This document is an excerpt from the EUR-Lex website
Document 32021D0915
Commission Implementing Decision (EU) 2021/915 of 4 June 2021 on standard contractual clauses between controllers and processors under Article 28(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council and Article 29(7) of Regulation (EU) 2018/1725 of the European Parliament and of the Council (Text with EEA relevance)
Cinneadh Cur Chun Feidhme (AE) 2021/915 ón gCoimisiún an 4 Meitheamh 2021 maidir le clásail chonarthacha chaighdeánacha idir rialaitheoirí agus próiseálaithe faoi Airteagal 28(7) de Rialachán (AE) 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle agus Airteagal 29(7) de Rialachán (AE) 2018/1725 ó Pharlaimint na hEorpa agus ón gComhairle (Téacs atá ábhartha maidir le LEE)
Cinneadh Cur Chun Feidhme (AE) 2021/915 ón gCoimisiún an 4 Meitheamh 2021 maidir le clásail chonarthacha chaighdeánacha idir rialaitheoirí agus próiseálaithe faoi Airteagal 28(7) de Rialachán (AE) 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle agus Airteagal 29(7) de Rialachán (AE) 2018/1725 ó Pharlaimint na hEorpa agus ón gComhairle (Téacs atá ábhartha maidir le LEE)
C/2021/3701
IO L 199, 7.6.2021, p. 18–30
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
7.6.2021 |
GA |
Iris Oifigiúil an Aontais Eorpaigh |
L 199/18 |
CINNEADH CUR CHUN FEIDHME (AE) 2021/915 ÓN gCOIMISIÚN
an 4 Meitheamh 2021
maidir le clásail chonarthacha chaighdeánacha idir rialaitheoirí agus próiseálaithe faoi Airteagal 28(7) de Rialachán (AE) 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle agus Airteagal 29(7) de Rialachán (AE) 2018/1725 ó Pharlaimint na hEorpa agus ón gComhairle
(Téacs atá ábhartha maidir le LEE)
TÁ AN COIMISIÚN EORPACH,
Ag féachaint don Chonradh ar Fheidhmiú an Aontais Eorpaigh,
Ag féachaint do Rialachán (AE) 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle an 27 Aibreán 2016 maidir le daoine nádúrtha a chosaint i ndáil le sonraí pearsanta a phróiseáil agus maidir le saorghluaiseacht sonraí den sórt sin, agus lena n-aisghairtear Treoir 95/46/CE (RGCS) (1), agus go háirithe Airteagal 28(7) de,
Ag féachaint do Rialachán (AE) 2018/1725 ó Pharlaimint na hEorpa agus ón gComhairle an 23 Deireadh Fómhair 2018 maidir le daoine nádúrtha a chosaint i ndáil le sonraí pearsanta a phróiseáil ag institiúidí, comhlachtaí, oifigí agus gníomhaireachtaí an Aontais agus maidir le saorghluaiseacht sonraí den sórt sin, agus lena n-aisghairtear Rialachán (CE) Uimh. 45/2001 agus Cinneadh Uimh. 1247/2002/CE (EUDPR) (2), agus, go háirithe Airteagal 29(7) de,
De bharr an mhéid seo a leanas:
|
(1) |
Tá ról ríthábhachtach ag coincheapa an rialaitheora agus an phróiseálaí i gcur i bhfeidhm Rialachán (AE) 2016/679 agus Rialachán (AE) 2018/1725. Is é an rialaitheoir an duine nádúrtha nó dlítheanach, an t-údarás poiblí, an ghníomhaireacht nó an comhlacht eile a chinneann, ina aonar nó i gcomhpháirt, críocha agus modhanna na próiseála ar shonraí pearsanta. Chun críche Rialachán (AE) 2018/1725, ciallaíonn rialaitheoir an institiúid nó an comhlacht de chuid an Aontais nó an ardstiúrthóireacht nó aon eintiteas eagraíochtúil eile a chinneann, ina aonar nó i gcomhpháirt, críocha agus modhanna na próiseála ar shonraí pearsanta. I gcás ina gcinntear críocha agus modhanna na próiseála sin le gníomh sonrach de chuid an Aontais, féadfaidh an tAontas foráil a dhéanamh maidir le rialaitheoir nó maidir leis na critéir shonracha d'ainmniú rialaitheora. Próiseálaí is ea duine nádúrtha nó dlítheanach, údarás poiblí, gníomhaireacht nó comhlacht eile a phróiseálann sonraí pearsanta thar ceann an rialaitheora. |
|
(2) |
Ba cheart feidhm a bheith ag an tsraith chéanna de chlásail chonarthacha chaighdeánacha maidir leis an ngaol idir rialaitheoirí sonraí agus próiseálaithe sonraí atá faoi réir Rialachán (AE) 2016/679 agus nuair atá siad faoi réir Rialachán (AE) 2018/1725 freisin. Is amhlaidh atá toisc, chun cur chuige comhleanúnach a bheith ann maidir le cosaint sonraí pearsanta ar fud an Aontais agus le saorghluaiseacht sonraí pearsanta san Aontas, go bhfuil na rialacha cosanta sonraí i Rialachán (AE) 2016/679, is infheidhme maidir leis an earnáil phoiblí sna Ballstáit, agus na rialacha cosanta sonraí i Rialachán (AE) 2018/1725, is infheidhme maidir le hinstitiúidí, comhlachtaí, oifigí agus gníomhaireachtaí an Aontais, ailínithe, a mhéid is féidir, le chéile. |
|
(3) |
Chun comhlíonadh cheanglais Rialachán (AE) 2016/679 agus Rialachán (AE) 2018/1725 a áirithiú, nuair a chuirtear gníomhaíochtaí próiseála ar iontaoibh próiseálaí, níor cheart don rialaitheoir ach próiseálaithe a thugann ráthaíochtaí leordhóthanacha a úsáid, go háirithe ó thaobh saineolais, iontaofachta agus acmhainní, chun bearta teicniúla agus eagraíochtúla a chur chun feidhme a chomhlíonfaidh ceanglais Rialachán (AE) 2016/679 agus Rialachán (AE) 2018/1725, lena n-áirítear maidir le slándáil na próiseála. |
|
(4) |
Rialófar an phróiseáil a dhéanfaidh próiseálaí le conradh nó le gníomh dlí eile faoi dhlí an Aontais nó faoi dhlí Ballstáit atá ina cheangal ar an bpróiseálaí i dtaca leis an rialaitheoir agus ina leagtar amach na heilimintí a liostaítear in Airteagal 28(3) agus (4) de Rialachán (AE) 2016/679 nó Airteagal 29(3) agus (4) de Rialachán (AE) 2018/1725. Is i scríbhinn, lena n-áirítear i bhfoirm leictreonach, a bheidh an conradh nó an gníomh sin. |
|
(5) |
I gcomhréir le hAirteagal 28(6) de Rialachán (AE) 2016/679 agus le hAirteagal 29(6) de Rialachán (AE) 2018/1725, féadfaidh an rialaitheoir agus an próiseálaí a roghnú conradh aonair a chaibidliú ina mbeidh na heilimintí éigeantacha a leagtar síos in Airteagal 28(3) agus (4) de Rialachán (AE) 2016/679 nó Airteagal 29(3) agus (4) de Rialachán (AE) 2018/1725, faoi seach, nó a roghnú clásail chonarthacha chaighdeánacha arna nglacadh ag an gCoimisiún de bhun Airteagal 28(7) de Rialachán (AE) 2016/679 agus Airteagal 29(7) de Rialachán (AE) 2018/1725 a úsáid go hiomlán nó go páirteach. |
|
(6) |
Ba cheart an tsaoirse a bheith ag an rialaitheoir agus ag an bpróiseálaí na clásail chonarthacha chaighdeánacha atá sa Chinneadh seo a chur isteach i gconradh níos leithne, agus clásail eile nó coimircí breise a chur isteach ar choinníoll nach mbeidh siad contrártha, go díreach ná go hindíreach, do na clásail chonarthacha chaighdeánacha nó go ndéanfaidís dochar do chearta nó do shaoirsí bunúsacha na ndaoine is ábhar do na sonraí. Úsáidtear na clásail chonarthacha chaighdeánacha d’ainneoin aon oibleagáidí conarthacha atá ar an rialaitheoir agus/nó ar an bpróiseálaí chun a áirithiú go n-urramófar na pribhléidí agus na díolúintí is infheidhme. |
|
(7) |
Ba cheart idir rialacha substainteacha agus rialacha nós imeachta a chuimsiú sna clásail chonarthacha chaighdeánacha. I gcomhréir le hAirteagal 28(3) de Rialachán (AE) 2016/679 agus le hAirteagal 29(3) de Rialachán (AE) 2018/1725, ba cheart, sna na clásail chonarthacha chaighdeánacha, a chur de cheangal ar an rialaitheoir agus ar an bpróiseálaí ábhar agus fad na próiseála, cineál agus críoch na próiseála, cineál na sonraí pearsanta lena mbaineann, catagóirí na ndaoine is ábhar do na sonraí agus oibleagáidí agus cearta an rialaitheora, a leagan amach. |
|
(8) |
De bhun Airteagal 28(3) de Rialachán (AE) 2016/679 agus de bhun Airteagal 29(3) de Rialachán (AE) 2018/1725, ní mór don phróiseálaí an rialaitheoir a chur ar an eolas láithreach, más rud é, dar leis, go sáraíonn treoir ón rialaitheoir Rialachán (AE) 2016/679 nó Rialachán (AE) 2018/1725, nó forálacha eile de chuid an Aontais nó na mBallstát maidir le cosaint sonraí. |
|
(9) |
I gcás ina bhfostóidh próiseálaí próiseálaí eile chun gníomhaíochtaí sonracha a chur i gcrích, ba cheart feidhm a bheith ag na ceanglais shonracha dá dtagraítear in Airteagal 28(2) agus (4) de Rialachán (AE) 2016/679 nó Airteagal 29(2) agus (4) de Rialachán (AE) 2018/1725. Go háirithe, is gá réamhúdarú sonrach nó ginearálta a thabhairt i scríbhinn. Más údarú sonrach nó údarú ginearálta an réamhúdarú sin, ba cheart don chéad phróiseálaí liosta de phróiseálaithe eile a choimeád cothrom le dáta. |
|
(10) |
Chun ceanglais Airteagal 46(1) de Rialachán (AE) 2016/679 a chomhlíonadh, ghlac an Coimisiún clásail chonarthacha chaighdeánacha de bhun Airteagal 46(2)(c) Rialachán (AE) 2016/679. Comhlíonann na clásail sin freisin ceanglais Airteagal 28(3) agus (4) de Rialachán (AE) 2016/679 maidir le haistrithe sonraí ó rialaitheoirí atá faoi réir Rialachán (AE) 2016/679 chuig próiseálaithe atá lasmuigh de raon feidhme críochach chur i bhfeidhm an Rialacháin sin nó ó phróiseálaithe atá faoi réir Rialachán (AE) 2016/679 chuig fophróiseálaithe atá lasmuigh de raon feidhme críochach an Rialacháin sin. Ní féidir na clásail chonarthacha chaighdeánacha sin a úsáid mar chlásail chonarthacha chaighdeánacha chun críche Chaibidil V de Rialachán (AE) 2016/679. |
|
(11) |
Ba cheart do thríú páirtithe a bheith in ann teacht chun bheith ina bpáirtithe sna clásail chonarthacha chaighdeánacha le linn shaolré an chonartha. |
|
(12) |
Ba cheart meastóireacht a dhéanamh ar fheidhmiú na gclásal conarthach caighdeánach, mar fhochuid den mheastóireacht thréimhsiúil ar Rialachán (AE) 2016/679 dá dtagraítear in Airteagal 97 den Rialachán sin. |
|
(13) |
Chuathas i gcomhairle leis an Maoirseoir Eorpach ar Chosaint Sonraí agus leis an mBord Eorpach um Chosaint Sonraí i gcomhréir le hAirteagal 42(1) agus (2) de Rialachán (AE) 2018/1725 agus thug siad tuairim chomhpháirteach an 14 Eanáir 2021 (3), tuairim a cuireadh san áireamh agus an Cinneadh seo á ullmhú. |
|
(14) |
Tá na bearta dá bhforáiltear sa Chinneadh seo ag teacht leis an tuairim ón gCoiste arna bunú faoi Airteagal 93 de Rialachán (AE) 2016/679 agus Airteagal 96(2) de Rialachán (AE) 2018/1725. |
TAR ÉIS AN CINNEADH SEO A GHLACADH:
Airteagal 1
Na clásail chonarthacha chaighdeánacha, mar a leagtar amach san Iarscríbhinn iad, comhlíonann siad na ceanglais maidir le conarthaí idir rialaitheoirí agus próiseálaithe in Airteagal 28(3) agus (4) de Rialachán (AE) 2016/679 agus in Airteagal 29(3) agus (4) de Rialachán (AE) 2018/1725.
Airteagal 2
Féadfar na clásail chonarthacha chaighdeánacha, mar a leagtar amach san Iarscríbhinn iad, a úsáid i gconarthaí idir rialaitheoir agus próiseálaí a phróiseálann sonraí pearsanta thar ceann an rialaitheora.
Airteagal 3
Déanfaidh an Coimisiún meastóireacht ar chur i bhfeidhm praiticiúil na gclásal conarthach caighdeánach a leagtar amach san Iarscríbhinn ar bhonn na faisnéise uile a bheidh ar fáil mar chuid den mheastóireacht thréimhsiúil dá bhforáiltear in Airteagal 97 de Rialachán (AE) 2016/679.
Airteagal 4
Tiocfaidh an Cinneadh seo i bhfeidhm an fichiú lá tar éis lá a fhoilsithe in Iris Oifigiúil an Aontais Eorpaigh.
Arna dhéanamh sa Bhruiséil, 4 Meitheamh 2021.
Thar ceann an Choimisiúin
An tUachtarán
Ursula VON DER LEYEN
(1) IO L 119, 4.5.2016, lch. 1.
(2) IO L 295, 21.11.2018, lch. 39.
(3) Tuairim Chomhpháirteach ón Maoirseoir Eorpach ar Chosaint Sonraí agus ón mBord Eorpach um Chosaint Sonraí 1/2021 maidir leis an gCinneadh Cur Chun Feidhme ón gCoimisiún Eorpach maidir le clásail chonarthacha chaighdeánacha idir rialaitheoirí agus próiseálaithe le haghaidh ábhair dá dtagraítear in Airteagal 28(7) de Rialachán (AE) 2016/679 agus Airteagal 29(7) de Rialachán (AE) 2018/1725.
IARSCRÍBHINN
CLÁSAIL CHONARTHACHA CHAIGHDEÁNACHA
ROINN I
Clásal 1
Cuspóir agus Raon Feidhme
|
(a) |
Is é cuspóir na gClásal Conarthach Caighdeánach (na Clásail) a áirithiú go gcomhlíonfar (roghnaigh an rogha ábhartha: ROGHA 1: Airteagal 28(3) agus (4) de Rialachán (AE) 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle an 27 Aibreán 2016 maidir le daoine nádúrtha a chosaint i ndáil le sonraí pearsanta a phróiseáil agus maidir le saorghluaiseacht sonraí den sórt sin, agus lena n-aisghairtear Treoir 95/46/CÉ (An Rialachán Ginearálta maidir le Cosaint Sonraí) / (ROGHA 2: Airteagal 29(3) agus (4) de Rialachán (AE) 2018/1725 ó Pharlaimint na hEorpa agus ón gComhairle an 23 Deireadh Fómhair 2018 maidir le daoine nádúrtha a chosaint i ndáil le próiseáil sonraí pearsanta ag institiúidí, comhlachtaí, oifigí agus gníomhaireachtaí an Aontais agus maidir le saorghluaiseacht sonraí den sórt sin, agus lena n-aisghairtear Rialachán (CE) Uimh. 45/2001 agus Cinneadh Uimh. 1247/2002/CE). |
|
(b) |
Tá na rialaitheoirí agus na próiseálaithe a liostaítear in Iarscríbhinn I tar éis comhaontú leis na Clásail seo chun a áirithiú go gcomhlíonfar Airteagal 28(3) agus (4) de Rialachán (AE) 2016/679 agus/nó Airteagal 29(3) agus (4) de Rialachán (AE) 2018/1725. |
|
(c) |
Tá feidhm ag na Clásail seo maidir le sonraí pearsanta a phróiseáil mar a shonraítear in Iarscríbhinn II. |
|
(d) |
Is dlúthchuid de na Clásail iad Iarscríbhinní I go IV. |
|
(e) |
Tá na clásail seo gan dochar d’oibleagáidí a bhfuil an rialaitheoir faoina réir de bhua Rialachán (AE) 2016/679 agus/nó Rialachán (AE) 2018/1725. |
|
(f) |
Ní áirithíonn na clásail seo astu féin go gcomhlíontar oibleagáidí a bhaineann le haistrithe idirnáisiúnta i gcomhréir le Caibidil V de Rialachán (AE) 2016/679 agus/nó Rialachán (AE) 2018/1725. |
Clásal 2
Do-athraitheacht na gClásal
|
(a) |
Gabhann na Páirtithe ar láimh gan na Clásail a mhodhnú, ach amháin faisnéis a chur leis na hIarscríbhinní nó faisnéis iontu a thabhairt cothrom le dáta. |
|
(b) |
Ní chuireann sé sin cosc ar na Páirtithe na clásail chonarthacha chaighdeánacha a leagtar síos sna Clásail seo a áireamh i gconradh níos leithne, ná clásail eile nó coimircí breise a chur isteach ar choinníoll nach mbeidh siad contrártha, go díreach nó go hindíreach, do na Clásail nó nach mbainfidh siad de chearta bunúsacha nó de shaoirsí bunúsacha na ndaoine is ábhar do na sonraí. |
Clásal 3
Léirmhíniú
|
(a) |
I gcás ina n-úsáideann na clásail seo na téarmaí a shainmhínítear i Rialachán (AE) 2016/679 nó Rialachán (AE) 2018/1725 faoi seach, beidh an bhrí chéanna leis na téarmaí sin agus atá leo sa Rialachán sin. |
|
(b) |
Léifear agus léireofar na clásail seo i bhfianaise fhorálacha Rialachán (AE) 2016/679 nó Rialachán (AE) 2018/1725 faoi seach. |
|
(c) |
Ní léireofar na clásail seo ar bhealach atá contrártha do na cearta agus na hoibleagáidí dá bhforáiltear i Rialachán (AE) 2016/679 / Rialachán (AE) 2018/1725 ná ar bhealach a dhéanann dochar do chearta nó do shaoirsí bunúsacha na ndaoine is ábhar do na sonraí. |
Clásal 4
Ordlathas
I gcás ina mbeidh contrárthacht idir na Clásail seo agus forálacha comhaontuithe gaolmhara idir na Páirtithe atá ar marthain tráth a chomhaontaítear na Clásail seo nó a dhéanfar ina dhiaidh sin, is ag na Clásail seo a bheidh tosaíocht.
Clásal 5 – Roghnach
Clásal aontúcháin
|
(a) |
Féadfaidh aon eintiteas nach Páirtí é sna Clásail seo, le comhaontú na bPáirtithe uile, aontú do na Clásail seo aon tráth mar rialaitheoir nó mar phróiseálaí trí na hIarscríbhinní a chomhlánú agus Iarscríbhinn I a shíniú. |
|
(b) |
A luaithe a bheidh na hIarscríbhinní in (a) comhlánaithe agus sínithe, caithfear leis an eintiteas aontach mar Pháirtí sna Clásail seo agus beidh cearta agus oibleagáidí rialaitheora nó próiseálaí aige, i gcomhréir lena ainmniú in Iarscríbhinn I. |
|
(c) |
Maidir leis an tréimhse sula mbeidh sé ina Pháirtí, ní bheidh aon chearta ag an eintiteas aontach ná ní bheidh aon oibleagáidí air mar thoradh ar na Clásail seo. |
ROINN II
OIBLEAGÁIDÍ NA bPÁIRTITHE
Clásal 6
Tuairisc ar an bpróiseáil
Sonraítear in Iarscríbhinn II sonraí na n-oibríochtaí próiseála, agus go háirithe na catagóirí sonraí pearsanta agus na críocha próiseála a ndéantar na sonraí pearsanta a phróiseáil thar ceann an rialaitheora.
Clásal 7
Oibleagáidí na bPáirtithe
7.1. Treoracha
|
(a) |
Ní phróiseálfaidh an próiseálaí sonraí pearsanta ach amháin ar threoracha doiciméadaithe a fháil ón rialaitheoir, mura bhfuil sé de cheangal air déanamh amhlaidh faoi dhlí an Aontais nó faoi dhlí Ballstáit a bhfuil an próiseálaí faoina réir. Sa chás sin, cuirfidh an próiseálaí an rialaitheoir ar an eolas faoin gceanglas dlíthiúil sin sula ndéanfar an phróiseáil, mura gcoisctear sin faoin dlí ar fhorais thábhachtacha a bhaineann le leas an phobail. Féadfaidh an rialaitheoir treoracha a thabhairt ina dhiaidh sin le linn na próiseála ar shonraí pearsanta. Déanfar na treoracha sin a dhoiciméadú i gcónaí. |
|
(b) |
Cuirfidh an próiseálaí an rialaitheoir ar an eolas láithreach más rud é, i dtuairim an phróiseálaí, go sáraíonn na treoracha a thugann an rialaitheoir uaidh Rialachán (AE) 2016/679 / Rialachán (AE) 2018/1725 nó forálacha an Aontais nó na mBallstát is infheidhme maidir le cosaint sonraí. |
7.2. Cuspóir a theorannú
Ní phróiseálfaidh an próiseálaí na sonraí pearsanta ach amháin chun críoch shonrach nó críocha sonracha na próiseála, mar a leagtar amach in Iarscríbhinn II, ach amháin ar threoracha breise a fháil ón rialaitheoir.
7.3. Fad na próiseála ar shonraí pearsanta
Ní dhéanfaidh an próiseálaí próiseáil ach ar feadh na tréimhse a shonraítear in Iarscríbhinn II.
7.4. Slándáil na próiseála
|
(a) |
Déanfaidh an próiseálaí na bearta teicniúla agus eagraíochtúla a shonraítear in Iarscríbhinn III a chur chun feidhme ar a laghad chun slándáil na sonraí pearsanta a áirithiú. Áirítear leis sin na sonraí a chosaint ar shárú slándála as a dtagann scrios, cailleadh, athrú, nochtadh gan údarás nó rochtain gan údarás ar na sonraí, bíodh sé sin neamhdhleathach nó de thaisme (sárú i ndáil le sonraí pearsanta). Agus measúnú á dhéanamh acu ar an leibhéal iomchuí slándála, tabharfaidh na Páirtithe aird chuí ar an úrscothacht, ar na costais a bhaineann le cur chun feidhme, ar chineál, ar raon feidhme, ar chomhthéacs agus ar chríocha na próiseála agus ar na rioscaí atá ann do na daoine is ábhar do na sonraí. |
|
(b) |
Ní thabharfaidh an próiseálaí rochtain do chomhaltaí a phearsanra ar na sonraí pearsanta atá á bpróiseáil ach amháin a mhéid a bhfuil géarghá leis chun an conradh a chur chun feidhme, a bhainistiú agus faireachán a dhéanamh air. Áiritheoidh an próiseálaí go bhfuil gealltanas rúndachta tugtha ag na daoine atá údaraithe chun na sonraí pearsanta a fhaightear a phróiseáil nó go bhfuil siad faoi cheangal oibleagáide rúndachta reachtúla iomchuí. |
7.5. Sonraí íogaire
Má bhaineann an phróiseáil le sonraí pearsanta lena nochtar bunús ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, nó ballraíocht i gceardchumann, sonraí géiniteacha nó sonraí bithmhéadracha chun duine nádúrtha a shainaithint go huathúil, sonraí a bhaineann le sláinte nó saol gnéis nó gnéaschlaonadh an duine, nó sonraí a bhaineann le ciontuithe agus cionta coiriúla (‘sonraí íogaire’), cuirfidh an próiseálaí srianta sonracha i bhfeidhm agus/nó cosaintí breise.
7.6. Doiciméadú agus comhlíonadh
|
(a) |
Beidh na Páirtithe in ann comhlíonadh na gClásal seo a léiriú. |
|
(b) |
Déileálfaidh an próiseálaí go pras agus go leordhóthanach le fiosrúcháin ón rialaitheoir maidir le próiseáil sonraí i gcomhréir leis na Clásail seo. |
|
(c) |
Cuirfidh an próiseálaí ar fáil don rialaitheoir gach faisnéis is gá chun a léiriú go bhfuiltear ag comhlíonadh na n-oibleagáidí a leagtar amach sna Clásail seo agus a thagann go díreach ó Rialachán (AE) 2016/679 agus/nó Rialachán (AE) 2018/1725. Arna iarraidh sin don rialaitheoir, ceadóidh an próiseálaí iniúchtaí ar na gníomhaíochtaí próiseála a chumhdaítear leis na Clásail seo agus cuirfidh sé leis na hiniúchtaí sin freisin, ag eatraimh réasúnta nó má léirítear neamhchomhlíonadh. Agus cinneadh á dhéanamh faoi athbhreithniú nó faoi iniúchadh, féadfaidh an rialaitheoir deimhnithe ábhartha atá ag an bpróiseálaí a chur san áireamh. |
|
(d) |
Féadfaidh an rialaitheoir rogha a dhéanamh an t-iniúchadh a dhéanamh é féin nó sainordú a thabhairt d’iniúchóir neamhspleách. Féadfar iniúchtaí ar áitreabh nó ar shaoráidí fisiceacha an phróiseálaí a áireamh freisin agus, i gcás inarb iomchuí, déanfar iad tar éis fógra réasúnta a thabhairt. |
|
(e) |
Cuirfidh na Páirtithe an fhaisnéis dá dtagraítear sa Chlásal seo, lena n-áirítear torthaí aon iniúchtaí, ar fáil don údarás maoirseachta inniúil nó do na húdaráis mhaoirseachta inniúla arna iarraidh sin. |
7.7. Fophróiseálaithe a úsáid
|
(a) |
ROGHA 1: RÉAMHÚDARÚ SONRACH: Ní dhéanfaidh próiseálaí aon cheann dá oibríochtaí próiseála arna ndéanamh thar ceann an rialaitheora faoi na Clásail seo a ligean ar fochonradh le fophróiseálaí, gan údarú sonrach i scríbhinn a fháil roimh ré ón rialaitheoir. Cuirfidh an próiseálaí an iarraidh ar údarú sonrach isteach ar a laghad (SONRAIGH TRÉIMHSE AMA) sula bhfostaítear an fophróiseálaí lena mbaineann, in éineacht leis an bhfaisnéis is gá chun gur féidir leis an rialaitheoir cinneadh a dhéanamh maidir leis an údarú. Tá liosta na bhfophróiseálaithe atá údaraithe ag an rialaitheoir ar fáil in Iarscríbhinn IV. Coimeádfaidh na Páirtithe Iarscríbhinn IV cothrom le dáta. ROGHA 2: ÚDARÚ GINEARÁLTA I SCRÍBHINN: Tá údarú ginearálta an rialaitheora ag an bpróiseálaí chun fophróiseálaithe a fhostú ón liosta comhaontaithe. Tabharfaidh an próiseálaí fógra sonrach i scríbhinn don rialaitheoir faoi aon athruithe atá beartaithe a dhéanamh ar an liosta sin trí fhophróiseálaithe a chur leis nó iad a chur in ionad fophróiseálaithe eile ar a laghad (SONRAIGH TRÉIMHSE AMA) roimh ré, agus ar an mbealach sin tabharfaidh sé go leor ama don rialaitheoir chun go mbeidh sé in ann agóid a dhéanamh i gcoinne na n-athruithe sin sula bhfostaítear an fophróiseálaí nó na fophróiseálaithe lena mbaineann. Tabharfaidh an próiseálaí an fhaisnéis is gá don rialaitheoir chun gur féidir leis an rialaitheoir an ceart chun agóid a fheidhmiú. |
|
(b) |
I gcás ina bhfostaíonn próiseálaí fophróiseálaí chun gníomhaíochtaí próiseála ar leith a chur i gcrích (thar ceann an rialaitheora), déanfaidh sé amhlaidh trí bhíthin conartha lena bhforchuirtear ar an bhfophróiseálaí, ó thaobh substainte de, na hoibleagáidí cosanta sonraí céanna a fhorchuirtear ar an bpróiseálaí sonraí i gcomhréir leis na Clásail seo. Áiritheoidh an próiseálaí go gcomhlíonfaidh an fophróiseálaí na hoibleagáidí a bhfuil an próiseálaí faoina réir de bhun na gClásal seo agus Rialachán (AE) 2016/679 agus/nó Rialachán (AE) 2018/1725. |
|
(c) |
Arna iarraidh sin don rialaitheoir, cuirfidh an próiseálaí cóip de chomhaontú an fhophróiseálaí sin agus aon leasuithe a dhéanfar ina dhiaidh sin ar fáil don rialaitheoir. A mhéid is gá chun rún gnó nó faisnéis rúnda eile a chosaint, lena n-áirítear sonraí pearsanta, féadfaidh an próiseálaí téacs an chomhaontaithe a fholú sula ndéanfar an chóip a roinnt. |
|
(d) |
Leanfaidh an próiseálaí de bheith freagrach go hiomlán don rialaitheoir as oibleagáidí an fhophróiseálaí a chomhlíonadh i gcomhréir lena chonradh leis an bpróiseálaí. Tabharfaidh an próiseálaí fógra don rialaitheoir faoi aon mhainneachtain ag an bhfophróiseálaí a oibleagáidí conarthacha a chomhlíonadh. |
|
(e) |
Déanfaidh an próiseálaí clásal tairbhí tríú páirtí a chomhaontú leis an bhfophróiseálaí trína mbeidh sé de cheart ag an rialaitheoir – i gcás ina bhfuil an próiseálaí imithe ar ceal go fíorasach, ina bhfuil deireadh leis de réir dlí nó ina bhfuil sé dócmhainneach – conradh an fhophróiseálaí a fhoirceannadh agus treoir a thabhairt don fhophróiseálaí na sonraí pearsanta a scriosadh nó a thabhairt ar ais. |
7.8. Aistrithe Idirnáisiúnta
|
(a) |
Aon aistriú sonraí a dhéanfaidh an próiseálaí chuig tríú tír nó chuig eagraíocht idirnáisiúnta, ní dhéanfar é ach ar bhonn treoracha doiciméadaithe ón rialaitheoir nó chun ceanglas sonrach a chomhlíonadh faoi dhlí an Aontais nó faoi dhlí Ballstáit a bhfuil an próiseálaí faoina réir agus déanfar é i gcomhréir le Caibidil V de Rialachán (AE) 2016/679 nó Rialachán (AE) 2018/1725. |
|
(b) |
Aontaíonn an rialaitheoir, i gcás ina bhfostaíonn próiseálaí fophróiseálaí i gcomhréir le Clásal 7.7. chun gníomhaíochtaí próiseála ar leith a chur i gcrích (thar ceann an rialaitheora) agus ina mbaineann na gníomhaíochtaí próiseála sin le haistriú sonraí pearsanta de réir bhrí Chaibidil V de Rialachán (AE) 2016/679, gur féidir leis an bpróiseálaí agus leis an bhfophróiseálaí a áirithiú go gcomhlíonfar Caibidil V de Rialachán (AE) 2016/679 trí úsáid a bhaint as clásail chonarthacha chaighdeánacha arna nglacadh ag an gCoimisiún i gcomhréir le hAirteagal 46(2) de Rialachán (AE) 2016/679, ar choinníoll go gcomhlíonfar na coinníollacha maidir le húsáid na gclásal conarthach caighdeánach sin. |
Clásal 8
Cúnamh don rialaitheoir
|
(a) |
Tabharfaidh an próiseálaí fógra gan mhoill don rialaitheoir faoi aon iarraidh a gheobhaidh sé ón duine is ábhar do na sonraí. Ní thabharfaidh sé freagra ar an iarraidh é féin, mura n-údaraíonn an rialaitheoir dó déanamh amhlaidh. |
|
(b) |
Tabharfaidh an próiseálaí cúnamh don rialaitheoir i gcomhlíonadh a chuid oibleagáidí freagairt d’iarrataí na ndaoine is ábhar do na sonraí maidir lena gcearta a fheidhmiú, agus cineál na próiseála á chur san áireamh. Agus a oibleagáidí á gcomhlíonadh aige i gcomhréir le (a) agus (b), déanfaidh an próiseálaí treoracha an rialaitheora a chomhlíonadh |
|
(c) |
De bhreis ar oibleagáid an phróiseálaí cúnamh a thabhairt don rialaitheoir de bhun Chlásal 8(b), tabharfaidh an próiseálaí cúnamh don rialaitheoir ina theannta sin chun a áirithiú go gcomhlíonfar na hoibleagáidí seo a leanas, agus cineál na próiseála sonraí agus an fhaisnéis atá ar fáil don phróiseálaí á gcur san áireamh:
|
|
(d) |
Leagfaidh na Páirtithe amach in Iarscríbhinn III na bearta iomchuí teicniúla agus eagraíochtúla lena gceanglaítear ar an bpróiseálaí cuidiú leis an rialaitheoir an Clásal seo a chur i bhfeidhm chomh maith le raon feidhme agus méid an chúnaimh is gá. |
Clásal 9
Fógra a thabhairt faoi shárú i ndáil le sonraí pearsanta
I gcás sárú i ndáil le sonraí pearsanta, comhoibreoidh an próiseálaí leis an rialaitheoir agus cuideoidh sé leis a oibleagáidí a chomhlíonadh faoi Airteagail 33 agus 34 de Rialachán (AE) 2016/679 nó faoi Airteagail 34 agus 35 de Rialachán (AE) 2018/1725, i gcás inarb infheidhme, agus cineál na próiseála agus an fhaisnéis atá ar fáil don phróiseálaí á gcur san áireamh.
9.1 Sárú ar shonraí a bhaineann le sonraí arna bpróiseáil ag an rialaitheoir
I gcás sárú i ndáil le sonraí pearsanta a bhaineann le sonraí a phróiseáil an rialaitheoir, tabharfaidh an próiseálaí cúnamh don rialaitheoir:
|
(a) |
agus fógra á thabhairt don údarás maoirseachta inniúil nó do na húdaráis mhaoirseachta inniúla faoin sárú i ndáil le sonraí pearsanta, gan aon mhoill mhíchuí tar éis don rialaitheoir teacht ar an eolas faoi, i gcás inarb ábhartha/(mura rud é nach dócha go mbeidh riosca do chearta agus do shaoirsí daoine nádúrtha mar thoradh ar an sárú i ndáil le sonraí pearsanta); |
|
(b) |
agus an fhaisnéis seo a leanas á fáil, faisnéis a luafar i bhfógra an rialaitheora, de bhun (ROGHA 1) Airteagal 33(3) Rialachán (AE) 2016/679/ (ROGHA 2) Airteagal 34(3) Rialachán (AE) 2018/1725, agus a mbeidh an méid seo a leanas inti ar a laghad:
|
I gcás nach féidir, agus a mhéid nach féidir, an fhaisnéis uile a chur ar fáil ag an am céanna, beidh an fhaisnéis a bheidh ar fáil an uair sin sa chéad fhógra agus cuirfear faisnéis bhreise ar fáil ina dhiaidh sin, de réir mar a bheidh sí ar fáil, gan moill mhíchuí.
|
(c) |
de bhun (ROGHA 1) Airteagal 34 Rialachán (AE) 2016/679/ (ROGHA 2) Airteagal 35 Rialachán (AE) 2018/1725, agus an oibleagáid á comhlíonadh an sárú i ndáil le sonraí pearsanta a chur in iúl don duine is ábhar do na sonraí gan moill mhíchuí, i gcás inar dócha go mbeadh ardriosca do chearta agus do shaoirsí daoine nádúrtha mar thoradh ar an sárú i ndáil le sonraí pearsanta. |
9.2 Sárú ar shonraí a bhaineann le sonraí arna bpróiseáil ag an bpróiseálaí
I gcás sárú i ndáil le sonraí pearsanta a bhaineann le sonraí arna bpróiseáil ag an bpróiseálaí, cuirfidh an próiseálaí an rialaitheoir ar an eolas gan moill mhíchuí a luaithe a fhaigheann an próiseálaí amach gur tharla an sárú. Beidh an méid seo a leanas, ar a laghad, san fhógra sin:
|
(a) |
tuairisc ar chineál an tsáraithe (lena n-áirítear, nuair is féidir, catagóirí agus neas-líon na ndaoine is ábhar do na sonraí agus na dtaifead sonraí lena mbaineann); |
|
(b) |
sonraí pointe teagmhála ónar féidir tuilleadh faisnéise a fháil maidir leis an sárú i ndáil le sonraí pearsanta; |
|
(c) |
na hiarmhairtí a d‘fhéadfadh a bheith aige agus na bearta a rinneadh nó a bheartaítear a dhéanamh chun aghaidh a thabhairt ar an sárú, lena n-áirítear chun na héifeachtaí díobhálacha a d’fhéadfadh a bheith aige a mhaolú. |
I gcás nach féidir, agus a mhéid nach féidir, an fhaisnéis uile a chur ar fáil ag an am céanna, beidh an fhaisnéis a bheidh ar fáil an uair sin sa chéad fhógra agus cuirfear faisnéis bhreise ar fáil ina dhiaidh sin, de réir mar a bheidh sí ar fáil, gan moill mhíchuí.
Leagfaidh na Páirtithe amach in Iarscríbhinn III na heilimintí eile uile a bheidh le soláthar ag an bpróiseálaí agus cúnamh á thabhairt don rialaitheoir i gcomhlíonadh oibleagáidí an rialaitheora faoi (ROGHA 1) Airteagail 33 agus 34 de Rialachán (AE) 2016/679 / (ROGHA 2) Airteagail 34 agus 35 de Rialachán (AE) 2018/1725.
ROINN III
FORÁLACHA CRÍOCHNAITHEACHA
Clásal 10
Neamhchomhlíonadh na gClásal agus foirceannadh
|
(a) |
Gan dochar d’aon fhorálacha i Rialachán (AE) 2016/679 agus/nó Rialachán (AE) 2018/1725, i gcás ina bhfuil an próiseálaí ag sárú a chuid oibleagáidí faoi na Clásail seo, féadfaidh an rialaitheoir treoir a thabhairt don phróiseálaí próiseáil sonraí pearsanta a chur ar fionraí go dtí go gcomhlíonfaidh an próiseálaí na Clásail seo nó go bhfoirceannfar an conradh. Cuirfidh an próiseálaí an rialaitheoir ar an eolas gan mhoill i gcás nach mbeidh sé in ann na Clásail seo a chomhlíonadh, ar chúis ar bith. |
|
(b) |
Beidh an rialaitheoir i dteideal deireadh a chur leis an gconradh a mhéid a bhaineann sé le sonraí pearsanta a phróiseáil i gcomhréir leis na Clásail seo sna cásanna seo a leanas:
|
|
(c) |
Beidh an próiseálaí i dteideal an conradh a fhoirceannadh a mhéid a bhaineann sé le sonraí pearsanta a phróiseáil faoi na Clásail seo más rud é, tar éis dó a chur in iúl don rialaitheoir go bhfuil a threoracha ag sárú na gceanglas dlí is infheidhme i gcomhréir le Clásal 7.1 (b), go n-áitíonn an rialaitheoir go gcomhlíonfaí na treoracha. |
|
(d) |
Tar éis an conradh a fhoirceannadh, scriosfaidh an próiseálaí, de rogha an rialaitheora, na sonraí pearsanta uile a próiseáladh thar ceann an rialaitheora agus deimhneoidh sé don rialaitheoir go ndearna sé amhlaidh, nó tabharfaidh sé na sonraí pearsanta ar fad ar ais don rialaitheoir agus scriosfaidh sé na cóipeanna atá ar marthain, mura rud é go n-éilíonn dlí an Aontais nó dlí Ballstáit go ndéanfar na sonraí pearsanta a stóráil. Go dtí go ndéanfar na sonraí a scriosadh nó a thabhairt ar ais, leanfaidh an próiseálaí ag áirithiú go gcomhlíontar na Clásail seo. |
IARSCRÍBHINN I
LIOSTA NA bPÁIRTITHE
Rialaitheoir(í): (Aitheantas agus sonraí teagmhála an rialaitheora nó na rialaitheoirí, agus, i gcás inarb infheidhme, aitheantas agus sonraí teagmhála oifigeach cosanta sonraí an rialaitheora)
|
1. |
Ainm: … |
|
|
Seoladh: … |
|
|
Ainm, post agus sonraí teagmhála an duine teagmhála: … |
|
|
Síniú agus dáta aontachais: … |
|
2. |
|
…
Próiseálaí/próiseálaithe: (Aitheantas agus sonraí teagmhála an phróiseálaí nó na bpróiseálaithe agus, i gcás inarb infheidhme, aitheantas agus sonraí teagmhála oifigeach cosanta sonraí an phróiseálaí)
|
1. |
Ainm: … |
|
|
Seoladh: … |
|
|
Ainm, post agus sonraí teagmhála an duine teagmhála: … |
|
|
Síniú agus dáta aontachais: … |
|
2. |
|
…
IARSCRÍBHINN II
TUAIRISC AR AN bPRÓISEÁIL
Catagóirí na ndaoine is ábhar do na sonraí a ndéantar a sonraí pearsanta a phróiseáil
…
Na catagóirí sonraí pearsanta a phróiseáiltear
…
Sonraí íogaire arna bpróiseáil (más infheidhme) agus srianta nó coimircí arna gcur i bhfeidhm lena gcuirtear san áireamh go hiomlán cineál na sonraí agus na rioscaí lena mbaineann, mar shampla, teorannú dian de réir cuspóra, srianta ar rochtain (lena n-áirítear rochtain do bhaill foirne amháin a lean oiliúint speisialaithe), taifead a choinneáil ar rochtain ar na sonraí, srianta ar aistrithe ar aghaidh nó bearta breise slándála.
…
Cineál na próiseála
…
An chríoch/na críocha dá bpróiseáiltear na sonraí pearsanta thar ceann an rialaitheora
…
Fad na próiseála
…
…
Le haghaidh próiseála ag próiseálaithe/fophróiseálaithe, sonraigh freisin ábhar, cineál agus fad na próiseála
IARSCRÍBHINN III
BEARTA TEICNIÚLA AGUS EAGRAÍOCHTÚLA LENA N-ÁIRÍTEAR BEARTA TEICNIÚLA AGUS EAGRAÍOCHTÚLA CHUN SLÁNDÁIL NA SONRAÍ A ÁIRITHIÚ
NÓTA MÍNIÚCHÁIN:
Ní mór na bearta teicniúla agus eagraíochtúla a thuairisciú go nithiúil agus ní ar bhealach cineálach.
Tuairisc ar na bearta slándála teicniúla agus eagraíochtúla a chuir an próiseálaí nó na próiseálaithe chun feidhme (lena n-áirítear aon deimhnithe ábhartha) chun leibhéal iomchuí slándála a áirithiú, agus cineál, raon feidhme, comhthéacs agus cuspóir na próiseála á gcur san áireamh, mar aon leis na rioscaí do chearta agus do shaoirsí daoine nádúrtha. Samplaí de bhearta féideartha:
|
|
Bearta le haghaidh ainmneacha bréige a chur i bhfeidhm agus criptiú a dhéanamh i ndáil le sonraí pearsanta |
|
|
Bearta chun rúndacht, sláine, infhaighteacht agus athléimneacht leanúnach na gcóras agus na seirbhísí próiseála a áirithiú |
|
|
Bearta chun an cumas infhaighteacht agus rochtain ar shonraí pearsanta a athshlánú ar mhodh tráthúil sa chás ina dtarlaíonn teagmhas fisiciúil nó teicniúil |
|
|
Próisis chun tástáil, measúnú agus meastóireacht rialta a dhéanamh ar éifeachtúlacht na mbeart teicniúil agus eagraíochtúil chun slándáil na próiseála a áirithiú |
|
|
Bearta chun úsáideoirí a aithint agus a údarú |
|
|
Bearta chun sonraí a chosaint agus iad á dtarchur |
|
|
Bearta chun sonraí a chosaint agus iad á stóráil |
|
|
Bearta chun slándáil fhisiciúil suíomhanna, ina ndéantar sonraí pearsanta a phróiseáil, a áirithiú |
|
|
Bearta chun logáil imeachtaí a áirithiú |
|
|
Bearta le cumraíocht an chórais a áirithiú, lena n-áirítear cumraíocht réamhshocraithe |
|
|
Bearta maidir le rialachas agus bainistiú TF inmheánach agus slándála TF |
|
|
Bearta chun próisis agus táirgí a dheimhniú/a dhearbhú |
|
|
Bearta chun íoslaghdú sonraí a áirithiú |
|
|
Bearta chun cáilíocht sonraí a áirithiú |
|
|
Bearta chun teorainn leis an gcoinneáil sonraí a áirithiú |
|
|
Bearta chun cuntasacht a áirithiú |
|
|
Bearta chun iniomparthacht sonraí a cheadú agus scriosadh a áirithiú) |
I gcás aistrithe chuig próiseálaithe/fophróiseálaithe, tugtar tuairisc freisin ar na bearta sonracha teicniúla agus eagraíochtúla atá le déanamh ag an bpróiseálaí/bhfophróiseálaí le bheith in ann cúnamh a thabhairt don rialaitheoir
Tuairisc ar na bearta sonracha teicniúla agus eagraíochtúla atá le déanamh ag an bpróiseálaí le bheith in ann cúnamh a thabhairt don rialaitheoir.
IARSCRÍBHINN IV
LIOSTA FOPHRÓISEÁLAITHE
NÓTA MÍNIÚCHÁIN:
Is gá an Iarscríbhinn seo a chomhlánú i gcás údarú sonrach d’fhophróiseálaithe (Clásal 7.7(a), Rogha 1).
Tá údarú tugtha ag an rialaitheoir na fophróiseálaithe seo a leanas a úsáid:
|
1. |
Ainm: … |
|
|
Seoladh: … |
|
|
Ainm, post agus sonraí teagmhála an duine teagmhála: … |
|
|
Tuairisc ar an bpróiseáil (lena n-áirítear teorannú soiléir freagrachtaí i gcás ina n-údaraítear roinnt fophróiseálaithe): … |
|
2. |
… |