Help Print this page 

Document 32010D0087

Title and reference
2010/87/: Kommissionens afgørelse af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (meddelt under nummer K(2010) 593) (EØS-relevant tekst)
  • In force
OJ L 39, 12.2.2010, p. 5–18 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 13 Volume 052 P. 250 - 263

ELI: http://data.europa.eu/eli/dec/2010/87/oj
Multilingual display
Text

12.2.2010   

DA

Den Europæiske Unions Tidende

L 39/5


KOMMISSIONENS AFGØRELSE

af 5. februar 2010

om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF

(meddelt under nummer K(2010) 593)

(EØS-relevant tekst)

(2010/87/EU)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (1), særlig artikel 26, stk. 4, og

efter høring af Den Europæiske Tilsynsførende for Databeskyttelse, og

ud fra følgende betragtninger:

(1)

I henhold til direktiv 95/46/EF skal medlemsstaterne sørge for, at personoplysninger kun kan videregives til et tredjeland, hvis det pågældende tredjeland sikrer et tilstrækkeligt databeskyttelsesniveau, og hvis medlemsstaternes lovgivning, der er i overensstemmelse med direktivets øvrige bestemmelser, overholdes inden videregivelsen.

(2)

Medlemsstaterne kan dog i henhold til artikel 26, stk. 2, i direktiv 95/46/EF og med forbehold af visse garantier give tilladelse til videregivelse eller en type videregivelse af personoplysninger til tredjelande, der ikke sikrer et tilstrækkeligt beskyttelsesniveau. Sådanne garantier kan især fremgå af passende kontraktbestemmelser.

(3)

Databeskyttelsesniveauet bør i henhold til direktiv 95/46/EF vurderes på grundlag af samtlige de forhold, der har indflydelse på videregivelse eller en type videregivelse af oplysninger. Den ved direktivet nedsatte arbejdsgruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger har udarbejdet retningslinjer for, hvorledes denne vurdering skal foretages.

(4)

Standardkontraktbestemmelser bør kun vedrøre databeskyttelse. Dataeksportøren og dataimportøren kan derfor frit indføje enhver anden kommerciel bestemmelse, som de anser for at være af betydning for kontrakten, så længe den pågældende bestemmelse ikke er i strid med standardkontraktbestemmelserne.

(5)

Denne afgørelse bør ikke berøre nationale tilladelser, som medlemsstaterne måtte give i henhold til nationale bestemmelser om gennemførelse af artikel 26, stk. 2, i direktiv 95/46/EF. Den bør kun have den virkning, at medlemsstaterne ikke må nægte at anerkende, at de i afgørelsen fastsatte standardkontraktbestemmelser giver tilstrækkelige garantier, og den bør derfor ikke have nogen indvirkning på andre kontraktbestemmelser.

(6)

Kommissionens beslutning 2002/16/EF af 27. december 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til registerførere etableret i tredjelande i henhold til direktiv 95/46/EF (2) blev vedtaget for at lette videregivelsen af personoplysninger fra en registeransvarlig, der er etableret i Den Europæiske Union, til en registerfører, der er etableret i et tredjeland, som ikke frembyder et tilstrækkeligt databeskyttelsesniveau.

(7)

Der er opnået mange erfaringer siden vedtagelsen af beslutning 2002/16/EF. Desuden viser rapporten om gennemførelsen af beslutningerne om standardkontraktbestemmelser for videregivelse af personoplysninger til tredjelande (3), at der er voksende interesse for at fremme brugen af standardkontraktbestemmelser for international videregivelse af personoplysninger til tredjelande, som ikke frembyder et tilstrækkeligt databeskyttelsesniveau. Endvidere har interesserede parter fremsat forslag til ajourføring af standardkontraktbestemmelserne i beslutning 2002/16/EF for at tage hensyn til databehandlingens hastige udbredelse på verdensplan og at behandle en række spørgsmål, der ikke var omfattet af beslutningen (4).

(8)

Denne afgørelses anvendelsesområde bør begrænses til at fastslå, at de bestemmelser, den indeholder, kan anvendes af en registeransvarlig, der er etableret i Den Europæiske Union, med henblik på at yde tilstrækkelige garantier i overensstemmelse med artikel 26, stk. 2, i direktiv 95/46/EF for videregivelse af personoplysninger til en registerfører etableret i et tredjeland.

(9)

Denne afgørelse bør ikke finde anvendelse på videregivelse af personoplysninger fra registeransvarlige etableret i Den Europæiske Union til registeransvarlige etableret uden for Den Europæiske Unions område, når disse oplysninger falder ind under anvendelsesområdet for Kommissionens beslutning 2001/497/EF af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF (5).

(10)

Denne afgørelse bør opfylde den i artikel 17, stk. 3, i direktiv 95/46/EF omhandlede forpligtelse og bør ikke berøre indholdet i de kontrakter eller retligt bindende dokumenter, der er udarbejdet i henhold til denne bestemmelse. Nogle af standardkontraktbestemmelserne, særlig med hensyn til dataeksportørens pligter, bør imidlertid medtages for at skabe større klarhed over, hvilke bestemmelser der kan være omfattet af en kontrakt mellem en registeransvarlig og en registerfører.

(11)

Medlemsstaternes tilsynsmyndigheder spiller en central rolle i denne kontraktordning ved at sikre, at personoplysninger beskyttes tilstrækkeligt efter videregivelsen. I særlige tilfælde, hvor dataeksportøren nægter eller ikke er i stand til at instruere dataimportøren behørigt, med overhængende risiko for alvorlig skade for de registrerede til følge, bør standardkontraktbestemmelserne give tilsynsmyndighederne adgang til at foretage inspektion hos dataimportørerne og de underkontraherede registerførere og i givet fald at træffe beslutninger, som er bindende for dataimportørerne og de underkontraherede registerførere. Tilsynsmyndighederne bør have beføjelse til at forbyde eller suspendere videregivelse eller en type videregivelse af personoplysninger på grundlag af standardkontraktbestemmelserne i de særlige tilfælde, hvor det konstateres, at videregivelse på grundlag af kontraktbestemmelserne kan forventes at få en betydelig negativ virkning på de garantier og forpligtelser, hvormed den registrerede sikres en passende beskyttelse.

(12)

Standardkontraktbestemmelser bør fastsætte de tekniske og organisatoriske sikkerhedsforanstaltninger, som registerførere etableret i et tredjeland, der ikke frembyder et tilstrækkeligt beskyttelsesniveau, skal iværksætte for at garantere et passende sikkerhedsniveau i forhold til de risici, behandlingen og arten af de oplysninger, der skal beskyttes, indebærer. Parterne bør i kontrakten fastsætte de tekniske og organisatoriske foranstaltninger, som under hensyn til den gældende databeskyttelseslovgivning, det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, er nødvendige for at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang eller enhver anden form for ulovlig behandling.

(13)

For at fremme datastrømmen fra Den Europæiske Union bør registerførere, som leverer databehandlingstjenester til flere registeransvarlige i Den Europæiske Union, have tilladelse til at anvende de samme tekniske og organisatoriske sikkerhedsforanstaltninger, uanset hvilken medlemsstat dataoverførslen stammer fra, især i de tilfælde, hvor dataimportøren modtager data til yderligere behandling fra dataeksportørens forskellige foretagender i Den Europæiske Union, idet lovgivningen i den medlemsstat, som er hjemstaten, i så fald bør finde anvendelse.

(14)

Det er hensigtsmæssigt at fastlægge de minimumoplysninger, som parterne skal specificere i kontrakten om videregivelse af personoplysninger. Medlemsstaterne bør bevare retten til nærmere at specificere, hvilke oplysninger parterne skal give. Denne afgørelse bør revideres på grundlag af de erfaringer, der gøres med den.

(15)

Dataimportøren bør udelukkende behandle de videregivne personoplysninger på dataeksportørens vegne og i overensstemmelse med dennes instrukser og de forpligtelser, der fremgår af standardkontraktbestemmelserne. Dataimportøren bør især ikke videregive personoplysninger til tredjemand uden dataeksportørens forudgående skriftlige samtykke. Dataeksportøren bør under hele databehandlingsforløbet instruere dataimportøren om at behandle oplysningerne i overensstemmelse med hans instrukser, den gældende databeskyttelseslovgivning og de forpligtelser, der fremgår af standardkontraktbestemmelserne.

(16)

Rapporten om gennemførelsen af beslutningerne om standardkontraktbestemmelser for videregivelse af personoplysninger til tredjelande anbefaler, at der fastsættes standardkontraktbestemmelser om senere videregivelse af oplysninger fra en registerfører, der er etableret i et tredjeland, til en anden registerfører (udlicitering) for at tage hensyn til, at erhvervslivets tendens i praksis går i retning af en mere og mere globaliseret databehandling.

(17)

Denne afgørelse bør indeholde særlige standardkontraktbestemmelser om det forhold, at en registerfører, der er etableret i et tredjeland (dataimportøren), udliciterer sin databehandling til andre registerførere (underkontraherede registerførere), der er etableret i tredjelande. Den bør desuden indeholde de betingelser, som udliciteringen skal opfylde for at sikre, at de videregivne personoplysninger fortsat beskyttes uanset den efterfølgende videregivelse til en underkontraheret registerfører.

(18)

Endvidere bør udliciteringen kun bestå af de transaktioner, der er aftalt i den kontrakt, som dataeksportøren og dataimportøren har indgået, og som indeholder de standardkontraktbestemmelser, der er omhandlet i denne afgørelse, og den bør ikke omfatte anden behandling eller andre formål, så det formålsbegrænsningsprincip, der er fastsat i direktiv 95/46/EF, overholdes. Hvis den underkontraherede registerfører ikke opfylder sine databehandlingsforpligtelser i henhold til kontrakten, bør dataimportøren desuden fortsat være ansvarlig over for dataeksportøren. Videregivelsen af personoplysninger til registerførere etableret uden for Den Europæiske Unions område bør ikke påvirke det forhold, at databehandling bør være underlagt den gældende databeskyttelseslovgivning.

(19)

Standardkontraktbestemmelser bør ikke alene kunne håndhæves af de kontraherende parter, men også af de registrerede, og det gælder især, når de registrerede lider skade som følge af kontraktbrud.

(20)

Den registrerede bør have ret til at anlægge sag mod og i givet fald modtage erstatning fra dataeksportøren, der er registeransvarlig for de videregivne personoplysninger. Undtagelsesvis bør den registrerede også have ret til at anlægge sag mod og i givet fald modtage erstatning fra dataimportøren i tilfælde, hvor dataimportøren eller en af dennes underkontraherede registerførere overtræder sine forpligtelser i henhold til standardbestemmelse 3, stk. 2, og dataeksportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent. Undtagelsesvis bør den registrerede også have ret til at anlægge sag mod og i givet fald modtage erstatning fra en underkontraheret registerfører, hvis både dataeksportøren og dataimportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente. Den underkontraherede registerførers erstatningsansvar bør begrænses til hans egen databehandling i henhold til kontraktbestemmelserne.

(21)

Såfremt der opstår en tvist mellem den registrerede, som påberåber sig tredjemandsløftet, og dataimportøren, og denne tvist ikke afgøres i mindelighed, bør dataimportøren tilbyde den registrerede valget mellem mægling eller domstolsprøvelse. Om den registrerede har en egentlig valgmulighed, vil afhænge af, hvorvidt der er pålidelige og anerkendte mæglingsinstanser og voldgiftsretter til rådighed. Mægling foretaget af databeskyttelsesmyndighederne i den medlemsstat, hvor dataeksportøren er etableret, bør være en valgmulighed, når den tilbydes.

(22)

Kontrakten bør være underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret, hvilket giver en begunstiget tredjemand mulighed for at håndhæve en kontrakt. De registrerede bør, såfremt de ønsker det, og det er tilladt i henhold til national ret, kunne lade sig repræsentere af foreninger eller andre organer. Samme lovgivning bør også gælde for bestemmelser om databeskyttelse i kontrakter med en underkontraheret registerfører om udlicitering af behandlingen af personoplysninger, som dataeksportøren har videregivet til dataimportøren i henhold til kontraktbestemmelserne.

(23)

Da denne afgørelse kun gælder for den situation, hvor en registerfører etableret i et tredjeland udliciterer sin databehandling til en underkontraheret registerfører etableret i et tredjeland, bør den ikke finde anvendelse på den situation, hvor en registerfører, der er etableret i Den Europæiske Union og behandler personoplysninger på vegne af en registeransvarlig, der er etableret i Den Europæiske Union, udliciterer sin behandling til en underkontraheret registerfører, der er etableret i et tredjeland. I sådanne situationer kan medlemsstaterne frit vælge, om de vil tage hensyn til, at principperne og garantierne i standardkontraktbestemmelserne i denne afgørelse er blevet anvendt til udlicitering af behandlingen til en underkontraheret registerfører, der er etableret i et tredjeland, med det formål at yde tilstrækkelig beskyttelse af de rettigheder, der tilkommer registrerede, hvis personoplysninger videregives til behandling hos en underkontraheret registerfører.

(24)

Den udtalelse, som gruppen vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, der er nedsat ved artikel 29 i direktiv 95/46/EF, har afgivet om det beskyttelsesniveau, som opnås ved hjælp af standardkontraktbestemmelserne i bilaget til denne afgørelse, er taget i betragtning ved udarbejdelsen af denne afgørelse.

(25)

Beslutning 2002/16/EF bør ophæves.

(26)

Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelsen fra det udvalg, der er nedsat ved artikel 31 i direktiv 95/46/EF —

VEDTAGET DENNE AFGØRELSE:

Artikel 1

De i bilaget fastsatte standardkontraktbestemmelser anses for at yde tilstrækkelige garantier for beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder, som fastsat i artikel 26, stk. 2, i direktiv 95/46/EF.

Artikel 2

Denne afgørelse vedrører kun tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af de i bilaget fastsatte standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere. Den har ingen indvirkning på anvendelsen af andre nationale retsforskrifter om gennemførelse af direktiv 95/46/EF, som vedrører behandling af personoplysninger i medlemsstaterne.

Denne afgørelse finder anvendelse på videregivelse af personoplysninger fra registeransvarlige, der er etableret i Den Europæiske Union, til modtagere, som er etableret uden for Den Europæiske Unions område, og som blot behandler disse oplysninger.

Artikel 3

I denne afgørelse forstås ved:

a)   »særlige kategorier af oplysninger«: de oplysninger, der er omhandlet i artikel 8 i direktiv 95/46/EF

b)   »tilsynsmyndighed«: den myndighed, der er omhandlet i artikel 28 i direktiv 95/46/EF

c)   »dataeksportør«: den registeransvarlige, der videregiver personoplysningerne

d)   »dataimportør«: den registerfører etableret i et tredjeland, som indvilliger i at modtage personoplysninger fra dataeksportøren med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser og denne afgørelse, og som ikke er underlagt et tredjelands system, der sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 1, i direktiv 95/46/EF

e)   »underkontraheret registerfører«: enhver registerfører, der efter aftale med dataimportøren eller af en af dataimportørens øvrige underkontraherede registerførere indvilliger i fra dataimportøren eller en af dataimportørens øvrige underkontraherede registerførere at modtage personoplysninger udelukkende med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser, de standardkontraktbestemmelser, der er anført i bilaget, og betingelserne i den skriftlige udliciteringskontrakt

f)   »den gældende databeskyttelseslovgivning«: den lovgivning, der beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, især deres ret til beskyttelse af privatlivets fred, med hensyn til behandling af personoplysninger, og som gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret

g)   »tekniske og organisatoriske sikkerhedsforanstaltninger«: de foranstaltninger, der har til formål at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især hvor behandlingen omfatter videregivelse af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

Artikel 4

1.   De kompetente myndigheder i medlemsstaterne kan, uden at det berører deres beføjelse til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der vedtages i henhold til kapitel II, III, V og VI i direktiv 95/46/EF, gøre brug af deres beføjelser til at forbyde eller suspendere datastrømmen til tredjelande for at beskytte fysiske personer med hensyn til behandling af deres personoplysninger:

a)

når det er fastslået, at den lovgivning, som dataimportøren eller en underkontraheret registerfører er underlagt, pålægger den pågældende krav om at fravige den gældende databeskyttelseslovgivning i en grad, som er mere vidtgående end de restriktioner, der er nødvendige i et demokratisk samfund, som fastsat i artikel 13 i direktiv 95/46/EF, når disse krav kan formodes at have en betydelig negativ virkning på den sikkerhed, der opnås ved hjælp af den gældende databeskyttelseslovgivning og standardkontraktbestemmelserne, eller

b)

når en kompetent myndighed har fastslået, at dataimportøren eller en underkontraheret registerfører ikke har overholdt standardkontraktbestemmelserne i bilaget, eller

c)

når der er stor sandsynlighed for, at standardkontraktbestemmelserne i bilaget ikke overholdes eller ikke vil blive overholdt, og at en fortsat videregivelse af oplysninger vil kunne skabe en overhængende risiko for alvorlig skade for de registrerede.

2.   Forbud eller suspension i henhold til stk. 1 ophæves straks, når grundene til forbuddet eller suspensionen ikke længere eksisterer.

3.   Når medlemsstaterne vedtager foranstaltninger i overensstemmelse med stk. 1 og 2, underretter de straks Kommissionen, som igen underretter de øvrige medlemsstater.

Artikel 5

Kommissionen evaluerer anvendelsen af denne afgørelse på grundlag af alle tilgængelige oplysninger tre år efter, at afgørelsen er vedtaget. Den aflægger rapport om resultaterne til det udvalg, der er nedsat ved artikel 31 i direktiv 95/46/EF. Rapporten skal omfatte ethvert forhold, der kan påvirke vurderingen af, om standardkontraktbestemmelserne i bilaget er tilstrækkelige, samt ethvert forhold, hvoraf det fremgår, at denne afgørelse anvendes på en diskriminerende måde.

Artikel 6

Denne afgørelse træder i kraft den 15. maj 2010.

Artikel 7

1.   Beslutning 2002/16/EF ophæves med virkning fra den 15. maj 2010.

2.   Kontrakter, der indgås af en dataeksportør og en dataimportør i henhold til beslutning 2002/16/EF inden den 15. maj 2010, har fuld gyldighed, så længe den videregivelse af oplysninger og den databehandling, kontrakten vedrører, forbliver uændret, og personoplysninger, der er omfattet af denne afgørelse, fortsat videregives mellem parterne. Når de kontraherende parter beslutter at foretage ændringer i denne forbindelse eller udliciterer den databehandling, som kontrakten vedrører, skal de indgå en ny kontrakt, som skal være i overensstemmelse med de standardkontraktbestemmelser, der er fastsat i bilaget.

Artikel 8

Denne afgørelse er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den 5. februar 2010.

På Kommissionens vegne

Jacques BARROT

Næstformand


(1)  EFT L 281 af 23.11.1995, s. 31.

(2)  EFT L 6 af 10.1.2002, s. 52.

(3)  SEC(2006) 95 af 20.1.2006.

(4)  Det Internationale Handelskammer (ICC), Japan Business Council in Europe (JBCE), EU Committee of the American Chamber of Commerce i Belgien (Amcham), og Federation of European Direct Marketing Associations (FEDMA).

(5)  EFT L 181 af 4.7.2001, s. 19.


BILAG

STANDARDKONTRAKTBESTEMMELSER (»REGISTERFØRERE«)

I henhold til artikel 26, stk. 2, i direktiv 95/46/EF med hensyn til videregivelse af personoplysninger til registerførere etableret i tredjelande, der ikke sikrer et tilstrækkeligt databeskyttelsesniveau.

Det dataeksporterende foretagendes navn: …

Adresse: …

Tlf. …; fax …; e-mail: …

Andre oplysninger til identifikation af foretagendet:

(dataeksportøren)

og

Det dataimporterende foretagendes navn: …

Adresse: …

Tlf. …; fax …; e-mail: …

Andre oplysninger til identifikation af foretagendet:

(dataimportøren)

hver især en »part«; tilsammen »parterne«

HAR AFTALT følgende standardkontraktbestemmelser (i det følgende benævnt »standardbestemmelserne«) med henblik på at tilvejebringe passende garantier med hensyn til beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med dataeksportørens videregivelse af de i tillæg 1 anførte personoplysninger til dataimportøren.

Standardbestemmelse 1

Definitioner

Følgende definitioner gælder for standardbestemmelserne:

a)

»Personoplysninger«, »særlige kategorier af oplysninger«, »behandle/behandling«, »registeransvarlig«, »registerfører«, »den registrerede« og »tilsynsmyndighed« har samme betydning som i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (1)

b)

»dataeksportør« betyder den registeransvarlige, der videregiver personoplysningerne

c)

»dataimportør« betyder den registerfører, som indvilliger i at modtage personoplysninger fra dataeksportøren med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser og standardbestemmelserne, og som ikke er underlagt et tredjelands system, der sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 1, i direktiv 95/46/EF

d)

»underkontraheret registerfører« betyder enhver registerfører, der efter aftale med dataimportøren eller af en af dataimportørens øvrige underkontraherede registerførere indvilliger i fra dataimportøren eller en af dataimportørens øvrige underkontraherede registerførere at modtage personoplysninger udelukkende med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser, standardbestemmelserne og den skriftlige udliciteringskontrakt

e)

»den gældende databeskyttelseslovgivning« betyder den lovgivning, der beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, især deres ret til beskyttelse af privatlivets fred, med hensyn til behandling af personoplysninger, og som gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret

f)

»tekniske og organisatoriske sikkerhedsforanstaltninger« betyder de foranstaltninger, der har til formål at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især hvor behandlingen omfatter videregivelse af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

Standardbestemmelse 2

Nærmere oplysninger om videregivelsen

De nærmere oplysninger om videregivelsen og især de særlige kategorier af personoplysninger, hvor dette er relevant, er nærmere angivet i tillæg 1, der er en integrerende del af standardbestemmelserne.

Standardbestemmelse 3

Tredjemandsløfte

1.

Den registrerede kan som begunstiget tredjemand håndhæve denne standardbestemmelse, standardbestemmelse 4, litra b)-i), standardbestemmelse 5, litra a)-e) og g)-j), standardbestemmelse 6, stk. 1 og 2, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataeksportøren.

2.

Den registrerede kan håndhæve denne standardbestemmelse, standardbestemmelse 5, litra a)-e) og g), standardbestemmelse 6, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataimportøren i tilfælde, hvor dataeksportøren faktisk eller retligt set er ophørt med at eksistere, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning og som følge heraf overtager dataeksportørens rettigheder og forpligtelser, idet den registrerede i så fald kan håndhæve dem over for en sådan retssuccessor.

3.

Den registrerede kan håndhæve denne standardbestemmelse, standardbestemmelse 5, litra a)-e) og g), standardbestemmelse 6, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for den underkontraherede registerfører i tilfælde, hvor både dataeksportøren og dataimportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning og som følge heraf overtager dataeksportørens rettigheder og forpligtelser, idet den registrerede i så fald kan håndhæve dem over for en sådan retssuccessor. Den underkontraherede registerførers erstatningsansvar er begrænset til hans egen behandling i henhold til standardbestemmelserne.

4.

Parterne gør ingen indsigelse mod, at de registrerede, såfremt de udtrykkeligt ytrer ønske herom, og det er tilladt i henhold til national ret, lader sig repræsentere af en forening eller andre organer.

Standardbestemmelse 4

Dataeksportørens pligter

Dataeksportøren accepterer og garanterer:

a)

at hans behandling af personoplysningerne, herunder selve videregivelsen, har været, og fortsat vil være i overensstemmelse med de relevante bestemmelser i den gældende databeskyttelseslovgivning (og i givet fald er blevet anmeldt til de kompetente myndigheder i den medlemsstat, hvor dataeksportøren er etableret), og at behandlingen ikke er i strid med denne stats relevante bestemmelser

b)

at han har instrueret og under behandlingen af personoplysninger vil instruere dataimportøren om kun at behandle de videregivne personoplysninger på dataeksportørens vegne og i overensstemmelse med den gældende databeskyttelseslovgivning og standardbestemmelserne

c)

at dataimportøren vil stille tilstrækkelige garantier med hensyn til de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nærmere angivet i tillæg 2 til denne kontrakt

d)

at sikkerhedsforanstaltningerne, efter at være blevet vurderet i forhold til kravene i den gældende databeskyttelseslovgivning, er tilstrækkelige til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især når behandlingen omfatter dataoverførsel i et net, samt mod enhver anden form for ulovlig behandling, og at disse foranstaltninger giver et passende databeskyttelsesniveau i forhold til de risici, der er forbundet med behandlingen og arten af de oplysninger, der skal beskyttes, under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse

e)

at han vil sikre, at disse sikkerhedsforanstaltninger overholdes

f)

at de registrerede i tilfælde af, at videregivelsen omfatter særlige kategorier af oplysninger, er blevet informeret eller inden eller snarest muligt efter videregivelsen vil blive informeret om, at deres oplysninger kan blive videregivet til et tredjeland, der ikke sikrer et tilstrækkeligt databeskyttelsesniveau som omhandlet i direktiv 95/46/EF

g)

at han vil sende meddelelser, som han modtager fra dataimportøren eller en eventuel underkontraheret registerfører i henhold til standardbestemmelse 5, litra b) og 8, stk. 3, videre til databeskyttelsesmyndigheden, hvis han beslutter at fortsætte videregivelsen eller at ophæve suspensionen

h)

at han efter anmodning vil stille følgende til rådighed for de registrerede: et eksemplar af standardbestemmelserne, bortset fra tillæg 2, og en kortfattet beskrivelse af sikkerhedsforanstaltningerne samt et eksemplar af enhver kontrakt om udlicitering, der skal ske i henhold til standardbestemmelserne, medmindre standardbestemmelserne eller kontrakten indeholder kommercielle oplysninger, som han i så fald kan udelade

i)

at behandlingen i tilfælde af udlicitering gennemføres i henhold til standardbestemmelse 11 af en underkontraheret registerfører, der frembyder mindst samme beskyttelsesniveau for den registreredes personoplysninger og rettigheder som dataimportøren i henhold til standardbestemmelserne, og

j)

at han vil sikre, at standardbestemmelse 4, litra a)-i), overholdes.

Standardbestemmelse 5

Dataimportørens pligter  (2)

Dataimportøren accepterer og garanterer:

a)

at han udelukkende vil behandle personoplysningerne på dataeksportørens vegne og i overensstemmelse med dennes instrukser og standardbestemmelserne; såfremt han af en hvilken som helst grund ikke er i stand til at sikre en sådan overensstemmelse, indvilliger han i straks at underrette dataeksportøren herom, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten

b)

at han ikke har grund til at tro, at han ifølge den lovgivning, han er underlagt, er forhindret i at følge de instrukser, han har modtaget fra dataeksportøren, og overholde sine forpligtelser i henhold til kontrakten, og at han, såfremt denne lovgivning ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der opnås ved hjælp af standardbestemmelserne, straks vil give dataeksportøren meddelelse om ændringen, så snart han får kendskab hertil, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten

c)

at han, inden han behandler de videregivne personoplysninger, har iværksat de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nærmere angivet i tillæg 2

d)

at han straks vil give dataeksportøren meddelelse om:

i)

retshåndhævende myndigheders retligt bindende anmodninger om videregivelse af personoplysninger, medmindre dette på anden måde er forbudt, som for eksempel ved et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager

ii)

enhver utilsigtet eller uautoriseret adgang og

iii)

anmodninger, der modtages direkte fra de registrerede, og som han ikke har besvaret, medmindre han på anden måde er bemyndiget dertil

e)

at han straks og behørigt vil behandle alle dataeksportørens forespørgsler vedrørende sin behandling af de videregivne personoplysninger og følge tilsynsmyndighedens anbefalinger med hensyn til behandling af de videregivne oplysninger

f)

at han på dataeksportørens anmodning vil lade sine databehandlingsfaciliteter underkaste inspektion, som omfatter den i standardbestemmelserne omhandlede databehandling, og som foretages af dataeksportøren eller et inspektionsorgan bestående af uafhængige medlemmer med tavshedspligt, der er i besiddelse af de nødvendige faglige kvalifikationer, og som udpeges af dataeksportøren, i givet fald efter aftale med tilsynsmyndigheden

g)

at han efter anmodning vil stille et eksemplar af standardbestemmelserne eller eksisterende udliciteringskontrakter til rådighed for den registrerede, medmindre standardbestemmelserne eller kontrakten indeholder kommercielle oplysninger, som han i så fald kan udelade, bortset fra tillæg 2, der erstattes af en kortfattet beskrivelse af sikkerhedsforanstaltningerne i de tilfælde, hvor den registrerede ikke kan få udleveret et eksemplar fra dataeksportøren

h)

at han i tilfælde af udlicitering på forhånd har underrettet dataeksportøren og indhentet hans skriftlige samtykke dertil

i)

at den underkontraherede registerførers behandling vil ske i henhold til standardbestemmelse 11

j)

at han straks vil sende dataeksportøren et eksemplar af de udliciteringsaftaler, som han indgår i henhold til standardbestemmelserne.

Standardbestemmelse 6

Erstatningsansvar

1.

Parterne er enige om, at registrerede, der har lidt skade som følge af en parts eller en underkontraheret registerførers overtrædelse af de forpligtelser, der er omhandlet i standardbestemmelse 3 eller 11, har ret til erstatning fra dataeksportøren for den lidte skade.

2.

Hvis en registreret i tilfælde, hvor dataimportøren eller hans underkontraherede registerfører overtræder sine forpligtelser i henhold til standardbestemmelse 3 eller 11, ikke er i stand til at fremsætte erstatningskrav mod dataeksportøren i henhold til stk. 1, fordi dataeksportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent, accepterer dataimportøren, at den registrerede kan fremsætte krav mod dataimportøren, som om han var dataeksportøren, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens forpligtelser i henhold til kontrakt eller i henhold til lovgivning, idet den registrerede i så fald kan påberåbe sig sine rettigheder over for en sådan retssuccessor.

Dataimportøren kan ikke unddrage sig sit ansvar ved at påberåbe sig en underkontraheret registerførers misligholdelse af sine forpligtelser.

3.

Hvis en registreret i tilfælde, hvor den underkontraherede registerfører overtræder sine forpligtelser i henhold til standardbestemmelse 3 eller 11, ikke er i stand til at fremsætte erstatningskrav mod dataeksportøren eller dataimportøren i henhold til stk. 1 og 2, fordi både dataeksportøren og dataimportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, accepterer den underkontraherede registerfører, at den registrerede kan fremsætte krav mod den underkontraherede registerfører med hensyn til dennes egen behandling i henhold til standardbestemmelserne, som om han var dataeksportøren eller dataimportøren, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens eller dataimportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning, idet den registrerede i så fald kan påberåbe sig sine rettigheder over for en sådan retssuccessor. Den underkontraherede registerførers erstatningsansvar begrænses til hans egen databehandling i henhold til standardbestemmelserne.

Standardbestemmelse 7

Mægling og værneting

1.

Hvis den registrerede gør tredjemandsløftet gældende over for dataimportøren og/eller kræver skadeserstatning i henhold til standardbestemmelserne, vil dataimportøren acceptere den registreredes beslutning om:

a)

at henvise sagen til mægling foretaget af en uvildig person eller i givet fald af tilsynsmyndigheden

b)

at henvise sagen til domstolene i den medlemsstat, hvor dataeksportøren er etableret.

2.

Parterne er enige om, at den registreredes valg ikke har nogen indvirkning på den registreredes materielle eller processuelle rettigheder til at søge forholdet afhjulpet i overensstemmelse med andre bestemmelser i national eller international ret.

Standardbestemmelse 8

Samarbejdet med tilsynsmyndighederne

1.

Dataeksportøren accepterer at deponere et eksemplar af denne kontrakt hos tilsynsmyndigheden, hvis denne måtte anmode herom, eller hvis det kræves i henhold til den gældende databeskyttelseslovgivning.

2.

Parterne accepterer, at tilsynsmyndigheden har ret til at foretage en inspektion af dataimportøren og en eventuel underkontraheret registerfører med samme formål og på de samme betingelser som en inspektion af dataeksportøren i henhold til den gældende databeskyttelseslovgivning.

3.

Dataimportøren underretter straks dataeksportøren om, at han eller en eventuel underkontraheret registerfører er underlagt en lovgivning, der forhindrer en inspektion af ham eller en eventuel underkontraheret registerfører i henhold til stk. 2. I så fald har dataeksportøren ret til at træffe de foranstaltninger, der er fastsat i standardbestemmelse 5, litra b).

Standardbestemmelse 9

Lovvalg

Standardbestemmelserne er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret, nemlig …

Standardbestemmelse 10

Ændring af kontrakten

Parterne forpligter sig til ikke at ændre standardbestemmelserne. Dette forhindrer ikke parterne i at indføje bestemmelser om forretningsmæssige spørgsmål, hvis det er nødvendigt, så længe de ikke strider mod standardbestemmelsen.

Standardbestemmelse 11

Udlicitering

1.

Dataimportøren udliciterer ikke noget af den databehandling, han foretager på dataeksportørens vegne i henhold til standardbestemmelserne, uden dataeksportørens forudgående skriftlige samtykke. Når dataimportøren med dataeksportørens samtykke, udliciterer sine forpligtelser i henhold til standardbestemmelserne, sker dette udelukkende ved indgåelse af en skriftlig aftale med den underkontraherede registerfører, som herved pålægges de samme forpligtelser, som dem, der påhviler dataimportøren i henhold til standardbestemmelserne (3). Hvis den underkontraherede registerfører ikke opfylder sine databeskyttelsesforpligtelser i henhold til en sådan skriftlig aftale, er dataimportøren fuldt ansvarlig over for dataeksportøren for, at den underkontraherede registerførers forpligtelser i henhold til en sådan aftale opfyldes.

2.

Den forudgående skriftlige kontrakt mellem dataimportøren og den underkontraherede registerfører indeholder også et tredjemandsløfte som fastsat i standardbestemmelse 3 for tilfælde, hvor den registrerede ikke kan fremsætte erstatningskrav som anført i standardbestemmelse 6, stk. 1, mod dataeksportøren eller dataimportøren, fordi de faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, og ingen retssuccessor har påtaget sig alle dataeksportørens eller dataimportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning. Den underkontraherede registerførers erstatningsansvar begrænses til hans egen databehandling i henhold til standardbestemmelserne.

3.

Bestemmelserne om databeskyttelsesaspekter ved udlicitering i den kontrakt, der er omhandlet i stk. 1, er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret, nemlig …

4.

Dataeksportøren fører en liste over udliciteringsaftaler, der er indgået i henhold til standardbestemmelserne og meddelt af dataimportøren i henhold til standardbestemmelse 5, litra j), og listen ajourføres mindst en gang om året. Listen er tilgængelig for dataeksportørens datatilsynsmyndighed.

Standardbestemmelse 12

Forpligtelser efter afsluttet databehandling af personoplysninger

1.

Parterne er enige om, at dataimportøren og den underkontraherede registerfører, når databehandlingen af personoplysningerne er afsluttet, og afhængigt af dataeksportørens ønske, enten returnerer alle videregivne personoplysninger og eksemplarer heraf til dataeksportøren eller destruerer alle personoplysninger og attesterer dette over for dataeksportøren, medmindre den lovgivning, som dataimportøren er underlagt, forhindrer ham i at returnere eller destruere alle eller en del af de videregivne personoplysninger. Dataimportøren garanterer i så fald, at han vil sikre fortroligheden af de videregivne personoplysninger og ikke aktivt vil foretage yderligere behandling af disse.

2.

Dataimportøren og den underkontraherede registerfører garanterer, at de på dataeksportørens og/eller tilsynsmyndighedens anmodning vil lade deres databehandlingsfaciliteter underkaste en inspektion med henblik på kontrol af de foranstaltninger, der er omhandlet i stk. 1.

På dataeksportørens vegne:

Navn (fornavn og efternavn): …

Stilling: …

Adresse: …

(Eventuelle) andre oplysninger, som er nødvendige for at gøre kontrakten retligt bindende: …

Image

Underskrift …

På dataimportørens vegne:

Navn (fornavn og efternavn): …

Stilling: …

Adresse: …

(Eventuelle) andre oplysninger, som er nødvendige for at gøre kontrakten retligt bindende: …

Image

Underskrift …


(1)  Parterne kan i denne standardbestemmelse indføje de definitioner og betydninger, der er fastsat i direktiv 95/46/EF, hvis de anser det for mere hensigtsmæssigt, at kontrakten står alene.

(2)  Obligatoriske krav i den nationale lovgivning, der finder anvendelse på dataimportøren, og som ikke er mere vidtgående end dem, der er nødvendige i et demokratisk samfund på basis af en af de grunde, der er nævnt i artikel 13, stk. 1, i direktiv 95/46/EF, det vil sige, hvis de udgør en nødvendig restriktion af hensyn til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller brud på etiske regler for lovregulerede erhverv, en medlemsstats væsentlige økonomiske eller finansielle interesser eller beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder, er ikke i strid med standardbestemmelserne. Sådanne obligatoriske krav, der ikke er mere vidtgående end det, der er nødvendigt i et demokratisk samfund, er f.eks. internationalt anerkendte sanktioner, oplysningspligt i skattesager eller oplysningspligt til bekæmpelse af hvidvaskning af penge.

(3)  Kravet kan opfyldes ved, at den underkontraherede registerfører medundertegner den kontrakt, som dataeksportøren og dataimportøren indgår i henhold til denne afgørelse.

Tillæg 1

Til standardkontraktbestemmelserne

Dette tillæg udgør en integrerende del af standardbestemmelserne og skal udfyldes og underskrives af parterne

Medlemsstaterne kan i overensstemmelse med deres nationale procedurer tilføje eller nærmere angive yderligere nødvendige oplysninger, som skal fremgå af tillægget.)

Dataeksportør

Dataeksportøren er (giv en kort beskrivelse af de af Deres aktiviteter, der er relevante for videregivelsen af oplysninger):

Dataimportør

Dataimportøren er (giv en kort beskrivelse af de af Deres aktiviteter, der er relevante for videregivelsen af oplysninger):

Registrerede

De videregivne personoplysninger vedrører følgende kategorier af registrerede (angiv nærmere):

Kategorier af oplysninger

De videregivne personoplysninger omfatter følgende kategorier af oplysninger (angiv nærmere):

Særlige kategorier af oplysninger (hvis relevant)

De videregivne personoplysninger omfatter følgende særlige kategorier af oplysninger (angiv nærmere):

Behandling

De videregivne personoplysninger vil blive genstand for følgende grundlæggende behandling (angiv nærmere):

 

DATAEKSPORTØR

Navn: …

Den befuldmægtigedes underskrift …

 

DATAIMPORTØR

Navn: …

Den befuldmægtigedes underskrift …

Tillæg 2

til standardkontraktbestemmelserne

Dette tillæg udgør en integrerende del af standardbestemmelserne og skal udfyldes og underskrives af parterne

Beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der iværksættes af dataimportøren i henhold til standardbestemmelse 4, litra d), og standardbestemmelse 5, litra c) (eller vedlagt dokument/lovgivning):

VEJLEDENDE BESTEMMELSE OM SKADESERSTATNING (VALGFRI)

Erstatningsansvar

Hvis en af parterne gøres ansvarlig for den anden parts overtrædelse af standardbestemmelserne, er parterne enige om, at sidstnævnte part, i det omfang denne er ansvarlig, skal holde førstnævnte part skadesløs for alle omkostninger, gebyrer, erstatningsbeløb, udgifter eller tab, som denne har afholdt eller pådraget sig.

Skadeserstatningen er betinget af:

a)

at dataeksportøren straks giver dataimportøren meddelelse om kravet, og

b)

at dataimportøren får mulighed for at samarbejde med dataeksportøren ved forsvaret i sagen og afgørelsen af kravet (1).


(1)  Afsnittet om erstatningsansvar er valgfrit.


Top