32001D0497

Kommissionens beslutning

af 15. juni 2001

om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF

(meddelt under nummer K(2001) 1539)

(EØS-relevant tekst)

(2001/497/EF)

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HAR -

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab,

under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(1), særlig artikel 26, stk. 4, og

ud fra følgende betragtninger:

(1) Medlemsstaterne skal i henhold til direktiv 95/46/EF sørge for, at der kun overføres personoplysninger til tredjelande, der sikrer et tilstrækkeligt databeskyttelsesniveau, og at medlemsstaternes lovbestemmelser, der er i overensstemmelse med direktivets øvrige bestemmelser, ikke overtrædes forud for overførslen.

(2) Ifølge artikel 26, stk. 2, i direktiv 95/46/EF kan medlemsstaterne imidlertid under forudsætning af visse garantier give tilladelse til en overførsel eller en type overførsel af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau. Sådanne garantier kan især sikres gennem passende kontraktbestemmelser.

(3) Vurderingen af beskyttelsesniveauet bør i henhold til direktiv 95/46/EF ske på grundlag af samtlige de forhold, der har indflydelse på en overførsel eller en type overførsel af oplysninger. Den ved direktivet nedsatte gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger(2) har udgivet retningslinjer for, hvorledes denne vurdering skal foretages(3).

(4) Artikel 26, stk. 2, i direktiv 95/46/EF, som giver organisationer, der ønsker at overføre oplysninger til tredjelande, større fleksibilitet, og artikel 26, stk. 4, om standardkontraktbestemmelserne, er af stor betydning med henblik på at opretholde den nødvendige strøm af personoplysninger mellem Fællesskabet og tredjelandene uden på unødig vis at belaste de økonomiske aktører. Disse artikler er specielt vigtige i betragtning af, at Kommissionen på kort eller selv mellemlang sigt må formodes kun at konstatere et tilstrækkeligt beskyttelsesniveau i henhold til artikel 25, stk. 6, for et begrænset antal lande.

(5) Disse standardkontraktbestemmelser udgør kun én ud af flere muligheder i henhold til direktiv 95/46/EF i forbindelse med artikel 25 og 26, stk. 1 og 2, for på lovlig vis at overføre personoplysninger til et tredjeland. Det vil være lettere for organisationer at overføre personoplysninger til tredjelande ved at indføje standardkontraktbestemmelserne i en kontrakt. Standardkontraktbestemmelserne vedrører kun databeskyttelse. Dataeksportøren og dataimportøren kan frit tilføje enhver anden kommerciel bestemmelse, f.eks. bestemmelser om gensidig assistance i tilfælde af tvister med en registreret eller en tilsynsmyndighed, som de anser for at være af betydning for kontrakten, så længe den pågældende bestemmelse ikke er i strid med standardkontraktbestemmelserne.

(6) Denne beslutning bør ikke berøre nationale tilladelser, som medlemsstaterne måtte give i henhold til nationale bestemmelser til gennemførelse af artikel 26, stk. 2, i direktiv 95/46/EF. Omstændighederne i forbindelse med specifikke overførsler kan kræve, at de registeransvarlige yder andre garantier i overensstemmelse med artikel 26, stk. 2. Under alle omstændigheder har denne beslutning kun den virkning, at medlemsstaterne ikke må nægte at anerkende, at de heri beskrevne kontraktbestemmelser giver tilstrækkelige garantier, og den har derfor ingen indvirkning på andre kontraktbestemmelser.

(7) Anvendelsesområdet for denne beslutning er begrænset til at fastslå, at bestemmelserne i bilaget kan anvendes af en registeransvarlig, der er etableret i Fællesskabet, med henblik på at frembyde tilstrækkelige garantier i overensstemmelse med artikel 26, stk. 2, i direktiv 95/46/EF. En overførsel af personoplysninger til tredjelande udgør en databehandlingsproces i en medlemsstat, hvis lovlighed er underlagt national ret. Medlemsstaternes tilsynsmyndigheder bør som led i deres hverv og udøvelsen af deres beføjelser i medfør af artikel 28 i direktiv 95/46/EF fortsat være kompetente til at foretage en vurdering af, hvorvidt dataeksportøren har overholdt national lovgivning til gennemførelse af bestemmelserne i direktiv 95/46/EF, og især enhver specifik regel med hensyn til den i nævnte direktiv fastsatte oplysningspligt.

(8) Denne beslutning finder ikke anvendelse på overførsel af personoplysninger fra registeransvarlige, der er etableret i Fællesskabet, til modtagere, som er etableret uden for Fællesskabets område, og som blot foretager behandling af disse oplysninger. Sådanne overførsler kræver ikke samme sikkerhedsforanstaltninger, fordi databehandleren udelukkende handler på vegne af den registeransvarlige. Kommissionen har til hensigt at behandle denne form for overførsel i en efterfølgende beslutning.

(9) Det bør fastsættes, hvilke minimumsoplysninger parterne skal specificere i kontrakten om overførsel. Medlemsstaterne bør bevare retten til nærmere at specificere, hvilke oplysninger parterne skal give. Denne beslutning bør revideres på grundlag de erfaringer, der gøres med den.

(10) Kommissionen vil også på et senere tidspunkt overveje, om standardkontraktbestemmelser, som fremlægges af erhvervsdrivende organisationer eller andre interesserede parter, frembyder tilstrækkelige garantier i henhold til direktiv 95/46/EF.

(11) Selv om det står parterne frit for at aftale de væsentlige databeskyttelsesregler, som dataimportøren skal overholde, bør visse databeskyttelsesprincipper finde anvendelse under alle omstændigheder.

(12) Oplysninger bør kun behandles og efterfølgende anvendes eller videregives til specifikke formål og bør ikke opbevares længere end nødvendigt.

(13) I overensstemmelse med artikel 12 i direktiv 95/46/EF bør de registrerede have ret til indsigt i de oplysninger, som vedrører dem, og i givet fald ret til berigtigelse, sletning eller blokering af visse oplysninger.

(14) Yderligere overførsel af personoplysninger til en anden registeransvarlig, der er etableret i et tredjeland, bør kun være tilladt på visse betingelser, navnlig for at sikre at de registrerede modtager korrekt information og får lejlighed til at gøre indsigelse eller i visse tilfælde at undlade at give samtykke.

(15) Tilsynsmyndighederne bør ved siden af deres opgave med at vurdere, om overførsler til tredjelande er i overensstemmelse med national ret, også spille en central rolle i denne kontraktbaserede mekanisme ved at sikre, at personoplysninger beskyttes på tilstrækkelig vis efter overførslen. Medlemsstaternes tilsynsmyndigheder bør under særlige omstændigheder bevare retten til at forbyde eller suspendere en overførsel eller en type overførsel af personoplysninger, der foregår på grundlag af standardkontraktbestemmelser, i de særlige tilfælde, hvor det er konstateret, at en overførsel på grundlag af kontraktbestemmelser kan forventes at have en betydelig negativ effekt på de garantier, hvormed den registrerede sikres en passende beskyttelse.

(16) Standardkontraktbestemmelserne bør ikke alene kunne håndhæves af de organisationer, der er parter i kontrakten, men også af de registrerede, og dette især, når de registrerede lider skade som følge af en overtrædelse af kontrakten.

(17) Den lovgivning, der gælder for kontrakten, bør være lovgivningen i den medlemsstat, hvori dataeksportøren er etableret, hvilket giver en tredjepart, som er omfattet af et tredjepartsløfte, mulighed for at håndhæve kontrakten. De registrerede bør, såfremt de ønsker det, og det er tilladt i henhold til national ret, kunne lade sig repræsentere af foreninger eller andre organer.

(18) For at mindske de praktiske problemer, der kan opstå for registrerede, når de forsøger at udøve deres rettigheder i henhold til disse standardkontraktbestemmelser, bør dataeksportøren og dataimportøren hæfte solidarisk for skader som følge af enhver overtrædelse af disse bestemmelser, der er omfattet af tredjepartsløftet.

(19) Den registrerede er berettiget til at anlægge sag og modtage erstatning fra dataeksportøren, dataimportøren eller dem begge for enhver skade, der skyldes en handling, der er uforenelig med forpligtelserne i følge standardkontraktbestemmelserne. Begge parter kan fritages fra dette erstatningsansvar, hvis de kan bevise, at ingen af dem er ansvarlig.

(20) Den solidariske hæftelse gælder ikke for bestemmelser, som ikke er omfattet af bestemmelsen om tredjepartsløfte, og behøver ikke betyde, at den ene part skal betale skadeserstatning i tilfælde af ulovlig behandling foretaget af den anden part. Selv om der ikke stilles krav om gensidig skadesløsholdelse mellem parterne, for at beskyttelsen af de registrerede kan anses for tilstrækkelig, og denne bestemmelse derfor kan slettes, er den indføjet i standardkontraktbestemmelserne for klarheds skyld og for at undgå, at parterne skal forhandle om skadesløsholdelsesklausuler på individuelt grundlag.

(21) Såfremt der opstår en tvist mellem parterne og den registrerede, som ikke afgøres i mindelighed, og såfremt den registrerede påberåber sig tredjepartsløftet, skal parterne indvilge i at give den registrerede valget mellem mægling, voldgift eller retssag. Om den registrerede vil have en egentlig valgmulighed, vil afhænge af, i hvilket omfang der foreligger pålidelige og anerkendte mæglings- og voldgiftssystemer. Mægling foretaget af medlemsstaternes tilsynsmyndigheder bør være en valgmulighed, når de yder en sådan service.

(22) Den udtalelse(4), som gruppen vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, der er nedsat ved artikel 29 i direktiv 95/46/EF, har afgivet om det beskyttelsesniveau, der opnås ved hjælp af de i bilaget anførte standardkontraktbestemmelser, er blevet taget i betragtning ved udarbejdelsen af denne beslutning.

(23) De i denne beslutning fastsatte foranstaltninger er i overensstemmelse med udtalelse fra det udvalg, der er nedsat ved artikel 31 i direktiv 95/46/EF -

VEDTAGET FØLGENDE BESLUTNING:

Artikel 1

Standardkontraktbestemmelserne i bilaget til denne beslutning anses for at frembyde de tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder, der kræves i henhold til artikel 26, stk. 2, i direktiv 95/46/EF.

Artikel 2

Denne beslutning vedrører udelukkende tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af de standardkontraktbestemmelser for overførsel af personoplysninger, der er anført i bilaget. Den har ingen indvirkning på anvendelsen af andre nationale bestemmelser til gennemførelse af direktiv 95/46/EF, som vedrører behandling af personoplysninger i medlemsstaterne.

Denne beslutning finder ikke anvendelse på overførsel af personoplysninger fra registeransvarlige, der er etableret i Fællesskabet, til modtagere, som er etableret uden for Fællesskabets område, og som blot foretager behandling af disse oplysninger.

Artikel 3

I denne beslutning:

a) finder definitionerne i direktiv 95/46/EF anvendelse

b) forstås ved "særlige kategorier af oplysninger" de oplysninger, der er omhandlet i artikel 8 i nævnte direktiv

c) forstås ved "tilsynsmyndighed" den myndighed, der er omhandlet i artikel 28 i nævnte direktiv

d) forstås ved "dataeksportør" den registeransvarlige, der overfører personoplysningerne

e) forstås ved "dataimportør" den registeransvarlige, som indvilliger i at modtage personoplysninger fra dataeksportøren med henblik på videre behandling i overensstemmelse med bestemmelserne i denne beslutning.

Artikel 4

1. De kompetente myndigheder i medlemsstaterne kan, uden at dette berører deres beføjelse til at træffe foranstaltninger for at sikre overholdelse af nationale bestemmelser, der vedtages i overensstemmelse med bestemmelserne i kapitel II, III, V og VI i direktiv 95/46/EF, gøre brug af deres beføjelser med henblik på at forbyde eller suspendere datastrømmen til tredjelande for at beskytte fysiske personer med hensyn til behandling af deres personoplysninger:

a) når det er fastslået, at den lovgivning, som dataimportøren er underlagt, pålægger dataimportøren krav om at fravige de relevante databeskyttelsesregler, som er mere vidtgående end de restriktioner, der er nødvendige i et demokratisk samfund som fastsat i artikel 13 i direktiv 95/46/EF, hvis disse krav kan formodes at have en betydelig negativ virkning på den sikkerhed, der opnås ved hjælp af standardkontraktbestemmelserne

b) når en kompetent myndighed har fastslået, at dataimportøren ikke har overholdt kontraktbestemmelserne, eller

c) når der er stor sandsynlighed for, at standardkontraktbestemmelserne i bilaget ikke overholdes eller ikke vil blive overholdt, og at en fortsat overførsel vil kunne skabe en overhængende risiko for alvorlig skade for de registrerede.

2. Forbud eller suspension i henhold til stk. 1 ophæves straks, når grundene til forbuddet eller suspenderingen ikke længere eksisterer.

3. Når medlemsstaterne vedtager foranstaltninger i overensstemmelse med stk. 1 og 2, underretter de straks Kommissionen, som igen underretter de øvrige medlemsstater.

Artikel 5

Kommissionen evaluerer anvendelsen af denne beslutning på grundlag af alle tilgængelige oplysninger tre år efter, at medlemsstaterne har fået meddelelse om beslutningen. Den forelægger en rapport vedrørende resultaterne for det ved artikel 31 i direktiv 95/46/EF nedsatte udvalg. Rapporten skal omfatte ethvert forhold, der kan påvirke vurderingen af tilstrækkeligheden af standardkontraktbestemmelserne i bilaget samt ethvert forhold, hvoraf det fremgår, at denne beslutning anvendes på en diskriminerende måde.

Artikel 6

Denne beslutning finder anvendelse fra den 3. september 2001.

Artikel 7

Denne beslutning er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den 15. juni 2001.

På Kommissionens vegne

Frederik Bolkestein

Medlem af Kommissionen

(1) EFT L 281 af 23.11.1995, s. 31.

(2) Gruppens websted findes på følgende adresse:

http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/indez.htm

(3) WP 4 (5020/97): "Udlevering af personoplysninger til tredjelande - hvornår er beskyttelsesniveauet tilstrækkeligt?", et diskussionsoplæg vedtaget af gruppen den 26. juni 1997.

WP 7 (5057/97): "Vurdering af selvregulering i erhvervslivet: hvornår yder den et meningsfuldt bidrag til databeskyttelsesniveauet i et tredjeland?", arbejdsdokument vedtaget af gruppen den 14. januar 1998.

WP 9 (5005/98): "Foreløbige synspunkter om brug af kontraktbestemmelser ved videregivelse af personoplysninger til tredjelande", arbejdsdokument vedtaget af gruppen den 22. april 1998.

WP 12: "Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv", arbejdsdokument vedtaget af gruppen den 24. juli 1998, tilgængelig på Europa-Kommissionens websted: europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en

(4) Udtalelse nr. 1/2001, vedtaget af gruppen den 26. januar 2001 (Generaldirektoratet for det Indre Marked 5102/00 WP 38), tilgængelig på Europa-Kommissionens websted "Europa".

BILAG

>PIC FILE= "L_2001181DA.002402.TIF">

>PIC FILE= "L_2001181DA.002501.TIF">

>PIC FILE= "L_2001181DA.002601.TIF">

>PIC FILE= "L_2001181DA.002701.TIF">

Tillæg 1

til standardkontraktbestemmelserne

>PIC FILE= "L_2001181DA.002802.TIF">

>PIC FILE= "L_2001181DA.002901.TIF">

Tillæg 2

til standardkontraktbestemmelserne

Obligatorisk databeskyttelse, jf. standardkontraktbestemmelse 5, litra b), første afsnit

Disse databeskyttelsesprincipper skal læses og fortolkes på baggrund af bestemmelserne (principper og relevante undtagelser) i direktiv 95/46/EF.

De finder anvendelse på de obligatoriske krav i den nationale lovgivning, der gælder for dataimportøren, og som ikke er mere vidtgående end, hvad der er nødvendige i et demokratisk samfund på basis af en af de grunde, der er nævnt i artikel 13, stk. 1, i direktiv 95/46/EF, det vil sige, hvis de udgør en nødvendig foranstaltning af hensyn til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring og retsforfølgelse i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv, statens væsentlige økonomiske eller finansielle interesser, eller beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.

1. Formålsafgrænsning: Oplysningerne må kun behandles og efterfølgende anvendes eller videregives til de specifikke formål i tillæg 1 til standardkontraktbestemmelserne. Oplysningerne må ikke opbevares længere end nødvendigt af hensyn til formålene med overførslen.

2. Datakvalitet og dataproportionalitet: Oplysningerne skal være nøjagtige og om nødvendigt ajourførte. Oplysningerne skal være fyldestgørende og relevante og må ikke være overdrevne i forhold til formålene med overførslen og den efterfølgende behandling.

3. Gennemsigtighed: Registrerede skal have oplysning om formålet med behandlingen og om den registeransvarliges identitet i tredjelandet samt yderligere oplysninger, hvis dette er nødvendigt for at sikre en rimelig behandling, medmindre sådanne oplysninger allerede er givet af dataeksportøren.

4. Sikkerhed og fortrolighed: Den registeransvarlige skal træffe tekniske og organisatoriske sikkerhedsforanstaltninger, som svarer til de risici, såsom ikke-autoriseret indsigt, behandlingen indebærer. Personer, der handler under den registeransvarliges ansvar, herunder databehandlere, må kun behandle oplysningerne, hvis dette sker efter instruks fra den registeransvarlige.

5. Ret til indsigt, berigtigelse, sletning og blokering: Som fastsat i artikel 12 i direktiv 95/46/EF skal de registrerede have ret til indsigt i de oplysninger, som vedrører dem, og som behandles, og i givet fald ret til berigtigelse, sletning eller blokering af oplysninger, hvis behandlingen ikke er i overensstemmelse med principperne i dette tillæg, især hvis der er tale om ufuldstændige eller unøjagtige oplysninger. De registrerede skal også, såfremt der foreligger vægtige legitime grunde, der vedrører deres særlige situation, have mulighed for at gøre indsigelse mod, at de oplysninger, som vedrører dem, gøres til genstand for behandling.

6. Begrænsning af videre overførsel: Yderligere overførsel af personoplysninger fra dataimportøren til en anden registeransvarlig, der er etableret i et tredjeland, der ikke garanterer et tilstrækkeligt beskyttelsesniveau, eller som ikke er omfattet af en kommissionsbeslutning vedtaget i henhold til artikel 25, stk. 6, i direktiv 95/46/EF (videre overførsel), må kun finde sted, hvis en af følgende betingelser er opfyldt:

a) De registrerede skal have givet deres udtrykkelige samtykke til videre overførsel, såfremt det drejer sig om særlige kategorier af oplysninger, eller de skal have haft mulighed for at gøre indsigelse herimod i andre tilfælde.

De registrerede skal mindst forsynes med følgende oplysninger på et sprog, de forstår:

- oplysning om formålene med den videre overførsel

- oplysning til identifikation af den i Fællesskabet etablerede dataeksportør

- oplysning om kategorier af yderligere modtagere af oplysninger og om bestemmelseslandene samt

- oplysning om, at oplysningerne efter den videre overførsel kan blive behandlet af en registeransvarlig, der er etableret i et land, hvor der ikke er en tilstrækkelig beskyttelse af fysiske personers privatliv. Eller

b) Dataeksportøren og dataimportøren er enige om, at en anden registeransvarlig tilslutter sig standardkontraktbestemmelserne, og således bliver en ny part i disse bestemmelser og påtager sig samme forpligtelser som dataimportøren.

7. Særlige kategorier af oplysninger: Når der behandles oplysninger om racemæssig eller etnisk oprindelse, politisk, religiøs eler filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, helbredsforhold og seksuelle forhold og oplysninger om lovovertrædelser, domme i straffesager eller sikkerhedsforanstaltninger, skal der iværksættes en supplerende beskyttelse i henhold til direktiv 95/46/EF, især passende sikkerhedsforanstaltninger, såsom stærk kryptering i forbindelse med overførsel eller registrering af, hvem der har haft adgang til følsomme oplysninger.

8. Direkte markedsføring: Når der behandles oplysninger med henblik på direkte markedsføring, skal der etableres effektive procedurer, der giver den registrerede mulighed for på et hvilket som helst tidspunkt at fravælge (opt-out) behandlingen af sine oplysninger til dette formål.

9. Edb-baserede individuelle afgørelser: De registrerede er berettigede til ikke at være underlagt en afgørelse, som alene er baseret på edb-behandling, medmindre der træffes andre foranstaltninger til at beskytte den enkeltes legitime interesser som foreskrevet i artikel 15, stk. 2, i direktiv 95/46/EF. Hvis formålet med en overførsel er at træffe en edb-baseret afgørelse som omhandlet i artikel 15 i direktiv 95/46/EF, der har retsvirkninger for den registrerede, eller som berører den registrerede i væsentlig grad, og som alene er truffet på grundlag af edb-behandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold, såsom erhvervsevne, kreditværdighed, pålidelighed, adfærd osv., har den registrerede ret til at kende begrundelsen for afgørelsen.

Tillæg 3

til standardkontraktbestemmelserne

Obligatorisk databeskyttelse, jf. standardkontraktbestemmelse 5, litra b), andet afsnit

1. Formålsafgrænsning: Oplysningerne må kun behandles og efterfølgende anvendes eller videregives til de specifikke formål i tillæg 1 til standardkontraktbestemmelserne. Oplysningerne må ikke opbevares længere end nødvendigt af hensyn til formålene med overførslen.

2. Ret til indsigt, berigtigelse, sletning og blokering: Som fastsat i artikel 12 i direktiv 95/46/EF skal de registrerede have ret til indsigt i de oplysninger, som vedrører dem, og som behandles, og i givet fald ret til berigtiglse, sletning eller blokering af oplysninger, hvis behandlingen ikke er i overensstemmelse med principperne i dette tillæg, især hvis der er tale om ufuldstændige eller unøjagtige oplysninger. De registrerede skal også, såfremt der foreligger vægtige legitime grunde, der vedrører deres særlige situation, have mulighed for at gøre indsigelse mod, at de oplysninger, som vedrører dem, gøres til genstand for behandling.

3. Begrænsning af videre overførsel: Yderligere overførsel af personoplysninger fra dataimportøren til en anden registeransvarlig, der er etableret i et tredjeland, der ikke garanterer et tilstrækkeligt beskyttelsesniveau, eller som ikke er omfattet af en kommissionsbeslutning vedtaget i henhold til artikel 25, stk. 6, i direktiv 95/46/EF (videre overførsel), må kun finde sted, hvis en af følgende betingelser er opfyldt:

a) De registrerede skal have givet deres udtrykkelige samtykke til videre overførsel, såfremt det drejer sig om særlige kategorier af oplysninger, eller de skal have haft mulighed for at gøre indsigelse herimod i andre tilfælde.

De registrerede skal mindst forsynes med følgende oplysninger på et sprog, de forstår:

- oplysning om formålene med den videre overførsel

- oplysning til identifikation af den i Fællesskabet etablerede dataeksportør

- oplysning om kategorier af yderligere modtagere af oplysninger og om bestemmelseslandene samt

- oplysning om, at oplysningerne efter den videre overførsel kan blive behandlet af en registeransvarlig, der er etableret i et land, hvor der ikke er en tilstrækkelig beskyttelse af fysiske personers privatliv. Eller

b) Dataeksportøren og dataimportøren er enige om, at en anden registeransvarlig tilslutter sig standardkontraktbestemmelserne, og således bliver en ny part i disse bestemmelser og påtager sig samme forpligtelser som dataimportøren.