BEMÆRK: VI HAR OFFENTLIGGJORT VILKÅRENE NEDENFOR I FORBINDELSE MED DE NYE, AF EUROPAKOMMISIONEN GODKENDTE STANDARDKONTRAKTBESTEMMELSER, DER TRÆDER I KRAFT FRA OG MED 27. SEPTEMBER 2021

(a)  Formålet med disse standardkontraktbestemmelser er at sikre overholdelse af at kravene i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Forordning om generel databeskyttelse) (1) for overførsel af personoplysninger til et tredjeland.

(b) Parterne:

(i)   den eller de fysiske eller juridiske person(er), offentlige myndigheder/agenturer, eller andre organer (i det følgende benævnt "enhed(er)"), der overfører personoplysningerne, som anført i bilag I.A (i det følgende benævnt "dataeksportør"), og

(ii) den eller de enheder, der er i et tredjeland og som modtager personoplysninger fra dataeksportøren, enten direkte eller indirekte, via en anden enhed, der også er en part i disse bestemmelser, som anført i bilag I.A (i det følgende benævnt "dataimportør")

har accepteret disse standardkontraktbestemmelser (i det følgende benævnt "bestemmelser").

(c)  Disse bestemmelser gælder for overførsel af personoplysninger, som specificeret i bilag I.B.

(d) Tillægget til disse bestemmelser, der indeholder bilagene, der henvises til heri, udgør en integreret del af disse bestemmelser.

(a)  Disse bestemmelser indeholder passende sikkerhedsforanstaltninger, herunder rettigheder for dataemnet, der kan håndhæves, og effektive retsmidler, i henhold til artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i Forordning (EU) 2016/679, og med hensyn til dataoverførsler fra dataansvarlige til databehandlere og/eller fra databehandler til databehandler, standardkontraktbestemmelser, i henhold til artikel 28, stk. 7, i Forordning (EU) 2016/679, forudsat at de ikke ændres, undtagen til at vælge det/de relevante modul(er) eller for at tilføje eller opdatere oplysningerne i tillægget. Dette forhindrer ikke parterne i at medtage standardkontraktbestemmelser, der er fastsat i disse bestemmelser i en bredere kontrakt, og/eller tilføje andre bestemmelser eller yderligere sikkerhedsforanstaltninger, forudsat at de ikke direkte eller indirekte modsiger disse bestemmelser eller berører de registreredes grundlæggende rettigheder eller friheder.

(b) Disse bestemmelser berører ikke de forpligtelser som dataeksportøren er underlagt i henhold til Forordning (EU) 2016/679.

(a)  Dataemner kan påberåbe sig og håndhæve disse bestemmelser, som begunstigede tredjeparter, mod dataeksportøren og/eller dataimportøren, med følgende undtagelser:

(i)   Paragraf 1, Paragraf 2, Paragraf 3, Paragraf 6, Paragraf 7;

(ii) Paragraf 8.1(b), 8.9(a), (c), (d) og (e);

(iii) Paragraf 9 - Paragraf 9(a), (c), (d) og (e);

(iv) Paragraf 12 - Paragraf 12(a), (d) og (f);

(v) Paragraf 13;

(vi) Paragraf 15.1(c), (d) og (e);

(vii) Paragraf 16(e);

(viii) Paragraf 18 - Paragraf 18(a) og (b);

(b) Stk. (a) berører ikke dataemnernes rettigheder, i henhold til Forordning (EU) 2016/679.

(a)  Hvis disse bestemmelser gør brug af vilkår, der er defineret i Forordning (EU) 2016/679, har disse vilkår samme betydning som i den pågældende forordning.

(b) Disse bestemmelser skal læses og fortolkes i lyset af bestemmelserne i Forordning (EU) 2016/679.

(c)  Disse bestemmelser må ikke fortolkes på en måde, der strider mod rettigheder og forpligtelser, anført i Forordning (EU) 2016/679.

I tilfælde af, at der forekommer en modsigelse mellem disse bestemmelser og bestemmelserne i relaterede aftaler mellem parterne, der eksisterer på det tidspunkt eller efter at, der er indgået en aftale om disse bestemmelser, har disse bestemmelser forrang.

Detaljerne vedrørende overførslen/overførslerne, og især for kategorierne med personoplysninger, der overføres, og de formål, der er forbundet med de overførelser, er specificeret i bilag I.B.

(a)  En enhed, der ikke er part i disse bestemmelser, kan med parternes samtykke, til hver en tid tiltræde disse bestemmelser, enten som dataeksportør eller som dataimportør, ved at udfylde tillægget og underskrive bilag I.A.

(b) Når denne enhed har udfyldt tillægget og underskrevet bilag I.A, bliver den tiltrædende enhed en part i disse bestemmelser og tildeles de rettigheder og forpligtelser som en dataeksportør eller dataimportør har, i overensstemmelse med dens udpegelse i bilag I.A.

(c)  Den tiltrædende enhed kan ikke have rettigheder eller forpligtelser, der opstår i henhold til disse bestemmelser fra perioden før dens tiltrædelse som en part.

Dataeksportøren garanterer, at der er truffet rimelige foranstaltninger for at fastslå, at dataimportøren ved at gennemføre passende tekniske og organisatoriske foranstaltninger kan opfylde forpligtelser i henhold til disse bestemmelser.

(a)  Dataimportøren må kun behandle personoplysninger efter dokumenterede instruktioner fra dataeksportøren. Dataeksportøren kan give sådanne instruktioner under hele kontraktens varighed.

(b) Dataimportøren skal straks underrette dataeksportøren, hvis den ikke er i stand til at følge disse instruktioner.

Dataimportøren må kun behandle personoplysninger til de specifikke formål i forbindelse med overførslen, som fastsat i bilag I.B, medmindre der er yderligere instruktioner fra dataeksportøren.

Efter anmodning skal dataeksportøren gøre en gratis kopi af disse bestemmelser, inklusive bilaget som udfyldt af parterne, tilgængelig for dataemnet. I det omfang det er nødvendigt for at beskytte virksomhedshemmeligheder eller andre fortrolige oplysninger, inklusive de foranstaltninger beskrevet i bilag II samt persondata, kan dataeksportøren bortredigere en del af teksten i bilaget til disse bestemmelser før kopiering, dog skal der fortsat leveres et meningsfuldt resumé, så dataemnet er i stand til at forstå kopiens indhold eller udøve hans/hendes rettigheder. Efter anmodning skal parterne i videst muligt omfang give dataemnet årsager til, hvorfor teksten er bortredigeret dog uden at afsløre de bortredigerede oplysninger. Bestemmelsen skal gælde uden at den berører dataeksportørens forpligtelser i henhold til Artikel 13 og 14 i Forordning (EU) 2016/679.

Hvis dataimportøren bliver opmærksom på, at de modtagne persondata er unøjagtige eller forældede, skal dataimportøren underrette dataeksportøren uden unødig forsinkelse. I dette tilfælde skal dataimportøren samarbejde med dataeksportøren for at slette eller rette de unøjagtige data.

Dataimportøren må kun behandle data i perioden angivet i bilag I.B. Efter tilvejebringelse af databehandlingstjenesterne er afsluttet, skal dataimportøren efter dataeksportørens valg slette alle data behandlet på dataeksportørens vegne og certificere dette for dataeksportøren, eller returnere alle data behandlet på dataeksportørens vegne til dataeksportøren og slette eksisterende kopier. Indtil dataene er blevet slettet eller returneret, skal dataimportøren fortsat sikre overholdelse af disse bestemmelser. I tilfælde af lokale love gældende for dataimportøren, der forbyder tilbagesendelse eller sletning af data, garanterer dataimportøren fortsat overholdelse af disse bestemmelser og behandling udelukkende efter bestemmelsernes omfang og så længe det er påkrævet i henhold til den lokale lovgivning. Dette gælder uden at berøre bestemmelse 14, i særdeleshed kravet om, at dataimportøren i bestemmelse 14(e) skal underrette dataeksportøren under hele kontraktens varighed, hvis importøren har grund til at tro, at den er eller vil blive genstand for/underlagt love eller praksis, der ikke er i overensstemmelse med kravene i bestemmelse 14(a).

(a)  Dataimportøren og dataeksportøren skal under overførslen også implementere passende tekniske og organisatoriske foranstaltninger for at tilsikre datasikkerhed, herunder beskyttelse mod en sikkerhedsbrud medførerende utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret videregivelse eller adgang til disse data (herefter "persondatabrud"). Ved vurderingen af det passende sikkerhedsniveau skal parterne overveje databehandlingens tilstand, gennemførelsesomkostningerne, typen, anvendelsesområde, kontekst og formål samt de risici, der er forbundet med behandlingen for dataemnerne. Parterne skal især overveje at anvende kryptering eller pseudonymisering, inklusive under overførsel, hvor behandlingsformålet kan opfyldes på denne måde. I tilfælde af pseudonymisering skal de yderligere oplysninger for tilskrivning af persondata til et dataemne forblive under dataeksportørens enekontrol hvor muligt. Ved overholdelse af forpligtelser i henhold til dette afsnit skal dataimportøren som minimum gennemføre de tekniske og organisatoriske foranstaltninger angivet i bilag II. Dataimportøren skal foretage regelmæssig kontrol for at sikre, at disse tiltag fortsat tilsikrer et passende sikkerhedsniveau.

(b) Dataimportøren må udelukkende give adgang til personoplysninger til personalemedlemmer i det omfang, at det er strengt nødvendigt for gennemførelsen, forvaltningen og overvågning af kontrakten. Det skal tilsikre, at behandlingsgodkendte personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt fortrolighedspligt.

(c)  I tilfælde af persondatabrud omhandlende personoplysninger behandlet af dataimportøren i henhold til disse bestemmelser skal dataimportøren træffe passende foranstaltninger for at imødegå overtrædelsen, herunder foranstaltninger til at afbøde uønskede reaktioner. Dataimportøren skal også uden unødig forsinkelse underrette dataeksportøren efter konstatering af persondatabruddet. En sådan meddelelse skal indeholde oplysninger om et kontaktpunkt, hvor der kan indhentes yderligere oplysninger, en beskrivelse af bruddets art (inklusive kategorier og omtrentligt antal berørte data og persondataoptegnelser hvor muligt), mulige konsekvenser af bruddet og de foranstaltninger, der er truffet eller foreslået for at imødegå bruddet, inklusive foranstaltninger - hvor passende - til at afbøde uønskede reaktioner. Hvis og i det omfang det ikke er muligt at give alle oplysninger samtidig, skal den indledende meddelelse indeholde tilgængelige oplysninger og yderligere oplysninger skal fremsendes uden unødig forsinkelse, efterhånden som de bliver tilgængelige.

(d) Dataimportøren skal samarbejde med og hjælpe dataeksportøren således at dataeksportøren efterlever Forordning (EU) 2016/679, i særdeleshed for at underrette den kompetente tilsynsmyndighed og berørte dataemner, under hensyntagen til behandlingens art og dataimportørens tilgængelige oplysninger.

Hvor overførslen involverer data om race eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger eller fagforeningsmedlemskab, genetiske data eller biometriske data med henblik på entydigt at identificere et individ, data vedrørende sundhed eller en persons sexliv, seksuel orientering eller data vedrørende straffedomme og strafbare handlinger (herefter "følsomme data"), skal dataimportøren anvende de specifikke begrænsninger og/eller yderligere sikkerhedsforanstaltninger beskrevet i bilag I.B.

Dataimportøren må kun videregive personoplysninger til en tredjepart efter dokumenterede instruktioner fra dataeksportøren. Yderligere må data kun videregives til en tredjepart beliggende uden for den Europæiske Union (4) (i samme land som dataimportøren eller i et andet tredjeland, i det følgende benævnt "videre overførsel"), hvis tredjeparten er eller accepterer at være bundet af disse bestemmelser under det relevante modul, eller hvis:

(a)  den videre overførsel er til et land, der er omfattet af tilstrækkelige beskyttelsesniveauer i henhold til artikel 45 i Forordning (EU) 2016/679, der dækker videre overførsel;

(b) tredjeparten sikrer på anden og passende vis sikkerhedsforanstaltninger i henhold til artikel 46 eller 47 Forordning (EU) 2016/679 med hensyn til den pågældende behandling;

(c)  den videre overførsel er nødvendig for etablering, udøvelse eller forsvar af juridiske krav i forbindelse med specifikke administrative, forskriftsmæssige eller retslige procedurer; eller

(d) den videre overførsel er nødvendig for at beskytte et individ eller dataemnes vitale interesser.

Enhver videre overførsel er genstand for/underlagt dataimportørens overholdelse af alle øvrige sikkerhedsforanstaltninger i henhold til disse bestemmelser, i særdeleshed formålsbegrænsningformål.

(a)  Dataimportøren skal omgående og tilstrækkeligt behandle forespørgsler fra dataeksportøren, der vedrører behandlingen i henhold til disse bestemmelser.

(b) Parterne skal være i stand til at påvise, at disse bestemmelser er overholdt. Dataimportøren skal i særdeleshed opbevare passende dokumentation om databehandlingsaktiviteter udført på vegne af dataeksportøren.

(c)  Dataimportøren skal stille alle nødvendige oplysninger til rådighed for dataeksportøren for at påvise, at forpligtelserne i disse bestemmelser og på anmodning fra dataeksportøren, med rimelige intervaller tillade og bidrage til gennemgang af behandlingsaktiviteterne underlagt disse bestemmelser, eller hvis der er tegn på manglende overholdelse. Ved at træffe beslutning om en revision eller gennemgang kan dataeksportøren overveje relevante certificeringer i dataimportørens besiddelse.

(d) Dataeksportøren kan vælge at foretage gennemgangen selv eller udpege en uafhængig tredjepart. Gennemgange kan omfatte inspektioner i dataimportørens lokaler eller fysiske faciliteter og skal i givet fald udføres efter rimelig varsel.

(e)  Parterne skal stille de i afsnit (b) og (c) nævnte oplysninger, inklusive resultaterne af eventuelle gennemgange, tilgængelige for den kompetente tilsynsmyndighed efter anmodning.

(a)  Dataimportøren har dataeksportørens generelle tilladelse til inddragelse af underbehandler(e) fra en aftalt liste. Dataimportøren skal specifikt underrette dataeksportøren skriftligt om eventuelle påtænkte ændringer i listen gennem tilføjelse eller udskiftning af underbehandlere med minimum 14 dages varsel og dermed give dataeksportøren tilstrækkelig tid til at gøre indsigelse mod sådanne ændringer før inddragelse af underbehandler(e). Dataimportøren skal stille nødvendige oplysninger til rådighed for dataeksportøren således, at det er muligt at gøre indsigelse.

(b) Hvis dataimportøren inddrager en underbehandler til at udføre specifikke behandlingsaktiviteter (på vegne af dataeksportøren), skal en sådan inddragelse dokumenteres med en skriftlig kontrakt, der indeholder de databeskyttelsesforpligtelser, der binder dataimportøren i henhold til disse bestemmelser, inklusive tredjepartens modtagerbetingelser for dataemner. (8) Parterne er enige om, at ved at overholde denne bestemmelse, opfylder dataimportøren sine forpligtelser i henhold til Bestemmelse 8.8. Dataimportøren skal sikre, at underbehandleren overholder de forpligtelser dataimportøren er underlagt i henhold til disse bestemmelser.

(c)  Dataimportøren skal efter anmodning fra dataeksportøren udlevere en kopi af kontrakten med underbehandleren samt eventuelle efterfølgende ændringer til dataeksportøren. I det omfang det er nødvendigt for at beskytte virksomhedshemmeligheder eller øvrige fortrolige oplysninger, inklusve persondata, kan dataimportøren bortredigere tekst før deling.

(d) Dataimportøren forbliver eneansvarlig over for dataeksportøren i henhold til overholdelse af underbehandlerens kontraktmæssige forpligtelser til dataimportøren. Dataimportøren skal underrette dataeksportøren om eventuelle uopfyldte forpligtelser fra underbehandleren i henhold til denne kontrakt.

(e)  Dataimportøren skal acceptere en tredjepart modtagerbestemmelse med underbehandleren hvorved dataimportøren - i tilfælde hvor dataimportøren faktuelt forsvinder, ophører med at eksistere i henhold til lovgivning eller erklæres insolvent - skal dataeksportøren bevare rettigheder til at opsige underbehandleren og instruere underbehandleren til at slette eller returnere alle persondata.

(a)  Dataimportøren skal straks underrette dataeksportøren om enhver anmodning fra dataemner. Importøren må ikke besvare selve anmodningen, medmindre dataeksportøren har godkendt det.

(b) Dataimportøren skal hjælpe dataeksportøren med at opfylde forpligtelser til at besvare dataemners anmodninger til udøvelse af deres rettigheder i henhold til Forordning (EU) 2016/679. I denne henseende skal parterne som anført i bilag II fastsætte passende tekniske og organisatoriske foranstaltninger under overvejelse af behandlingens art, hvorved hjælpen skal ydes, samt omfanget af den nødvendige hjælp.

(c)  Ved opfyldelse af forpligtelserne i henhold til afsnit (a) og (b) skal dataimportøren overholde dataeksportørens instruktioner.

(a)  Dataimportøren skal informere dataemnerne om et klagekontaktpunkt i et gennemsigtigt og let tilgængeligt format via individuel meddelelse eller på dens hjemmeside. Importøren skal prompte og uden beklagelser behandle alle klager fra dataemner.

(b) I tilfælde af en tvist mellem et dataemne og en af parterne med hensyn til overholdelse af disse bestemmelser, skal denne part gøre sine bedste bestræbelser på at udbedre problemet rettidigt. Parterne skal holde hinanden informerede om sådanne tvister og i givet fald samarbejde om at løse dem.

(c)  Hvis dataemnet involverer en tredjepart i henhold til modtagerbestemmelser angivet i bestemmelse 3, skal dataimportøren acceptere dataemnets beslutning om at:

(i)     indgive en klage til tilsynsmyndigheden i medlemsstaten hvor vedkommende er bosat eller arbejder, eller den kompetente tilsynsmyndighed i henhold til bestemmelse 13;

(ii)     henvise tvisten til de kompetente domstole i henhold til bestemmelse 18.

(d) Parterne accepterer, at dataemnet kan være repræsenteret af et non-profit organ, organisation eller forening under betingelserne i artikel 80(1) Forordning (EU) 2016/679.

(e)  Dataimportøren skal overholde en beslutning, der er bindende i henhold til gældende EU-lovgivning eller medlemsstat.

(f)  Dataimportøren er enig i, at dataemnets valg ikke påvirker deres materielle og proceduremæssige rettigheder til at søge retsmidler i overensstemmelse med gældende love.

(a)  Hver part er ansvarlig over for de(n) øvrige part(er) for eventuelle skader de(n) øvrige part(er) påføres ved ethvert brud på disse bestemmelser.

(b) Dataimportøren er ansvarlig over for dataemnet, og dataemnet skal være erstatningsberettiget for materielle eller ikke-materielle skader, som dataimportøren eller underdatabehandleren påfører dataemnet ved et brud på tredjeparts modtagerrettigheder i henhold til disse bestemmelser.

(c)  Uanset afsnit (b) er dataeksportøren erstatningssansvarlig over for dataemnet, og dataemnet er erstatningsberettiget for eventuelle materielle eller ikke-materielle skader dataeksportøren eller dataimportøren (eller underbehandleren) påfører dataemnet ved et brud på tredjepart modtagerrettigheder i henhold til disse bestemmelser. Dette påvirker ikke dataeksportørens ansvar, og hvor dataeksportøren er en databehandler, der handler på vegne af en controller, ansvarlig i henhold til Forordning (EU) 2016/679 eller Forordning (EU) 2018/1725, hvor det er relevant.

(d) Parterne er enige om, at hvis dataeksportøren stilles til ansvar i henhold til afsnit (c) skader forårsaget af dataimportøren (eller underbehandleren), er eksportøren berettiget til at kræve erstatning fra dataimportøren svarende til dataimportørens ansvar for skaden.

(e)  Hvor mere end én part er ansvarlig for eventuelle skader påført dataemnet som følge af et brud på disse bestemmelser, er alle ansvarlige parter solidarisk ansvarlige, og dataemnet er berettiget til at indbringe en sag mod parterne til en domstol.

(f)  Parterne er enige om, at hvis en part er ansvarlig i henhold til afsnit (e), er parten berettiget til at kræve erstatning svarende til deres ansvar for skaden fra den anden part.

(g) Dataimportøren må ikke påberåbe sig en underdatabehandlers adfærd for at undgå eget ansvar.

(a)  Parterne er enige om, at tilsynsmyndigheden med ansvar for at tilsikre dataeksportørens overholdelse af Forordning (EU) 2016/679 er den hollandske databeskyttelsesmyndighed (Autoriteit Persoonsgegevens), der skal fungere som kompetent tilsynsmyndighed.

(b) Dataimportøren accepterer at registrere sig til jurisdiktionen af og samarbejde med den kompetente tilsynsmyndighed i alle procedurer, der skal tilsikre overholdelse af disse bestemmelser. Dataimportøren er i særdeleshed enig i at besvare forespørgsler, gennemføre gennemgange og overholde de foranstaltninger, der er vedtaget af tilsynsmyndigheden, inklusive afbødende og kompenserende foranstaltninger. Dataimportøren skal give tilsynsmyndigheden en skriftlig bekræftelse på, at de nødvendige foranstaltninger er truffet.

(a) Parterne garanterer, at de ikke har nogen grund til at tro, at de love og den praksis i bestemmelsestredjelandet, der gælder for dataimportørens behandling af personoplysninger, herunder eventuelle krav om at videregive personoplysninger eller foranstaltninger, der tillader adgang for offentlige myndigheder, forhindrer dataimportøren i at opfylde sine forpligtelser i henhold til disse klausuler. Dette er baseret på den forståelse, at love og praksis, der respekterer essensen af de grundlæggende rettigheder og friheder og ikke går ud over, hvad der er nødvendigt og forholdsmæssigt i et demokratisk samfund for at sikre et af de mål, der er anført i artikel 23, stk. 1, i forordning (EU) 2016/679, ikke er i modstrid med disse klausuler.

(b) Parterne erklærer, at de ved afgivelsen af garantien i punkt (a) har taget behørigt hensyn til især følgende elementer:

(i) de specifikke omstændigheder ved overførslen, herunder længden af behandlingskæden, antallet af involverede aktører og de anvendte transmissionskanaler; planlagte videreoverførsler; typen af modtager; formålet med behandlingen; kategorierne og formatet af de overførte personoplysninger; den økonomiske sektor, hvor overførslen finder sted; lagringsstedet for de overførte data;

(ii) love og praksis i bestemmelsestredjelandet - herunder dem, der kræver videregivelse af data til offentlige myndigheder eller tillader adgang for sådanne myndigheder - der er relevante i lyset af de specifikke omstændigheder ved overførslen, og de gældende begrænsninger og garantier (12);

(iii) alle relevante kontraktmæssige, tekniske eller organisatoriske sikkerhedsforanstaltninger, der er indført for at supplere sikkerhedsforanstaltningerne i henhold til disse klausuler, herunder foranstaltninger, der anvendes under transmission og behandling af personoplysningerne i bestemmelseslandet.

(c)  Dataimportøren garanterer, at den ved udførelsen af vurderingen i henhold til afsnit (b) har gjort sit bedste for at give dataeksportøren relevante oplysninger og accepterer, at den fortsat vil samarbejde med dataeksportøren for at sikre overholdelse af disse klausuler.

(d) Parterne er enige om at dokumentere vurderingen i henhold til punkt (b) og stille den til rådighed for den kompetente tilsynsmyndighed efter anmodning.

(e)  Dataimportøren indvilliger i straks at underrette dataeksportøren, hvis den, efter at have accepteret disse klausuler og i kontraktens løbetid, har grund til at tro, at den er eller er blevet underlagt love eller praksis, der ikke er i overensstemmelse med kravene i litra (a), herunder efter en ændring i tredjelandets love eller en foranstaltning (såsom en anmodning om offentliggørelse), der indikerer en anvendelse af sådanne love i praksis, der ikke er i overensstemmelse med kravene i litra (a).

(f)  Efter en meddelelse i henhold til litra e), eller hvis dataeksportøren på anden måde har grund til at tro, at dataimportøren ikke længere kan opfylde sine forpligtelser i henhold til disse klausuler, skal dataeksportøren straks identificere passende foranstaltninger (f.eks. tekniske eller organisatoriske foranstaltninger til at sikre sikkerhed og fortrolighed), der skal vedtages af dataeksportøren og/eller dataimportøren for at afhjælpe situationen. Dataeksportøren skal suspendere dataoverførslen, hvis den mener, at der ikke kan sikres passende garantier for en sådan overførsel, eller hvis den kompetente tilsynsmyndighed instruerer den i at gøre det. I dette tilfælde har dataeksportøren ret til at opsige kontrakten, for så vidt som den vedrører behandling af personoplysninger i henhold til disse klausuler. Hvis kontrakten involverer mere end to parter, kan dataeksportøren kun udøve denne ret til opsigelse over for den relevante part, medmindre parterne har aftalt andet. Hvis kontrakten opsiges i henhold til denne klausul, finder klausul 16(d) og (e) anvendelse.

(a) Dataimportøren accepterer at underrette dataeksportøren og, hvor det er muligt, dataemnet omgående (om nødvendigt med dataeksportørens hjælp), hvis den:

(i) modtager en juridisk bindende anmodning fra en offentlig myndighed, herunder retslige myndigheder, i henhold til lovgivningen i bestemmelseslandet om videregivelse af personoplysninger, der er overført i henhold til disse klausuler; en sådan meddelelse skal indeholde oplysninger om de personoplysninger, der anmodes om, den anmodende myndighed, retsgrundlaget for anmodningen og det svar, der er givet; eller

(ii) bliver opmærksom på offentlige myndigheders direkte adgang til personoplysninger, der er overført i henhold til disse klausuler i overensstemmelse med lovgivningen i bestemmelseslandet; en sådan meddelelse skal omfatte alle oplysninger, der er tilgængelige for importøren.

(b) Hvis dataimportøren har forbud mod at underrette dataeksportøren og/eller den registrerede i henhold til lovgivningen i bestemmelseslandet, accepterer dataimportøren at gøre sit bedste for at opnå en dispensation fra forbuddet med henblik på at kommunikere så mange oplysninger som muligt så hurtigt som muligt. Dataimportøren indvilliger i at dokumentere sin bedste indsats for at kunne demonstrere den på dataeksportørens anmodning.

(c)  Hvor det er tilladt i henhold til lovgivningen i bestemmelseslandet, accepterer dataimportøren at give dataeksportøren så mange relevante oplysninger som muligt om de modtagne anmodninger med jævne mellemrum i kontraktens løbetid (især antal anmodninger, type data, der anmodes om, anmodende myndighed(er), om anmodninger er blevet anfægtet og resultatet af sådanne anfægtelser osv.

(d) Dataimportøren indvilliger i at opbevare oplysningerne i henhold til punkt (a) til (c) i kontraktens løbetid og stille dem til rådighed for den kompetente tilsynsmyndighed efter anmodning.

(e)  Stk. (a) til (c) berører ikke dataimportørens forpligtelse i henhold til klausul 14(e) og klausul 16 til straks at informere dataeksportøren, hvis den ikke er i stand til at overholde disse klausuler.

(a)  Dataimportøren indvilliger i at undersøge lovligheden af anmodningen om videregivelse, især om den forbliver inden for de beføjelser, der er tildelt den anmodende offentlige myndighed, og at anfægte anmodningen, hvis den efter omhyggelig vurdering konkluderer, at der er rimelig grund til at antage, at anmodningen er ulovlig i henhold til lovgivningen i bestemmelseslandet, gældende forpligtelser i henhold til international ret og principper om international høflighed. Dataimportøren skal under de samme betingelser forfølge mulighederne for at klage. Ved anfægtelse af en anmodning skal dataimportøren anmode om foreløbige forholdsregler med henblik på at suspendere virkningerne af anmodningen, indtil den kompetente retslige myndighed har truffet afgørelse om dens berettigelse. Den må ikke videregive de ønskede personoplysninger, før den er forpligtet til det i henhold til de gældende procedureregler. Disse krav berører ikke dataimportørens forpligtelser i henhold til klausul 14(e).

(b) Dataimportøren indvilliger i at dokumentere sin juridiske vurdering og enhver indsigelse mod anmodningen om videregivelse og, i det omfang det er tilladt i henhold til lovgivningen i bestemmelseslandet, stille dokumentationen til rådighed for dataeksportøren. Den skal også stille det til rådighed for den kompetente tilsynsmyndighed efter anmod anmodning.

(c)  Dataimportøren indvilliger i at give den mindste mængde oplysninger, der er tilladt, når der svares på en anmodning om offentliggørelse, baseret på en rimelig fortolkning af anmodningen.

(a)  Dataimportøren skal straks underrette dataeksportøren, hvis den af en eller anden årsag, ikke er i stand til at overholde disse bestemmelser.

(b) I tilfælde af, at dataimportøren overtræder disse bestemmelser, eller ikke er i stand til at overholde disse bestemmelser, skal dataeksportøren suspendere overførslen af personoplysninger til dataimportøren, indtil der igen kan garanteres overholdelse, eller at kontrakten opsiges. Dette berører ikke klausul 14(f).

(c)  Dataeksportøren har ret til at opsige kontrakten, for så vidt det vedrører behandlingen af personoplysninger i henhold til disse bestemmelser, hvis:

(i) dataeksportøren har suspenderet overførslen af personoplysninger til dataimportøren i henhold til stk. (b) og overholdelse af disse bestemmelser ikke gendannes inden for en rimelig tid, og under alle omstændigheder inden for en måned efter suspensionen;

(ii) dataimportøren på alvorlig eller vedvarende vis har overtrådt disse bestemmelser; eller

(iii) dataimportøren ikke overholder en bindende beslutning fra en domstol eller tilsynsmyndighed vedrørende dens forpligtelser i henhold til disse bestemmelser.

I disse tilfælde skal den underrette den ansvarlige tilsynsmyndighed om den manglende overholdelse. Hvis kontrakten involverer mere end to parter, kan dataeksportøren kun udøve denne ret til opsigelse over for den pågældende part, medmindre parterne har aftalt andet.

(d) Personoplysninger, som er blevet overført før kontraktens ophør i henhold til stk. (c), skal efter dataeksportørens valg, straks returneres til dataeksportøren eller slettes i sin helhed. Det samme gælder for alle kopier af dataene. Dataimportøren skal attestere til dataeksportøren, at alle data er blevet slettet. Indtil dataene er blevet slettet eller returneret, skal dataimportøren fortsat sikre overholdelse af disse bestemmelser. I tilfælde af at lokale love, som er gældende for dataimportøren, forbyder returnering eller sletning af de overførte personoplysninger, skal dataimportøren garantere, at de fortsat vil sikre overholdelse af disse bestemmelser og kun vil behandle dataene i det omfang, og så længe det er nødvendigt, i henhold til den lokale lovgivning.

(e)  Hver af parterne kan tilbagekalde sin aftale om at være bundet af disse bestemmelser, hvis (i) Europa-Kommissionen vedtager en beslutning i henhold til artikel 45, stk. 3, i Forordning (EU) 2016/679, der dækker overførsel af personoplysninger, som disse bestemmelser gælder for; eller (ii) Forordning (EU) 2016/679 bliver en del af den juridiske ramme i det land, som personoplysningerne er blevet overført til. Dette berører ikke andre forpligtelser, der gælder for den pågældende behandling i henhold til Forordning (EU) 2016/679.

Disse bestemmelser er underlagt lovgivningen i den EU-medlemsstat, hvor dataeksportøren er etableret. Hvis lovgivningen i dette land ikke tillader tredjemandsløftet, skal de være underlagt lovgivningen i en anden EU-medlemsstat, der tillader tredjemandsløfte. Parterne er enige om, at dette skal være ved hollandsk lovgivning.

(a)  Enhver tvist, der opstår i forbindelse med disse bestemmelser, skal løses af en domstol i en af EU-medlemsstaterne.

(b) Parterne er enige om, at det skal være ved domstolene i Holland.

(c)  En registreret person kan også indbringe en sag mod dataeksportøren og/eller dataimportøren for domstolene i den medlemsstat, hvor han/hun har sit sædvanlige opholdssted.

(d) Parterne er enige om at underkaste sig sådanne domstoles jurisdiktion.

For oplysningerne i bilag I og II henvises til skemaerne 1 og 2 i vores Aftale om databehandling.