HUOMAA: OLEMME JULKAISSEET ALLA OLEVAT EHDOT UUSIEN EUROOPAN KOMISSION HYVÄKSYTTYJEN VAKIOSOPIMUSLAUSEKKEIDEN KANSSA, ASTUEN VOIMAAN 27. SYYSKUUTA 2021

(a) Näiden mallisopimuslausekkeiden tarkoituksena on varmistaa luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 vaatimusten noudattaminen tai tällaisten tietojen vapaa liikkuvuus (yleinen tietosuoja-asetus) (1) henkilötietojen siirtämiseksi kolmanteen maahan.

b) Osapuolet:

(i) liitteessä I olevassa A kohdassa lueteltu luonnollinen henkilö tai oikeushenkilö, viranomainen/viranomaiset, virasto/elimet tai muu elin/elimet (jäljempänä 'yksikkö/elimet'), jotka siirtävät henkilötietoja (jäljempänä kukin 'tietojen viejä'). ), ja

(ii) liitteessä I.A luetellut kolmannessa maassa olevat yhteisöt, jotka vastaanottavat henkilötiedot tietojen viejältä suoraan tai välillisesti toisen yhteisön kautta, joka on myös näiden lausekkeiden osapuoli (jäljempänä kukin tietojen tuoja)

ovat hyväksyneet nämä vakiosopimuslausekkeet (jäljempänä "lausekkeet").

(c) Näitä lausekkeita sovelletaan liitteessä I.B määriteltyyn henkilötietojen siirtoon.

(d) Näiden lausekkeiden liite, joka sisältää niissä mainitut lomakkeet, on erottamaton osa näitä lausekkeita.

(a) Näissä lausekkeissa vahvistetaan asianmukaiset suojatoimenpiteet, mukaan lukien täytäntöönpanokelpoiset rekisteröidyn oikeudet ja tehokkaat oikeussuojakeinot asetuksen (EU) 2016/679 46 artiklan 1 kohdan ja 46 artiklan 2 kohdan c alakohdan mukaisesti sekä tietojen osalta siirrot rekisterinpitäjiltä prosessoreille ja/tai käsittelijöiltä prosessoreille, asetuksen (EU) 2016/679 28 artiklan 7 kohdan mukaiset vakiosopimuslausekkeet edellyttäen, että niitä ei muuteta, lukuun ottamatta asianmukaisten moduulien valitsemista tai liitteen tietojen lisäämistä tai päivittämistä. Tämä ei estä osapuolia sisällyttämästä näissä lausekkeissa vahvistettuja mallisopimuslausekkeita laajempaan sopimukseen ja/tai lisäämästä muita lausekkeita tai lisätakeita edellyttäen, että ne eivät ole suoraan tai välillisesti ristiriidassa näiden lausekkeiden kanssa tai loukkaa perusoikeuksia tai rekisteröityjen vapauksia.

b) Nämä lausekkeet eivät rajoita velvoitteita, jotka koskevat tietojen viejää asetuksen (EU) 2016/679 nojalla.

(a) Rekisteröidyt voivat vedota näihin lausekkeisiin ja panna ne täytäntöön kolmannen osapuolen edunsaajina tietojen viejää ja/tai tietojen tuojaa vastaan seuraavin poikkeuksin:

(i) Lauseke 1, lauseke 2, lauseke 3, lauseke 6, lauseke 7;

(ii) Lauseke 8.1(b), 8.9(a), (c), (d) ja (e);

(iii) Lauseke 9 – lauseke 9(a), (c), (d) ja (e);

(iv) Lauseke 12 – lauseke 12(a), (d) ja (f);

(v) Lauseke 13;

(vi) Lauseke 15.1(c), (d) ja (e);

(vii) Lauseke 16(e);

(viii) Lauseke 18 – lauseke 18(a) ja (b);

(b) Alakohta a ei rajoita rekisteröityjen oikeuksia asetuksen (EU) 2016/679 mukaisesti.

(a) Jos näissä lausekkeissa käytetään termejä, jotka on määritelty asetuksessa (EU) 2016/679, niillä on sama merkitys kuin kyseisessä asetuksessa.

(b) Näitä lausekkeita on luettava ja tulkittava asetuksen (EU) 2016/679 säännösten valossa.

(c) Näitä lausekkeita ei saa tulkita tavalla, joka on ristiriidassa asetuksessa (EU) 2016/679 säädettyjen oikeuksien ja velvollisuuksien kanssa.

Mikäli näiden lausekkeiden ja osapuolten välisten niihin liittyvien sopimusten määräysten välillä on ristiriita, jotka ovat voimassa näiden lausekkeiden solmimishetkellä tai sen jälkeen solmittaessa, nämä lausekkeet ovat ensisijaisia.

Siirron yksityiskohdat ja erityisesti siirrettävien henkilötietojen luokat ja tarkoitukset, joita varten ne siirretään, on määritelty liitteessä I.B.

(a) Yhteisö, joka ei ole näiden lausekkeiden osapuoli, voi osapuolten suostumuksella liittyä näihin lausekkeisiin milloin tahansa joko tietojen viejänä tai tuojana täyttämällä liitteen ja allekirjoittamalla liitteen I.A.

b) Kun se on täyttänyt lisäyksen ja allekirjoittanut liitteen I.A, liittyvästä tahosta tulee näiden lausekkeiden sopimuspuoli, ja sillä on tietojen viejän tai tuojan oikeudet ja velvollisuudet liitteessä I.A olevan nimeämisen mukaisesti.

(c) Liittyvällä yhteisöllä ei ole näistä lausekkeista johtuvia oikeuksia tai velvollisuuksia sopimuspuoleksi tulemista edeltäneeltä ajalta.

Tietojen viejä takaa, että se on suorittanut kohtuullisia toimia teknisten ja organisatoristen toimenpiteiden avulla sen määrittämiseksi, että tiedot ovat tietojen tuojan käytettävissä asianmukaisten ja että tietojen tuoja voi täyttää näiden lakien mukaiset oikeudet ja velvollisuudet.

(a) Tietojen tuojan on käsiteltävä henkilötietoja vain tietojen viejän antamien dokumentoitujen ohjeiden mukaisesti. Tietojen viejä voi antaa tällaisia ohjeita koko sopimuksen voimassaoloajan ajan.

(b) Tietojen tuojan on ilmoitettava välittömästi tietojen viejälle siitä, jos se ei voi seurata näitä ohjeita.

Tietojen tuojan on käsiteltävä tietoja vain siirron erityiseen tarkoitukseen, joka on määritelty liitteessä I.B, ellei tietojen viejä anna muita ohjeita.

Tietojen viejän on pyydettäessä annettava kopioi näistä lausekkeista, mukaan lukien liitteestä, sellaisena kuin se on osapuolten täyttämänä ja valmiiksi tekemänä, rekisteröidyn saataville ilmaiseksi. Siinä määrin kuin on tarpeen liiketoimintasalaisuuksien tai muiden luottamuksellisten tietojen suojaamiseksi, mukaan lukien liitteessä II kuvatut toimenpiteet ja henkilötiedot, tietojen viejä voi poistaa osia näiden lausekkeiden lisäyksestä ennen kopion jakamista niistä, mutta sen tulee antaa ymmärrettävä ja kohdan merkityksen sisältävä yhteenveto sellaisissa tapauksissa, joissa rekisteröity ei muuten voisi ymmärtää jotakin kohtaa tai koko tekstiä tai käyttää oikeuksiaan. Sopimuspuolten on pyydettäessä annettava rekisteröidylle syyt tällaisista muokkauksista ja poistamisista siinä määrin kuin on mahdollista ilman, että muokatut tai poistetut tiedot paljastuvat. Tämä lauseke ei rajoita tietojen viejän asetuksen (EU) 2016/679 13 ja 14 artiklan mukaisia velvollisuuksia.

Jos tietojen tuoja saa tietää, että sen vastaanottamat tiedot ovat epätarkkoja tai ovat vanhentuneet, sen on ilmoitettava asiasta tietojen viejälle ilman aiheetonta viivytystä. Tässä tapauksessa tietojen tuojan tulee tehdä yhteistyötä tietojen viejän kanssa tietojen poistamiseksi tai korjaamiseksi.

Tietojen tuoja suorittaa käsittelyä vain liitteessä I.B. määritellyn ajan. Käsittelypalveluiden toimittamisen päättymisen jälkeen tietojen tuoja poistaa tietojen viejän pyynnöstä kaikki tietojen viejän puolesta käsitellyt tiedot ja vahvistaa tietojen viejälle tehneensä niin tai palauttaa tietojen viejälle kaikki sen puolesta käsitellyt tiedot ja poistaa olemassa olevat kopiot (näistä tiedoista). Tietojen tuoja jatkaa näiden lausekkeiden noudattamista, kunnes tiedot on poistettu tai palautettu. Jos tietojen tuojaan sovellettavat paikalliset lait kieltävät henkilötietojen palauttamisen tai poistamisen, tietojen tuoja takaa, että se varmistaa edelleen näiden lausekkeiden noudattamisen ja käsittelee tietoja vain siinä laajuudessa ja niin kauan kuin paikallisen lain edellyttämä. Tämä ei vaikuta tai rajoita lausekkeen 14 ehtoja, etenkään lausekkeen 14 alakohdan e mukaista vaatimusta, että tietojen tuoja ilmoittaa tietojen viejälle koko sopimuksen ajan, jos sillä on syytä uskoa, että se on tai on tullut sellaisten lakien tai käytäntöjen alaiseksi, jotka eivät ole lausekkeen 14 alakohdan a vaatimusten mukaisia.

(a) Tietojen tuoja ja tietojen siirron aikana myös tietojen viejä toteuttavat asianmukaiset tekniset ja organisatoriset toimenpiteet tietojen turvallisuuden varmistamiseksi, mukaan lukien suojaaminen sellaisia turvallisuusloukkauksia vastaan, jotka saattavat johtaa tällaisten tietojen tahattomaan tai laittomaan tuhoamiseen, tuhoutumiseen, menetykseen, muuttamiseen, luvattomaan paljastamiseen tai luvattomaan pääsyyn niihin (jäljempänä "henkilötietojen tietoturvaloukkaus") Arvioidessaan asianmukaista turvallisuuden tasoa osapuolten on otettava huomioon käsittelyn luonne, laajuus, konteksi ja tarkoitukset sekä käsittelyyn liittyvät riskit, jotka kohdistuvat rekisteröityihin. Sopimuspuolet harkitsevat erityisesti salauksen tai pseudonymisoinnin käyttämistä, myös siirron aikana, jos käsittelyn tarkoitus voidaan täyttää tällä tavalla. Pseudonymisoinnin tapauksessa lisätiedot henkilötietojen yhdistämisestä tai muusta osoittamisesta johonkin tiettyyn rekisteröityyn pysyy, jos mahdollista, yksinomaan tietojen viejän hallinnassa. Tietojen tuojan tulee vähintään panna täytäntöön liitteessä II mainitut tekniset ja organisatoriset toimenpiteet noudattaessaan tämän kappaleen mukaisia velvollisuuksiaan. Tietojen tuoja tekee säännöllisiä tarkastuksia varmistaakseen, että nämä toimenpiteet varmistavat edelleen asianmukaisen turvallisuuden tason.

(b) Tietojen tuoja myöntää henkilökunnalleen pääsyn henkilötietoihin vain siinä määrin kuin se on ehdottoman välttämätöntä sopimuksen täytäntöönpanon, hallinnan ja seurannan kannalta. Tietojen tuoja varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet luottamuksellisuuteen tai ovat asianmukaisen lakiperusteisen luottamuksellisuusvelvoitteen alaisia.

(c) Tietojen tuojan näiden lausekkeiden mukaisesti käsittelemiä henkilötietoja koskevan henkilötietojen tietoturvaloukkauksen yhteydessä tietojen tuoja ryhtyy asianmukaisiin toimenpiteisiin vastatakseen tietoturvaloukkaukseen, mukaan lukien toimenpiteet sen haittavaikutusten lieventämiseksi. Tietojen tuoja ilmoittaa asiasta myös tietojen viejälle ilman aiheetonta viivytystä sen jälkeen, kun hän on tullut tietoiseksi tietoturvaloukkauksesta. Tällainen ilmoitus sisältää yhteyshenkilön/yhteyspisteen tiedot, josta voi saada lisätietoja, kuvauksen loukkauksen luonteesta (mukaan lukien mahdollisuuksien mukaan loukkaukseen liittyvien rekisteröityjen ja henkilötietotietueiden kategoriat ja likimääräinen lukumäärä), sen mahdollisista seurauksista sekä toimenpiteet, jotka on toteutettu tai joita on ehdotettu loukkaukseen vastaamiseksi, mukaan lukien, jos on asianmukaista, toimenpiteet loukkauksen mahdollisten haittavaikutusten lieventämiseksi. Jos ja sikäli kuin ei ole mahdollista antaa kaikkia tietoja samaan aikaan, ilmoitus sisältää sillä hetkellä saatavilla olevat tiedot ja lisätiedot on toimitettava myöhemmin ilman aiheetonta viivytystä.

(d) Tietojen tuoja tekee yhteistyötä ja auttaa tietojen viejää noudattamaan tämän asetuksen (EU) 2016/679 mukaisia velvollisuuksiaan, etenkin velvollisuuden ilmoittaa toimivaltaiselle viranomaiselle ja loukkauksen vaikutuksen alaisille rekisteröidyille suhteen, ottaen huomioon käsittelyn luonteen ja tietojen tuojalle saatavilla olevat tiedot.

Jos siirtoon sisältyy henkilötietoja, jotka paljastavat rodun tai etnisen alkuperän, poliittisia mielipiteitä, uskonnollisia tai filosofisia vakaumuksia tai uskomuksia tai ammattiliiton jäsenyyden, geneettisiä tietoja tai biometrisiä tietoja luonnollisen henkilön yksilöimisen tarkoitusta varten, terveyttä, henkilön seksielämää tai seksuaalista suuntautumista koskevia tietoja tai rikostuomioihin tai rikoksiin liittyviä tietoja (jäljempänä "arkaluontoiset tiedot"), tietojen tuoja soveltaa liitteessä I.B esitettyjä erityisiä rajoituksia ja/tai lisäsuojatoimia.

Tietojen tuoja paljastaa henkilötietoja kolmannelle osapuolelle vain tietojen viejän antamien dokumentoitujen ohjeiden mukaisesti. Lisäksi tiedot voidaan luovuttaa kolmannelle osapuolelle, joka sijaitsee Euroopan unionin ulkopuolella (4) (samassa maassa kuin tietojen tuoja tai toisessa kolmannessa maassa, jäljempänä ’edelleensiirto’), jos kolmas osapuoli on näiden lausekkeiden sitoma tai sitoutuu noudattamaan näitä lausekkeita asianmukaisen moduulin mukaisesti tai jos:

(a) edelleensiirto tapahtuu maahan, joka hyötyy asetuksen (EU) 2016/679 45 artiklan mukaisesta tiedonsiirtojen tietoturvan tason riittävyyspäätöksestä, joka kattaa edelleensiirrot;

b) kolmas osapuoli muutoin varmistaa asianmukaiset suojatoimet asetuksen (EU) 2016/679 46 tai 47 artiklan mukaisesti kyseessä olevan käsittelyn osalta;

(c) edelleensiirto on tarpeen oikeudellisten vaateiden aloittamiseksi, tekemiseksi tai puolustamiseksi erityisten hallinnollisten, sääntely- tai tuomioistuinmenettelyjen yhteydessä; tai

(d) edelleensiirto on tarpeen rekisteröidyn tai jonkun muun luonnollisen henkilö elintärkeiden etujen suojaamiseksi.

Kaikkien edelleensiirtojen tulee tapahtua siten, että tietojen tuoja noudattaa kaikkia näiden lausekkeiden mukaisia muita suojatoimia, erityisesti tarkoituksen rajoituksen suhteen.

(a) Tietojen tuoja käsittelee tietojen viejältä saamansa näiden lausekkeiden mukaiseen käsittelyyn liittyvät kyselyt heti ja viivytyksettä.

(b) Osapuolten tulee voida osoittaa, että he noudattavat näitä lausekkeita. Tietojen tuojan tulee etenkin dokumentoida tietojen viejän puolesta toteutetut käsittelytoimet.

(c) Tietojen tiedot tuoja antaa tietojen viejän saataville kaikki tiedot, jotka ovat tarpeen sen osoittamiseksi, että näissä lausekkeissa asetettuja velvoitteita noudatetaan, ja tietojen viejän pyynnöstä sallii, avustaa ja osallistuu näiden lausekkeiden kattamien käsittelytoimien tarkastukseen ja auditointiin kohtuullisin väliajoin tai jos on merkkejä vaatimusten tai näiden lausekkeiden vastaisesta toiminnasta. Kun tietojen viejä päättää arvioinnista tai tarkastuksesta, tietojen viejä voi ottaa huomioon tietojen tuojalla olevat asiaankuuluvat sertifikaatit.

(d) Tietojen viejä voi päättää suorittaa tarkastuksen itse tai valtuuttaa riippumattoman tarkastajan suorittamaan sen. Tarkastuksiin voi kuulua tietojen tuojan tiloissa tai fyysisissä laitoksissa tehtäviä tarkastuksia ja niistä tulee antaa ilmoitus kohtuullisella varoitusajalla.

(e) Osapuolten on pyynnöstä annettava kappaleissa (b) ja (c) viitatut tiedot, mukaan lukien kaikkien tarkastusten tulokset, toimivaltaisen valvontaviranomaisen saataville.

(a) Tietojen tuojalla on tietojen viejän yleinen lupa palkata ja käyttää hyväksytystä luettelosta valittuja alikäsittelijöitä. Tietojen tuoja ilmoittaa tietojen viejälle kirjallisesti kaikista aiotuista alikäsittelijöitä lisäämällä tai korvaamalla tapahtuvista muutoksista kyseiseen luetteloon vähintään 14 päivää etukäteen, jotta tietojen viejällä on riittävästi aikaa vastustaa tällaisia muutoksia ennen kuin alikäsittelijä alkaa suorittamaan tehtäviä. Tietojen tuoja antaa tietojen viejälle tiedot, jotka tarvitaan siihen, että tietojen viejä voi harjoittaa vastustamisoikeuttaan.

(b) Jos tietojen tuoja ottaa käyttöön alikäsittelijän suorittamaan tiettyjä käsittelytoimia (tietojen viejän puolesta), se tekee niin kirjallisella sopimuksella, joka asettaa sisällöllisesti samat tietosuojavelvollisuudet kuin ne velvollisuudet, jotka sitovat tietojen tuojaa näiden lausekkeiden mukaisesti, mukaan lukien rekisteröityjen kolmannen osapuolen edunsaajan oikeuksien suhteen. (8) Osapuolet sopivat, että tätä lauseketta noudattamalla tietojen tuoja täyttää lausekkeen 8.8 mukaiset velvollisuutensa. Tietojen tuoja varmistaa, että alikäsittelijä noudattaa niitä velvollisuuksia, joiden alainen tietojen tuoja on näiden lausekkeiden mukaisesti.

(c) Tietojen tuoja antaa tietojen viejän pyynnöstä kopion tällaisesta alikäsittelijäsopimuksesta ja kaikista siihen myöhemmin tehdyistä muutoksista tietojen viejälle. Tietojen tuoja voi poistaa osia sopimuksen tekstistä ennen sopimuksen kopion jakamista, siltä osin kuin on tarpeen suojata liiketoimintasalaisuuksia tai muita luottamuksellisia tietoja.

(d) Tietojen tuoja pysyy täysin vastuussa tietojen viejälle siitä, että alikäsittelijä täyttää sen tietojen tuojan kanssa tehdyn sopimuksen mukaiset velvollisuutensa. Tietojen tuoja ilmoittaa tietojen viejälle kaikista tapauksista, joissa alikäsittelijä ei ole noudattanut kyseisen sopimuksen mukaisia velvollisuuksiaan.

(e) Tietojen tuoja hyväksyy kolmannen osapuolen edunsaaja -lausekkeen alikäsittelijän kanssa, ja sen myötä sellaisessa tapauksessa, jossa tietojen tuoja on tosiasiallisesti kadonnut, lakannut olemasta laillisesti tai on tullut maksukyvyttömäksi, tietojen viejällä on oikeus irtisanoa alikäsittelijäsopimus ja ohjeistaa alikäsittelijää poistamaan tai palauttamaan henkilötiedot.

(a) Tietojen tuoja ilmoittaa viipymättä tietojen viejälle kaikista rekisteröidyltä saamistaan pyynnöistä. Se ei vastaa tällaisiin pyyntöihin itse, ellei tietojen viejä ole antanut sille lupaa tehdä niin.

(b) Tietojen tuoja auttaa tietojen viejää täyttämään velvollisuutensa vastata rekisteröidyn pyyntöihin käyttää asetuksen (EU) 2016/679 mukaisia oikeuksiaan. Tämän osalta osapuolet asettavat liitteessä II asianmukaiset tekniset ja organisatoriset toimenpiteet ottaen huomioon käsittelyn luonteen, jonka muodossa apua annetaan, sekä tarvitun avun laajuuden ja määrän.

(c) Tietojen tuoja noudattaa tietojen viejän antamia ohjeita täyttäessään kohtien (a) ja (b) mukaisia velvollisuuksiaan.

(a) Tietojen tuojan tulee ilmoittaa rekisteröidyille avoimessa ja helposti saatavilla olevassa muodossa tai henkilökohtaisella ilmoituksella tai verkkosivustollaan yhteyspisteestä, joka on valtuutettu käsittelemään valituksia. Se käsittelee viipymättä kaikki valitukset, joita se saa rekisteröidyltä.

(b) Jos rekisteröidyn ja jomman kumman osapuolen välillä on riita näiden lausekkeiden noudattamisesta, kyseinen osapuoli yrittää parhaansa mukaan ratkaista riidan sovinnollisesti ja viivyttelemättä oikea-aikaisesti. Osapuolten on pidettävä toisensa ajan tasalla tällaisista riidoista ja tehtävä tarvittaessa yhteistyötä niiden ratkaisemiseksi.

(c) Jos rekisteröidy vetoaa kolmannen osapuolen edunsaaja -oikeuteen, lausekkeen 3 mukaisesti, tietojen tuojan on hyväksyttävä rekisteröidyn päätös:

(i) tehdä valitus sen valvontaviranomaiselle siinä jäsenvaltiossa, jossa hän asuu tai työskentelee tai lausekkeen 13 mukaiselle toimivaltaiselle valvontaviranomaiselle;

(ii) viedä riita toimivaltaisille tuomioistuimille lausekkeen 18 tarkoituksen mukaisesti.

(d) Osapuolet hyväksyvät, että rekisteröityä voi edustaa voittoa tavoittelematon taho, organisaatio tai järjestö asetuksen (EU) 2016/679 80 artiklan 1 alakohdassa säädettyjen ehtojen mukaisesti.

(e) Tietojen tuoja noudattaa päätöstä, joka on sitova sovellettavan EU:n tai jäsenvaltion lain mukaisesti.

(f) Tietojen tuoja hyväksyy, että rekisteröidyn tekemä valinta ei vaikuta tai rajoita hänen aineellisia ja menettelyllisiä oikeuksiaan hakea oikeussuojakeinoja ja korjauskeinoja sovellettavien lakien mukaisesti.

(a) Jokainen osapuoli on vastuussa toiselle osapuolelle tai osapuolille kaikista vahingoista ja vahingonkorvauksista, joita se aiheuttaa toiselle osapuolelle rikkomalla näitä lausekkeita millä tahansa tavalla.

(b) Tietojen tuoja on vastuuvelvollinen ja korvausvastuussa rekisteröidylle, ja rekisteröity on oikeutettu saamaan korvauksen kaikista aineellisista tai aineettomista vahingoista, joita tietojen tuoja tai sen alikäsittelijä aiheuttavat rikkomalla näiden lausekkeiden mukaisia kolmannen osapuolen edunsaajan oikeuksia.

(c) Lukuun ottamatta kohdan (b) ehtoja, tietojen viejä on vastuuvelvollinen rekisteröidylle, ja rekisteröidyllä on oikeus saada korvaus kaikista aineellisista tai aineettomista vahingoista, joita tietojen viejä (tai sen alikäsittelijä) aiheuttaa rekisteröidylle rikkomalla näiden lausekkeiden mukaisia kolmannen osapuolen edunsaajan oikeuksia. Tämä ei vaikuta tai rajoita tietojen viejän vastuuta, tai jos tietojen viejä on rekisterinpitäjän puolesta toimiva henkilötietojen käsittelijä, rekisterinpitäjän asetuksen (EU) 2016/679 tai asetuksen (EU) 2018/1725 mukaista vastuuta, soveltuvin osin.

(d) Osapuolet sopivat, että jos tietojen viejä on vastuuvelvollinen (asetetaan vastuuseen) kohdan (c) mukaisesti tietojen tuojan (tai sen alikäsittelijän) aiheuttamista vahingoista tai vahingonkorvauksista, sillä on oikeus vaatia takaisin tietojen tuojalta sen osan korvauksista, jotka vastaavat tietojen tuojan vastuuta vahingosta.

(e) Jos useampi kuin yksi osapuoli on vastuussa mistä tahansa rekisteröidylle aiheutuneista vahingoista, jotka johtuvat näiden lausekkeiden rikkomisesta, kaikki vastuussa oleva osapuolet ovat yhdessä ja erikseen vastuuvelvollisia, ja rekisteröidyllä on oikeus nostaa kanne tuomioistuimessa kaikkia näistä osapuolia vastaan.

(f) Osapuolet sopivat, että jos yksi osapuoli on vastuuvelvollinen kohdan (e) mukaisesti, sillä on oikeus vaatia takaisin toiselta osapuolelta/osapuolilta se osa korvauksista, joka vastaa sen/niiden vastuusta vahingosta/vahingonkorvauksista.

(g) Tietojen tuoja ei saa vedota alikäsittelijän toimiin välttääkseen oman vastuuvelvollisuuttaan/korvausvelvollisuuttaan.

(a) Osapuolet sopivat, että valvontaviranomainen, joka on vastuussa siitä, että tietojen viejä noudattaa asetusta (EU) 2016/679 tietojen siirron suhteen, on Alankomaiden tietosuojaviranomainen (Autoriteit Persoonsgegevens), joka toimii toimivaltaisena valvontaviranomaisena.

(b) Tietojen tuoja sitoutuu olemaan toimivaltaisen viranomaisen tuomiovallan alainen ja tekemään yhteistyötä toimivaltaisten viranomaisen kanssa kaikissa menettelyissä, joiden tarkoituksena on varmistaa näiden lausekkeiden noudattaminen. Tietojen tuoja sitoutuu erityisesti vastaamaan kyselyihin, sallimaan siihen kohdistuvat tarkastukset ja noudattamaan viranomaisen hyväksymiä tai käyttöönottamia toimenpiteitä, mukaan lukien korjaavat ja korvaavat toimenpiteet. Se antaa viranomaiselle kirjallisen vahvistuksen siitä, että tarvittavat toimet on toteutettu.

(a) Sopimuspuolet takaavat, että niillä ei ole mitään syytä uskoa, että kolmannen osapuolen kohdemaan lait ja käytännöt, joita sovelletaan tietojen tuojan suorittamaan henkilötietojen käsittelyyn, mukaan lukien kaikki vaatimukset, jotka koskevat henkilötietojen luovuttamista tai toimenpiteitä, jotka antavat viranomaisille pääsyn niihin, estävät tietojen tuojaa täyttämästä näiden lausekkeiden mukaisia velvoitteitaan. Tämä perustuu siihen, että lait ja käytännöt, jotka kunnioittavat perusoikeuksia ja -vapauksia ja niiden olemusta eivätkä ylitä sitä, mikä on välttämätöntä ja oikeasuhteista demokraattisessa yhteiskunnassa erään asetuksen (EU) 2016/679 23 artiklan 1 kohdassa luetelluista tavoitteista suojelemiseksi ja turvaamiseksi, eivät ole näiden lausekkeiden vastaisia.

(b) Sopimuspuolet sopivat, että antaessaan kappaleessa (a) esitetyn takuun, ne ovat ottaneet asianmukaisesti huomioon erityisesti seuraavat seikat:

(i) siirron erityiset olosuhteet, mukaan lukien käsittelyketjun pituus, asianomaisten / mukana olevien toimijoiden lukumäärä ja käytettyjen siirtokanavien lukumäärä; aiotut eteenpäinsiirrot; vastaanottajan tyyppi; käsittelyn tarkoitus; siirrettyjen henkilötietojen kategoriat ja tallennusmuodot/formaatit; talouden osa-alue/sektori, jossa siirto tapahtuu; siirrettyjen tietojen säilytyspaikan sijainti;

(ii) kolmannen kohdemaan lait ja käytännöt (mukaan lukien ne, jotka vaativat tietojen luovuttamista viranomaisille tai tällaisten viranomaisten pääsyn sallimista tietoihin), jotka ovat olennaisia siirron erityiset olosuhteet ja sovellettavat rajoitukset ja suojatoimet huomioon ottaen (12);

(iii) kaikki asiaankuuluvat sopimus-, tekniset tai organisatoriset suojatoimet, jotka on otettu käyttöön näiden lausekkeiden mukaisten suojatoimien täydentämiseksi, mukaan lukien tietojen siirron aikana sovellettavat toimenpiteet sekä kohdemaassa henkilötietojen käsittelyyn sovellettavat toimenpiteet.

(c) Tietojen tuoja takaa, että suorittaessaan kappaleen (b) mukaista arviointia se on pyrkinyt parhaansa mukaan antamaan tietojen viejälle asiaankuuluvia tietoja ja sitoutuu jatkamaan yhteistyötä tietojen viejän kanssa näiden lausekkeiden noudattamisen varmistamiseksi.

(d) Sopimuspuolet sopivat dokumentoivansa kappaleen (b) mukaisen arvioinnin ja asettavansa sen pyydettäessä toimivaltaisen viranomaisen saataville.

(e) Tietojen tuoja sitoutuu ilmoittamaan tietojen viejälle viipymättä, jos kun se on hyväksynyt nämä lausekkeet ja tämän sopimuksen voimassaoloajan ajan, sillä on syytä uskoa, että se on tai on tullut sellaisten lakien tai käytäntöjen alaiseksi, jotka eivät ole kappaleen (a) vaatimusten mukaisia, mukaan lukien kolmannen osapuolen maan lakien muutoksen tai toimenpiteen (kuten tietojenluovutuspyyntö) tapauksessa, jossa vaikuttaa siltä, että tällaisia lakeja sovellettaisiin tavalla, joka ei ole kappaleen (a) mukaista.

(f) alakohdan (e) mukaisen ilmoituksen jälkeen, tai jos tietojen viejän on muuten syytä uskoa, että tietojen tuoja ei pysty enää täyttämään näiden lausekkeiden mukaisia velvollisuuksiaan, tietojen viejä tunnistaa viipymättä asianmukaiset toimenpiteet (esim. tekniset tai organisatoriset toimenpiteet, joilla varmistetaan turvallisuus ja luottamuksellisuus), jotka tietojen viejän ja/tai tietojen tuojan on suoritettava tilanteen ratkaisemiseksi. Tietojen viejä keskeyttää tietojen siirron, jos se katsoo, että asianmukaisia turvatoimia ei voida järjestää tällaiselle siirrolle, tai jos toimivaltainen viranomainen on ohjeistanut sitä toimimaan niin. Tässä tapauksessa tietojen viejällä on oikeus lopettaa sopimus sikäli kuin se koskee näiden lausekkeiden mukaisten henkilötietojen käsittelyä. Jos sopimuksessa on yli kaksi sopimuspuolta, tietojen viejä voi käyttää tätä lopettamisoikeutta vain asianmukaisen sopimuspuolen suhteen, elleivät osapuolet ole sopineet toisin. Jos sopimus lopetetaan tämän lausekkeen mukaisesti, lausekkeen 16 alakohtia d ja e sovelletaan.

(a) Tietojen tuoja sitoutuu ilmoittamaan tietojen viejälle ja mahdollisuuksien mukaan rekisteröidylle (ja jos on tarpeen, tietojen tiedot viejän avulla), jos se:

(i) saa oikeudellisesti sitovan pyynnön viranomaiselta, mukaan lukien oikeusviranomaisilta, kohdemaan lakien mukaisesti, luovuttaa näiden lausekkeiden mukaisesti siirrettyjä henkilötietoja; tällainen ilmoitus sisältää tietoja pyydetyistä henkilötiedoista, pyynnön tehneen viranomaistahon nimen, pyynnön oikeusperustan ja pyyntöön annetun vastaukseen; tai

(ii) tulee tietoiseksi siitä, että viranomaiset ovat saaneet tai tulevat saamaan suoran pääsyn näiden lausekkeiden mukaisesti siirrettyihin henkilötietoihin kohdemaan lakien mukaisesti; tällainen ilmoitus sisältää kaikki tietojen tuojan saatavilla olevat tiedot.

(b) Jos kohdemaan lait kieltävät tietojen tuojaa ilmoittamasta tietojen viejälle ja/tai rekisteröidylle, tietojen tuoja sitoutuu parhaansa mukaan yrittämään saada vapautuksen tällaisesta kiellosta ja antamaan mahdollisimman paljon tietoja mahdollisimman pian. Tietojen tuoja sitoutuu dokumentoimaan ponnistelunsa voidakseen osoittaa ne tietojen viejän pyytäessä sitä.

(c) Jos kohdemaan lakien mukaan on sallittua, tietojen tuoja sitoutuu antamaan tietojen viejälle säännöllisin väliajoin sopimuksen voimassaoloajan ajan niin paljon asiaankuuluvia tietoja vastaanotetuista pyynnöistä (erityisesti pyyntöjen lukumäärä, pyydettyjen tietojen tyyppi, pyynnön tehnyt viranomainen/viranomaiset, onko pyyntöjä haastettu/kyseenalaistettu ja tällaisten haasteiden lopputulos jne.).

(d) tietojen tuoja sitoutuu säilyttämään kappaleiden (a)–(c) mukaiset tiedot sopimuksen voimassaoloajan ajan sekä antamaan ne pyynnöstä toimivaltaisen viranomaisen saataville.

(e) kappaleet (a)-(c) eivät rajoita tai vaikuta tietojen tuojan lausekkeen 14 alakohdan e ja lausekkeen 16 mukaisiin velvollisuuksiin tiedottaa tietojen viejälle pikimmiten ja viivyttelemättä siitä, että se ei pysty noudattamaan näitä lausekkeita.

(a) Tietojen tuoja sitoutuu tarkistamaan tietojenluovutuspyynnön laillisuuden, erityisesti sen suhteen, onko pyyntö pyynnön esittäneen viranomaisen valtuuksien mukainen, sekä haastamaan pyynnön, jos huolellisen arvioinnin jälkeen se toteaa, että on perusteltuja ja kohtuullisia syitä katsoa, että pyyntö on kohdemaan lakien, kansainvälisen lain tai kansainvälisten kohteliaisuuden periaatteiden vastainen. Tietojen tuoja yrittää samojen ehtojen mukaisesti hakea muutosta. Kun tietojen viejä haastaa pyyntöä, tietojen tuoja hakee väliaikaisia toimenpiteitä, joiden tarkoituksena on keskeyttää pyynnön vaikutukset siihen asti, kunnes toimivaltainen viranomainen on päättänyt pyynnön hyväksymisestä. Se ei anna pyydettyjä henkilötietoja ennen kuin se on velvollinen tekemään niin sovellettavien menettelysääntöjen mukaisesti. Nämä vaatimukset eivät vaikuta tietojen tuojan lausekkeen 14 alakohdan e mukaisiin velvollisuuksiin.

(b) tietojen tuoja sitoutuu dokumentoimaan laillisuusarviointinsa ja kaikki paljastamispyyntöön kohdistuvat haasteet, ja antaa dokumentit tietojen viejän saataville siinä määrin kuin on sallittua kohdemaan lakien mukaan. Se antaa ne myös toimivaltaisen valvovan viranomaisen saataville pyynnöstä.

(c) Perustuen tietojenpaljastamispyynnön kohtuulliseen tulkintaan, tietojen tuoja sitoutuu antamaan niin vähän tietoja kuin on sallittua vastatessaan tietojenpaljastamispyyntöön.

(a) Tietojen tuojan on ilmoitettava viipymättä tietojen viejälle, jos se ei jostain syystä pysty noudattamaan näitä lausekkeita.

(b) Jos tietojen tuoja rikkoo näitä lausekkeita tai ei pysty noudattamaan niitä, tietojen viejän on keskeytettävä henkilötietojen siirtäminen tietojen tuojalle, kunnes noudattaminen on jälleen varmistettu tai sopimus puretaan. Tämä ei rajoita lausekkeen 14 (f) soveltamista.

(c) Tietojen viejällä on oikeus irtisanoa sopimus siltä osin kuin se koskee näiden lausekkeiden mukaista henkilötietojen käsittelyä, jos:

i) tietojen viejä on keskeyttänyt henkilötietojen siirron tietojen tuojalle kappaleen (b) mukaisesti, eikä näiden lausekkeiden noudattamista palauteta kohtuullisessa ajassa eikä missään tapauksessa kuukauden kuluessa keskeyttämisestä;

(ii) tietojen tuoja rikkoo olennaisesti tai toistuvasti näitä lausekkeita; tai

(iii) tietojen tuoja ei noudata toimivaltaisen tuomioistuimen tai valvontaviranomaisen sitovaa päätöstä, joka koskee sen näiden lausekkeiden mukaisia velvoitteita.

Näissä tapauksissa sen on ilmoitettava toimivaltaiselle valvontaviranomaiselle tällaisesta noudattamatta jättämisestä. Jos sopimuksessa on yli kaksi sopimuspuolta, tietojen viejä voi käyttää tätä lopettamisoikeutta vain asianmukaisen sopimuspuolen suhteen, elleivät osapuolet ole sopineet toisin.

(d) Henkilötiedot, jotka on siirretty ennen sopimuksen irtisanomista kappaleen (c) mukaisesti, on tietojen viejän valinnan mukaan välittömästi palautettava tietojen viejälle tai poistettava kokonaisuudessaan. Sama koskee kaikkia kopioita tiedoista. Tietojen tuoja vahvistaa tietojen poistamisen tietojen viejälle. Tietojen tuoja jatkaa näiden lausekkeiden noudattamista, kunnes tiedot on poistettu tai palautettu. Jos tietojen tuojaan sovellettavat paikalliset lait kieltävät siirrettyjen henkilötietojen palauttamisen tai poistamisen, tietojen tuoja takaa, että se varmistaa edelleen näiden lausekkeiden noudattamisen ja käsittelee tietoja vain siinä laajuudessa ja niin kauan kuin paikallinen laki edellyttää.

(e) Kumpikin osapuoli voi peruuttaa suostumuksensa olla sitoutunut näihin lausekkeisiin, jos (i) Euroopan komissio tekee asetuksen (EU) 2016/679 45 artiklan 3 kohdan mukaisen päätöksen, joka kattaa henkilötietojen siirron, joihin lausekkeet ovat voimassa; tai (ii) asetuksesta (EU) 2016/679 tulee osa sen maan oikeudellista kehystä, johon henkilötiedot siirretään. Tämä ei rajoita muita asetuksen (EU) 2016/679 mukaisia kyseiseen käsittelyyn sovellettavia velvoitteita.

Näihin lausekkeisiin sovelletaan sen EU-jäsenvaltion lakia, johon tietojen viejä on sijoittautunut. Jos tällainen laki ei salli kolmannen osapuolen edunsaajien oikeuksia, niihin sovelletaan toisen EU:n jäsenvaltion lakia, joka sallii kolmannen osapuolen edunsaajien oikeudet. Osapuolet sopivat, että tämä on Alankomaiden laki.

(a) Kaikki näistä lausekkeista johtuvat riidat ratkaistaan EU:n jäsenvaltion tuomioistuimissa.

b) Osapuolet sopivat, että ne ovat Alankomaiden tuomioistuimia.

(c) Tietojen kohde voi myös nostaa kanteen tietojen viejää ja/tai tuojaa vastaan sen jäsenvaltion tuomioistuimissa, jossa hänellä on vakinainen asuinpaikka.

d) Osapuolet sopivat alistuvansa tällaisten tuomioistuinten lainkäyttövaltaan.

Lisätietoja liitteistä I ja II on tietojenkäsittelysopimuksen liitteissä 1 ja 2.