LET OP: WE HEBBEN DE ONDERSTAANDE VOORWAARDEN GEPUBLICEERD IN VERBAND MET DE NIEUWE DOOR DE EUROPESE COMMISSIE GOEDGEKEURDE MODELCONTRACTBEPALINGEN, MET INGANG VAN 27 SEPTEMBER 2021

(a)  Het doel van deze modelcontractbepalingen is om de naleving van de vereisten van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 over de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en over het vrije verkeer van dergelijke gegevens (algemene verordening gegevensbescherming) (1) voor de overdracht van persoonsgegevens naar een extern land.

(b) De partijen:

*(i)   de natuurlijke of rechtsperso(o)n(en), overheidsinstantie(s), agentschap(pen) of andere instantie(s) (hierna 'entiteit(en)') die de persoonsgegevens overdraagt, zoals vermeld in bijlage I.A (hierna 'gegevensexporteur'), en

(ii) de entiteit(en) in een extern land dat de persoonsgegevens van de gegevensexporteur ontvangt, direct of indirect via een andere entiteit die ook partij is bij deze clausules, zoals vermeld in bijlage I.A (hierna 'gegevensimporteur')

hebben ingestemd met deze modelcontractbepalingen (hierna: 'clausules').

(c)  Deze clausules zijn van toepassing op de overdracht van persoonsgegevens zoals gespecificeerd in bijlage I.B.

(d) De bijlage bij deze clausules met de bijlagen waarnaar daarin wordt verwezen, vormt een integraal onderdeel van deze clausules.

(a)  Deze clausules bevatten passende veiligheidsmaatregelen, inclusief afdwingbare rechten van de betrokkene en effectieve juridische remedies, op grond van artikel 46, lid 1, en artikel 46, lid 2, onder c) van Verordening (EU) 2016/679 en, met betrekking tot gegevensoverdrachten van controllers naar verwerkers en/of verwerkers naar verwerkers, modelcontractbepalingen op grond van artikel 28, lid 7, van Verordening (EU) 2016/679, op voorwaarde dat ze niet worden gewijzigd, behalve om de juiste module(s) te selecteren of om informatie in de bijlage bij te werken. Dit belet de partijen niet de in deze bepalingen neergelegde modelcontractbepalingen in een ruimer contract op te nemen en/of andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet rechtstreeks of onrechtstreeks tegen deze clausules indruisen of afbreuk doen aan de fundamentele rechten of vrijheden van de betrokkenen.

(b) Deze clausules doen geen afbreuk aan de verplichtingen waaraan de gegevensexporteur is onderworpen op grond van Verordening (EU) 2016/679.

(a)  Betrokkenen kunnen deze clausules als derde-begunstigden inroepen en handhaven tegen de gegevensexporteur en/of gegevensimporteur, met de volgende uitzonderingen:

(i)   Clausule 1, clausule 2, clausule 3, clausule 6, clausule 7;

(ii) Clausule 8.1(b), 8.9(a), (c), (d) en (e);

(iii) Clausule 9 – clausule 9(a), (c), (d) en (e);

(iv) Clausule 12 – clausule 12(a), (d) en (f);

(v) Clausule 13;

(vi) Clausule 15.1(c), (d) en (e);

(vii) Clausule 16(e);

(viii) Clausule 18 – clausule 18(a) en (b);

(b) Paragraaf (a) doet geen afbreuk aan de rechten van betrokkenen onder Verordening (EU) 2016/679.

(a)  Wanneer deze clausules termen gebruiken die worden gedefinieerd in Verordening (EU) 2016/679, hebben die termen dezelfde betekenis als in die verordening.

(b) Deze clausules worden gelezen en geïnterpreteerd in het kader van de bepalingen van Verordening (EU) 2016/679.

(c)  Deze clausules worden niet geïnterpreteerd op een manier die in strijd is met rechten en plichten die worden vermeld in Verordening (EU) 2016/679.

In het geval van een tegenstrijdigheid tussen deze clausules en de bepalingen van gerelateerde overeenkomsten tussen de partijen, die bestaan op het moment dat deze clausules worden overeengekomen of daarna worden aangegaan, hebben deze clausules voorrang.

De details van de overdracht(en), en met name de categorieën persoonsgegevens die worden overgedragen en het doel(en) waarvoor ze worden overgedragen, worden gespecificeerd in bijlage I.B.

(a)  Een entiteit die geen partij is bij deze clausules kan met toestemming van de partijen op elk moment tot deze clausules toetreden, als gegevensexporteur of als gegevensimporteur, door de bijlage in te vullen en bijlage I.A te ondertekenen.

(b) Zodra de toetredende entiteit de bijlage heeft ingevuld en bijlage I.A heeft ondertekend, wordt zij partij bij deze bepalingen en heeft deze de rechten en plichten van een gegevensexporteur of gegevensimporteur overeenkomstig hun aanduiding in bijlage I.A.

(c)  De toetredende entiteit heeft geen rechten of verplichtingen die voortvloeien uit deze clausules uit de periode voordat deze partij werd.

De gegevensexporteur garandeert dat deze redelijke inspanningen heeft uitgevoerd die vaststellen dat de gegevensimporteur door de implementatie van passende technische en organisatorische maatregelen in staat is om aan hun verplichtingen onder deze clausules te voldoen.

(a)  De gegevensimporteur verwerkt de persoonsgegevens alleen op gearchiveerde instructies van de gegevensexporteur. De gegevensexporteur kan dergelijke instructies geven tijdens de looptijd van het contract.

(b) De gegevensimporteur brengt de gegevensexporteur onmidelijk op de hoogte als de instructies niet kunnen worden opgevolgd.

De gegevensimporteur verwerkt de persoonsgegevens alleen voor de specifieke doeleinden van de overdracht, zoals beschreven in bijlage I.B, tenzij er verdere instructies door de gegevensexporteur worden gegeven.

Op verzoek zal de gegevensexporteur een kopie van deze clausules, inclusief de bijlage zoals ingevuld door de partijen, kosteloos aan de betrokkene overhandigen. Voor zover dit nodig is om bedrijfsgeheimen of andere vertrouwelijke informatie te beschermen, inclusief de maatregelen die worden beschreven in bijlage II en de persoonsgegevens, kan de gegevensexporteur een deel van de tekst van de bijlage bij deze clausules bewerken voordat hij een kopie deelt, maar zal hij een zinvolle samenvatting verstrekken wanneer de betrokkene de inhoud ervan niet zou begrijpen of zijn/haar rechten niet zou kunnen uitoefenen. Op verzoek verstrekken de partijen de reden voor de wijzigingen aan de betrokkene en voor zover mogelijk zonder de geredigeerde informatie te onthullen. Deze clausule doet geen afbreuk aan de plichten van de gegevensexporteur uit hoofde van de artikelen 13 en 14 van Verordening (EU) 2016/679.

Als de gegevensimporteur zich bewust wordt van het feit dat de ontvangen persoonsgegevens onjuist of verouderd zijn, zal deze de gegevensexporteur per direct op de hoogte stellen. In dit geval moet de gegevensimporteur samenwerken met de gegevensexporteur om de gegevens te verwijderen of te corrigeren.

Verwerking door de gegevensimporteur vindt alleen plaats voor de duur die is gespecificeerd in bijlage I.B. Na afloop van de verwerkingsdiensten zal de gegevensimporteur, indien de gegevensexporteur hiervoor kiest, alle persoonsgegevens verwijderen die namens de gegevensexporteur worden verwerkt en moet deze aan de gegevensexporteur verklaren dat het verzoek is uitgevoerd, of deze moet alle door hem/haar verwerkte persoonsgegevens aan de gegevensexporteur retourneren en bestaande kopieën verwijderen. Totdat de gegevens worden verwijderd of geretourneerd, moet de gegevensimporteur blijven voldoen aan deze clausules. In het geval van lokale wetten die van toepassing zijn op de gegevensimporteur die het retourneren of verwijderen van de persoonsgegevens verbiedt, garandeert de gegevensimporteur dat deze de naleving van deze clausules zal blijven garanderen en deze alleen zal verwerken voor zover en voor zolang als vereist is volgens die lokale wetgeving. Dit doet geen afbreuk aan clausule 14, met name de eis voor de gegevensimporteur onder clausule 14(e) om de gegevensexporteur tijdens de looptijd van het contract op de hoogte te stellen als deze redenen heeft om aan te nemen dat het onderhevig is of is geworden aan wetten of praktijken die niet in overeenstemming zijn met de vereisten onder clausule 14(a).

(a)  De gegevensimporteur en, tijdens de transmissie, ook de gegevensexporteur moeten passende technische en organisatorische maatregelen nemen om de veiligheid van de gegevens te waarborgen, inclusief bescherming tegen een inbreuk op de beveiliging die leidt tot onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang tot die gegevens (hierna 'inbreuk op persoonsgegevens'). Bij het vaststellen van het passende beveiligingsniveau houden de partijen naar behoren rekening met de staat van de techniek, de implementatiekosten, de aard, reikwijdte, context en doel(en) van de verwerking en de risico's die verband houden met de verwerking voor de betrokkenen. De partijen zullen met name overwegen om gebruik te maken van versleuteling of pseudonimisering, inclusief tijdens de transmissie, wanneer het doel van de verwerking op die manier kan worden bereikt. In het geval van pseudonimisering blijft de aanvullende informatie voor het toeschrijven van de persoonsgegevens aan een specifiek persoon, waar mogelijk, onder de exclusieve controle van de gegevensexporteur. Bij het voldoen aan hun plichten uit hoofde van deze paragraaf moet de gegevensimporteur op zijn minst de technische en organisatorische maatregelen toepassen die in bijlage II worden gespecificeerd. De gegevensimporteur moet regelmatige controles uitvoeren om ervoor te zorgen dat deze maatregelen een passend beveiligingsniveau blijven bieden.

(b) De gegevensimporteur zal hun personeelsleden alleen toegang tot de persoonsgegevens verlenen voor zover dit strikt noodzakelijk is voor de uitvoering, het beheer van en de toezichthouding op het contract. Deze moet ervoor zorgen dat personen die gemachtigd zijn om de persoonsgegevens te verwerken, zich hebben verbonden tot vertrouwelijkheid of onder een passende wettelijke geheimhoudingsplicht vallen.

(c)  In het geval van een inbreuk op persoonsgegevens met betrekking tot persoonsgegevens die door de gegevensimporteur worden verwerkt onder deze clausules, moet de gegevensimporteur passende maatregelen nemen om de inbreuk aan te pakken, inclusief maatregelen om de ongunstige effecten ervan te beperken. De gegevensimporteur moet de gegevensexporteur ook per direct op de hoogte stellen nadat deze zich van de inbreuk bewust is geworden. Een dergelijke melding moet de gegevens van een contactpersoon bevatten om meer informatie te kunnen verkrijgen, met daarbij een beschrijving van de aard van de inbreuk (inclusief, waar mogelijk, categorieën en een schatting van het aantal betrokkenen en relevante persoonsgegevensregisters), de waarschijnlijke gevolgen ervan en de maatregelen die zijn genomen of voorgesteld om de inbreuk aan te pakken, inclusief, indien van toepassing, maatregelen om de mogelijke ongunstige effecten ervan te beperken. Wanneer, en voor zover het niet mogelijk is om alle informatie op hetzelfde moment te verstrekken, moet de initiële kennisgeving de informatie bevatten die op dat moment beschikbaar is en wordt nadere informatie, zodra deze beschikbaar is, per direct verstrekt.

(d) De gegevensimporteur moet samenwerken met en de gegevensexporteur ondersteunen om de gegevensexporteur in staat te stellen te voldoen aan zijn verplichtingen uit hoofde van Verordening (EU) 2016/679, met name om de bevoegde toezichthoudende autoriteit en de betrokkenen op de hoogte te stellen, rekening houdend met de aard van de verwerking en de informatie die ter beschikking staat aan de gegevensimporteur.

Wanneer de overdracht betrekking heeft op persoonsgegevens die raciale of etnische afkomst, politieke meningen, religieuze of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap, genetische gegevens of biometrische gegevens bevatten met het oog op het uniek identificeren van een natuurlijke persoon, gegevens met betrekking tot de gezondheid of het ex-leven of de seksuele oriëntatie van een persoon, of gegevens met betrekking tot strafrechtelijke overtuigingen en strafbare feiten (hierna 'gevoelige gegevens'), moet de gegevensimporteur de specifieke beperkingen en/of aanvullende waarborgen toepassen die worden beschreven in bijlage I.B.

De gegevensimporteur zal de persoonsgegevens alleen bekendmaken aan een derde partij op basis van geregistreerde instructies van de gegevensexporteur. Bovendien mogen de gegevens alleen worden bekendgemaakt aan een derde partij buiten de Europese Unie (4) (in hetzelfde land als de gegevensimporteur of in een ander extern land, hierna 'verdere overdracht') als de derde partij ermee akkoord gaat gebonden te zijn aan deze clausules, onder de betreffende module, of als:

(a)  de verdere overdracht naar een land gaat dat in aanmerking komt voor een passend besluit uit hoofde van artikel 45 van Verordening (EU) 2016/679 dat de verdere overdracht bestrijkt;

(b) de derde partij zorgt voor passende veiligheidsmaatregelen overeenkomstig artikel 46 of 47 van de Verordening (EU) 2016/679 met betrekking tot de verwerking in kwestie;

(c)  de verdere overdracht noodzakelijk is voor de vaststelling, uitoefening of verdediging van juridische claims in het kader van specifieke administratieve, regelgevende of gerechtelijke procedures; of

(d) de verdere overdracht noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

Elke verdere overdracht is onderhevig aan naleving door de gegevensimporteur van alle andere veiligheidsmaatregelen onder deze clausules, met name de beperking van het doel.

(a)  De gegevensimporteur moet snel en adequaat reageren op vragen van de gegevensexporteur die betrekking hebben op de verwerking onder deze clausules.

(b) De partijen moeten in staat zijn om aan te tonen dat deze clausules worden nageleefd. De gegevensimporteur moet met name passende documentatie bewaren over de verwerkingsactiviteiten die worden uitgevoerd namens de gegevensexporteur.

(c)  De gegevensimporteur moet de gegevensexporteur alle informatie verstrekken die nodig is om aan te tonen dat de verplichtingen in deze clausules worden nageleefd en op verzoek van de gegevensexporteur, toestemming geven voor en bijdragen aan audits van de verwerkingsactiviteiten die door deze clausules worden bestreken, met redelijke tussenpozen of als er aanwijzingen zijn van niet-naleving. Bij het nemen van een beslissing over een herziening of audit kan de gegevensexporteur rekening houden met relevante certificeringen die worden beheerd door de gegevensimporteur.

(d) De gegevensexporteur kan ervoor kiezen om de audit zelf uit te voeren of een onafhankelijke auditor te machtigen. Audits kunnen inspecties op het terrein of de fysieke faciliteiten van de gegevensimporteur omvatten en worden, indien van toepassing, uitgevoerd met redelijke kennisgeving.

(e)  De partijen stellen de in paragrafen (b) en (c), inclusief de resultaten van eventuele audits, op verzoek beschikbaar aan de bevoegde toezichthoudende autoriteit.

(a)  De gegevensimporteur heeft de algemene toestemming van de gegevensexporteur voor de betrokkenheid van subverwerker(s) uit een overeengekomen lijst. De gegevensimporteur moet de gegevensexporteur specifiek schriftelijk en minstens 14 dagen van tevoren op de hoogte stellen van eventuele voorgenomen wijzigingen in die lijst door de toevoeging of vervanging van subverwerkers, waardoor de gegevensexporteur voldoende tijd krijgt om bezwaar te maken tegen dergelijke wijzigingen voorafgaand aan de betrokkenheid van de subverwerker(s). De gegevensimporteur moet de gegevensexporteur de informatie verstrekken die nodig is om de gegevensexporteur in staat te stellen hun recht op bezwaar uit te oefenen.

(b) Wanneer de gegevensimporteur een subverwerker inschakelt om specifieke verwerkingsactiviteiten uit te voeren (namens de gegevensexporteur), moet deze dit doen via een schriftelijk contract dat in wezen dezelfde plichten inzake gegevensbescherming voorziet als die welke de gegevensimporteur binden onder deze clausules, inclusief met betrekking tot het recht van derde-begunstigde voor betrokkenen. (8) De partijen komen overeen dat, bij naleving van deze clausule, de gegevensimporteur voldoet aan hun verplichtingen onder clausule 8.8. De gegevensimporteur moet ervoor zorgen dat de subverwerker voldoet aan de verplichtingen waaraan de gegevensimporteur is onderworpen op grond van deze clausules.

(c)  De gegevensimporteur moet op verzoek van de gegevensexporteur een kopie van een dergelijke subverwerkerovereenkomst en eventuele latere wijzigingen van de gegevensexporteur verstrekken. Voor zover dit nodig is om bedrijfsgeheimen of andere vertrouwelijke informatie te beschermen, inclusief persoonsgegevens, kan de gegevensimporteur de tekst van de overeenkomst bewerken voordat deze een kopie deelt.

(d) De gegevensimporteur blijft volledig verantwoordelijk tegenover de gegevensexporteur voor de uitvoering van de plichten van de subverwerker onder diens contract met de gegevensimporteur. De gegevensimporteur moet de gegevensexporteur op de hoogte stellen van een eventuele gebreken door de subverwerker om te voldoen aan hun plichten onder dat contract.

(e)  De gegevensimporteur moet een clausule voor derde-begunstigden overeenkomen met de subverwerker waarbij - in het geval de gegevensimporteur feitelijk is verdwenen, juridisch is opgehouden te bestaan of insolvent is geworden - de gegevensexporteur het recht heeft om het contract voor de subverwerker te beëindigen en de subverwerker te instrueren om de persoonsgegevens te verwijderen of te retourneren.

(a)  De gegevensimporteur moet de gegevensexporteur onmiddellijk op de hoogte stellen van elk verzoek dat deze heeft ontvangen van een betrokkene. Deze mag niet zelf op dat verzoek reageren, tenzij daarvoor toestemming is gegeven door de gegevensexporteur.

(b) De gegevensimporteur moet de gegevensexporteur ondersteunen bij het voldoen aan hun plichten om te reageren op verzoeken van betrokkenen voor de uitoefening van hun rechten onder Verordening (EU) 2016/679. In dit verband moeten de partijen in bijlage II de passende technische en organisatorische maatregelen bepalen, rekening houdend met de aard van de verwerking, waarmee de ondersteuning wordt verstrekt, evenals de reikwijdte en de omvang van de vereiste ondersteuning.

(c)  Bij het voldoen aan hun verplichtingen onder paragrafen (a) en (b), moet de gegevensimporteur voldoen aan de instructies van de gegevensexporteur.

(a)  De gegevensimporteur moet de betrokkenen in een transparant en gemakkelijk toegankelijk formaat op de hoogte stellen, via individuele kennisgeving of op hun website, of via een contactpersoon die bevoegd is om klachten te verwerken. Deze zal onmiddellijk reageren op klachten die ze van een betrokkene hebben ontvangen.

(b) In het geval van een geschil tussen een betrokkene en een van de partijen met betrekking tot de naleving van deze clausules, moet die partij haar uiterste best doen om het probleem tijdig minnelijk op te lossen. De partijen houden elkaar op de hoogte van dergelijke geschillen en moeten, indien van toepassing, samenwerken om deze geschillen op te lossen.

(c)  Wanneer de betrokkene een beroep doet op een recht van derde-begunstigde op grond van clausule 3, moet de gegevensimporteur de beslissing van de betrokkene accepteren om:

(i)     een klacht in te dienen bij de toezichthoudende autoriteit in de lidstaat van zijn/haar gewone verblijfplaats of werkplek, of de bevoegde toezichthoudende autoriteit overeenkomstig clausule 13;

(ii)     het geschil voorleggen aan de bevoegde rechtbanken in de zin van clausule 18.

(d) De partijen accepteren dat de betrokkene kan worden vertegenwoordigd door een non-profitorganisatie, organisatie of vereniging onder de voorwaarden die zijn beschreven in artikel 80, lid 1, van Verordening (EU) 2016/679.

(e)  De gegevensimporteur moet zich houden aan een besluit dat bindend is onder de toepasselijke EU- of lidstaatwetgeving.

(f)  De gegevensimporteur stemt ermee in dat de keuze die door de betrokkene is gemaakt, geen afbreuk zal doen aan zijn/haar materiële en procedurele rechten om oplossingen te zoeken in overeenstemming met de toepasselijke wetgeving.

(a)  Elke partij is aansprakelijk voor de andere partij(en) voor eventuele schade die deze de andere partij(en) veroorzaakt door een schending van deze clausules.

(b) De gegevensimporteur is aansprakelijk jegens de betrokkene en de betrokkene heeft het recht op vergoeding voor materiële of immateriële schade die de gegevensimporteur of zijn subverwerker aan de betrokkene toebrengt door inbreuk te maken op de rechten van derde-begunstigden onder deze clausules.

(c)  Niettegenstaande paragraaf (b), is de gegevensexporteur aansprakelijk jegens de betrokkene en heeft de betrokkene recht op vergoeding voor materiële of immateriële schade die de gegevensexporteur of de gegevensimporteur (of hun subverwerker) de betrokkene veroorzaakt door inbreuk te maken op de rechten van derde-begunstigden onder deze clausules. Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensexporteur en, wanneer de gegevensexporteur een verwerker is die optreedt namens een gegevenscontroller, aan de aansprakelijkheid van de gegevenscontroller onder Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, indien van toepassing.

(d) De partijen komen overeen dat als de gegevensexporteur aansprakelijk wordt gesteld onder paragraaf (c) voor schade veroorzaakt door de gegevensimporteur (of hun subverwerker), deze het recht heeft om dat deel van de vergoeding terug te vorderen van de gegevensimporteur voor de opgelopen schade.

(e)  Wanneer meer dan één partij verantwoordelijk is voor enige schade die aan de betrokkene wordt veroorzaakt als gevolg van een schending van deze clausules, zijn alle bevoegde partijen gezamenlijk en afzonderlijk aansprakelijk en heeft de betrokkene het recht om een rechtszaak tegen een van deze partijen in te dienen.

(f)  De partijen komen overeen dat als een partij aansprakelijk wordt gesteld onder paragraaf (e), deze het recht heeft om dat deel van de vergoeding terug te vorderen van de andere partij/en.

(g) De gegevensimporteur mag zich niet beroepen op het gedrag van een subverwerker om hun eigen aansprakelijkheid te vermijden.

(a)  De partijen komen overeen dat de toezichthoudende autoriteit die verantwoording heeft voor het waarborgen van naleving door de gegevensexporteur van Verordening (EU) 2016/679 met betrekking tot de gegevensoverdracht, de Nederlandse Autoriteit voor gegevensbescherming (Autoriteit Persoonsgegevens) is, die optreedt als bevoegde toezichthoudende autoriteit.

(b) De gegevensimporteur stemt ermee in om zichzelf te onderwerpen aan de jurisdictie van en samen te werken met de bevoegde toezichthoudende autoriteit in procedures die gericht zijn op het waarborgen van de naleving van deze clausules. De gegevensimporteur stemt er met name mee in om te reageren op vragen, om audits te verzenden en om te voldoen aan de maatregelen die door de toezichthoudende autoriteit zijn vastgesteld, inclusief corrigerende en compenserende maatregelen. Deze moet de toezichthoudende autoriteit schriftelijk bevestigen dat de noodzakelijke maatregelen zijn genomen.

(a)  De partijen garanderen dat ze geen reden hebben om aan te nemen dat de wetten en praktijken in het externe land van bestemming die van toepassing zijn op de verwerking van de persoonsgegevens door de gegevensimporteur, inclusief eventuele vereisten om persoonsgegevens of maatregelen die toegang toestaan tot overheidsinstanties, te voorkomen dat de gegevensimporteur hun plichten onder deze clausules kan naleven. Dit is gebaseerd op het feit dat wetten en praktijken die de essentie van de fundamentele rechten en vrijheden respecteren en niet verder gaan dan wat nodig en evenredig is in een democratische samenleving om een van de doelstellingen te beschermen die worden vermeld in artikel 23, lid 1, van Verordening (EU) 2016/679, niet in tegenspraak zijn met deze clausules.

(b) De partijen verklaren dat ze bij het verstrekken van de garantie in paragraaf (a) naar behoren rekening hebben gehouden met voornamelijk de volgende elementen:

(i) de specifieke omstandigheden van de overdracht, inclusief de lengte van de verwerkingsketen, het aantal betrokken actoren en de gebruikte transmissiekanalen; beoogde verdere overdrachten; het type ontvanger; het doel van de verwerking; de categorieën en het formaat van de overgedragen persoonsgegevens; de economische sector waarin de overdracht plaatsvindt; de opslaglocatie van de overgedragen gegevens;

(ii) de wetten en praktijken van het externe land van bestemming – inclusief die welke de openbaarmaking van gegevens aan overheidsinstanties vereisen of die toegang verlenen tot dergelijke autoriteiten – relevant zijn in het licht van de specifieke omstandigheden van de overdracht en de toepasselijke beperkingen en veiligheidsmaatregelen (12);

(iii) relevante contractuele, technische of organisatorische veiligheidsmaatregelen die zijn ingesteld om de veiligheidsmaatregelen onder deze clausules aan te vullen, inclusief maatregelen die worden toegepast tijdens de overdracht en de verwerking van de persoonsgegevens in het land van bestemming.

(c)  De gegevensimporteur garandeert dat deze bij het uitvoeren van de taak onder paragraaf (b) hun uiterste best heeft gedaan om de gegevensexporteur relevante informatie te verstrekken en ermee akkoord gaat dat deze zal blijven samenwerken met de gegevensexporteur om de naleving van deze clausules te kunnen waarborgen.

(d) De partijen gaan akkoord om de taak onder paragraaf (b) te documenteren en maken deze op verzoek beschikbaar aan de bevoegde toezichthoudende autoriteit.

(e)  De gegevensimporteur stemt ermee in om de gegevensexporteur onmiddellijk op de hoogte te stellen als, na akkoord te zijn gegaan met deze clausules en voor de looptijd van het contract, deze redenen heeft om aan te nemen dat deze onderhevig zijn of zijn geworden aan wetten of praktijken die niet in overeenstemming zijn met de vereisten onder paragraaf (a), inclusief na een wijziging in de wetten van het externe land of een maatregel (zoals een verzoek tot openbaarmaking) die aangeeft dat dergelijke wetten in de praktijk worden toegepast die niet in overeenstemming zijn met de vereisten in paragraaf (a).

(f)  Na een kennisgeving overeenkomstig paragraaf (e), of als de gegevensexporteur anders redenen heeft om te geloven dat de gegevensimporteur niet langer kan voldoen aan hun verplichtingen onder deze clausules, moet de gegevensexporteur onmiddellijk passende maatregelen vaststellen (bijvoorbeeld technische of organisatorische maatregelen om de veiligheid en vertrouwelijkheid te waarborgen) die door de gegevensexporteur en/of gegevensimporteur moeten worden aangenomen om de situatie aan te pakken. De gegevensexporteur moet de gegevensoverdracht opschorten als deze van mening is dat er geen passende veiligheidsmaatregelen voor een dergelijke overdracht kunnen worden gegarandeerd, of als de bevoegde toezichthoudende autoriteit hiertoe opdracht heeft gegeven. In dit geval heeft de gegevensexporteur het recht om het contract te beëindigen, voor zover het de verwerking van persoonsgegevens onder deze clausules betreft. Als het contract meer dan twee partijen omvat, kan de gegevensexporteur dit recht op beëindiging alleen uitoefenen met betrekking tot de relevante partij, tenzij de partijen anders zijn overeengekomen. Wanneer het contract wordt beëindigd op grond van deze clausule, zijn clausule 16(d) en (e) van toepassing.

(a)  De gegevensimporteur stemt ermee in om de gegevensexporteur en, indien mogelijk, de betrokkene onmiddellijk op de hoogte te stellen (indien nodig met de hulp van de gegevensexporteur) als deze:

(i) een wettelijk bindend verzoek ontvangt van een overheidsinstantie, inclusief gerechtelijke autoriteiten, onder de wetten van het land van bestemming voor de openbaarmaking van persoonsgegevens die zijn overgedragen op grond van deze clausules; dergelijke kennisgeving bevat informatie over de gevraagde persoonsgegevens, de verzoekende autoriteit, de rechtsgrondslag voor het verzoek en het verstrekte antwoord; of

(ii) zich bewust wordt van directe toegang door overheidsinstanties tot persoonsgegevens die worden overgedragen op grond van deze clausules in overeenstemming met de wetten van het land van bestemming; dergelijke kennisgeving bevat alle informatie die beschikbaar is voor de importeur.

(b) Als de wetten van het land van bestemming niet toestaan dat de gegevensimporteur de gegevensexporteur en/of de betrokkene op de hoogte stelt, gaat de gegevensimporteur ermee akkoord om hun uiterste best te doen om een vrijstelling van het verbod te verkrijgen, met het oog op het zo snel mogelijk communiceren van zoveel mogelijk informatie. De gegevensimporteur gaat ermee akkoord hun beste inspanningen te documenteren om deze aan te kunnen bieden op verzoek van de gegevensexporteur.

(c)  Waar toegestaan onder de wetten van het land van bestemming, stemt de gegevensimporteur ermee in om de gegevensexporteur regelmatig te voorzien van zoveel mogelijk relevante informatie over de ontvangen verzoeken (met name het aantal verzoeken, type gevraagde gegevens, verzoekende autoriteit/en, of verzoeken zijn aangevochten en de resultaten van dergelijke uitdagingen, enz.) tijdens de looptijd van het contract.

(d) De gegevensimporteur stemt ermee in om de informatie te bewaren op grond van paragrafen (a) tot (c) voor de looptijd van het contract en op verzoek beschikbaar te stellen aan de bevoegde toezichthoudende autoriteit.

(e)  Paragrafen (a) tot (c) doen geen afbreuk aan de verplichting van de gegevensimporteur op grond van clausule 14(e) en clausule 16 om de gegevensexporteur onmiddellijk op de hoogte te stellen wanneer deze niet in staat is om deze clausules na te leven.

(a)  De gegevensimporteur stemt ermee in om de wettigheid van het verzoek tot openbaarmaking te controleren, met name of het binnen de bevoegdheden blijft die aan de verzoekende overheidsinstantie zijn verleend en om tegen het verzoek in beroep te gaan als deze na zorgvuldige raadpleging concludeert dat er redelijkerwijs kan worden overwogen dat het verzoek onwettig is volgens de wetten van het land van bestemming, toepasselijke verplichtingen onder het internationaal recht en de beginselen van internationale rechteloosheid. De gegevensimporteur maakt onder dezelfde voorwaarden gebruik van de beroepsmogelijkheden. Wanneer de gegevensimporteur een verzoek betwist, tracht hij voorlopige maatregelen te treffen om de gevolgen van het verzoek op te schorten totdat de bevoegde gerechtelijke autoriteit over de gegrondheid ervan heeft beslist. Deze geeft de gevraagde persoonsgegevens pas vrij wanneer hij/zij daartoe op grond van de toepasselijke procedureregels verplicht is. Deze vereisten doen geen afbreuk aan de verplichtingen van de gegevensimporteur onder clausule 14(e).

(b) De gegevensimporteur stemt ermee in hun juridische beoordeling en elke betwisting van het verzoek tot openbaarmaking te documenteren en, voor zover toegestaan door de wetgeving van het land van bestemming, de documentatie ter beschikking te stellen van de gegevensexporteur. Op verzoek stelt deze de documentatie ook ter beschikking aan de bevoegde toezichthoudende autoriteit.

(c)  De gegevensimporteur stemt ermee in om de minimale hoeveelheid informatie te verstrekken die is toegestaan bij het reageren op een verzoek om openbaarmaking, op basis van een reële, begrijpelijke interpretatie van het verzoek.

(a)  De gegevensimporteur moet de gegevensexporteur onmiddellijk op de hoogte stellen als deze om welke reden dan ook niet in staat is om deze clausules na te leven.

(b) Indien de gegevensimporteur deze bepalingen niet naleeft of niet in staat is om deze na te leven, schort de gegevensexporteur de overdracht van persoonsgegevens aan de gegevensimporteur op totdat naleving wel kan worden gewaarborgd of totdat het contract wordt beëindigd. Dit doet geen afbreuk aan clausule 14(f).

(c)  In dit geval heeft de gegevensexporteur het recht om het contract te beëindigen, voor zover het de verwerking van persoonsgegevens onder deze clausules betreft.

(i) de gegevensexporteur heeft de overdracht van persoonsgegevens naar de gegevensimporteur opgeschort op grond van paragraaf (b) en de naleving van deze clausules wordt niet binnen een reëel tijdstip en in elk geval binnen één maand na de opschorting hersteld;

(ii) de gegevensimporteur is in aanzienlijke of voortdurende schending van deze clausules; of

(iii) de gegevensimporteur voldoet niet aan een bindend besluit van een bevoegde rechtbank of toezichthoudende autoriteit met betrekking tot hun plichten onder deze clausules.

In deze gevallen moet deze de bevoegde toezichthoudende autoriteit op de hoogte stellen van een dergelijke niet-naleving. Waar het contract meer dan twee partijen omvat, kan de gegevensexporteur dit recht op beëindiging alleen uitoefenen met betrekking tot de relevante partij, tenzij de partijen anders zijn overeengekomen.

(d) Persoonsgegevens die vóór de beëindiging van het contract op grond van paragraaf (c) zijn overgedragen, worden naar keuze van de gegevensexporteur direct aan de gegevensexporteur teruggegeven of in hun geheel verwijderd. Hetzelfde is van toepassing op kopieën van de gegevens. De gegevensimporteur moet een certificering verstrekken aan de gegevensexporteur voor de verwijdering van de gegevens. Totdat de gegevens worden verwijderd of geretourneerd, moet de gegevensimporteur blijven voldoen aan deze clausules. In het geval van lokale wetten die van toepassing zijn op de gegevensimporteur die het retourneren of verwijderen van de overgedragen persoonsgegevens verbiedt, garandeert de gegevensimporteur dat deze de naleving van deze clausules zal blijven garanderen en de gegevens alleen zal verwerken voor zover en voor zolang als vereist is volgens die lokale wetgeving.

(e)  Elke partij kan hun instemming om door deze clausules gebonden te zijn herroepen indien (i) de Europese Commissie een besluit neemt overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 dat betrekking heeft op de doorgifte van persoonsgegevens waarop deze clausules van toepassing zijn; of (ii) Verordening (EU) 2016/679 wordt onderdeel van het wettelijke kader van het land waarnaar de persoonsgegevens worden overgedragen. Dit doet geen afbreuk aan andere plichten die van toepassing zijn op de verwerking in kwestie onder Verordening (EU) 2016/679.

Deze clausules worden beheerst door de wetgeving van de EU-lidstaat waarin de gegevensexporteur is gevestigd. Wanneer dergelijke wetgeving geen rechten van derde-begunstigden toestaat, worden de clausules beheerst door het recht van een andere EU-lidstaat die wel rechten van derde-begunstigden toestaat. De partijen komen overeen dat dit de wetgeving van Nederland is.

(a)  Elk geschil dat uit deze clausules voortvloeit, wordt beslecht door de rechtbanken van een EU-lidstaat.

(b) De partijen komen overeen dat dit de rechtbanken van Nederland zijn.

(c)  Een betrokkene kan ook een rechtszaak aanspannen tegen de gegevensexporteur en/of gegevensimporteur bij de rechtbank van de lidstaat waar hij/zij zijn/haar gewone verblijfplaats heeft.

(d) De partijen komen overeen om zichzelf te onderwerpen aan de jurisdictie van dergelijke rechtbanken.

Raadpleeg voor informatie in de bijlagen I en II Schema's 1 en 2 van de overeenkomst voor gegevensverwerking.