OBSERVERA: VI HAR PUBLICERAT VILLKOREN NEDAN I SAMBAND MED DE NYA STANDARDAVTALSKLAUSULERNA SOM GODKÄNDES AV EUROPEISKA KOMMISSIONEN, SOM GÄLLER FRÅN DEN 27 SEPTEMBER 2021

(a)  Syftet med dessa standardavtalsklausuler är att säkerställa efterlevnaden av kraven i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana data (allmän dataskyddsförordning) (1) för överföring av personuppgifter till ett tredjeland.

(b) Parterna:

(i)   den eller de fysiska eller juridiska person(er), offentlig(a) myndighet(er), byrå(er) eller andra organ (nedan kallade ”enhet(er)”) som överför personuppgifterna, som förtecknas i bilaga I.A (nedan varje ”dataexportör”), och

(ii) den/de i ett tredjeland som tar emot personuppgifterna från dataexportören, direkt eller indirekt via en annan enhet som också är part i dessa klausuler, som förtecknas i bilaga I.A (nedan varje "dataimportör")

har samtyckt till dessa standardavtalsklausuler (nedan: "Klausuler").

(c)  Dessa klausuler gäller med avseende på överföring av personuppgifter enligt vad som anges i bilaga I.B.

(d) Bilagan till dessa klausuler som innehåller de avsnitt som avses i dem utgör en integrerad del av dessa klausuler.

(a)  Dessa klausuler anger lämpliga skyddsåtgärder, inklusive verkställbara rättigheter för den registrerade och effektiva rättsmedel, i enlighet med artikel 46.1 och artikel 46.2 c i förordning (EU) 2016/679 och, när det gäller dataöverföringar från personuppgiftsansvariga till personuppgiftsbehandlare och/eller personuppgiftsbehandlare till personuppgiftsbehandlare, standardavtalsklausuler enligt artikel 28.7 i förordning (EU) 2016/679, förutsatt att de inte ändras, förutom för att välja lämpliga modul(er) eller för att lägga till eller uppdatera information i bilagan. Detta hindrar inte parterna från att inkludera de standardavtalsklausuler som anges i dessa klausuler i ett bredare avtal och/eller att lägga till andra klausuler eller ytterligare skyddsåtgärder, förutsatt att de inte direkt eller indirekt strider mot dessa klausuler eller påverkar registrerades grundläggande rättigheter eller friheter.

(b) Dessa klausuler påverkar inte skyldigheter som dataexportören omfattas av enligt förordning (EU) 2016/679.

(a)  Registrerade kan åberopa och verkställa dessa klausuler, som tredjepartsförmånstagare, mot dataexportören och/eller dataimportören, med följande undantag:

(i)   Klausul 1, klausul 2, klausul 3, klausul 6, klausul 7;

(ii) Klausul 8.1(b), 8.9(a), (c), (d) och (e);

(iii) Klausul 9 – Klausul 9(a), (c), (d) och (e);

(iv) Klausul 12 – Klausul 12(a), (d) och (f);

(v) Klausul 13;

(vi) Klausul 15.1(c), (d) och (e);

(vii) Klausul 16(e);

(viii) Klausul 18 – Klausul 18(a) och (b);

(b) Punkt (a) påverkar inte registrerades rättigheter enligt förordning (EU) 2016/679.

(a)  Om dessa klausuler använder termer som definieras i förordning (EU) 2016/679 ska dessa termer ha samma betydelse som i den förordningen.

(b) Dessa klausuler ska läsas och tolkas i ljuset av bestämmelserna i förordning (EU) 2016/679.

(c)  Dessa klausuler ska inte tolkas på ett sätt som strider mot rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679.

I händelse av en motsägelse mellan dessa klausuler och bestämmelserna i relaterade avtal mellan parterna, som existerar vid den tidpunkt då dessa klausuler avtalas eller ingås därefter, ska dessa klausuler ha företräde.

Detaljerna om överföringen (överföringarna), och i synnerhet de kategorier av personuppgifter som överförs och det/de ändamål för vilka de överförs, specificeras i bilaga I.B.

(a)  En enhet som inte är en part i dessa klausuler kan, med parternas samtycke, ansluta sig till dessa klausuler när som helst, antingen som en dataexportör eller som en dataimportör, genom att fylla i bilagan och underteckna avsnitt I.A.

(b) När den har slutfört bilagan och undertecknat avsnitt I.A ska den anslutande enheten bli en part i dessa klausuler och ha rättigheter och skyldigheter som en dataexportör eller dataimportör i enlighet med sin beteckning i avsnitt I.A.

(c)  Den anslutande enheten ska inte ha några rättigheter eller skyldigheter som uppstår enligt dessa klausuler från perioden innan den blev en part.

Dataexportören garanterar att den har använt rimliga ansträngningar för att fastställa att dataimportören kan, genom implementering av lämpliga tekniska och organisatoriska åtgärder, uppfylla sina skyldigheter enligt dessa klausuler.

(a) Dataimportören ska behandla personuppgifterna endast på dokumenterade instruktioner från dataexportören. Dataexportören kan ge sådana instruktioner under hela avtalets löptid.

b) Dataimportören ska omedelbart informera dataexportören om den inte kan följa dessa instruktioner.

Dataimportören ska behandla personuppgifterna endast för det/de specifika ändamålen med överföringen, i enlighet med bilaga I.B, såvida inte detta sker på ytterligare instruktioner från dataexportören.

På begäran ska dataexportören göra en kopia av dessa klausuler, inklusive bilagan som ifyllts av parterna, tillgänglig för den registrerade utan kostnad. I den utsträckning som krävs för att skydda affärshemligheter eller annan konfidentiell information, inklusive de åtgärder som beskrivs i bilaga II och personuppgifter, kan dataexportören redigera en del av texten i tillägget till dessa klausuler innan en kopia delas, men ska tillhandahålla en meningsfull sammanfattning om den registrerade annars inte skulle kunna förstå innehållet i den eller utöva sina rättigheter. På begäran ska parterna förse den registrerade med skälen för redigeringarna, i den utsträckning det är möjligt utan att avslöja den redigerade informationen. Denna klausul påverkar inte dataexportörens skyldigheter enligt artiklarna 13 och 14 i förordning (EU) 2016/679.

Om dataimportören blir medveten om att de personuppgifter som den har tagit emot är felaktiga eller har blivit inaktuella ska den informera dataexportören utan onödigt dröjsmål. I detta fall ska dataimportören samarbeta med dataexportören för att radera eller rätta uppgifterna.

Behandling av dataimportören ska endast ske under den tidsperiod som anges i bilaga I.B. Efter det att tillhandahållandet av behandlingstjänsterna har upphört ska dataimportören, efter dataexportörens val, radera alla personuppgifter som behandlas för dataexportörens räkning och intyga för dataexportören att den har gjort det, eller returnera alla personuppgifter som behandlas för dess räkning till dataexportören och radera befintliga kopior. Tills uppgifterna raderas eller returneras ska dataimportören fortsätta att säkerställa att dessa klausuler följs. I händelse av lokala lagar som är tillämpliga på dataimportören som förbjuder återlämnande eller radering av personuppgifterna, garanterar dataimportören att den kommer att fortsätta att säkerställa efterlevnad av dessa klausuler och endast kommer att behandla dem i den utsträckning och så länge som krävs enligt denna lokala lag. Detta påverkar inte klausul 14, i synnerhet kravet på dataimportören enligt klausul 14(e) att meddela dataexportören under hela avtalets löptid om den har anledning att tro att den omfattas av eller har blivit föremål för lagar eller praxis som inte överensstämmer med kraven i klausul 14(a).

(a)  Dataimportören och, under överföringen, även dataexportören ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet, inklusive skydd mot ett säkerhetsintrång som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande eller åtkomst till dessa data (nedan kallat "personuppgiftsbrott"). När parterna fastställer lämplig säkerhetsnivå ska de ta vederbörlig hänsyn till den senaste tekniken, kostnaderna för implementeringen, arten, omfattningen, sammanhanget och syftet med behandlingen och riskerna med behandlingen för de registrerade. Parterna ska särskilt överväga att använda kryptering eller pseudonymisering, inklusive under överföring, där syftet med behandlingen kan uppfyllas på det sättet. Vid pseudonymisering ska den ytterligare informationen för att tillskriva personuppgifterna till en specifik registrerad, om möjligt, förbli under dataexportörens exklusiva kontroll. Vid fullgörandet av sina skyldigheter enligt denna punkt ska dataimportören åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga II. Dataimportören ska utföra regelbundna kontroller för att säkerställa att dessa åtgärder fortsätter att tillhandahålla en lämplig säkerhetsnivå.

b) Dataimportören ska ge åtkomst till personuppgifterna till medlemmar av sin personal endast i den utsträckning som är strikt nödvändig för genomförande, förvaltning och övervakning av avtalet. Den ska säkerställa att personer som är behöriga att behandla personuppgifterna har åtagit sig att följa sekretess eller omfattas av en lämplig lagstadgad sekretesskyldighet.

(c)  I händelse av ett personuppgiftsbrott som rör personuppgifter som behandlas av dataimportören enligt dessa klausuler ska dataimportören vidta lämpliga åtgärder för att hantera överträdelsen, inklusive åtgärder för att mildra dess negativa effekter. Dataimportören ska också underrätta dataexportören utan onödigt dröjsmål efter att ha blivit medveten om överträdelsen. Sådan underrättelse ska innehålla uppgifter om en kontaktpunkt där mer information kan erhållas, en beskrivning av överträdelsens art (inklusive, om möjligt, kategorier och ungefärligt antal registrerade och personuppgiftsposter som berörs), dess sannolika konsekvenser och de åtgärder som vidtagits eller föreslagits för att hantera överträdelsen, inklusive, om lämpligt, åtgärder för att mildra dess eventuella negativa effekter. Om, och i den mån, det inte är möjligt att tillhandahålla all information samtidigt ska den ursprungliga anmälan innehålla den information som då är tillgänglig och ytterligare information ska, allteftersom den blir tillgänglig, därefter tillhandahållas utan onödigt dröjsmål.

d) Dataimportören ska samarbeta med och assistera dataexportören för att göra det möjligt för dataexportören att uppfylla sina skyldigheter enligt förordning (EU) 2016/679, i synnerhet att underrätta den behöriga tillsynsmyndigheten och de berörda registrerade, med beaktande av behandlingens art och den information som är tillgänglig för dataimportören.

Om överföringen involverar personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser eller fackföreningsmedlemskap, genetiska data eller biometriska data i syfte att unikt identifiera en fysisk person, data om hälsa eller en persons sexliv eller sexuella läggning, eller data om brottmålsdomar och brott (nedan kallade "känsliga data") ska dataimportören tillämpa de specifika begränsningar och/eller ytterligare skyddsåtgärder som beskrivs i bilaga I.B.

Dataimportören ska endast avslöja personuppgifterna till en tredje part på dokumenterade instruktioner från dataexportören. Dessutom kan uppgifterna endast lämnas ut till en tredje part som är belägen utanför Europeiska unionen (4) (i samma land som dataimportören eller i ett annat tredje land, nedan kallad "vidareöverföring") om den tredje parten är eller samtycker till att vara bunden av dessa klausuler, enligt lämplig modul, eller om:

(a)  vidareöverföringen är till ett land som omfattas av ett beslut om adekvat skyddsnivå enligt artikel 45 i förordning (EU) 2016/679 som omfattar vidareöverföringen.

b) den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder i enlighet med artiklarna 46 eller 47 i förordning (EU) 2016/679 med avseende på den aktuella behandlingen;

(c)  vidareöverföringen är nödvändig för att etablera, göra gällande eller försvara rättsliga anspråk i samband med specifika administrativa, reglerande eller rättsliga förfaranden; eller

d) vidareöverföringen är nödvändig för att skydda den registrerades eller en annan fysisk persons vitala intressen.

All vidareöverföring är föremål för dataimportörens efterlevnad av alla andra skyddsåtgärder enligt dessa klausuler, i synnerhet ändamålsbegränsning.

(a)  Dataimportören ska snabbt och på ett adekvat sätt hantera förfrågningar från dataexportören som rör behandlingen enligt dessa klausuler.

(b) Parterna ska kunna visa att dessa klausuler efterlevs. I synnerhet ska dataimportören hålla lämplig dokumentation om de behandlingsaktiviteter som utförs på dataexportörens vägnar.

(c) Dataimportören ska tillhandahålla dataexportören all information som är nödvändig för att visa att de skyldigheter som anges i dessa klausuler efterlevs och på dataexportörens begäran, tillåta och bidra till revisioner av de bearbetningsaktiviteter som omfattas av dessa klausuler, på rimliga intervall eller om det finns indikationer på bristande efterlevnad. Vid beslut om en granskning eller revision kan dataexportören ta hänsyn till relevanta certifieringar som innehas av dataimportören.

(d) Dataexportören kan välja att utföra revisionen själv eller ge ett mandat åt en oberoende revisor. Revisioner kan omfatta inspektioner i dataimportörens lokaler eller fysiska anläggningar och ska, i förekommande fall, utföras med rimligt varsel.

(e)  Parterna ska göra den information som avses i punkterna (b) och (c), inklusive resultaten av eventuella revisioner, tillgänglig för den behöriga tillsynsmyndigheten på begäran.

(a)  Dataimportören har dataexportörens allmänna tillstånd för engagemang av underentreprenörer från en överenskommen lista. Dataimportören ska specifikt informera dataexportören skriftligen om eventuella avsedda ändringar i den listan genom tillägg eller utbyte av underentreprenörer minst 14 dagar i förväg, vilket ger dataexportören tillräckligt med tid för att kunna invända mot sådana ändringar innan underentreprenör(er) engageras. Dataimportören ska förse dataexportören med den information som krävs för att göra det möjligt för dataexportören att utöva sin rätt att göra invändningar.

(b) Om dataimportören engagerar en underentreprenör för att utföra specifika behandlingsaktiviteter (på uppdrag av dataexportören) ska den göra det genom ett skriftligt avtal som i sak föreskriver samma dataskyddsskyldigheter som de som binder dataimportören enligt dessa klausuler, inklusive i termer av tredjepartsförmånstagares rättigheter för registrerade. (8) Parterna är överens om att dataimportören, genom att följa denna klausul, uppfyller sina skyldigheter enligt klausul 8.8. Dataimportören ska säkerställa att underentreprenören uppfyller de skyldigheter som dataimportören omfattas av i enlighet med dessa klausuler.

(c)  Dataimportören ska tillhandahålla, på dataexportörens begäran, en kopia av ett sådant avtal om underentreprenörer och eventuella efterföljande ändringar av dataexportören. I den utsträckning som krävs för att skydda affärshemligheter eller annan konfidentiell information, inklusive personuppgifter, kan dataimportören redigera texten i avtalet innan en kopia delas.

(d) Dataimportören ska förbli fullt ansvarig inför dataexportören för utförandet av underentreprenörens skyldigheter enligt sitt avtal med dataimportören. Dataimportören ska underrätta dataexportören om eventuella underlåtenheter av underentreprenören att uppfylla sina skyldigheter enligt det avtalet.

(e) Dataimportören ska komma överens om en tredje parts förmånstagarklausul med underentreprenören enligt vilken – i händelse av att dataimportören faktiskt har försvunnit, upphört att existera i lag eller har blivit insolvent – dataexportören ska ha rätt att säga upp underentreprenörsavtalet och att instruera underentreprenören att radera eller returnera personuppgifterna.

(a)  Dataimportören ska omedelbart underrätta dataexportören om varje begäran som den har tagit emot från en registrerad. Den ska inte svara på den begäran i sig om den inte har godkänts att göra det av dataexportören.

(b) Dataimportören ska assistera dataexportören när den uppfyller sina skyldigheter att svara på registrerades förfrågningar om att utöva sina rättigheter enligt förordning (EU) 2016/679. I detta avseende ska parterna i bilaga II ange lämpliga tekniska och organisatoriska åtgärder, med beaktande av behandlingens art, genom vilken det ska tillhandahållas, samt omfattningen av och i den utsträckning som krävs.

(c)  Vid uppfyllandet av sina skyldigheter enligt punkterna (a) och (b) ska dataimportören följa instruktionerna från dataexportören.

(a)  Dataimportören ska informera de registrerade i ett transparent och lättillgängligt format, genom individuellt meddelande eller på sin webbplats, om en kontaktpunkt som är behörig att hantera klagomål. Den ska omedelbart hantera eventuella klagomål som den tar emot från en registrerad.

(b) I händelse av en tvist mellan en registrerad och en av parterna om efterlevnaden av dessa klausuler ska den parten göra sitt bästa för att lösa problemet i godo. Parterna ska hålla varandra informerade om sådana tvister och, i förekommande fall, samarbeta för att lösa dem.

(c)  Om den registrerade åberopar en tredjepartsförmånstagares rätt i enlighet med klausul 3 ska dataimportören acceptera den registrerades beslut att:

(i)     lämna in ett klagomål till tillsynsmyndigheten i den medlemsstat där han/hon har sin vanliga bostad eller arbetsplats, eller den behöriga tillsynsmyndigheten i enlighet med klausul 13;

(ii)     hänvisa tvisten till de behöriga domstolarna i den mening som avses i klausul 18.

(d) Parterna accepterar att den registrerade kan representeras av ett icke-vinstdrivande organ, en organisation eller en association utan vinstsyfte enligt de villkor som anges i artikel 80.1 i förordning (EU) 2016/679.

(e)  Dataimportören ska följa ett beslut som är bindande enligt tillämplig EU- eller medlemsstats lag.

(f)  Dataimportören samtycker till att det val som den registrerade gör inte kommer att påverka hans/hennes materiella och processuella rättigheter att söka gottgörelse i enlighet med tillämpliga lagar.

(a)  Varje part ska vara ansvarig inför den andra parten/parterna för eventuella skador som den orsakar den andra parten genom brott mot dessa klausuler.

(b) Dataimportören ska vara ansvarig för den registrerade, och den registrerade ska vara berättigad att få ersättning, för eventuella materiella eller icke-materiella skador som dataimportören eller dess underentreprenör orsakar den registrerade genom att bryta mot tredjepartsförmånstagarens rättigheter enligt dessa klausuler.

(c)  Trots punkt (b) ska dataexportören vara ansvarig för den registrerade, och den registrerade ska vara berättigad att få ersättning, för eventuella materiella eller icke-materiella skador som dataexportören eller dataimportören (eller dess underleverantör) orsakar den registrerade genom att bryta mot tredjepartsförmånstagarens rättigheter enligt dessa klausuler. Detta påverkar inte dataexportörens ansvar och, om dataexportören är en processor som agerar på uppdrag av en personuppgiftsansvarig, till den personuppgiftsansvariges ansvar enligt förordning (EU) 2016/679 eller förordning (EU) 2018/1725, i förekommande fall.

(d) Parterna är överens om att om dataexportören hålls ansvarig enligt punkt (c) för skador som orsakas av dataimportören (eller dess underentreprenör), ska det vara möjligt att kräva tillbaka från dataimportören den del av ersättningen som motsvarar dataimportörens ansvar för skadan.

(e)  Om mer än en part är ansvarig för eventuella skador som orsakas den registrerade till följd av ett brott mot dessa klausuler ska alla ansvariga parter vara gemensamt och solidariskt ansvariga och den registrerade är berättigad att väcka talan i domstol mot någon av dessa parter.

(f)  Parterna är överens om att om en part hålls ansvarig enligt punkt (e) ska den vara berättigad att kräva tillbaka från den andra parten/parterna den del av ersättningen som motsvarar hans/hennes ansvar för skadan.

(g) Dataimportören får inte åberopa en underentreprenörs beteende för att undvika sitt eget ansvar.

(a)  Parterna är överens om att den tillsynsmyndighet som ansvarar för att säkerställa dataexportörens efterlevnad av förordning (EU) 2016/679 när det gäller dataöverföringen ska vara den nederländska dataskyddsmyndigheten (Autoriteit Persoonsgegevens), som ska agera som behörig tillsynsmyndighet.

(b) Dataimportören samtycker till att underkasta sig den jurisdiktion som råder i och samarbeta med den behöriga tillsynsmyndigheten i alla förfaranden som syftar till att säkerställa efterlevnaden av dessa klausuler. I synnerhet samtycker dataimportören till att svara på frågor, underkasta sig revisioner och följa de åtgärder som antagits av tillsynsmyndigheten, inklusive korrigerande och kompenserande åtgärder. Den ska förse tillsynsmyndigheten med skriftlig bekräftelse på att nödvändiga åtgärder har vidtagits.

(a)  Parterna garanterar att de inte har någon anledning att tro att de lagar och praxis i tredjelandet som är tillämpliga på dataimportörens behandling av personuppgifterna, inklusive eventuella krav på att avslöja personuppgifter eller åtgärder som tillåter åtkomst av offentliga myndigheter, hindrar dataimportören från att uppfylla sina skyldigheter enligt dessa klausuler. Detta baseras på förståelsen att lagar och praxis som respekterar det väsentliga i de grundläggande rättigheterna och friheterna och inte går utöver vad som är nödvändigt och proportionellt i ett demokratiskt samhälle för att skydda ett av de mål som anges i artikel 23.1 i förordning (EU) 2016/679, inte strider mot dessa klausuler.

(b) Parterna förklarar att de vid tillhandahållandet av garantin i punkt (a) har tagit vederbörlig hänsyn i synnerhet till följande element:

(i) de specifika omständigheterna kring överföringen, inklusive behandlingskedjans längd, antalet aktörer som är involverade och de överföringskanaler som används; avsedda vidareöverföringar; typen av mottagare; syftet med behandlingen; kategorierna och formatet för de överförda personuppgifterna; den ekonomiska sektor där överföringen sker; lagringsplatsen för de överförda uppgifterna;

(ii) lagar och praxis i tredjelandet – inklusive de som kräver att data lämnas ut till offentliga myndigheter eller som tillåter åtkomst av sådana myndigheter – är relevanta i ljuset av de specifika omständigheterna kring överföringen och de tillämpliga begränsningarna och skyddsåtgärderna (12);

(iii) alla relevanta avtalsenliga, tekniska eller organisatoriska skyddsåtgärder som införts för att komplettera skyddsåtgärderna enligt dessa klausuler, inklusive åtgärder som tillämpas under överföring och vid behandling av personuppgifterna i destinationslandet.

(c)  Dataimportören garanterar att den, vid genomförandet av bedömningen enligt punkt (b), har gjort sitt bästa för att förse dataexportören med relevant information och samtycker till att den kommer att fortsätta att samarbeta med dataexportören för att säkerställa efterlevnaden av dessa klausuler.

(d) Parterna är överens om att dokumentera påståendet enligt punkt (b) och göra det tillgängligt för den behöriga tillsynsmyndigheten på begäran.

(e)  Dataimportören samtycker till att omedelbart underrätta dataexportören om den, efter att ha godkänt dessa klausuler och under avtalets löptid, har anledning att tro att den är eller har blivit föremål för lagar eller praxis som inte överensstämmer med kraven i punkt (a), inklusive efter en ändring i tredjelandets lagar eller en åtgärd (t.ex. en begäran om att få veta) som indikerar en tillämpning av sådana lagar i praktiken som inte överensstämmer med kraven i punkt (a).

(f)  Efter en anmälan enligt punkt (e), eller om dataexportören på annat sätt har anledning att tro att dataimportören inte längre kan uppfylla sina skyldigheter enligt dessa klausuler ska dataexportören omedelbart identifiera lämpliga åtgärder (t.ex. tekniska eller organisatoriska åtgärder för att säkerställa säkerhet och konfidentialitet) som ska antas av dataexportören och/eller dataimportören för att hantera situationen. Dataexportören ska avbryta dataöverföringen om den anser att inga lämpliga skyddsåtgärder för en sådan överföring kan säkerställas, eller om den behöriga tillsynsmyndigheten instruerar att göra det. I det här fallet ska dataexportören vara berättigad att säga upp avtalet, i den mån det gäller behandling av personuppgifter enligt dessa klausuler. Om avtalet involverar mer än två parter kan dataexportören utöva denna rätt till uppsägning endast med avseende på den relevanta parten, om inte parterna har kommit överens om annat. Om avtalet sägs upp i enlighet med denna klausul ska klausul 16(d) och (e) gälla.

(a)  Dataimportören samtycker till att omedelbart underrätta dataexportören och, om möjligt, den registrerade (om det behövs med hjälp av dataexportören) om den:

(i) tar emot en juridiskt bindande begäran från en offentlig myndighet, inklusive rättsliga myndigheter, enligt destinationslandets lagar om avslöjande av personuppgifter som överförs i enlighet med dessa klausuler; sådan anmälan ska innehålla information om de personuppgifter som begärts, den begärande myndigheten, den rättsliga grunden för begäran och det svar som tillhandahålls; eller

(ii) blir medveten om all direkt tillgång av offentliga myndigheter till personuppgifter som överförs i enlighet med dessa klausuler i enlighet med lagstiftningen i destinationslandet; en sådan anmälan ska innehålla all information som är tillgänglig för importören.

(b) Om dataimportören är förbjuden att underrätta dataexportören och/eller den registrerade enligt destinationslandets lagar, samtycker dataimportören till att göra sitt bästa för att erhålla ett upphävande av förbudet, i syfte att kommunicera så mycket information som möjligt, så snart som möjligt. Dataimportören samtycker till att dokumentera sina bästa ansträngningar för att kunna visa dem på begäran av dataexportören.

(c)  Om det är tillåtet enligt destinationslandets lagar samtycker dataimportören till att förse dataexportören, med jämna mellanrum under avtalets löptid, med så mycket relevant information som möjligt om de mottagna förfrågningarna (i synnerhet antal förfrågningar, typ av data som begärts, begärande myndighet/er, huruvida förfrågningar har ifrågasatts och resultatet av sådana utmaningar etc.).

(d) Dataimportören samtycker till att bevara informationen i enlighet med punkterna (a)–(c) under avtalets löptid och göra den tillgänglig för den behöriga tillsynsmyndigheten på begäran.

(e)  Punkterna (a) till (c) påverkar inte dataimportörens skyldighet enligt klausul 14(e) och klausul 16 att omedelbart informera dataexportören om den inte kan följa dessa klausuler.

(a)  Dataimportören samtycker till att granska lagligheten av begäran om utlämnande, i synnerhet om den fortfarande omfattas av de befogenheter som beviljats den begärande offentliga myndigheten, och att överklaga begäran om den, efter noggrant erkännande, kommer fram till att det finns rimliga skäl att anta att begäran är olaglig enligt destinationslandets lagar, tillämpliga skyldigheter enligt internationell rätt och principer om internationell hövlighet. Dataimportören ska, på samma villkor, sträva efter möjligheter att överklaga. När dataimportören bestrider en begäran ska den söka interimistiska åtgärder i syfte att upphäva verkningarna av begäran tills den behöriga rättsliga myndigheten har fattat ett beslut om den. Den ska inte avslöja de personuppgifter som begärts förrän det krävs enligt tillämpliga procedurregler. Dessa krav påverkar inte dataimportörens skyldigheter enligt klausul 14(e).

(b) Dataimportören samtycker till att dokumentera sin rättsliga ställning och varje utmaning mot begäran om offentliggörande och, i den utsträckning som är tillåtet enligt destinationslandets lagar, göra dokumentationen tillgänglig för dataexportören. Den ska också göra den tillgänglig för den behöriga tillsynsmyndigheten på begäran.

(c)  Dataimportören samtycker till att tillhandahålla den minsta mängd information som är tillåten när han svarar på en begäran om avslöjande, baserat på en rimlig tolkning av begäran.

(a)  Dataimportören ska omedelbart informera dataexportören om den inte kan följa dessa klausuler, oavsett anledning.

(b) I händelse av att dataimportören bryter mot dessa klausuler eller inte kan följa dessa klausuler ska dataexportören avbryta överföringen av personuppgifter till dataimportören tills efterlevnaden åter säkerställs eller avtalet sägs upp. Detta påverkar inte klausul 14(f).

(c) Dataexportören ska ha rätt att säga upp avtalet, i den mån det avser behandling av personuppgifter enligt dessa klausuler, om:

(i) dataexportören har avbrutit överföringen av personuppgifter till dataimportören i enlighet med punkt (b) och efterlevnaden av dessa klausuler inte återställs inom en rimlig tid och i vilket fall som helst inom en månad efter avstängningen;

(ii) dataimportören begår ett väsentligt eller bestående brott mot dessa klausuler; eller

(iii) dataimportören underlåter att följa ett bindande beslut av en behörig domstol eller tillsynsmyndighet om sina skyldigheter enligt dessa klausuler.

I dessa fall ska den informera den behöriga tillsynsmyndigheten om sådan bristande efterlevnad. Där avtalet involverar mer än två parter kan dataexportören utöva denna rätt till uppsägning endast med avseende på den relevanta parten, såvida inte parterna har kommit överens om annat.

(d) Personuppgifter som har överförts före uppsägningen av avtalet enligt punkt (c) ska, efter dataexportörens val, omedelbart returneras till dataexportören eller raderas i sin helhet. Detsamma ska gälla för alla kopior av uppgifterna. Dataimportören ska certifiera raderingen av data till dataexportören. Tills uppgifterna raderas eller returneras ska dataimportören fortsätta att säkerställa att dessa klausuler följs. I händelse av lokala lagar som är tillämpliga på dataimportören som förbjuder återlämnande eller radering av de överförda personuppgifterna, garanterar dataimportören att den kommer att fortsätta att säkerställa efterlevnad av dessa klausuler och endast kommer att behandla data i den utsträckning och så länge som krävs enligt denna lokala lag.

(e)  Endera parten kan återkalla sitt samtycke till att vara bunden av dessa klausuler om (i) Europeiska kommissionen antar ett beslut i enlighet med artikel 45.3 i förordning (EU) 2016/679 som omfattar överföring av personuppgifter som dessa klausuler är tillämpliga på; eller (ii) Förordning (EU) 2016/679 blir en del av den rättsliga ramen i det land till vilket personuppgifterna överförs. Detta påverkar inte andra skyldigheter som gäller för den aktuella behandlingen enligt förordning (EU) 2016/679.

Dessa klausuler ska regleras av lagen i den EU-medlemsstat där dataexportören är etablerad. Om sådan lag inte tillåter tredjepartsförmånstagares rättigheter ska de regleras av en annan EU-medlemsstats lag som tillåter tredjepartsförmånstagares rättigheter. Parterna är överens om att detta ska vara Nederländernas lag.

(a)  Varje tvist som uppstår från dessa klausuler ska lösas av domstolarna i en EU-medlemsstat.

(b) Parterna är överens om att dessa ska vara Nederländernas domstolar.

(c)  En registrerad kan också väcka talan mot dataexportören och/eller dataimportören vid domstolarna i den medlemsstat där han/hon har sin vanliga vistelseort.

(d) Parterna är överens om att underkasta sig sådana domstolars jurisdiktion.

För information i bilagorna I och II, se förteckningarna 1 och 2 i Databehandlingsavtalet.