Help Print this page 

Document 32004D0915

Title and reference
2004/915/EG: Kommissionens beslut av den 27 december 2004 om ändring av beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land (delgivet med nr K(2004) 5271)Text av betydelse för EES
  • In force
OJ L 385, 29.12.2004, p. 74–84 (ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, SK, SL, FI, SV)
OJ L 306M , 15.11.2008, p. 69–79 (MT)
Special edition in Bulgarian: Chapter 13 Volume 047 P. 72 - 82
Special edition in Romanian: Chapter 13 Volume 047 P. 72 - 82
Special edition in Croatian: Chapter 13 Volume 016 P. 210 - 220

ELI: http://data.europa.eu/eli/dec/2004/915/oj
Multilingual display
Text

29.12.2004   

SV

Europeiska unionens officiella tidning

L 385/74


KOMMISSIONENS BESLUT

av den 27 december 2004

om ändring av beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land

(delgivet med nr K(2004) 5271)

(Text av betydelse för EES)

(2004/915/EG)

EUROPEISKA GEMENSKAPERNAS KOMMISSION HAR FATTAT DETTA BESLUT

med beaktande av Fördraget om upprättandet av Europeiska gemenskapen,

med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1), särskilt artikel 26.4 i detta, och

av följande skäl:

(1)

För att underlätta dataflöden från gemenskapen är det önskvärt att de registeransvariga kan överföra uppgifter globalt enligt en enda uppsättning dataskyddsbestämmelser. I brist på globala dataskyddsbestämmelser ger standardavtalsklausulerna ett viktigt verktyg som möjliggör överföring av personuppgifter från alla medlemsstater enligt en gemensam uppsättning bestämmelser. I kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG (2) fastställs därför mallar till standardavtalsklausuler i vilka adekvata skyddsåtgärder för överföring av personuppgifter till tredje land säkerställs.

(2)

Många erfarenheter har gjorts sedan det beslutet antogs. Dessutom har en grupp handelssammanslutningar (3) lämnat in en uppsättning alternativa standardavtalsklausuler som är utformade för att ge en dataskyddsnivå som motsvarar den som föreskrivs i de standardavtalsklausuler som fastställs i beslut 2001/497/EG samtidigt som man använder olika verktyg.

(3)

Eftersom användningen av standardavtalsklausuler för internationella dataöverföringar är frivillig, då standardavtalsklausuler endast utgör en av flera möjligheter enligt direktiv 95/46/EG för att föra över personuppgifter till tredje land, bör datautförare inom gemenskapen och datainförare i tredje land fritt kunna välja en av dessa uppsättningar standardavtalsklausuler eller välja en annan rättslig grund för dataöverföring. Eftersom varje uppsättning utgör en mall, bör uppgiftsutförarna dock inte kunna ändra dessa uppsättningar eller delvis blanda dem på något sätt.

(4)

De standardavtalsklausuler som handelssammanslutningarna har lagt fram har till syfte att öka tillämpningen av avtalsklausuler bland operatörerna genom mer flexibla redovisningskrav, mer detaljerade bestämmelser om rätten till tillgång.

(5)

Som ett alternativ till systemet med solidariskt ansvar som föreskrivs i beslut 2001/497/EG, innehåller den uppsättning som nu har lagts fram dessutom ansvarsbestämmelser som grundas på skyldighet att handla i aktsamhet där uppgiftsutföraren och uppgiftsinföraren skall ansvara inför de registrerade för sina respektive överträdelser när det gäller deras skyldigheter enligt lag. Uppgiftsutföraren ansvarar även för det fall att han eller hon på rimligt sätt inte har ansträngt sig för att se till att uppgiftsinföraren kan fullgöra sina rättsliga skyldigheter enligt klausulerna (culpa in eligendo) och den registrerade kan väcka talan mot uppgiftsutföraren i detta avseende. Tillämpningen av klausul I punkt b i den nya uppsättningen av standardavtalsklausuler är av särskild betydelse i detta avseende, särskilt när det gäller möjligheten för uppgiftsutföraren att utföra revisioner i uppgiftsinförarnas lokaler eller begära in bevis för att dessa har tillräckliga ekonomiska resurser för att fullgöra sina skyldigheter.

(6)

När det gäller de registrerades hantering av tredjemansberättiganden, blir uppgiftsutföraren i större omfattning indragen i behandlingen av de registrerades klagomål genom att uppgiftsutföraren är skyldig att ta kontakt med uppgiftsinföraren och vid behov tillämpa avtalen normalt inom en frist på en månad. Om uppgiftsutföraren vägrar att tillämpa avtalet och uppgiftsinförarens överträdelse av standardavtalsklausulerna fortfarande består, kan den registrerade tillämpa standardavtalen mot uppgiftsinföraren och slutligen väcka åtal i en medlemsstat. Godkännande av domstol och samtycke till att följa ett beslut från behörig domstol eller från tillsynsmyndigheten hindrar inte de uppgiftsinförare som är etablerade i tredje land att utöva sina processrättsliga rättigheter, t.ex. rätten att överklaga.

(7)

För att förebygga att denna ökade flexibilitet missbrukas, är det dock lämpligt att se till att tillsynsmyndigheterna lättare kan förbjuda eller häva dataöverföringar som grundas på den nya uppsättningen standardavtalsklausuler i de fall där uppgiftsutföraren vägrar att vidta lämpliga åtgärder för att följa sina avtalsmässiga skyldigheter gentemot uppgiftsinförarna eller att de senare vägrar att samarbeta efter bästa förmåga med behöriga tillsynsmyndigheter för dataskydd.

(8)

Tillämpningen av standardavtalsklausuler kommer att ske utan att det påverkar tillämpningen av nationella bestämmelser som antagits till följd av direktiv 95/46/EG eller direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (4), särskilt när det gäller utsändande av marknadskommunikationer till EU-medborgare.

(9)

På den grunden kan de garantier som återfinns i de framlagda standardavtalsklausulerna anses vara adekvata enligt artikel 26.2 i direktiv 95/46/EG.

(10)

Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättats i enlighet med artikel 29 i direktiv 95/46/EG har avgett ett yttrande (5) om den skyddsnivå som fastställs enligt de framlagda standardavtalsklausuler som har beaktats.

(11)

För att bedöma hur ändringarna i beslut 2001/497/EG kommer att fungera, är det lämpligt att kommissionen utvärderar dem tre år efter att de har anmälts till medlemsstaterna.

(12)

Beslut 2001/497/EG bör därför ändras.

(13)

Åtgärderna i detta beslut överensstämmer med yttrandet från den kommitté som inrättas enligt artikel 31 i direktiv 95/46/EG.

HÄRIGENOM FÖRESKRIVS FÖLJANDE:

Artikel 1

Beslut 2001/497/EG ändras enligt följande:

1.

I artikel 1 skall följande stycke läggas till:

”De registeransvariga får välja endera av standardavtalen I eller II i bilagan. De får dock inte ändra klausulerna eller kombinera enstaka klausuler eller uppsättningar.”

2.

I artikel 4 skall punkterna 2 och 3 ersättas med följande:

”2.   När det gäller första stycket där den registeransvarige åberopar adekvata garantier på grundval av de standardavtalsklausuler som återfinns i standardavtal II i bilagan, är de behöriga dataskyddsmyndigheterna behöriga att utöva sina befintliga befogenheter att förbjuda eller upphäva dataflödena i följande fall:

a)

Uppgiftsinföraren vägrar att samarbeta efter bästa förmåga med dataskyddsmyndigheterna eller fullgöra de skyldigheter som tydligt framgår av avtalet.

b)

Uppgiftsutföraren vägrar att vidta adekvata åtgärder för att tillämpa avtalet gentemot uppgiftsinföraren inom den normala fristen på en månad efter meddelande från behörig tillsynsmyndighet till uppgiftsutföraren.

Uppgiftsinföraren skall när det gäller första stycket ovan inte anses vägra samarbete efter bästa förmåga eller att fullgöra avtalen, när ett sådant samarbete eller fullgörande strider mot obligatoriska krav i den nationella lagstiftning som gäller uppgiftsinföraren och som inte går längre än vad som är nödvändigt i ett demokratiskt samhälle på grundval av en av de grunder som nämns i artikel 13.1 i direktiv 95/46/EG, särskilt påföljder som fastställs i internationell och/eller nationell lagstiftning, krav på skatterapportering eller upplysningsplikt när det gäller bekämpning av penningtvätt.

Samarbetet skall när det gäller punkt a i första stycket bl.a. innebära att uppgiftsinföraren ger tillträde till sin databehandlingsutrustning för revision eller följer råd från tillsynsmyndigheten inom gemenskapen.

3.   Förbudet eller upphävandet enligt punkterna 1 och 2 skall upphöra så snart som skälen för förbudet eller upphävandet inte längre föreligger.

4.   När medlemsstaterna vidtar åtgärder i enlighet med punkterna 1, 2 och 3 skall de utan dröjsmål underrätta kommissionen, som skall vidarebefordra underrättelsen till de övriga medlemsstaterna.”

3.

I artikel 5 skall den första meningen ersättas med följande:

”Kommissionen skall utvärdera hur detta beslut fungerar på grundval av tillgänglig information tre år efter anmälan och efter anmälan av varje ändring av det till medlemsstaterna.”

4.

Bilagan skall ändras på följande sätt:

1.

Efter titeln skall ”STANDARDAVTAL I” föras in.

2.

Texten i bilagan till detta beslut skall läggas till.

Artikel 2

Detta beslut skall tillämpas från och med den 1 april 2005.

Artikel 3

Detta beslut riktar sig till medlemsstaterna.

Utfärdat i Bryssel 27 december 2004.

På kommissionens vägnar

Charlie McCREEVY

Ledamot av kommissionen


(1)  EGT L 281, 23.11.1995, s. 31, direktiv ändrat genom förordning (EG) nr 1883/2003 (EGT L 284, 31.10.2003, s. 1).

(2)  EGT L 181, 4.7.2001, s. 19.

(3)  Internationella handelskammaren (ICC), Japan Business Council i Europa (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce i Belgien (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) och Federation of European Direct Marketing Associations (FEDMA).

(4)  EGT L 201, 31.7.2002, s. 37.

(5)  Yttrande nr 8/2003, tillgängligt på följande adress: http://europa.eu.int/comm/privacy


BILAGA

STANDARDAVTAL II

Standardavtalsklausuler för överföring av personuppgifter från gemenskapen till tredje länder (överföring mellan registeransvariga)

Avtal om dataöverföring

Mellan

_(namn)

_(adress och etableringsland)

(nedan ’uppgiftsutföraren’)

och

_(namn)

_(adress och etableringsland)

(nedan ’uppgiftsinföraren’

var för sig ’part’, tillsammans ’parterna’)

Definitioner

I klausulerna skall följande gälla:

a)

’Personuppgifter’, ’särskilda kategorier av uppgifter/känsliga uppgifter’, ’behandla/behandling’, ’registeransvarig’, ’behandlare’, ’den registrerade’ och ’tillsynsmyndighet/myndighet’ skall ha samma betydelse som i direktiv 95/46/EG av den 24 oktober 1995 (där ’myndighet’ skall avse behörig dataskyddsmyndighet inom det territorium där uppgiftsutföraren är etablerad).

b)

Med ’uppgiftsutförare’ avses den registeransvarige som överför personuppgifter.

c)

Med ’uppgiftsinförare’ avses den registeransvarige som samtycker till att från uppgiftsutföraren ta emot personuppgifter för vidare behandling i enlighet med dessa klausuler och som inte är underkastad lagstiftningen i tredje land som säkerställer adekvat skydd.

d)

Med ’klausuler’ avses dessa avtalsklausuler, vilka utgör ett fristående dokument som inte innefattar kommersiella handelsvillkor, vilka parterna fastställer enligt separata handelsavtal.

Detaljerna om överföringen (samt de personuppgifter som omfattas) specificeras i bilaga B, som ingår i klausulerna.

I.   Uppgiftsutförarens skyldigheter

Uppgiftsutföraren godtar och garanterar följande:

a)

Uppgiftsutföraren skall samla in, behandla och överföra personuppgifter i enlighet med den lagstiftning som gäller för uppgiftsutföraren.

b)

Uppgiftsutföraren har gjort rimliga ansträngningar för att se till att uppgiftsinföraren kan uppfylla sina rättsliga skyldigheter enligt dessa klausuler.

c)

Uppgiftsutföraren skall vid behov ge uppgiftsinföraren relevant dataskyddslagstiftning eller hänvisningar till den (där det är relevant och utan juridisk rådgivning) i det land där uppgiftsutföraren är etablerad.

d)

Uppgiftsutföraren skall svara på förfrågningar från de registrerade och myndigheten om uppgiftsinförarens behandling av personuppgifterna, om inte parterna har avtalat att uppgiftsinföraren skall svara. I så fall skall uppgiftsutföraren fortfarande svara i den omfattning som är rimlig och möjlig och med den information som uppgiftsutföraren rimligen kan ha tillgång till, om uppgiftsinföraren inte kan eller inte vill svara. Förfrågningar skall besvaras inom rimlig tid.

e)

Uppgiftsutföraren skall på begäran ge ett exemplar av klausulerna till de registrerade som omfattas av tredjemansberättigande enligt klausul III, om inte klausulerna innehåller konfidentiell information. I så fall kan uppgiftsutföraren stryka sådan information. Om information stryks, skall uppgiftsutföraren informera de registrerade skriftligt om skälen till strykningen och om deras rätt att göra myndigheten uppmärksam på strykningen. Uppgiftsutföraren skall rätta sig efter myndighetens beslut som gäller de registrerades tillgång till den fullständiga klausultexten, så länge de registrerade har accepterat att respektera sekretessen i den strukna sekretessbelagda informationen. Uppgiftsutföraren skall vid behov även tillhandahålla myndigheten ett exemplar av klausulerna.

II.   Uppgiftsinförarens skyldigheter

Uppgiftsinföraren godtar och garanterar följande:

a)

Uppgiftsinföraren skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot oavsiktlig eller olaglig utplåning eller oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten tillgång, och som ger en säkerhetsnivå som är anpassad till den risk som behandlingen och typen av uppgifter som skall skyddas utgör.

b)

Uppgiftsinföraren skall ha rutiner som säkerställer att den tredje man som uppgiftsinföraren ger tillgång till personuppgifter, inbegripet behandlare, behandlar dessa på ett säkert sätt och med sekretess. Personer som agerar under uppgiftsinförarens ansvar, inklusive behandlare, skall bara kunna behandla personuppgifterna enligt instruktioner från uppgiftsinföraren. Denna bestämmelse gäller inte de personer som enligt lag eller förordning har tillgång till personuppgifter.

c)

Uppgiftsinföraren har ingen anledning att då klausulerna träder i kraft tro att det skulle finnas eventuell lokal lagstiftning som skulle ha en betydande negativ inverkan på de garantier som ges enligt dessa klausuler och uppgiftsinföraren kommer att informera uppgiftsutföraren (som vid behov kommer att vidarebefordra sådan information till myndigheten), om han skulle få kännedom om sådan lagstiftning.

d)

Uppgiftsinföraren skall behandla personuppgifter för de ändamål som beskrivs i bilaga B, och skall ha rättslig behörighet att ge de garantier och fullgöra de åtaganden som fastställs i dessa klausuler.

e)

Uppgiftsinföraren skall ge uppgiftsutföraren upplysning om en kontaktperson inom sin organisation som har befogenhet att besvara förfrågningar som rör behandlingen av personuppgifter, och han eller hon skall samarbeta efter bästa förmåga och inom rimlig tid med uppgiftsutföraren, den registrerade och myndigheten när det gäller alla sådana förfrågningar. Om uppgiftsutförarens verksamhet upphör eller om parterna har kommit överens om det, skall upgiftsinföraren ansvara för att bestämmelserna i klausul I e följs.

f)

På begäran skall uppgiftsinföraren ge uppgiftsutföraren belägg för att han eller hon har tillräckliga ekonomiska resurser för att fullgöra sina skyldigheter enligt klausul III (vilket kan omfatta lämplig försäkring).

g)

Om uppgiftsutföraren lägger fram en rimlig begäran, skall uppgiftsinföraren ställa sin databehandlingsutrustning, datafiler och dokumentation som behövs för att uppgiftsutföraren (eller oberoende eller opartisk inspektör eller revisor som valts ut av uppgiftsutföraren, och som inte av goda skäl har avvisats av uppgiftsinföraren) skall kunna behandla, förnya, kontrollera och/eller certifiera för att säkerställa att garantierna och åtagandena enligt dessa klausuler följs med rimligt varsel och under normal arbetstid. Begäran skall underkastas nödvändigt samtycke eller godkännande från en lagstiftande myndighet eller tillsynsmyndighet i uppgiftsinförarens land, vars samtycke eller godkännande uppgiftsinföraren skall försöka erhålla i god tid.

h)

Uppgiftsinföraren skall behandla personuppgifter i enlighet med

i)

lagstiftningen om dataskydd i det land där uppgiftsutföraren är etablerad, eller

ii)

relevanta bestämmelser (1) i varje beslut som kommissionen fattar i enlighet med artikel 25.6 i direktiv 95/46/EG, om uppgiftsinföraren uppfyller de relevanta bestämmelserna i ett sådant godkännande eller beslut och är etablerad i ett land som omfattas av ett sådant godkännande eller beslut, men inte omfattas av ett sådant godkännande eller beslut när det gäller överföring av personuppgifter, (2) eller

iii)

databehandlingsprinciperna i bilaga A.

Uppgiftsinföraren väljer följande:_

Uppgiftsinförarens initialer:_;

i)

Uppgiftsinföraren förpliktar sig att inte utlämna eller överföra personuppgifter till tredje man som är registeransvarig utanför Europeiska ekonomiska samarbetsområdet (EES), om inte uppgiftsinföraren meddelar uppgiftsutföraren om överföringen och

i)

den registeransvarige som är tredje man behandlar personuppgifterna i enlighet med kommissionens beslut där det konstateras att ett tredjeland säkerställer ett adekvat skydd, eller

ii)

att den registeransvarige som är tredje man undertecknar dessa klausuler eller annat avtal om uppgiftsöverföring som godkänds av behörig myndighet inom EU, eller

iii)

de registrerade har fått möjlighet att göra en invändning, efter att ha fått information om syftet med överföringen, mottagarkategorier och det faktum att de länder till vilka uppgifter förs ut kan ha olika typer av dataskydd, eller

iv)

de registrerade har med hänsyn till vidare överföringar av känsliga uppgifter gett sitt uttryckliga samtycke till vidare överföring.

III.   Ansvar och tredje mans rättigheter

a)

Varje part är skadeståndsskyldig gentemot den andra parten för skador som den orsakat vid överträdelse av dessa klausuler. Skadeståndsansvaret mellan parterna är begränsat till faktiska skador. Skadestånd i bestraffningssyfte (dvs. skadestånd som är avsett att straffa en part för opassande uppförande) är uttryckligen uteslutet. Varje part är skadeståndsansvarig gentemot de registrerade för de skador den åsamkat genom varje överträdelse av tredjemansrättigheterna enligt dessa klausuler. Detta påverkar inte uppgiftsutförarens skadeståndsskyldighet enligt gällande dataskyddslagstiftning.

b)

Parterna samtycker till att den registrerade skall ha rätt att som tredjemansberättigande åberopa denna klausul och klausulerna I b, I d, I e, II a, II c, II d, II e, II h, II i, III a, V, VI d och VII mot uppgiftsinföraren eller uppgiftsutföraren för deras respektive brott mot skyldigheterna enligt avtalet med hänsyn, med hänsyn till hans personuppgifter, och välja domstol för detta ändamål i uppgiftsutförarens etableringsland. När det gäller uppgiftsinförarens påstådda överträdelser, måste den registrerade först begära att uppgiftsutföraren vidtar lämplig åtgärd för att hävda sina rättigheter gentemot uppgiftsinföraren. Om uppgiftsutföraren inte vidtar sådan åtgärd inom rimlig tid (vilket under normala förhållanden skulle vara en månad), får den registrerade vända sig direkt till uppgiftsinföraren. Den registrerade är behörig att vända sig direkt till den uppgiftsutförare, som inte har gjort tillräckliga ansträngningar för att fastställa att uppgiftsinföraren kan uppfylla sina rättsliga skyldigheter i enlighet med dessa klausuler (uppgiftsutföraren har bevisbördan för att styrka att han/hon har gjort rimliga ansträngningar).

IV.   Gällande lagstiftning

Dessa klausuler skall regleras av lagstiftningen i det land där uppgiftsutföraren är etablerad, med undantag av de lagar och föreskrifter som gäller behandling av personuppgifter av uppgiftsinföraren enligt klausul II h. Dessa skall endast tillämpas om uppgiftsinföraren valt denna möjlighet i den klausulen.

V.   Lösning av tvister mellan de registrerade eller myndigheten

a)

Parterna skall underrätta varandra i händelse av att en registrerad eller en myndighet inleder ett tvisteförfarande eller framställer krav när det gäller behandlingen av personuppgifter mot endera parten eller mot båda parter, och de skall samarbeta i syfte att finna lösningar i godo inom rimlig tid.

b)

Parterna skall samtycka till att medverka i allmän och icke-bindande medling, som inleds av den registrerade eller av myndigheten. Om de deltar i förfarandet, kan parterna välja att göra det på distans (t.ex. per telefon eller andra elektroniska medel). Parterna kan även samtycka till att beakta deltagande i varje annan form av skiljeförfarande, medling eller annat tvistlösningsförfarande som utvecklats för tvister som rör dataskydd.

c)

Varje part skall rätta sig efter beslut från behörig domstol i det land där uppgiftsutföraren är etablerad eller från myndigheten om beslutet är slutligt och inte längre kan överklagas.

VI.   Upphörande

a)

I händelse av att uppgiftsinföraren inte uppfyller sina skyldigheter enligt dessa klausuler, kan uppgiftsutföraren tillfälligt avbryta överföringen av personuppgifter till uppgiftsinföraren tills överträdelsen har upphört eller avtalet har avslutats.

b)

I händelse av att

i)

överföringen av personuppgifter till uppgiftsinföraren tillfälligt har avbrutits av uppgiftsutföraren under längre tid än en månad enligt punkt a,

ii)

uppgiftsinföraren genom att följa dessa klausuler skulle överträda lagar och föreskrifter i införsellandet,

iii)

uppgiftsinföraren allvarligt och kontinuerligt bryter mot de garantier eller åtaganden som fastställs i dessa klausuler,

iv)

att det i ett slutligt beslut som man inte längre kan överklaga vid behörig domstol i uppgiftsutförarens etableringsland eller från myndigheten konstateras att uppgiftsinföraren eller uppgiftsutföraren har brutit mot klausulerna, eller

v)

en begäran om förvaltning eller likvidation för uppgiftsinföraren lämnas in, antingen personligt eller yrkesmässigt, och denna begäran inte avvisas inom normal frist för sådant avvisande enligt gällande lag, en förklaring om tvångslikvidation avges, en konkursförvaltare utses för tillgångarna, om uppgiftsinföraren är en fysisk person eller ett ackordsförfarande inleds eller liknande inträffar,

skall uppgiftsutföraren, utan att det berör uppgiftsutförarens andra rättigheter som han eller hon kan ha gentemot uppgiftsinföraren, vara behörig att avsluta dessa klausuler och myndigheten skall vid behov informeras om det. I de fall som omfattas av i, ii eller iv ovan kan även uppgiftsinföraren avsluta dessa klausuler.

c)

Endera parten kan avsluta dessa klausuler om i) ett beslut från kommissionen enligt artikel 25.6 i direktiv 95/46/EG (eller annan rättsakt som har företräde) utfärdas när det gäller det land (eller bransch i landet) till vilket uppgifter har överförts och behandlats av uppgiftsinföraren, eller ii) om direktiv 95/46/EG (eller annan rättsakt som har företräde) skall tillämpas direkt i ett sådant land.

d)

Parterna är eniga om att de när dessa klausuler upphör att gälla vid vilken tidpunkt som helst, under vilka omständigheter som helst och oavsett skäl (utom när det gäller upphörande enligt klausul VI c) inte är befriade från sina skyldigheter och/eller villkoren enligt klausulerna när det gäller behandlingen av de överförda personuppgifterna.

VII.   Ändring av dessa klausuler

Parterna får inte ändra dessa klausuler annat än för att uppdatera information i bilaga B. I så fall skall de vid behov informera myndigheten. Detta förhindrar inte parterna från att vid behov lägga till kompletterande handelsklausuler.

VIII.   Beskrivning av överföringen

Detaljerna i överföringen och i personuppgifterna specificeras i bilaga B. Parterna samtycker till att bilaga B får innehålla konfidentiell affärsinformation som de inte skall röja för tredje man, utom när det krävs enligt lag eller som svar till behörig myndighet eller regeringsorgan eller som krävs enligt klausul I e. Parterna kan utarbeta kompletterande bilagor för att täcka kompletterande överföringar, som vid behov kan läggas fram för myndigheten. Alternativt kan bilaga B utarbetas så att den omfattar flera överföringar.

Datum: _

_

_

FÖR UPPGIFTSINFÖRAREN

FÖR UPPGIFTSUTFÖRAREN

BILAGA A

PRINCIPER FÖR DATABEHANDLING

1.

Ändamålsbegränsning: Personuppgifter får behandlas och därefter användas eller överföras endast för de ändamål som beskrivs i bilaga B eller som därefter godkänns av den registrerade.

2.

Uppgifternas kvalitet och proportionalitet: Personuppgifterna måste vara korrekta och i förekommande fall hållas aktuella. Personuppgifterna måste vara adekvata och relevanta. De får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de överförs och vidarebehandlas.

3.

Öppenhet: De registrerade skall informeras om behandlingens syfte (t.ex. information om syftet med behandlingen och om överföringen), om sådan information inte redan har getts av uppgiftsutföraren.

4.

Säkerhet och sekretess: Tekniska och organisatoriska säkerhetsåtgärder skall vidtas av den registeransvarige med hänsyn till de risker, såsom obehörig tillgång eller olaglig utplåning eller oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten tillgång, som behandlingen utgör. Alla som agerar för den registeransvariges räkning, även registerförare, får behandla uppgifter endast på den registeransvariges uppdrag.

5.

Rätt till tillgång, rättelse, utplåning och invändning: I enlighet med artikel 12 i direktiv 95/46/EG, måste alla registrerade, antingen direkt eller via tredje man, få personlig information om uppgifter som rör honom eller henne som en organisation har, utom när det gäller förfrågningar som uppenbart utgör ett missbruk och som grundas på orimliga intervaller eller antal, är av repetitiv eller systematisk art och som man inte behöver garantera tillträde till enligt lag i uppgiftsutförarens land. Under förutsättning att myndigheten i förväg gett sitt godkännande, behöver tillgång inte heller garanteras i det fall det allvarligt skulle kunna skada uppgiftsinförarens intressen eller andra organisationers agerande gentemot uppgiftsinföraren och sådana intressen inte har företräde framför de registrerades intressen av grundläggande rättigheter och friheter. Man behöver inte ange källan till personuppgifter, om det inte är möjligt utan stora ansträngningar eller om det skulle medföra kränkning av andra personers rättigheter. De registrerade måste kunna få personliga uppgifter om sig själva rättade, ändrade eller strukna, om de är felaktiga eller behandlade mot dessa principer. Om det finns vägande skäl att tvivla på det berättigade i förfrågan, får organisationen kräva ytterligare dokumentation innan den rättar, ändrar eller utplånar information. Meddelande om rättelse, ändring eller utplåning till tredje man vars uppgifter har utlämnats behöver inte ges om det innebär ett oproportionerligt arbete. De registrerade måste även kunna göra invändningar till den som behandlar de personuppgifter som rör henne eller honom, om det föreligger vägande legitima skäl som rör hennes eller hans personliga situation. Uppgiftsinföraren har bevisbördan för varje avslag och den registrerade kan alltid bestrida ett avslag hos myndigheten.

6.

Känsliga uppgifter: Uppgiftsinföraren skall vidta kompletterande åtgärder (t.ex. när det gäller säkerhet) som är nödvändiga för att skydda sådana känsliga uppgifter i enlighet med skyldigheterna enligt klausul II.

7.

Uppgifter som används i marknadssyfte: Om uppgifter behandlas för direkt marknadsföring, bör de registrerade genom effektiva förfaranden när som helst ha möjlighet att hindra att hans eller hennes uppgifter används för sådana ändamål.

8.

Databehandlade beslut: Med ’databehandlade beslut’ avses ett beslut som fattas av uppgiftsutföraren eller uppgiftsinföraren som har rättslig effekt för den registrerade eller på ett betydande sätt påverkar den registrerade och som endast grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom eller henne, t.ex. arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. Uppgiftsinföraren får inte fatta några databehandlade beslut som rör den registrerade, utom om

a)

i)

sådana beslut fattas av uppgiftsinföraren genom att ingå eller verkställa ett avtal med den registrerade, och

ii)

den registrerade har fått möjlighet att diskutera resultaten av ett databehandlat beslut med en representant för den part som fattar sådana beslut eller på annat sätt företräder den parten.

eller

b)

annat fastställs i den lagstiftning som gäller för uppgiftsutföraren.

BILAGA B

BESKRIVNING AV ÖVERFÖRINGEN

(Skall fyllas i av parterna)

Image

VÄGLEDANDE HANDELSKLAUSULER (VALFRITT)

Skadestånd mellan uppgiftsutföraren och uppgiftsinföraren:

’Parterna skall betala ut skadestånd till varandra och hålla varandra skadeslösa när det gäller alla kostnader, avgifter, skador, utgifter eller förluster som de åsamkar varandra som ett resultat av överträdelse av någon av bestämmelserna i dessa klausuler. Varje skadeståndsersättning är villkorad av att a) parten(erna) hålls skadeslösa (den part(er) som får skadestånd skall omgående meddela den andra parten(erna) som skall betala ut skadestånd om ett ersättningsanspråk, b) endast den skadeståndsskyldiga parten(erna) har kontroll över hur ärendet skall handläggas och c) den skadeståndsberättigade parten samarbetar på ett rimligt sätt och biträder den eller de parter som är skadeståndsskyldiga att handlägga klagomålet.’

Tvistlösning mellan uppgiftsutföraren och uppgiftsinföraren (parterna kan naturligtvis föra in en annan alternativ tvistlösning eller rättslig bestämmelse):

’I händelse av tvist mellan uppgiftsinföraren och uppgiftsutföraren när det gäller påstådda överträdelser av en bestämmelse i dessa klausuler, skall den slutligen avgöras enligt Internationella handelskammarens regler av en eller flera skiljemän som utses enligt dessa regler. Platsen för skiljeförfarandet skall vara [ ]. Skiljemännen skall vara [ ].’

Kostnadsfördelning:

’Varje part skall stå för sina egna kostnader vid genomförandet av dessa klausuler.’

Extra uppsägningsklausul:

’Om dessa klausuler sägs upp, måste uppgiftsinföraren skyndsamt sända tillbaka alla personuppgifter och alla kopior på personuppgifter i enlighet med dessa klausuler till uppgiftsutföraren eller enligt uppgiftsutförarens önskemål förstöra alla kopior av dessa uppgifter och styrka att det har gjorts, om inte uppgiftsinföraren är förhindrad genom nationell lagstiftning eller lagstiftande myndighet att förstöra eller returnera alla eller del av sådana uppgifter. I så fall skall uppgifterna behandlas med sekretess och de får inte aktivt behandlas för något ändamål. Uppgiftsinföraren samtycker till att, om uppgiftsutföraren begärt det, tillåta uppgiftsutföraren, eller en inspektör som uppgiftsutföraren valt, och som uppgiftsinföraren inte har rimliga skäl att avvisa, att få tillträde till uppgiftsinförarens lokaler för att kontrollera att det har gjorts med rimlig varsel och på arbetstid.’

”.

(1)  Med ’relevanta bestämmelser’ avses bestämmelser i varje enskilt godkännande eller beslut utom för tillämpningsbestämmelser för ett godkännande eller ett beslut (som skall regleras genom dessa klausuler).

(2)  Bestämmelserna i bilaga A.5 om rätt till tillgång, rättelse, utplåning och invändningar måste tillämpas när detta val görs och har företräde framför jämförbara bestämmelser i det valda kommissionsbeslutet.


Top