ПРИЛОЖЕНИЕ II: Стандартни договорни клаузи, одобрени от европейската комисия (модул 4)

Целта на тези стандартни договорни клаузи е да осигурят съответствие с GDPR при прехвърляне на лични данни към трета държава.

РАЗДЕЛ I


Клауза 1

Цел и обхват

  1. Целта на настоящите стандартни договорни клаузи е да се осигури съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните) по отношение на предаването на лични данни на трета държава.
  2. Страните:
    • физическото(ите) или юридическото(ите) лице(а), публичният(ите) орган(и), агенцията(ите) или друга(и) структура(и) (наричан(и) по-нататък "структура(и)"), която(които) предава(т) личните данни, както е изброено (са изброени) в приложение I.A. (всяка от тях наричана по-нататък "износител на данни"), и
    • организация в трета държава, която получава личните данни от износителя на данни, директно или чрез друга организация, която също е Страна по тези Клаузи, както е посочено в Приложение I.A. (всяка от тях наричана по-нататък "вносител на данни"), се споразумяха за следните стандартни договорни клаузи (наричани по-нататък "клаузите").
  3. Настоящите клаузи се прилагат по отношение на предаването на лични данни, посочено в приложение I.Б.
  4. Допълнението към настоящите клаузи, което съдържа посочените тук приложения, е неразделна част от клаузите.

Клауза 2

Действие и неизменимост на клаузите

  1. С настоящите клаузи се определят подходящите гаранции, включително приложимите права на субектите на данни и ефективните правни средства за защита съгласно член 46, параграф 1 и член 46, параграф 2, буква в) от Регламент (ЕС) 2016/679, а по отношение на предаването на данни от администратори на обработващи лични данни и/или от обработващи лични данни на обработващи лични данни — стандартните договорни клаузи съгласно член 28, параграф 7 от Регламент (ЕС) 2016/679, при условие че те не са променени, освен с цел да се избере подходящият(ите) модул(и) или да се добави или актуализира информация в допълнението. Това не пречи на страните да включат стандартните договорни клаузи, определени в настоящите клаузи, в по-широк договор и/или да добавят други клаузи или допълнителни гаранции, при условие че те не противоречат, пряко или непряко, на настоящите клаузи или не засягат основни права или свободи на субектите на данни.
  2. Настоящите клаузи не засягат задълженията на износителя на данни по силата на Регламент (ЕС) 2016/679.


Клауза 3

Трети страни бенефициери

  1. Субектите на данни, в качеството си на трети страни бенефициери, могат да се позовават на настоящите клаузи и да искат прилагането им спрямо износителя на данни и/или спрямо вносителя на данни, със следните изключения:
    • Клаузи 1, 2, 3, 6 и 7.
    • Клауза 8: клауза 8.1, буква б) и точка 8.3, буква б).
    • Клауза 13.
  2. Буква а) не засяга правата на субектите на данни съгласно Регламент (ЕС) 2016/679.

Клауза 4

Тълкуване

  1. Когато в настоящите клаузи се използват термини, определени в Регламент (ЕС) 2016/679, тези термини имат същото значение като в този регламент.
  2. Настоящите клаузи се четат и тълкуват в светлината на разпоредбите на Регламент (ЕС) 2016/679.
  3. Настоящите клаузи не трябва да се тълкуват по начин, който противоречи на правата и задълженията, предвидени в Регламент (ЕС) 2016/679.


Клауза 5

Йерархия

В случай на противоречие между настоящите клаузи и разпоредбите на свързаните с тях споразумения между страните, съществуващи към момента на договаряне на настоящите клаузи или сключени след това, предимство имат настоящите клаузи.

Клауза 6

Описание на прехвърлянето(ята)

Подробностите за предаването(ията), и по-специално категориите лични данни, които се предават, и целта(ите), за които се предават данните, са посочени в приложение I.Б.

Клауза 7

Клауза за присъединяване

  1. Структура, която не е страна по настоящите клаузи, може със съгласието на страните да се присъедини към настоящите клаузи по всяко време или като износител на данни, или като вносител на данни, като попълни допълнението и подпише приложение I.А.
  2. След като попълни допълнението и подпише приложение I.А, присъединяващата се структура става страна по настоящите клаузи и има правата и задълженията на износител на данни или на вносител на данни в съответствие с посоченото в приложение I.А.
  3. Настоящите клаузи не пораждат права или задължения за присъединяващата се структура за периода преди тя да стане страна.


РАЗДЕЛ II: ЗАДЪЛЖЕНИЯ НА СТРАНИТЕ


Клауза 8

Гаранции за защита на личните данни

Износителят на данни гарантира, че е положил разумни усилия, за да се увери, че вносителят на данни е в състояние да изпълни задълженията си по настоящите клаузи чрез прилагането на подходящи технически и организационни мерки.

8.1. Указания.

  1. Износителят на данни обработва личните данни само по документирано нареждане на вносителя на данни, който действа като негов администратор.
  2. Износителят на данни незабавно уведомява вносителя на данни, ако не е в състояние да изпълни тези указания, ако указанията нарушават Регламент (ЕС) 2016/679 или на друго право за защита на личните данни на Съюза или на държава членка.
  3. Вносителят на данни се въздържа от всякакви действия, които биха попречили на износителя на данни да изпълни задълженията си по Регламент (ЕС) 2016/679, включително в контекста на обработването по договор за подизпълнение или по отношение на сътрудничеството с компетентните надзорни органи.
  4. При прекратяване на предоставянето на услугите по обработване износителят на данни, по избор на вносителя на данни, заличава всички лични данни, обработвани от името на вносителя на данни, и удостоверява пред вносителя на данни, че е направил това, или му връща всички лични данни, обработвани от негово име, и заличава съществуващите копия.

8.2. Сигурност на обработването.

  1. Страните прилагат подходящи технически и организационни мерки, за да осигурят сигурността на данните, включително по време на предаване, и защитата им срещу нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп (наричани по-нататък "нарушение на сигурността на личните данни"). При оценката на подходящото ниво на сигурност те вземат предвид достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целта(ите) на обработването, както и свързаните с обработването рискове за субекта на данни. По-специално страните обмислят възможността за използване на криптиране или псевдонимизация, включително по време на предаването, когато целта на обработването може да бъде постигната по такъв начин.
  2. Износителят на данни помага на вносителя на данни при осигуряване на подходяща сигурност на данните в съответствие с буква а). В случай на нарушение на сигурността на личните данни във връзка с лични данни, обработвани от износителя на данни съгласно настоящите клаузи, след като узнае за нарушението той уведомява вносителя на данни без ненужно забавяне и помага на вносителя на данни да се справи с нарушението.
  3. Износителят на данни гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са длъжни по закон да спазват поверителност.

8.3. Документиране и съответствие.

  1. Страните трябва да могат да докажат, че спазват задълженията си по настоящите клаузи.
  2. Износителят на данни предоставя на вносителя на данни цялата информация, необходима за доказване на спазването на задълженията по настоящите клаузи, и позволява и допринася за извършването на одити.

Клауза 9

Права на субектите на данни

Страните си помагат взаимно, за да отговарят на запитвания и искания, отправени от субекти на данни съгласно местното право, приложимо по отношение на вносителя на данни, или съгласно Регламент (ЕС) 2016/679 по отношение на обработването на данни в ЕС от износителя на данни.

Клауза 10

Правни средства за защита

Вносителят на данни уведомява субектите на данни по прозрачен начин и в леснодостъпен формат, чрез индивидуално известие или на своя уебсайт, за точката за контакт, упълномощена да обработва жалби. Той своевременно обработва всички жалби, които получава от субекти на данни.

Клауза 11

Отговорност

  1. Всяка страна носи отговорност пред другата(ите) страна(и) за всякакви вреди, причинени на другата(ите) страна(и) в резултат на нарушаване на настоящите клаузи.
  2. Всяка страна носи отговорност пред субекта на данни и субектът на данни има право да получи обезщетение за всякакви имуществени или неимуществени вреди, които страната му нанесе, нарушавайки правата на третата страна бенефициер съгласно настоящите клаузи. Това не засяга отговорността на износителя на данни съгласно Регламент (ЕС) 2016/679.
  3. Когато повече от една страна носи отговорност за вреди, причинени на субекта на данни в резултат на нарушение на настоящите клаузи, всички отговорни страни носят солидарна отговорност.
  4. Страните се споразумяват, че ако една от страните бъде подведена под отговорност съгласно буква в), тя ще има право да поиска обратно от другата(ите) страна(и) тази част от обезщетението, която съответства на отговорността на последната(ите) за вредите.
  5. Вносителят на данни не може да се позовава на поведението на обработващ лични данни или на обработващ лични данни подизпълнител, за да избегне собствената си отговорност.


РАЗДЕЛ III: МЕСТНО ЗАКОНОДАТЕЛСТВО И ЗАДЪЛЖЕНИЯ В СЛУЧАЙ НА ДОСТЪП НА ПУБЛИЧНИ ОРГАНИ


Клауза 12

Местно законодателство и практики, засягащи спазването на клаузите

  1. Страните гарантират, че нямат основание да смятат, че законите и практиките в третата държава на получаване, приложими по отношение на обработването на лични данни от вносителя на данни, включително всички изисквания за разкриване на лични данни или всички мерки, разрешаващи достъп от страна на публични органи, не позволяват на вносителя на данни да изпълнява задълженията си по настоящите клаузи. Това се основава на разбирането, че законите и практиките, които зачитат същността на основните права и свободи и са пропорционални, и не надхвърлят необходимото в едно демократично общество за защита на някоя от целите, изброени в член 23, параграф 1 от Регламент (ЕС) 2016/679, не са в противоречие с настоящите клаузи.
  2. Страните декларират, че при предоставянето на гаранцията по буква а) те са взели надлежно предвид по-специално следните елементи:
    • специфичните обстоятелства във връзка с предаването, включително дължината на веригата на обработване, броя на участниците и използваните канали за предаване; предназначени последващи предавания; вида на получателя; целта на обработването; категориите и формата на предаваните лични данни; икономическия сектор, в който става предаването; мястото, на което се съхраняват предадените данни;
    • законите и практиките на третата държава на получаване — включително тези, които изискват разкриване на данни пред публични органи или разрешаване на такива органи да имат достъп — които са от значение в светлината на специфичните обстоятелства на предаването, и приложимите ограничения и гаранции;
    • всички съответни договорни, технически или организационни гаранции, въведени в допълнение към гаранциите съгласно настоящите клаузи, включително мерки, прилагани по време на предаването и за обработването на личните данни в държавата на получаване.
  3. Вносителят на данни гарантира, че при извършването на оценката съгласно буква б) е положил максимални усилия да предостави на износителя на данни необходимата информация, и приема да продължи да си сътрудничи с износителя на данни за осигуряване на спазването на настоящите клаузи.
  4. Страните се споразумяват да документират оценката съгласно буква б) и при поискване да я предоставят на компетентния надзорен орган.
  5. Вносителят на данни се съгласява да уведоми износителя на данни своевременно, ако, след като е приел настоящите клаузи и по време на срока на договора, има основания да смята, че е длъжен, или ако стане длъжен да спазва закони или практики, които не са в съответствие с изискванията по буква а), включително след промяна на законите на третата държава или на мярка (като например искане за разкриване), сочеща за прилагане на тези закони на практика, което не е в съответствие с изискванията по буква а).
  6. След уведомление съгласно буква д) или ако износителят на данни по друг начин има основания да смята, че вносителят на данни вече не може да изпълнява задълженията си по настоящите клаузи, износителят на данни своевременно определя подходящи мерки (напр. технически или организационни мерки за осигуряване на сигурност и поверителност), които да бъдат предприети от износителя на данни и/или от вносителя на данни за справяне със ситуацията. Износителят на данни спира предаването на данни, ако прецени, че не могат да бъдат осигурени подходящи гаранции за такова предаване, или ако е получил указания от компетентния надзорен орган. В този случай износителят на данни има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи. Ако договорът е сключен между повече от две страни, износителят на данни може да упражни това право на прекратяване само по отношение на съответната страна, освен ако страните не са се договорили за друго. Когато договорът бъде прекратен съгласно настоящата клауза, се прилагат букви г) и д) от клауза 16.

Клауза 13

Задължения на вносителя на данни в случай на достъп от страна на публични органи

13.1. Уведомяване.

  1. Вносителят на данни се съгласява да уведоми износителя на данни, и когато е възможно — субекта на данни, своевременно (ако е необходимо с помощта на износителя на данни), ако:
    • получи от публичен орган, включително съдебни органи, правнообвързващо искане съгласно законите на държавата на получаване за разкриване на лични данни, предадени съгласно настоящите клаузи; такова уведомяване включва информация за исканите лични данни, отправилия искането орган, правното основание за искането и предоставения отговор; или
    • узнае за какъвто и да е пряк достъп на публични органи до лични данни, предадени съгласно настоящите клаузи, в съответствие със законите на държавата на получаване; такова уведомление включва цялата информация, с която разполага вносителят.
  2. Ако съгласно законодателството на държавата на получаване на вносителя на данни е забранено да уведомява износителя на данни и/или субекта на данни, вносителят на данни се съгласява да положи максимални усилия да получи освобождаване от забраната с цел да съобщи колкото е възможно повече информация във възможно най-кратък срок. Вносителят на данни приема да документира своите усилия, за да може да ги докаже при поискване от износителя на данни.
  3. Когато е допустимо съгласно законодателството на държавата на получаване, вносителят на данни приема да предоставя на износителя на данни периодично по време на срока на договора възможно най-много релевантна информация относно получените искания (по-специално броя на исканията, вида на исканите данни, отправилия(ите) искането орган(и), дали исканията са били оспорени и резултатите от такива оспорвания и т.н.).
  4. Вносителят на данни приема да съхранява информацията по букви а) до в) за срока на договора и при поискване да я предоставя на компетентния надзорен орган.
  5. Букви а) до в) не засягат задължението на вносителя на данни съгласно клауза 14, буква д) и клауза 16 своевременно да уведомява износителя на данни, когато не е в състояние да изпълни настоящите клаузи.

13.2. Контрол за законосъобразност и свеждане на данните до минимум.

  1. Вносителят на данни приема да провери законосъобразността на искането за разкриване, по-специално дали то продължава да е в правомощията, предоставени на отправилия го публичен орган, както и да оспори искането, ако след внимателна преценка стигне до заключението, че има разумни основания да се смята, че искането е незаконосъобразно съгласно законодателството на държавата на получаване, приложимите задължения съгласно международното право и принципите на международната вежливост. Вносителят на данни следва при същите условия да търси възможности за обжалване. Когато оспорва искане, вносителят на данни подава молба за временни мерки с цел да се спре действието на искането, докато компетентният съдебен орган не вземе решение по същество. Той не разкрива исканите лични данни, докато това не бъде изискано съгласно приложимите процесуални правила. Тези изисквания не засягат задълженията на вносителя на данни по клауза 14, буква д).
  2. Вносителят на данни приема да документира своята правна оценка и всяко оспорване на искането за разкриване, и доколкото това е допустимо съгласно законодателството на държавата на получаване, да предостави документацията на износителя на данни. При поискване той също така предоставя документацията на компетентния надзорен орган.
  3. Вносителят на данни приема да предостави минимално допустимото количество информация, когато отговаря на искане за разкриване, въз основа на разумно тълкуване на искането.


РАЗДЕЛ IV: ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ


Клауза 14

Неспазване на клаузите и прекратяване

  1. Вносителят на данни своевременно уведомява износителя на данни, ако не е в състояние да спазва настоящите клаузи, независимо от причината.
  2. В случай че вносителят на данни е допуснал нарушение на настоящите клаузи или не е в състояние да ги спазва, износителят на данни спира предаването на лични данни към вносителя на данни, докато отново не бъде осигурено спазване или договорът не бъде прекратен. Настоящият текст не засяга разпоредбите на клауза 14, буква е).
  3. Износителят на данни има право да прекрати договора, доколкото той се отнася до обработването на лични данни съгласно настоящите клаузи, когато:
    • износителят на данни е спрял предаването на лични данни на вносителя на данни съгласно буква б) и спазването на настоящите клаузи не е възстановено в разумен срок, и във всеки случай в срок от един месец от спирането;
    • вносителят на данни съществено или системно нарушава настоящите клаузи; или
    • вносителят на данни не се съобрази със задължително решение на компетентен съд или надзорен орган по отношение на задълженията си по настоящите клаузи.

    В тези случаи той уведомява компетентния надзорен орган за такова неспазване. Когато договорът е сключен между повече от две страни, износителят на данни може да упражни това право на прекратяване само по отношение на съответната страна, освен ако страните не са се договорили за друго.

  4. Личните данни, събрани от износителя на данни в ЕС, които са били предадени преди прекратяването на договора съгласно буква в), включително всички техни копия, незабавно се заличават изцяло.] Вносителят на данни удостоверява пред износителя на данни заличаването на данните. Докато данните не бъдат заличени или върнати, вносителят на данни продължава да осигурява спазването на настоящите клаузи. Когато съществува местно законодателство, приложимо по отношение на вносителя на данни, с което се забранява връщането или заличаването на предадените личните данни, вносителят на данни гарантира, че ще продължи да осигурява спазването на настоящите клаузи и ще обработва данните само до степента и за периода, изисквани от това местно законодателство.
  5. Всяка от страните може да оттегли своето съгласие да бъде обвързана от настоящите клаузи, когато i) Европейската комисия приеме решение съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679, обхващащо предаването на лични данни, по отношение на които се прилагат настоящите клаузи; или ii) Регламент (ЕС) 2016/679 стане част от правната уредба на държавата, в която се предават личните данни. Това не засяга други задължения, приложими по отношение на въпросното обработване съгласно Регламент (ЕС) 2016/679.

Клауза 15

Приложимо право

Настоящите клаузи се уреждат от правото на държава, съгласно което правата на трети страни бенефициери са допустими. Страните се споразумяват това да бъде правото на Испания.

Клауза 16

Избор на съд и юрисдикция

Всички спорове, произтичащи от настоящите клаузи, се разрешават от съдилищата на Испания.



ПРИЛОЖЕНИЕ I

СПИСЪК НА СТРАНИТЕ

Износител(и) на данни:

  • Име: ILOVEPDF, S.L.
  • Адрес: Calle Sabino de Arana, 60, 08028 Barcelona
  • Име, длъжност и координати за връзка с лицето за контакт: Juan Oriol, Директор по правни въпроси (legal@ilovepdf.com).
  • Дейности, свързани с предадените съгласно настоящите клаузи данни: предоставянето на услуги на вносителя на лични данни, доколкото предоставянето на тези услуги включва международно прехвърляне на лични данни от ILOVEPDF (износител на данни) към клиента (вносител на данни).
  • Роля: обработващ данните.

Вносител(и) на данни: [Самоличност и координати за връзка на вносителя(ите) на данни, включително на всяко лице за контакт, което отговаря за защитата на личните данни]

  • Име: [...] (ако не е попълнено, по подразбиране ще се използва името на клиента).
  • Адрес: [...] (ако не е попълнен, по подразбиране ще се използва адресът на клиента).
  • Име, длъжност и детайли за връзка с лицето за контакт: [...] (ако не е попълнено, по подразбиране ще се използват данните на лицето, представляващо клиента в договора или при използване на услугата).
  • Дейности, свързани с предадените съгласно настоящите клаузи данни: предоставянето на услуги от износителя на лични данни, доколкото предоставянето на тези услуги включва международно предаване на лични данни от ILOVEPDF (износител на данни) към клиента (вносител на данни).
  • Подпис и дата: [...] (ако не е попълнено, по подразбиране се приема датата на първото използване на услугата от клиента).
  • Роля: администратор на лични данни.

ОПИСАНИЕ НА ПРЕДАВАНЕТО

Категории субекти на данни, чиито лични данни се предават

Категориите лица, чиито данни се съдържат във файловете, които вносителят качва, когато използва услугите, предоставяни от ILOVEPDF (например служители, клиенти, доставчици и др.).

Категории предавани лични данни
Категориите лични данни, съдържащи се във файловете, които вносителят качва при използване на услугите, предоставяни от ILOVEPDF.

Предадени чувствителни данни (ако е приложимо) и приложени ограничения или гаранции, които отчитат изцяло естеството на данните и свързаните с тях рискове, като например строго ограничение в рамките на целта, ограничаване на достъпа (включително достъп само за служители, преминали специализирано обучение), поддържане на регистър на достъпа до данните, ограничения по отношение на последващо предаване или допълнителни мерки за сигурност.

Обработването на специални категории данни ще се извършва дотолкова, доколкото във файловете, които вносителят качва при използване на предоставяните от ILOVEPDF услуги, съдържат такива категории лични данни.

Честотата на предаване (напр. дали данните се предават еднократно или текущо).
Кога използването на предоставяните от ILOVEPDF услуги включва международно предаване на данни от ILOVEPDF към вносителя на данни.

Естество на обработването
Изпращане на лични данни към вносителя дотолкова, доколкото е необходимо, за да може ILOVEPDF да предостави своите услуги.

Цел(и) на предаването и на по-нататъшното обработване на данните
За да предостави услугите от името на ILOVEPDF.

Срок, за който ще се съхраняват личните данни, а ако това е невъзможно — критериите, използвани за определяне на този срок
До степента, строго необходима за предоставяне на услугите и, съответно, до степента, изисквана от приложимото законодателство и необходима за предявяване или защита от искове, свързани с обработването на лични данни.

Контрол на версиите: четвъртък, 19 февруари 2026 г.



Упс! Нещо не е наред с Вашата интернет връзка...