a)

»Personoplysninger«, »særlige kategorier af oplysninger/følsomme oplysninger«, »behandle/behandling«, »registeransvarlig«, »behandler«, »registreret« og »tilsynsmyndighed/myndighed« har samme betydning som i direktiv 95/46/EF af 24. oktober 1995 (hvor der ved »myndighed« forstås den kompetente databeskyttelsesmyndighed på det område, hvor dataeksportøren er etableret).

b)

Ved »dataeksportør« forstås den registeransvarlige, der overfører personoplysningerne.

c)

Ved »dataimportør« forstås den registeransvarlige, som accepterer at modtage personoplysninger fra dataeksportøren med henblik på videre behandling i overensstemmelse med disse standardkontraktbestemmelser, og som ikke er underlagt lovgivningen i et tredjeland, der sikrer et tilstrækkeligt databeskyttelsesniveau.

d)

Ved »bestemmelser« forstås disse standardkontraktbestemmelser, der udgør et selvstændigt dokument, som ikke indeholder forretningsbetingelser, idet disse er omfattet af en særskilt forretningsaftale mellem parterne.

a)

Dataeksportøren garanterer, at personoplysningerne indsamles, behandles og overføres i overensstemmelse med den for dataeksportøren gældende lovgivning.

b)

Dataeksportøren forsøger på passende vis at fastslå, om dataimportøren er i stand til at opfylde sine retlige forpligtelser i henhold til disse standardkontraktbestemmelser.

c)

Dataeksportøren giver efter anmodning herom dataimportøren kopier af den relevante databeskyttelseslovgivning eller henvisninger til samme (hvor det er relevant og uden nogen form for juridisk rådgivning) i dataeksportørens etableringsland.

d)

Dataeksportøren besvarer forespørgsler fra registrerede og myndigheden vedrørende dataimportørens behandling af personoplysningerne, medmindre parterne har aftalt, at dataimportøren besvarer sådanne forespørgsler, hvor dataeksportøren i så fald fortsat besvarer i det omfang, det er rimeligt og muligt, og med den information, som dataeksportøren med rimelighed må anses at have adgang til, hvis dataimportøren ikke kan eller vil svare. Forespørgsler skal besvares inden for en passende tidsfrist.

e)

Dataeksportøren giver efter anmodning herom et eksemplar af standardkontrakten til de registrerede, der er omfattet af tredjemandsløftet i henhold til bestemmelse III, medmindre standardkontrakten indeholder fortrolige oplysninger, hvor dataeksportøren i så fald kan fjerne sådanne oplysninger. Hvis oplysninger fjernes, informerer dataeksportøren de registrerede skriftligt om årsagerne til dette og om deres ret til at gøre myndigheden opmærksom på dette forhold. Dataeksportøren retter sig imidlertid efter myndighedens afgørelse med hensyn til de registreredes ret til indsigt i standardkontrakten in extenso, såfremt de registrerede har accepteret at behandle de fortrolige oplysninger, der er blevet fjernet, fortroligt. Dataeksportøren giver ligeledes et eksemplar af standardkontrakten til myndigheden, såfremt den anmoder herom.

a)

Dataimportøren iværksætter passende tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller uretmæssig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, for således at sikre et passende beskyttelsesniveau i forhold til de risici, behandlingen og arten af de oplysninger, der skal beskyttes, indebærer.

b)

Dataimportøren iværksætter procedurer, der sikrer, at enhver tredjemand, som dataimportøren giver adgang til personoplysninger, herunder behandlere, behandler disse personoplysninger sikkert og fortroligt. Personer, der handler under dataimportørens ansvar, herunder behandlere, må kun behandle personoplysningerne efter instruks fra dataimportøren. Denne bestemmelse finder ikke anvendelse på personer, som i medfør af loven eller administrative forskrifter har adgang til personoplysningerne.

c)

Dataimportøren garanterer ved kontraktens indgåelse ikke at have kendskab til eventuelle lokale retsforskrifter, der kan have en betydelig negativ indvirkning på den beskyttelse, som standardkontrakten giver, og dataimportøren garanterer at ville informere dataeksportøren (der på behørig vis informerer myndigheden), hvis der opstår kendskab til sådanne retsforskrifter.

d)

Dataimportøren garanterer at ville behandle personoplysninger til de formål, der er anført i bilag B, og at have bemyndigelse til at give de garantier og opfylde de tilsagn, der er fastsat i standardkontrakten.

e)

Dataimportøren garanterer at ville give dataeksportøren oplysning om en kontaktperson i sin organisation, der har beføjelse til at besvare forespørgsler vedrørende behandlingen af personoplysningerne, og at ville samarbejde efter bedste evne og inden for en passende tidsfrist med dataeksportøren, den registrerede og myndigheden vedrørende sådanne forespørgsler. Hvis dataeksportørens aktiviteter ophører, eller hvis dette aftales parterne imellem, påtager dataimportøren sig ansvaret for at overholde bestemmelse I, litra e).

f)

Dataimportøren vil på anmodning fra dataeksportøren give sidstnævnte dokumentation for at være i besiddelse af tilstrækkelige finansielle ressourcer til at overholde forpligtelserne i medfør af bestemmelse III (hvilket kan omfatte passende forsikring).

g)

Såfremt dataeksportøren fremsætter berettiget anmodning herom, lader dataimportøren med en rimelig frist og i den normale arbejdstid dataeksportøren (eller uafhængige eller uvildige kontrollører eller inspektører, der udpeges af dataeksportøren, og som dataimportøren ikke har berettigede indsigelser imod) foretage en gennemgang, kontrol og/eller certificering af de databehandlingsfaciliteter, de datafiler og den dokumentation, der er nødvendig til at foretage behandling, med henblik på at fastslå overensstemmelse med de i denne kontrakt fastsatte garantier og tilsagn. En sådan anmodning skal eventuelt tiltrædes eller godkendes af en administrativ myndighed eller tilsynsmyndighed i dataimportørens etableringsland, idet dataimportøren skal forsøge at opnå en sådan godkendelse inden for en rimelig frist.

h)

Dataimportøren forpligter sig til at behandle personoplysningerne i overensstemmelse med enten:

i)

Dataimportøren forpligter sig til ikke at videregive eller overføre personoplysninger til en tredjemandsregisteransvarlig, der er etableret uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), medmindre dataimportøren underretter dataeksportøren om overførslen og

a)

Hver part er erstatningsansvarlig over for den anden part for skader, som den forvolder ved enhver overtrædelse af disse bestemmelser. Erstatningsansvaret mellem parterne er begrænset til de faktiske skader. Enhver pønalt begrundet skadeserstatning (dvs. skadeserstatning som straf for upassende adfærd) er udtrykkeligt udelukket. Hver part er erstatningsansvarlig over for de registrerede for skader som følge af enhver overtrædelse af tredjemandsrettighederne i henhold til denne kontrakt. Dette berører ikke dataeksportørens erstatningsansvar i henhold til gældende databeskyttelseslovgivning.

b)

Parterne aftaler, at de registrerede for så vidt angår deres egne personoplysninger og i medfør af tredjemandsløftet skal kunne påberåbe sig denne bestemmelse og bestemmelse I, litra b), I, litra d), I, litra e), II, litra a), II, litra c), II, litra d), II, litra e), II, litra h), II, litra i), III, litra a), V, VI, litra d), og VII over for dataimportøren eller dataeksportøren som følge af deres respektive overtrædelse af deres kontraktforpligtelser, og at de med henblik herpå skal godkende, at der vælges værneting i dataeksportørens etableringsland. De registrerede skal i sager, hvor dataimportøren påstås at have tilsidesat sine forpligtelser, først anmode dataeksportøren om at træffe passende foranstaltninger til at gøre deres rettigheder gældende over for dataimportøren. Hvis dataeksportøren ikke træffer sådanne foranstaltninger inden for en passende tidsfrist (som under normale omstændigheder er på en måned), kan de registrerede gøre deres rettigheder gældende direkte over for dataimportøren. De registrerede er berettigede til at anlægge sag direkte mod en dataeksportør, der ikke med passende omhu har bestræbt sig på at fastslå, om dataimportøren er i stand til at opfylde sine retlige forpligtelser i henhold til disse bestemmelser (det påhviler dataeksportøren at godtgøre at have udvist passende omhu).

a)

Parterne underretter hinanden, hvis der er opstået en tvist eller fremsat et krav af en registreret eller myndigheden vedrørende behandlingen af personoplysningerne over for en af parterne eller begge parter, og de samarbejder med henblik på at finde en mindelig løsning inden for en passende tidsfrist.

b)

Parterne accepterer at medvirke i en enhver almindelig og ikke-bindende forligsprocedure, som en registreret eller myndigheden iværksætter. Parterne kan vælge at deltage i proceduren uden personligt fremmøde (f.eks. telefonisk eller ved hjælp af andre elektroniske midler). Parterne accepterer ligeledes at ville deltage i enhver anden voldgift eller mægling eller andre tvistbilæggelsesprocedurer, der er udviklet til behandling af tvister vedrørende databeskyttelse.

c)

Hver part skal rette sig efter enhver afgørelse fra en kompetent domstol i dataeksportørens etableringsland eller fra myndigheden, hvis den pågældende afgørelse er endelig og ikke kan gøres til genstand for appel.

a)

Dataeksportøren kan, såfremt dataimportøren ikke overholder sine forpligtelser i henhold til denne standardkontrakt, midlertidigt suspendere overførslen af personoplysninger til dataimportøren, indtil overtrædelsen bringes til ophør eller kontrakten ophører.

b)

Hvis:

har dataeksportøren – uden at dette berører dataeksportørens andre rettigheder over for dataimportøren – ret til at bringe denne standardkontrakt til ophør, idet myndigheden i så fald skal underrettes på behørig vis. Dataimportøren kan i de i punkt i), ii) eller iv) beskrevne situationer ligeledes bringe denne standardkontrakt til ophør.

c)

Hver part kan bringe denne standardkontrakt til ophør, hvis i) der i en beslutning fra Kommissionen konstateres et tilstrækkeligt databeskyttelsesniveau i henhold til artikel 25, stk. 6, i direktiv 95/46/EF (eller enhver retsakt, der træder i stedet herfor) for det land (eller den sektor), hvortil oplysningerne overføres og behandles af dataimportøren, eller ii) direktiv 95/46/EF (eller enhver retsakt, der træder i stedet herfor) finder direkte anvendelse i dette land.

d)

Parterne er enige om, at de ved denne standardkontrakts ophør på ethvert tidspunkt, under enhver omstændighed og af enhver årsag (undtagen ophør i medfør af bestemmelse VI, litra c)), ikke fritages fra denne standardkontrakts forpligtelser og/eller betingelser med hensyn til behandlingen af de overførte oplysninger.

1.

Formålsafgrænsning: Personoplysninger må kun behandles og efterfølgende anvendes eller videregives til de specifikke formål, der er beskrevet i bilag B, eller som efterfølgende godkendes af den registrerede.

2.

Datakvalitet og dataproportionalitet: Personoplysninger skal være nøjagtige og i givet fald ajourførte. Personoplysninger skal være fyldestgørende, relevante og ikke omfatte mere, end hvad formålet, hvortil de overføres og efterfølgende behandles, tilsiger.

3.

Gennemsigtighed: Registrerede skal have de oplysninger, der er nødvendige for at sikre en rimelig behandling (f.eks. om formålet med behandlingen og om overførslen), medmindre sådanne oplysninger allerede er givet af dataeksportøren.

4.

Sikkerhed og fortrolighed: Den registeransvarlige skal træffe tekniske og organisatoriske sikkerhedsforanstaltninger, som svarer til de risici, behandlingen indebærer, f.eks. mod hændelig eller uretmæssig tilintetgørelse eller hændeligt tab, ændring, ubeføjet udbredelse eller ikke-autoriseret adgang. Personer, der handler under den registeransvarliges ansvar, herunder databehandlere, må kun behandle oplysninger, hvis dette sker efter instruks fra den registeransvarlige.

5.

Ret til indsigt, berigtigelse, sletning og indsigelse: Som fastsat i artikel 12 i direktiv 95/46/EF skal de registrerede enten direkte eller gennem tredjemand have adgang til deres egne personoplysninger, som et foretagende er i besiddelse af, medmindre der er tale om et klart misbrug af denne rettighed i form af alt for hyppige, talrige, gentagne eller systematiske forespørgsler, eller medmindre der i henhold til lovgivningen i dataeksportørens etableringsland ikke skal gives adgang til sådanne oplysninger. Hvis myndigheden på forhånd har givet tilladelse hertil, skal der heller ikke gives adgang, når dette kan være til alvorlig skade for dataimportøren eller et andet foretagende, der samarbejder med dataimportøren, og deres interesser ikke skal tilsidesættes til fordel for beskyttelsen af den registreredes grundlæggende rettigheder og frihedsrettigheder. Det er ikke nødvendigt at oplyse kilderne til de pågældende personoplysninger, når dette ikke med rimelighed lader sig gøre eller vil medføre en krænkelse af andre personers rettigheder. Registrerede skal kunne opnå, at deres personoplysninger berigtiges, ændres eller slettes, når de er ukorrekte eller behandles i strid med disse principper. Hvis der er tungtvejende grunde til at antage, at en anmodning ikke er retmæssig, kan det berørte foretagende kræve yderligere dokumentation, inden der foretages berigtigelse, ændring eller sletning. Det er ikke nødvendigt at underrette tredjemand, hvortil oplysningerne er blevet videregivet, om en eventuel berigtigelse, ændring eller sletning, når dette medfører en uforholdsmæssig stor byrde. De registrerede skal også, såfremt der foreligger vægtige legitime grunde, der vedrører deres særlige situation, have mulighed for at gøre indsigelse mod, at de oplysninger, som vedrører dem, gøres til genstand for behandling. Bevisbyrden for ethvert afslag påhviler dataimportøren, og den registrerede kan til enhver tid anfægte et afslag over for myndigheden.

6.

Følsomme oplysninger: Dataimportøren skal træffe de supplerende foranstaltninger (f.eks. vedrørende sikkerhed), som er nødvendige for at beskytte sådanne følsomme oplysninger i overensstemmelse med sine forpligtelser under bestemmelse II.

7.

Oplysninger, der anvendes til direkte markedsføring: Når oplysninger behandles med henblik på direkte markedsføring, skal der forefindes effektive procedurer, der giver den registrerede mulighed for når som helst at fravælge (opt-out) behandlingen af sine oplysninger til dette formål.

8.

Edb-baserede afgørelser: I denne forbindelse forstås der ved »edb-baseret afgørelse« en afgørelse, truffet af dataeksportøren eller dataimportøren, der har retsvirkninger for den registrerede, eller som berører den registrerede i væsentlig grad, og som alene er truffet på grundlag af en edb-behandling af personoplysninger, der er bestemt til at vurdere bestemte personlige forhold vedrørende den registrerede, såsom erhvervsevne, kreditværdighed, pålidelighed, adfærd osv. Dataimportøren træffer udelukkende edb-baserede afgørelser vedrørende registrerede, når:

eller