Regulamin

UMOWA POWIERZENIA PRZETWARZANIA

  1. Klauzule. Poniższe klauzule (klauzule) stanowią treść Umowy Powierzenia Przetwarzania zawartej pomiędzy Sprzedawcą (Administratorem), a 3e (Przetwarzający) i zostały opracowane w oparciu o DECYZJĘ WYKONAWCZĄ KOMISJI (UE) 2021914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016679. Klauzule nie naruszają obowiązków, którym podlega podmiot przekazujący dane na mocy rozporządzenia (UE) 2016679.
  2. Interpretacja i hierarchia. W przypadku gdy w niniejszych klauzulach stosuje się terminy zdefiniowane w rozporządzeniu (UE) 2016679, terminy te mają znaczenie nadane im w tym rozporządzeniu. Klauzule należy odczytywać i interpretować w świetle przepisów rozporządzenia (UE) 2016679. Klauzul tych nie należy interpretować w sposób sprzeczny z prawami i obowiązkami określonymi w rozporządzeniu (UE) 2016679. W przypadku sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między Stronami, obowiązujących w chwili uzgodnienia niniejszych klauzul, lub zawartych w późniejszym terminie, niniejsze klauzule mają pierwszeństwo.
  3. Powierzenie przetwarzania. Administrator powierza Przetwarzającemu dane osobowe klientów niezbędne w celu wykonywania Transakcji zawieranych za pośrednictwem Marketu Online, w tym informacje kontaktowe pozyskane w ramach procedury składania zamówienia drogą elektroniczną, np. imię, nazwisko, adres do doręczeń, adres e-mail, numer telefonu, user-agent, komentarz, do przetwarzania w celu: wykonania ww. umów, w tym umożliwienia podmiotom danych logowania i korzystania z Marketu Online, zawierania i wykonywania Transakcji, oraz zapewnienie bezpieczeństwa, w szczególności - zapobiegania atakom hakerskim - art. 6 ust. 1 lit. b RODO (przetwarzanie w celu wykonania umowy). W przypadku korzystania z modułów lojalnościowych dane osobowe klientów mogą zawierać również płeć, datę urodzenia oraz preferencje.
  4. Środki bezpieczeństwa. W celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych Przetwarzający stosuje następujące techniczne i organizacyjne środki bezpieczeństwa:
    1. umożliwiające pseudonimizację i szyfrowanie danych osobowych;
    2. zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
    3. zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
    4. procesy umożliwiające regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;
    5. umożliwiające identyfikację i autoryzację użytkowników;
    6. zapewniające ochronę danych w czasie ich przekazywania i przechowywania;
    7. służące zapewnieniu bezpieczeństwa fizycznego miejsc, w których przetwarzane są dane osobowe;
    8. umożliwiające rejestrowanie zdarzeń;
    9. służące do konfiguracji systemu, w tym konfiguracji domyślnej;
    10. dotyczące zarządzania wewnętrznym systemem IT i bezpieczeństwem IT;
    11. zapewniające minimalizację danych, odpowiednią jakość danych, ograniczone zatrzymywanie danych, rozliczalność;
    12. umożliwiające przenoszenie danych i zapewnienie ich usuwania.
  5. Polecenia. Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora. Administrator może wydawać takie polecenia w całym okresie obowiązywania umowy. Przetwarzający niezwłocznie informuje Administratora, jeżeli nie może wykonać tego polecenia.
  6. Ograniczenie celu. Przetwarzający przetwarza dane osobowe wyłącznie w konkretnym celu lub celach przetwarzania, określonych w pkt. 3, chyba że otrzyma dalsze polecenia od Administratora.
  7. Czas przetwarzania. Przetwarzanie będzie odbywać się wyłącznie w czasie, w którym Administrator będzie korzystał z Marketu Online.
  8. Bezpieczeństwo przetwarzania. W celu zapewnienia bezpieczeństwa danych osobowych Przetwarzający wdraża co najmniej środki techniczne i organizacyjne określone w pkt. 4. Zapewnienie bezpieczeństwa danych obejmuje ochronę danych przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych (naruszenie ochrony danych osobowych). Przetwarzający udziela członkom swojego personelu dostępu do danych osobowych podlegających przetwarzaniu jedynie w zakresie bezwzględnie niezbędnym do wykonania umowy, zarządzania nią i jej monitorowania. Podmiot przetwarzający zapewnia, aby osoby upoważnione do przetwarzania otrzymanych danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
  9. Dokumentacja i zgodność. Przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków, które są określone w niniejszych klauzulach i wynikają bezpośrednio z rozporządzenia (UE) 2016679 lub rozporządzenia (UE) 20181725. Na wniosek Administratora Przetwarzający zezwala również na audyty czynności przetwarzania i uczestniczy w tych audytach. Audyty te przeprowadza się w rozsądnych odstępach czasu lub jeżeli istnieją przesłanki wskazujące na niezgodność. Podejmując decyzję w sprawie przeglądu lub audytu, Administrator może wziąć pod uwagę odpowiednie certyfikaty, jakie ma Przetwarzający. Administrator może przeprowadzić audyt samodzielnie lub upoważnić do jego przeprowadzenia niezależnego audytora. Audyty mogą również obejmować inspekcję w pomieszczeniach lub obiektach fizycznych Przetwarzającego. Audyty te przeprowadza się, informując o nich, w stosownych przypadkach, z odpowiednim wyprzedzeniem. Na wniosek właściwego(-ych) organu(-ów) nadzorczego(-ych) strony udostępniają mu (im) informacje, o których mowa powyżej, w tym wyniki wszelkich audytów.
  10. Przekazywanie między podmiotami przetwarzającymi. Przetwarzający powierza przetwarzanie danych Microsoft w ramach korzystania z usługi Azure. Informacje w zakresie przetwarzania danych w ramach tej usługi są dostępne tutaj. Przetwarzający ma ogólną zgodę Administratora na korzystanie z usług podmiotów podprzetwarzających. Przetwarzający informuje Administratora na piśmie o wszelkich zamierzonych zmianach polegających na dodaniu lub zastąpieniu podmiotów podprzetwarzających z wyprzedzeniem co najmniej 14 dni, dając tym samym Administratorowi wystarczająco dużo czasu na wyrażenie sprzeciwu wobec takich zmian przed rozpoczęciem korzystania z usług danego podmiotu podprzetwarzającego (podmiotów podprzetwarzających). Przetwarzający przekazuje Administratorowi niezbędne informacje umożliwiające mu skorzystanie z prawa sprzeciwu. Jeżeli Przetwarzający dane angażuje podwykonawcę przetwarzania do celów wykonania określonych czynności przetwarzania (w imieniu Administratora), czyni to na podstawie umowy, która zasadniczo przewiduje takie same obowiązki w odniesieniu do ochrony danych, jakie wiążą Przetwarzający dane na mocy klauzul, w tym w zakresie praw osób, których dane dotyczą, przysługujących im jako osobom trzecim, na rzecz których zawarto umowę. Przetwarzający zapewnia, aby podwykonawca przetwarzania wywiązywał się z obowiązków, którym podmiot odbierający dane podlega na podstawie niniejszych klauzul. Na wniosek Administratora Przetwarzający przekazuje administratorowi kopię umowy, jaką zawarł z podmiotem podprzetwarzającym, a w razie wprowadzenia zmian przekazuje Administratorowi jej zaktualizowaną wersję. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, podmiot przetwarzający może utajnić tekst umowy przed jej udostępnieniem. Przetwarzający pozostaje w pełni odpowiedzialny przed Administratorem za wykonanie obowiązków podmiotu podprzetwarzającego zgodnie z jego umową z Przetwarzającym. Przetwarzający powiadamia Administratora o każdym przypadku niewywiązania się przez podmiot podprzetwarzający z jego zobowiązań umownych. Przetwarzający uzgadnia z podmiotem podprzetwarzającym klauzulę dotyczącą beneficjenta będącego osobą trzecią, zgodnie z którą to klauzulą – jeżeli Przetwarzający przestanie istnieć faktycznie lub formalnie lub stanie się niewypłacalny – Administrator ma prawo rozwiązać umowę z podmiotem podprzetwarzającym i nakazać mu usunięcie lub zwrot danych osobowych.
  11. Prawa osoby, której dane dotyczą. Przetwarzający dane bezzwłocznie powiadamia Administratora o każdym żądaniu otrzymanym od osoby, której dane dotyczą. Nie odpowiada on na to żądanie samodzielnie, chyba że został do tego upoważniony przez Administratora. Przetwarzający pomaga Administratorowi w wypełnianiu jego obowiązków w zakresie odpowiadania na żądania osób, których dane dotyczą, związane z wykonywaniem praw przysługujących tym osobom na podstawie rozporządzenia (UE) 2016679. W związku z tym Strony określają środki techniczne i organizacyjne, uwzględniając charakter przetwarzania, w drodze których zapewniana będzie pomoc, jak również zakres wymaganej pomocy. Wywiązując się z obowiązków, Przetwarzający postępuje zgodnie z poleceniem Administratora.
  12. Dochodzenie roszczeń. W przypadku gdy między osobą, której dane dotyczą, a jedną ze Stron wystąpi spór co do przestrzegania klauzul, Strona ta dokłada wszelkich starań, aby rozwiązać spór w sposób polubowny i terminowy. Strony na bieżąco przekazują sobie informacje na temat pojawienia się takich sporów i w stosownych przypadkach współpracują, by je rozwiązać. W przypadku gdy osoba, której dane dotyczą, powoła się na prawo przysługujące jej jako osobie trzeciej, na rzecz której zawarto umowę, podmiot odbierający dane akceptuje decyzję osoby, której dane dotyczą, aby: (i) złożyć skargę do organu nadzorczego w państwie członkowskim miejsca zwykłego pobytu lub miejsca pracy tej osoby lub do właściwego organu nadzorczego zgodnie z klauzulą 14; (ii) skierować spór do sądów właściwych w rozumieniu klauzuli 20. Strony akceptują, że osobę, której dane dotyczą, mogą reprezentować podmiot, organizacja lub zrzeszenie, które nie mają charakteru zarobkowego, na warunkach określonych w art. 80 ust. 1 rozporządzenia (UE) 2016679. Podmiot odbierający dane stosuje się do decyzji wiążącej na podstawie obowiązującego prawa Unii lub państwa członkowskiego. Podmiot odbierający dane potwierdza, że wybór, jakiego dokona osoba, której dane dotyczą, pozostanie bez uszczerbku dla praw podmiotowych lub procesowych przysługujących jej zgodnie z mającymi zastosowanie przepisami.
  13. Odpowiedzialność. Każda Strona ponosi odpowiedzialność wobec podmiotu lub podmiotów będących drugą Stroną za wszelkie wyrządzone im przez siebie szkody wynikające z naruszenia niniejszych klauzul. Podmiot odbierający dane ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osobie, której dane dotyczą, przysługuje prawo do odszkodowania z tytułu jakichkolwiek szkód majątkowych lub niemajątkowych wyrządzonych osobie, której dane dotyczą, przez podmiot odbierający dane lub jego podwykonawcę przetwarzania w wyniku naruszenia praw przysługujących jej jako osobie trzeciej, na rzecz której zawarto umowę, na podstawie niniejszych klauzul. Niezależnie od postanowień powyższych podmiot przekazujący dane ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osobie, której dane dotyczą, przysługuje prawo do odszkodowania z tytułu jakichkolwiek szkód majątkowych lub niemajątkowych wyrządzonych osobie, której dane dotyczą, przez podmiot przekazujący dane lub podmiot odbierający dane (lub jego podwykonawcę przetwarzania) w wyniku naruszenia praw przysługujących jej jako osobie trzeciej, na rzecz której zawarto umowę, na podstawie niniejszych klauzul. Zasada ta pozostaje bez uszczerbku dla odpowiedzialności spoczywającej na podmiocie przekazującym dane, a w przypadku gdy podmiot przekazujący dane jest podmiotem przetwarzającym działającym w imieniu administratora – bez uszczerbku dla odpowiedzialności administratora na podstawie rozporządzenia (UE) 2016679 lub w stosownych przypadkach rozporządzenia (UE) 20181725. Strony uzgadniają, że w przypadku pociągnięcia na podstawie poprzedniego zdania podmiotu przekazującego dane do odpowiedzialności za szkody wyrządzone przez podmiot odbierający dane (lub jego podwykonawcę przetwarzania) przysługuje mu prawo do żądania od podmiotu odbierającego dane odszkodowania w wysokości odpowiadającej stopniowi odpowiedzialności podmiotu odbierającego dane za wyrządzoną szkodę. W przypadku gdy za jakiekolwiek szkody wobec osoby, której dane dotyczą, wynikające z naruszenia niniejszych klauzul, odpowiedzialność ponosi więcej niż jedna Strona, wszystkie odpowiedzialne Strony ponoszą odpowiedzialność solidarną, a osobie, której dane dotyczą, przysługuje prawo do wystąpienia do sądu przeciwko którejkolwiek z tych Stron. Strony uzgadniają, że w przypadku pociągnięcia na podstawie postanowień zdania poprzedniego jednej Strony do odpowiedzialności przysługuje jej prawo do żądania od podmiotu lub podmiotów będących drugą Stroną odszkodowania w wysokości odpowiadającej stopniowi odpowiedzialności za wyrządzoną szkodę. Podmiot odbierający dane nie może powołać się na postępowanie podwykonawcy przetwarzania, aby uniknąć własnej odpowiedzialności.
  14. Nadzór. [W przypadku gdy podmiot przekazujący dane posiada jednostkę organizacyjną w państwie członkowskim UE] Organ nadzorczy odpowiedzialny za zapewnienie, aby podmiot przekazujący dane przestrzegał przepisów rozporządzenia (UE) 2016679 w odniesieniu do przekazywania danych działa w charakterze właściwego organu nadzorczego. [W przypadku gdy podmiot przekazujący dane nie ma jednostki organizacyjnej w państwie członkowskim UE, lecz jest objęty terytorialnym zakresem stosowania rozporządzenia (UE) 2016679 zgodnie z art. 3 ust. 2 tego rozporządzenia i wyznaczył przedstawiciela na podstawie art. 27 ust. 1 rozporządzenia (UE) 2016679:] Organ nadzorczy państwa członkowskiego, w którym przedstawiciel w rozumieniu art. 27 ust. 1 rozporządzenia (UE) 2016679 posiada jednostkę organizacyjną działa w charakterze właściwego organu nadzorczego. [W przypadku gdy podmiot przekazujący dane nie ma jednostki organizacyjnej w państwie członkowskim UE, lecz jest objęty terytorialnym zakresem stosowania rozporządzenia (UE) 2016679 zgodnie z art. 3 ust. 2 tego rozporządzenia, jednak nie wyznaczył przedstawiciela na podstawie art. 27 ust. 2 rozporządzenia (UE) 2016679:] Organ nadzorczy z jednego z państw członkowskich, w którym przebywają osoby, których dane dotyczą, których dane osobowe są przekazywane na podstawie niniejszych klauzul w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane, działa w charakterze właściwego organu nadzorczego. W przypadku gdy dane osobowe przekazywane są z państwa trzeciego Podmiot odbierający dane zgadza się poddać jurysdykcji właściwego organu nadzorczego i współpracować z tym organem w zakresie wszystkich procedur ukierunkowanych na zapewnienie przestrzegania niniejszych klauzul. W szczególności podmiot odbierający dane zgadza się odpowiadać na zapytania, poddawać się audytom i przestrzegać środków przyjętych przez organ nadzorczy, w tym środków zaradczych i kompensacyjnych. Przedstawia on organowi nadzorczemu pisemne potwierdzenie podjęcia się realizacji niezbędnych działań.
  15. Prawa i praktyki lokalne wpływające na przestrzeganie klauzul. W przypadku gdy dane osobowe przekazywane są z państwa trzeciego a) Strony gwarantują, że nie mają podstaw, by uważać, iż prawa i praktyki w państwie trzecim przeznaczenia, mające zastosowanie do przetwarzania danych osobowych przez podmiot odbierający dane, w tym wszelkie wymogi dotyczące ujawniania danych osobowych lub środki upoważniające organy publiczne do uzyskania dostępu, uniemożliwiają podmiotowi odbierającemu dane wypełnienie jego obowiązków wynikających z niniejszych klauzul. Opiera się to na założeniu, że przepisy i praktyki, które nie naruszają istoty podstawowych praw i wolności oraz nie wykraczają poza to, co jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym służącym zabezpieczeniu jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016679, nie są sprzeczne z niniejszymi klauzulami; b) Strony oświadczają, że składając gwarancję, o której mowa w lit. a), należycie uwzględniły w szczególności następujące elementy: (i) szczególne okoliczności przekazywania, w tym długość łańcucha przetwarzania, liczbę zaangażowanych podmiotów i wykorzystywane kanały przekazywania; planowane dalsze przekazywanie; rodzaj odbiorcy; cel przetwarzania danych; kategorie i format przekazywanych danych osobowych; sektor gospodarki, w którym dochodzi do przekazywania danych; miejsce przechowywania przekazywanych danych; (ii) przepisy i praktyki państwa trzeciego przeznaczenia, w tym przepisy i praktyki wymagające ujawnienia danych organom publicznym lub upoważniające takie organy do uzyskania dostępu, istotne w świetle szczególnych okoliczności przekazywania danych oraz mających zastosowanie ograniczeń i zabezpieczeń; (iii) wszelkie stosowne zabezpieczenia umowne, techniczne lub organizacyjne wprowadzone w celu uzupełnienia zabezpieczeń wynikających z niniejszych klauzul, w tym środki stosowane w czasie przekazywania i przetwarzania danych osobowych w państwie przeznaczenia. c) Podmiot odbierający dane gwarantuje, że przeprowadzając ocenę na podstawie postanowień lit. b), dołożył wszelkich starań, aby udostępnić podmiotowi przekazującemu dane odpowiednie informacje, oraz wyraża zgodę na dalszą współpracę z podmiotem przekazującym dane w zakresie zapewnienia zgodności z niniejszymi klauzulami. d) Strony zgadzają się udokumentować ocenę, o której mowa w lit. b), i udostępnić ją na żądanie właściwego organu nadzorczego. e) Podmiot odbierający dane zobowiązuje się do niezwłocznego powiadomienia podmiotu przekazującego dane, jeśli po uzgodnieniu niniejszych klauzul i w okresie obowiązywania umowy ma powody, aby sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w lit. a), w tym w wyniku zmiany przepisów państwa trzeciego lub środka (takiego jak żądanie ujawnienia danych) wskazującego na stosowanie takich przepisów w praktyce, które nie jest zgodne z wymogami określonymi w lit. a). Podmiot przekazujący dane przekazuje to powiadomienie administratorowi. f) Po otrzymaniu powiadomienia zgodnie z lit. e) lub jeżeli podmiot przekazujący dane ma inny powód, by sądzić, że podmiot odbierający dane nie może dłużej wypełniać swoich obowiązków wynikających z niniejszych klauzul, podmiot przekazujący dane bezzwłocznie określa odpowiednie środki (na przykład środki techniczne lub organizacyjne służące zapewnieniu bezpieczeństwa i poufności), które podmiot przekazujący dane lub podmiot odbierający dane powinni przyjąć w celu zaradzenia zaistniałej sytuacji. Podmiot przekazujący dane wstrzymuje przekazywanie danych, jeżeli uzna, że zapewnienie odpowiednich zabezpieczeń w odniesieniu do takiego przekazywania jest niemożliwe, lub na polecenie właściwego organu nadzorczego. W takim przypadku podmiot przekazujący dane jest uprawniony do rozwiązania umowy – o ile problem dotyczy przetwarzania danych osobowych na podstawie niniejszych klauzul. W przypadku gdy umowa dotyczy więcej niż dwóch Stron, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej. W przypadku rozwiązania umowy na podstawie niniejszej klauzuli zastosowanie ma klauzula 18 lit. d) i e).
  16. Powiadomienie. a) Podmiot odbierający dane zobowiązuje się do niezwłocznego powiadomienia podmiotu przekazującego dane oraz, o ile to możliwe, osoby, której dane dotyczą (w stosownych przypadkach z pomocą podmiotu przekazującego dane), jeśli: (i) otrzyma od organu publicznego, w tym sądowego, prawnie wiążące żądanie – zgodnie z przepisami państwa przeznaczenia – ujawnienia danych osobowych przekazywanych na podstawie niniejszych klauzul; takie powiadomienie zawiera informacje na temat danych osobowych, których dotyczy żądanie, organu występującego z żądaniem, podstawy prawnej żądania oraz udzielonej odpowiedzi; lub (ii) dowie się o jakimkolwiek przypadku bezpośredniego dostępu przez organy publiczne do danych osobowych przekazywanych na podstawie niniejszych klauzul zgodnie z przepisami państwa przeznaczenia; takie powiadomienie zawiera wszelkie informacje, do których podmiot odbierający dane ma dostęp. Podmiot przekazujący dane przekazuje to powiadomienie administratorowi. b) Jeżeli podmiotowi odbierającemu dane zakazano powiadamiania podmiotu przekazującego dane lub osoby, której dane dotyczą, na mocy przepisów państwa przeznaczenia, zgadza się on dołożyć wszelkich starań, aby uzyskać zwolnienie z tego zakazu w celu przekazania jak największej ilości informacji w jak najkrótszym czasie. Podmiot odbierający dane zgadza się udokumentować swoje starania, aby móc je wykazać na żądanie podmiotu przekazującego dane. c) Jeżeli jest to dopuszczalne zgodnie z przepisami państwa przeznaczenia, podmiot odbierający dane zgadza się dostarczać podmiotowi przekazującemu dane, w regularnych odstępach czasu w okresie obowiązywania umowy, jak najwięcej istotnych informacji o otrzymanych żądaniach (w szczególności na temat liczby żądań, rodzaju wymaganych danych, organu lub organów występujących z żądaniem, a także informacji o tym, czy żądania były przedmiotem środków zaradczych służących ich zakwestionowaniu i jaki był wynik takich działań itp.). Podmiot przekazujący dane przekazuje te informacje administratorowi. d) Podmiot odbierający dane zgadza się przechowywać informacje, o których mowa w lit. a)–c), przez okres obowiązywania umowy i udostępniać je na żądanie właściwego organu nadzorczego. e) Lit. a)–c) pozostają bez uszczerbku dla obowiązku podmiotu odbierającego dane wynikającego z klauzuli 15 lit. e) i klauzuli 18, dotyczącego niezwłocznego poinformowania podmiotu przekazującego dane, w przypadku gdy nie może on zapewnić zgodności z postanowieniami niniejszych klauzul.
  17. Kontrola legalności i minimalizacja danych. a) Podmiot odbierający dane zgadza się skontrolować legalność żądania ujawnienia danych, a w szczególności kwestii, czy mieści się ono w zakresie uprawnień przyznanych organowi publicznemu występującemu z żądaniem, oraz zakwestionować ważność żądania, jeżeli po dokonaniu starannej oceny stwierdzi, że istnieją uzasadnione podstawy do uznania, iż żądanie jest niezgodne z prawem w świetle przepisów państwa przeznaczenia, mających zastosowanie zobowiązań wynikających z prawa międzynarodowego i zasad kurtuazji międzynarodowej. Podmiot odbierający dane korzysta z możliwości odwołania się na tych samych warunkach. Kwestionując żądanie, podmiot odbierający dane dąży do zastosowania środków tymczasowych w celu zawieszenia skutków żądania do czasu rozstrzygnięcia istoty sprawy przez właściwy organ sądowy. Nie może ujawniać danych osobowych, których dotyczy żądanie, dopóki nie będzie do tego zobowiązany na mocy mających zastosowanie przepisów procesowych. Wymogi te pozostają bez uszczerbku dla obowiązków podmiotu odbierającego dane wynikających z klauzuli 15 lit. e). b) Podmiot odbierający dane zgadza się udokumentować swoją ocenę prawną, a także wszelkie przypadki zakwestionowania żądania ujawnienia danych oraz, w zakresie dopuszczalnym przez przepisy państwa przeznaczenia, udostępnić dokumentację podmiotowi przekazującemu dane. Udostępnia ją również na żądanie właściwego organu nadzorczego. Podmiot przekazujący dane udostępnia wyniki oceny administratorowi. c) Podmiot odbierający dane zgadza się dostarczyć minimalną dopuszczalną ilość informacji, udzielając odpowiedzi na żądanie ujawnienia danych, w oparciu o jego rozsądną interpretację.
  18. Brak zgodności z klauzulami i rozwiązanie umowy. a) Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli z jakiegokolwiek powodu nie może zapewnić przestrzegania postanowień niniejszych klauzul. b) W przypadku gdy podmiot odbierający dane narusza postanowienia niniejszych klauzul lub nie może zapewnić przestrzegania ich postanowień, podmiot przekazujący dane czasowo, do chwili ponownego zapewnienia przestrzegania klauzul lub rozwiązania umowy, wstrzymuje przekazywanie danych osobowych do podmiotu odbierającego. Powyższe pozostaje bez uszczerbku dla postanowień klauzuli 15 lit. f). c) Podmiot przekazujący dane jest uprawniony do rozwiązania umowy – o ile problem dotyczy przetwarzania danych osobowych na podstawie niniejszych klauzul – w przypadku gdy: (i) podmiot przekazujący dane wstrzymał przekazywanie danych osobowych do podmiotu odbierającego dane na podstawie lit. b), a zgodność z postanowieniami niniejszych klauzul nie została przywrócona w rozsądnym terminie, a w każdym razie w ciągu jednego miesiąca od wstrzymania; (ii) podmiot odbierający dane w poważnym stopniu lub uporczywie narusza postanowienia niniejszych klauzul; lub (iii) podmiot odbierający dane nie zastosował się do wiążącej decyzji właściwego sądu lub organu nadzorczego dotyczącej jego obowiązków wynikających z niniejszych klauzul. W takich przypadkach informuje on właściwy organ nadzorczy oraz administratora o takim przypadku niezastosowania się do decyzji. W przypadku gdy umowa dotyczy więcej niż dwóch Stron, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej. d) Dane osobowe przekazane przed rozwiązaniem umowy na podstawie lit. c) muszą zostać – w zależności od wyboru dokonanego przez podmiot przekazujący dane – niezwłocznie zwrócone temu podmiotowi lub w całości usunięte. To samo dotyczy wszelkich kopii tych danych. Podmiot odbierający dane poświadcza usunięcie danych podmiotowi przekazującemu. Do czasu usunięcia lub zwrotu danych podmiot odbierający dane nadal zapewnia zgodność z niniejszymi klauzulami. Jeżeli lokalne prawo obowiązujące podmiot odbierający dane zabrania zwrotu lub usunięcia przekazanych danych osobowych, podmiot odbierający dane gwarantuje, że będzie w dalszym ciągu zapewniał przestrzeganie niniejszych klauzul oraz że będzie przetwarzał dane wyłącznie w zakresie i w czasie wymaganym przez to prawo lokalne. e) Każda ze Stron może wycofać swoją zgodę na związanie się niniejszymi klauzulami, w przypadku gdy: (i) Komisja Europejska przyjmie decyzję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016679 obejmującą przekazywanie danych osobowych, do których mają zastosowanie niniejsze klauzule; lub (ii) rozporządzenie (UE) 2016679 stanie się częścią ram prawnych państwa, do którego przekazywane są dane osobowe. Powyższe pozostaje bez uszczerbku dla pozostałych obowiązków mających zastosowanie do przedmiotowego przetwarzania na podstawie rozporządzenia (UE) 2016679.
  19. Prawo właściwe. Klauzule podlegają przepisom prawa polskiego.
  20. Jurysdykcja. Wszelkie spory wynikające z klauzul są rozstrzygane przez sądy Rzeczpospolitej Polskiej. Osoba, której dane dotyczą, może również wszcząć postępowanie sądowe przeciwko podmiotowi przekazującemu dane lub podmiotowi odbierającemu dane przed sądami państwa członkowskiego, w którym znajduje się jej miejsce zwykłego pobytu.