniku Ustaw opublikowano nowelizację, która ma zakończyć spory między nabywcami i deweloperami o powierzchnie sprzedawanych mieszkań i domów. W przepisach była luka, która skutkowała tym, że niektórzy deweloperzy wliczali w powierzchnię użytkową metry pod ściankami działowymi, wnękami technicznymi czy skosami o małej wysokości - a to mogło dawać różnicę w finalnej cenie sięgającą nawet kilkudziesięciu tysięcy złotych. Po zmianach standardy dla wszystkich inwestycji deweloperskich będą jednolite.

Agnieszka Matłacz 12.01.2026
Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni
Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni

Podpisana przez prezydenta Karola Nawrockiego ustawa reformująca orzecznictwo lekarskie w Zakładzie Ubezpieczeń Społecznych ma usprawnić kontrole zwolnień chorobowych i skrócić czas oczekiwania na decyzje. Jednym z kluczowych elementów zmian jest możliwość dostępu do dokumentacji medycznej w toku kontroli L4 oraz poszerzenie katalogu osób uprawnionych do orzekania. Zdaniem eksperta, sam dostęp do dokumentów niczego jeszcze nie zmieni, jeśli za stwierdzonymi nadużyciami nie pójdą realne konsekwencje.

Grażyna J. Leśniak 09.01.2026
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych

Konfederacja Lewiatan krytycznie ocenia niektóre przepisy projektu ustawy o wygaszeniu pomocy dla obywateli Ukrainy. Najwięcej kontrowersji budzą zapisy ograniczające uproszczoną procedurę powierzania pracy obywatelom Ukrainy oraz przewidujące wydłużenie zawieszenia biegu terminów w postępowaniach administracyjnych. W konsultacjach społecznych nad projektem nie brały udziału organizacje pracodawców.

Grażyna J. Leśniak 08.01.2026
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę

Usprawnienie i ujednolicenie sposobu wydawania orzeczeń przez lekarzy Zakładu Ubezpieczeń Społecznych, a także zasad kontroli zwolnień lekarskich wprowadza podpisana przez prezydenta ustawa. Nowe przepisy mają również doprowadzić do skrócenia czasu oczekiwania na orzeczenia oraz zapewnić lepsze warunki pracy lekarzy orzeczników, a to ma z kolei przyczynić się do ograniczenia braków kadrowych.

Grażyna J. Leśniak 08.01.2026
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa

Przeksięgowanie składek z tytułu na tytuł do ubezpieczeń społecznych na podstawie prawomocnej decyzji ZUS, zmiany w zakresie zwrotu składek nadpłaconych przez płatnika, w tym rozpoczęcie biegu terminu przedawnienia zwrotu nienależnie opłaconych składek dopiero od ich stwierdzenia przez ZUS - to niektóre zmiany, jakie zamierza wprowadzić Ministerstwo Rodziny, Pracy i Polityki Społecznej. Resort dostrzegł bowiem problem związany ze sprawami, w których ZUS kwestionuje tytuł do ubezpieczeń osób zgłoszonych do nich wiele lat wcześniej.

Grażyna J. Leśniak 08.01.2026
Metryka aktu
Identyfikator:

Dz.U.UE.L.2021.199.18
Rodzaj: Decyzja
Tytuł: Decyzja wykonawcza 2021/915 w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725
Data aktu: 04/06/2021
Data ogłoszenia: 07/06/2021
Data wejścia w życie: 27/06/2021