Välj vilka experimentfunktioner du vill testa

Det här dokumentet är ett utdrag från EUR-Lex webbplats

Dokument 32021D0914

Kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (Text av betydelse för EES)

C/2021/3972

EUT L 199, 7.6.2021, s. 31–61 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Dokumentets rättsliga status Gällande

ELI: http://data.europa.eu/eli/dec_impl/2021/914/oj

7.6.2021   

SV

Europeiska unionens officiella tidning

L 199/31


KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2021/914

av den 4 juni 2021

om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (1), särskilt artikel 28.7 och artikel 46.2 c, och

av följande skäl:

(1)

Tekniska framsteg underlättar de gränsöverskridande dataflöden som är nödvändiga för att internationellt samarbete och internationell handel ska utvecklas. Samtidigt är det nödvändigt att säkerställa att den nivå av skydd som fysiska personer garanteras genom förordning (EU) 2016/679 inte undergrävs när personuppgifter överförs till tredjeländer, däribland i samband med vidare överföring (2). Syftet med bestämmelserna om överföring av personuppgifter i kapitel V i förordning (EU) 2016/679 är att säkerställa att den höga skyddsnivån upprätthålls när personuppgifter överförs till ett tredjeland (3).

(2)

I enlighet med artikel 46.1 i förordning (EU) 2016/679 får en personuppgiftsansvarig eller ett personuppgiftsbiträde, i avsaknad av ett beslut om adekvat skyddsnivå från kommissionen enligt artikel 45.3, endast överföra personuppgifter till ett tredjeland efter att ha vidtagit lämpliga skyddsåtgärder och på villkor att lagstadgade rättigheter och effektiva rättsmedel finns tillgängliga för de registrerade. Sådana skyddsåtgärder kan ta formen av standardavtalsklausuler som antagits av kommissionen i enlighet med artikel 46.2 c.

(3)

Användningen av standardavtalsklausuler är begränsad till att säkerställa lämpliga skyddsåtgärder för personuppgifter vid internationella överföringar. Den personuppgiftsansvarig eller det personuppgiftsbiträde som överför personuppgifterna till ett tredjeland (uppgiftsutföraren) och den personuppgiftsansvarig eller det personuppgiftsbiträde som tar emot personuppgifterna (uppgiftsinföraren) har därför friheten att införa dessa standardavtalsklausuler i ett mer övergripande avtal och att lägga till andra bestämmelser eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausulerna eller påverkar de registrerades grundläggande rättigheter eller friheter. Personuppgiftsansvariga och personuppgiftsbiträden uppmuntras att tillhandahålla ytterligare skyddsåtgärder genom avtalsenliga åtaganden som kompletterar standardavtalsklausulerna (4). Användningen av standardavtalsklausulerna påverkar inte uppgiftsutförarens och/eller uppgiftsinförarens avtalsenliga skyldigheter att säkerställa respekten för tillämpliga privilegier och tillämplig immunitet.

(4)

Även om uppgiftsutföraren använder standardavtalsklausuler för att tillhandahålla lämpliga skyddsåtgärder för överföringar i enlighet med artikel 46.1 i förordning (EU) 2016/679 måste han eller hon fullgöra sina allmänna skyldigheter i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde enligt förordning (EU) 2016/679. Detta omfattar den personuppgiftsansvariges skyldighet att informera de registrerade om avsikten att överföra deras personuppgifter till ett tredjeland enligt artikel 13.1 f och artikel 14.1 f i förordning (EU) 2016/679. Vid överföringar enligt artikel 46 i förordning (EU) 2016/679 måste denna information inbegripa en hänvisning till de lämpliga skyddsåtgärderna och hur en kopia av dem kan erhållas, eller information om var de har gjorts tillgängliga.

(5)

Kommissionens beslut 2001/497/EG (5) och 2010/87/EU (6) innehåller standardavtalsklausuler för att underlätta överföringen av personuppgifter från en personuppgiftsansvarig som är etablerad i unionen till en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad/etablerat i ett tredjeland som inte har en adekvat skyddsnivå. Dessa beslut fattades på grundval av Europaparlamentets och rådets direktiv 95/46/EG (7).

(6)

Enligt artikel 46.5 i förordning (EU) 2016/679 ska beslut 2001/497/EG och beslut 2010/87/EU förbli i kraft tills de, vid behov, ändras, ersätts eller upphävs av ett kommissionsbeslut som antagits i enlighet med artikel 46.2 i samma förordning. Standardavtalsklausulerna i besluten behövde uppdateras mot bakgrund av nya krav i förordning (EU) 2016/679. Sedan besluten antogs har den digitala ekonomin dessutom utvecklats avsevärt, med omfattande användning av nya och mer komplexa behandlingssteg som ofta inbegriper flera uppgiftsinförare och uppgiftsutförare, långa och komplexa behandlingskedjor och nya typer av affärsförbindelser. Detta innebär att standardavtalsklausulerna måste moderniseras så att de speglar den nya verkligheten på ett bättre sätt genom att omfatta fler behandlings- och överföringssituationer och möjliggöra ett mer flexibelt tillvägagångssätt, till exempel med avseende på antalet parter som kan ingå ett avtal.

(7)

En personuppgiftsansvarig eller ett personuppgiftsbiträde får använda de standardavtalsklausuler som anges i bilagan till detta beslut för att tillhandahålla lämpliga skyddsåtgärder i den mening som avses i artikel 46.1 i förordning (EU) 2016/679 vid överföring av personuppgifter till ett personuppgiftsbiträde eller en personuppgiftsansvarig som är etablerat/etablerad i ett tredjeland, utan att det påverkar tolkningen av begreppet internationell överföring i förordning (EU) 2016/679. Standardavtalsklausulerna får endast användas vid sådana överföringar i den utsträckning som uppgiftsinförarens behandling inte omfattas av tillämpningsområdet för förordning (EU) 2016/679. Detta omfattar även överföring av personuppgifter av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad/etablerat i unionen, i den utsträckning som behandlingen omfattas av förordning (EU) 2016/679 (enligt artikel 3.2 i samma förordning), eftersom den gäller utbjudande av varor eller tjänster till registrerade i unionen eller övervakning av deras beteende när de befinner sig i unionen.

(8)

Mot bakgrund av att förordning (EU) 2016/679 och Europaparlamentets och rådets förordning (EU) 2018/1725 (8) generellt har samordnats bör det även vara möjligt att använda standardavtalsklausulerna inom ramen för ett avtal enligt artikel 29.4 i förordning (EU) 2018/1725 vid överföring av personuppgifter till en underentreprenör i ett tredjeland av ett personuppgiftsbiträde som inte är en unionsinstitution eller ett unionsorgan, men som omfattas av förordning (EU) 2016/679 och behandlar personuppgifter på uppdrag av en unionsinstitution eller ett unionsorgan i enlighet med artikel 29 i förordning (EU) 2018/1725. Under förutsättning att avtalet speglar samma skyldigheter avseende dataskydd som fastställs i avtalet eller någon annan rättsakt mellan den personuppgiftsansvarige och personuppgiftsbiträdet i enlighet med artikel 29.3 i förordning (EU) 2018/1725, i synnerhet genom att ge tillräckliga garantier för tekniska och organisatoriska åtgärder för att säkerställa att behandlingen uppfyller kraven i nämnda förordning, kommer efterlevnad av artikel 29.4 i förordning (EU) 2018/1725 att säkerställas. Detta kommer i synnerhet att vara fallet när den personuppgiftsansvarige och personuppgiftsbiträdet använder standardavtalsklausulerna i kommissionens genomförandebeslut om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden enligt artikel 28.7 i Europaparlamentets och rådets förordning (EU) 2016/679 och artikel 29.7 i Europaparlamentets och rådets förordning (EU) 2018/1725 (9).

(9)

Om behandlingen inbegriper överföringar av personuppgifter från personuppgiftsansvariga som omfattas av förordning (EU) 2016/679 till personuppgiftsbiträden som inte omfattas av dess geografiska tillämpningsområde, eller från personuppgiftsbiträden som omfattas av förordning (EU) 2016/679 till underentreprenörer som inte omfattas av dess geografiska tillämpningsområde, bör de standardavtalsklausuler som anges i bilagan till detta beslut också göra det möjligt att uppfylla kraven i artikel 28.3 och 28.4 i förordning (EU) 2016/679.

(10)

I de standardavtalsklausuler som anges i bilagan till detta beslut kombineras allmänna klausuler med ett modulärt tillvägagångssätt för att ta hänsyn till olika överföringsscenarier och komplexiteten i de moderna behandlingskedjorna. Vid sidan av de allmänna klausulerna bör personuppgiftsansvariga och personuppgiftsbiträden välja den modul som är tillämplig i deras situation för att skräddarsy sina skyldigheter enligt standardavtalsklausulerna i förhållande till sina roller och ansvarsområden i samband med databehandlingen i fråga. Det bör vara möjligt för fler än två parter att följa standardavtalsklausulerna. Dessutom bör ytterligare personuppgiftsansvariga och personuppgiftsbiträden ha möjlighet att ansluta sig till standardavtalsklausulerna som uppgiftsutförare eller uppgiftsinförare under hela giltighetstiden för det avtal som de är en del av.

(11)

För att tillhandahålla lämpliga skyddsåtgärder bör standardavtalsklausulerna säkerställa att de personuppgifter som överförs på denna grund har en skyddsnivå som väsentligen är likvärdig med den skyddsnivå som garanteras inom unionen (10). I syfte att säkerställa insyn i behandlingen bör de registrerade få en kopia av standardavtalsklausulerna och, i synnerhet, information om de kategorier av personuppgifter som behandlas, rätten att erhålla en kopia av standardavtalsklausulerna och all eventuell vidare överföring. Uppgiftsinföraren bör endast ha rätt att överföra uppgifterna vidare till en tredje part i ett annat tredjeland om den tredje parten har anslutit sig till standardavtalsklausulerna, om ett fortsatt skydd säkerställs på annat sätt eller i särskilda situationer, däribland om den registrerade har gett sitt uttryckliga och informerade medgivande.

(12)

Med några undantag, främst vad gäller vissa skyldigheter som endast avser relationen mellan uppgiftsutföraren och uppgiftsinföraren, bör de registrerade som berättigade tredje parter kunna åberopa och vid behov verkställa standardavtalsklausulerna. Även om parterna bör ha möjlighet att välja lagstiftningen i en av medlemsstaterna som grund för standardavtalsklausulerna måste lagstiftningen därför tillgodose rättigheterna för en berättigad tredje part. För att underlätta tillgången till domstolsprövning bör standardavtalsklausulerna innehålla krav på att uppgiftsinföraren ska ge de registrerade information om en kontaktpunkt och skyndsamt hantera eventuella klagomål eller förfrågningar. Om en tvist uppstår mellan uppgiftsinföraren och en registrerad som åberopar sin rätt som berättigad tredje part bör den registrerade ha möjlighet att inge ett klagomål till den behöriga tillsynsmyndigheten eller hänskjuta tvisten till de behöriga domstolarna i EU.

(13)

För att säkerställa ett effektivt verkställande bör uppgiftsinföraren vara skyldig att godta myndighetens och domstolarnas behörighet och åta sig att följa eventuella bindande beslut enligt medlemsstatens tillämpliga lagstiftning. I synnerhet bör uppgiftsinföraren samtycka till att svara på förfrågningar, gå med på revisioner och iaktta de åtgärder som antagits av tillsynsmyndigheten, däribland korrigerande och kompenserade åtgärder. Uppgiftsinföraren bör dessutom kunna ge de registrerade möjlighet att begära prövning inför ett oberoende tvistlösningsorgan utan kostnad. I linje med artikel 80.1 i förordning (EU) 2016/679 bör de registrerade ha rätt att företrädas av sammanslutningar eller andra organ i tvister med uppgiftsinföraren om de så önskar.

(14)

Standardavtalsklausulerna bör innehålla regler om ansvarsförhållandena mellan parterna och med avseende på de registrerade samt regler om ersättningsskyldighet mellan parterna. Om den registrerade lider materiell eller immateriell skada till följd av en överträdelse av rättigheterna för en berättigad tredje part enligt standardavtalsklausulerna bör han eller hon ha rätt till ersättning. Detta bör inte påverka ansvarsskyldighet enligt förordning (EU) 2016/679.

(15)

Vid överföring till en uppgiftsinförare som agerar i egenskap av personuppgiftsbiträde eller underentreprenör bör särskilda krav gälla i enlighet med artikel 28.3 i förordning (EU) 2016/679. Standardavtalsklausulerna bör innehålla krav på att uppgiftsinföraren ska lämna ut all information som behövs för att visa att de skyldigheter som fastställs i klausulerna har fullgjorts och ska gå med på och bidra till uppgiftsutförarens revisioner av dennes behandling av personuppgifter. Om uppgiftsinföraren anlitar en underentreprenör, i linje med artikel 28.2 och 28.4 i förordning (EU) 2016/679, bör standardavtalsklausulerna särskilt omfatta ett förfarande för ett allmänt eller särskilt tillstånd från uppgiftsutföraren och ett krav på ett skriftligt avtal med underentreprenören för att säkerställa samma nivå av skydd som enligt klausulerna.

(16)

Det är lämpligt att föreskriva andra skyddsåtgärder i de standardavtalsklausuler som omfattar den särskilda situation då ett personuppgiftsbiträde i unionen överför personuppgifter till sin personuppgiftsansvarige i ett tredjeland och som speglar de begränsade fristående skyldigheterna för personuppgiftsbiträden enligt förordning (EU) 2016/679. Standardavtalsklausulerna bör i synnerhet innehålla krav på att personuppgiftsbiträdet ska informera den personuppgiftsansvarige om han eller hon inte kan följa sina instruktioner, däribland om instruktionerna bryter mot unionens dataskyddslagstiftning, och att den personuppgiftsansvarige ska avstå från varje åtgärd som skulle hindra personuppgiftsbiträdet att fullgöra sina skyldigheter enligt förordning (EU) 2016/679. Det bör även finnas krav på att parterna ska bistå varandra med att svara på förfrågningar och begäranden från registrerade enligt den lokala lagstiftning som är tillämplig för uppgiftsinföraren eller, vid databehandling inom unionen, enligt förordning (EU) 2016/679. Ytterligare krav för att hantera eventuella konsekvenser av lagstiftningen i det mottagande tredjelandet för den personuppgiftsansvariges efterlevnad av klausulerna, i synnerhet när det gäller hanteringen av bindande begäranden från offentliga myndigheter i tredjelandet om utlämnande av de överförda personuppgifterna, bör gälla i de fall då personuppgiftsbiträdet i unionen kombinerar de personuppgifter som tagits emot från den personuppgiftsansvarige i tredjelandet med personuppgifter som samlats in av personuppgiftsbiträdet i unionen. Omvänt är inga sådana krav motiverade om utkontrakteringen endast inbegriper behandling och återlämning av personuppgifter som tagits emot från den personuppgiftsansvarige och som under alla omständigheter har varit och kommer att förbli föremål för det berörda tredjelandets jurisdiktion.

(17)

Parterna bör kunna visa att de uppfyller kraven i standardavtalsklausulerna. I synnerhet bör uppgiftsinföraren vara skyldig att dokumentera den behandling som ingår i hans eller hennes ansvarsområde på ett lämpligt sätt, och att skyndsamt informera uppgiftsutföraren om han eller hon inte kan uppfylla kraven i klausulerna, oavsett orsak. I sin tur bör uppgiftsutföraren avbryta överföringen och, i särskilt allvarliga fall, ha rätt att säga upp avtalet, i den mån det gäller behandlingen av personuppgifter enligt standardavtalsklausuler, om uppgiftsinföraren bryter mot klausulerna eller inte kan uppfylla dem. Särskilda regler bör gälla om den lokala lagstiftningen påverkar efterlevnaden av klausulerna. Personuppgifter som har överförts innan avtalet sades upp, och eventuella kopior av dessa, bör efter uppgiftsutförarens eget val skickas tillbaka till uppgiftsutföraren eller förstöras i sin helhet.

(18)

Standardavtalsklausulerna bör innehålla särskilda skyddsåtgärder, framför allt mot bakgrund av domstolens rättspraxis (11), för att hantera eventuella konsekvenser av det mottagande tredjelandets lagstiftning för uppgiftsinförarens efterlevnad av klausulerna, särskilt när det gäller hanteringen av bindande begäranden från offentliga myndigheter i det berörda landet om utlämnande av de överförda personuppgifterna.

(19)

Överföring och behandling av personuppgifter enligt standardavtalsklausuler bör inte äga rum om lagstiftningen och förfarandena i det mottagande tredjelandet hindrar uppgiftsinföraren från att uppfylla kraven i klausulerna. I detta sammanhang bör lagar och förfaranden som är förenliga med andemeningen i de grundläggande rättigheterna och friheterna, och som inte går utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda de ändamål som anges i artikel 23.1 i förordning (EU) 2016/679, inte anses vara i strid med standardavtalsklausulerna. När parterna kommer överens om standardavtalsklausulerna bör de garantera att de inte har någon anledning att misstänka att de lagar och förfaranden som är tillämpliga för uppgiftsinföraren inte stämmer överens med dessa krav.

(20)

Parterna bör framför allt ta hänsyn till de särskilda omständigheterna kring överföringen (däribland avtalets innehåll och varaktighet, karaktären hos de uppgifter som ska överföras, typen av mottagare, ändamålet med behandlingen), de lagar och förfaranden i det mottagande tredjelandet som är relevanta mot bakgrund av omständigheterna kring överföringen samt eventuella skyddsåtgärder som införts för att komplettera de som ingår i standardavtalsklausulerna (däribland relevanta avtalsenliga, tekniska och organisatoriska åtgärder som avser överföringen av personuppgifter och deras behandling i det mottagande tredjelandet). När det gäller konsekvenserna av sådana lagar och förfaranden för efterlevnaden av standardavtalsklausulerna kan olika aspekter betraktas som delar av en övergripande bedömning, däribland tillförlitlig information om lagstiftningens tillämpning i praktiken (såsom rättspraxis och rapporter från oberoende tillsynsorgan), förekomst eller frånvaro av begäranden i samma sektor och, under stränga villkor, dokumentation av uppgiftsutförarens och/eller uppgiftsinförarens praktiska erfarenhet.

(21)

Uppgiftsinföraren bör meddela uppgiftsutföraren om han eller hon, efter att ha godtagit standardavtalsklausulerna, har anledning att tro att han eller hon inte kommer att kunna uppfylla kraven i standardavtalsklausulerna. Om uppgiftsutföraren får ett sådant meddelande eller på annat sätt får kännedom om att uppgiftsinföraren inte längre kan uppfylla kraven i standardavtalsklausulerna bör han eller hon fastställa lämpliga åtgärder för att hantera situationen, vid behov i samråd med behörig tillsynsmyndighet. Sådana åtgärder kan omfatta kompletterande åtgärder som vidtas av uppgiftsutföraren och/eller uppgiftsinföraren, däribland tekniska eller organisatoriska åtgärder för att garantera säkerhet och konfidentialitet. Uppgiftsutföraren bör vara skyldig att avbryta överföringen om han eller hon anser att lämpliga skyddsåtgärder inte kan säkerställas, eller om den behöriga tillsynsmyndigheten ger instruktioner om detta.

(22)

Om möjligt bör uppgiftsinföraren informera uppgiftsutföraren och den registrerade om han eller hon får en rättsligt bindande begäran från en offentlig (inbegripet rättslig) myndighet enligt det mottagande landets lagstiftning om att de personuppgifter som överförts enligt standardavtalsklausulerna ska lämnas ut. Likaså bör uppgiftsinföraren meddela uppgiftsutföraren och den registrerade om han eller hon får kännedom om att offentliga myndigheter har haft direkt tillgång till personuppgifterna, i enlighet med det mottagande tredjelandets lagstiftning. Om uppgiftsinföraren, efter att ha gjort sitt yttersta, inte har möjlighet att informera uppgiftsutföraren och/eller den registrerade om specifika begäranden om utlämnande av uppgifter bör han eller hon ge uppgiftsutföraren så mycket relevant information som möjligt om begärandena. Dessutom bör uppgiftsinföraren ge uppgiftsutföraren sammanställd information med jämna mellanrum. Uppgiftsinföraren bör även vara skyldig att dokumentera alla begäranden om utlämnande som tagits emot och vilka svar som lämnats, och samtidigt på begäran göra denna information tillgänglig för uppgiftsutföraren eller den behöriga tillsynsmyndigheten, eller båda. Om uppgiftsinföraren, efter en granskning av lagligheten i en sådan begäran enligt det mottagande landets lagstiftning, drar slutsatsen att det finns rimliga skäl att betrakta begäran som olaglig enligt det mottagande tredjelandets lagstiftning bör han eller hon bestrida den, däribland genom att, i tillämpliga fall, använda alla tillgängliga möjligheter att överklaga. Under alla omständigheter bör uppgiftsinföraren, om han eller hon inte längre kan uppfylla kraven i standardavtalsklausulerna, informera uppgiftsutföraren om detta och uppge om det beror på en begäran om utlämnande.

(23)

Eftersom intressenternas behov, tekniker och behandlingar kan förändras bör kommissionen utvärdera användningen av standardavtalsklausulerna mot bakgrund av erfarenheterna, som en del av den regelbundna utvärdering av förordning (EU) 2016/679 som aves i artikel 97 i den förordningen.

(24)

Beslut 2001/497/EG och beslut 2010/87/EU bör upphävas tre månader efter att detta beslut har trätt i kraft. Under denna period bör uppgiftsutförare och uppgiftsinförare, vid tillämpning av artikel 46.1 i förordning (EU) 2016/679, fortfarande kunna använda de standardavtalsklausuler som anges i besluten 2001/497/EG och 2010/87/EU. Under ytterligare en period på 15 månader bör uppgiftsutförare och uppgiftsinförare, vid tillämpning av artikel 46.1 i förordning (EU) 2016/679, kunna fortsätta att använda de standardavtalsklausuler som anges i besluten 2001/497/EG och 2010/87/EU för att fullgöra avtal som ingåtts mellan dem före det datum då dessa beslut upphävs, under förutsättning att de behandlingar som är föremål för avtalet förblir oförändrade och att användningen av klausulerna säkerställer att överföringen av personuppgifter omfattas av lämpliga skyddsåtgärder i den mening som avses i artikel 46.1 i förordning (EU) 2016/679. Om relevanta ändringar görs i avtalet bör uppgiftsutföraren vara skyldig att använda en ny grund för överföringar av personuppgifter inom ramen för avtalet, i synnerhet genom att ersätta de befintliga standardavtalsklausulerna med de standardavtalsklausuler som anges i bilagan till detta beslut. Detsamma bör gälla vid utkontraktering av den behandling som omfattas av avtalet till ett personuppgiftsbiträde/en underentreprenör.

(25)

Samråd har skett med Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen i enlighet med artikel 42.1 och 42.2 i förordning (EU) 2018/1725, vilka avgav ett gemensamt yttrande den 14 januari 2021 (12), vilket har beaktats under utarbetandet av detta beslut.

(26)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats enligt artikel 93 i förordning (EU) 2016/679.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

1.   De standardavtalsklausuler som anges i bilagan anses garantera lämpliga skyddsåtgärder i den mening som avses i artikel 46.1 och 46.2 c i förordning (EU) 2016/679 i samband med att en personuppgiftsansvarig eller ett personuppgiftsbiträde (uppgiftsutförare) överför personuppgifter som behandlas enligt den förordningen till en personuppgiftsansvarig eller ett personuppgiftsbiträde/en underentreprenör, vars behandling av uppgifterna inte omfattas av den förordningen (uppgiftsinförare).

2.   I standardavtalsklausulerna fastställs även den personuppgiftsansvariges och personuppgiftsbiträdets rättigheter och skyldigheter med avseende på de frågor som avses i artikel 28.3 och 28.4 i förordning (EU) 2016/679 vad gäller överföring av personuppgifter från en personuppgiftsansvarig till ett personuppgiftsbiträde, eller från ett personuppgiftsbiträde till en underentreprenör.

Artikel 2

Om de behöriga myndigheterna i medlemsstaterna utövar korrigerande befogenheter i enlighet med artikel 58 i förordning (EU) 2016/679, på grund av att uppgiftsinföraren är eller kommer att bli föremål för lagar eller förfaranden i det mottagande tredjelandet som hindrar honom eller henne att uppfylla kraven i de standardavtalsklausuler som anges i bilagan, vilket leder till att överföringarna av personuppgifter till tredjelandet avbryts eller förbjuds, ska den berörda medlemsstaten, utan dröjsmål, meddela kommissionen, som kommer att vidarebefordra informationen till övriga medlemsstater.

Artikel 3

Kommissionen ska utvärdera den praktiska tillämpningen av de standardavtalsklausuler som anges i bilagan på grundval av all tillgänglig information och som en del av den regelbundna utvärdering som krävs enligt artikel 97 i förordning (EU) 2016/679.

Artikel 4

1.   Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

2.   Beslut 2001/497/EG ska upphöra att gälla med verkan från den 27 september 2021.

3.   Beslut 2010/87/EU ska upphöra att gälla med verkan från den 27 september 2021.

4.   Avtal som ingåtts före den 27 september 2021 på grundval av beslut 2001/497/EG eller beslut 2010/87/EU ska anses garantera lämpliga skyddsåtgärder i den mening som avses i artikel 46.1 i förordning (EU) 2016/679 fram till den 27 december 2022, under förutsättning att de behandlingar som är föremål för avtalet förblir oförändrade och att användningen av dessa klausuler säkerställer att överföringen av personuppgifter omfattas av lämpliga skyddsåtgärder.

Utfärdat i Bryssel den 4 juni 2021.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande


(1)   EUT L 119, 4.5.2016, s. 1.

(2)  Artikel 44 i förordning (EU) 2016/679.

(3)  Se även domstolens dom av den 16 juli 2020 i mål C-311/18, Data Protection Commissioner mot Facebook Ireland Ltd och Maximillian Schrems (”Schrems II”), ECLI:EU:C:2020:559, punkt 93.

(4)  Skäl 109 i förordning (EU) 2016/679.

(5)  Kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG (EGT L 181, 4.7.2001, s. 19).

(6)  Kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (EUT L 39, 12.2.2010, s. 5).

(7)  Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

(8)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39), se skäl 5.

(9)  C(2021) 3701.

(10)  Schrems II, punkterna 96 och 103. Se även förordning (EU) 2016/679, skälen 108 och 114.

(11)  Schrems II.

(12)  EDPB:s och EDPS:s gemensamma yttrande 2/2021 om Europeiska kommissionens genomförandebeslut om standardavtalsklausuler för överföring av personuppgifter till tredjeländer för de frågor som avses i artikel 46.2 c i förordning (EU) 2016/679.


BILAGA

STANDARDAVTALSKLAUSULER

AVSNITT I

Klausul 1

Syfte och tillämpningsområde

a)

Syftet med dessa standardavtalsklausuler är att säkerställa överensstämmelse med kraven i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning) (1) vid överföring av personuppgifter till ett tredjeland.

b)

Parterna:

i)

den eller de fysiska eller juridiska personer, den eller de offentliga myndigheter, den eller de byråer eller andra organ (enheterna) som överför personuppgifter enligt förteckningen i bilaga I.A. (uppgiftsutföraren), och

ii)

den eller de enheter i ett tredjeland som tar emot personuppgifter från uppgiftsutföraren, direkt eller indirekt via en annan enhet som också är part i dessa klausuler, enligt förteckningen i bilaga I.A. (uppgiftsinföraren)

har kommit överens om dessa standardavtalsklausuler (klausulerna).

c)

Dessa klausuler är tillämpliga med avseende på överföring av personuppgifter enligt vad som anges i bilaga I.B.

d)

Det tillägg till dessa klausuler som innehåller de bilagor som det hänvisas till utgör en integrerad del av dessa klausuler.

Klausul 2

Klausulernas verkan och beständighet

a)

Genom dessa klausuler fastställs lämpliga skyddsåtgärder, däribland verkställbara rättigheter och effektiva rättsmedel för de registrerade enligt artikel 46.1 och artikel 46.2 c i förordning (EU) 2016/679 och, när det gäller överföring av personuppgifter från personuppgiftsansvariga till personuppgiftsbiträden och/eller från personuppgiftsbiträden till personuppgiftsbiträden, standardavtalsklausuler enligt artikel 28.7 i förordning (EU) 2016/679, under förutsättning att de inte ändras, förutom för att välja en eller flera lämpliga moduler eller lägga till eller uppdatera informationen i tillägget. Detta hindrar inte parterna från att inbegripa de standardavtalsklausuler som fastställs i dessa klausuler i ett mer övergripande avtal och/eller att lägga till andra klausuler eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med dessa klausuler eller påverkar de registrerades grundläggande rättigheter eller friheter.

b)

Dessa klausuler påverkar inte de skyldigheter som uppgiftsutföraren omfattas av med stöd av förordning (EU) 2016/679.

Klausul 3

Berättigade tredje parter

a)

Registrerade personer får åberopa och verkställa dessa klausuler, i egenskap av berättigade tredje parter, gentemot uppgiftsutföraren och/eller uppgiftsinföraren, med följande undantag:

i)

Klausul 1, klausul 2, klausul 3, klausul 6, klausul 7.

ii)

Klausul 8 – modul ett: klausul 8.5 e och klausul 8.9 b; modul två: klausul 8.1 b, 8.9 a, c, d och e; modul tre: klausul 8.1 a, c och d och klausul 8.9 a, c, d, e, f och g; modul fyra: klausul 8.1 b och klausul 8.3 b.

iii)

Klausul 9 – modul två: klausul 9 a, c, d och e; modul tre: klausul 9 a, c, d och e.

iv)

Klausul 12 – modul ett: klausul 12 a och d; modulerna två och tre: klausul 12 a, d och f.

v)

Klausul 13.

vi)

Klausul 15.1 c, d och e.

vii)

Klausul 16 e.

viii)

Klausul 18 – modulerna ett, två och tre: klausul 18 a och b; modul fyra: klausul 18.

b)

Led a påverkar inte de registrerades rättigheter enligt förordning (EU) 2016/679.

Klausul 4

Tolkning

a)

Om begrepp som definieras i förordning (EU) 2016/679 används i dessa klausuler ska begreppen ha samma betydelse som i den förordningen.

b)

Dessa klausuler ska läsas och tolkas mot bakgrund av bestämmelserna i förordning (EU) 2016/679.

c)

Dessa klausuler ska inte tolkas på ett sätt som står i strid med de rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679.

Klausul 5

Hierarki

Om en konflikt uppstår mellan dessa klausuler och bestämmelserna i de överenskommelser mellan parterna som gäller vid den tidpunkt då dessa klausuler överenskoms eller därefter träder i kraft, ska dessa klausuler ha företräde.

Klausul 6

Beskrivning av överföringen eller överföringarna

Närmare uppgifter om överföringen eller överföringarna, och i synnerhet de kategorier av personuppgifter som överförs och det eller de ändamål för vilka de överförs, anges i bilaga I.B.

Klausul 7 – Valfri

Dockningsklausul

a)

En enhet som inte är part i dessa klausuler får, efter överenskommelse med parterna, när som helst ansluta sig till dessa klausuler, antingen som uppgiftsutförare eller uppgiftsinförare, genom att fylla i tillägget och underteckna bilaga I.A.

b)

När den anslutande enheten har fyllt i tillägget och undertecknat bilaga I.A ska den bli en part i dessa klausuler och ha samma rättigheter och skyldigheter som en uppgiftsutförare eller uppgiftsinförare i enlighet med dess beteckning i bilaga I.A.

c)

Den anslutande enheten ska inte ha några rättigheter eller skyldigheter enligt dessa klausuler från perioden innan enheten blev en part.

AVSNITT II – PARTERNAS SKYLDIGHETER

Klausul 8

Skyddsåtgärder för uppgifter

Uppgiftsutföraren garanterar att han eller hon har gjort rimliga ansträngningar för att se till att uppgiftsinföraren, genom genomförandet av lämpliga tekniska och organisatoriska åtgärder, kan fullgöra sina skyldigheter enligt dessa klausuler.

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

8.1   Ändamålsbegränsning

Uppgiftsinföraren ska endast behandla personuppgifterna för det eller de specifika ändamålen med överföringen, enligt vad som fastställs i bilaga I.B. Uppgiftsinföraren får endast behandla personuppgifterna för något annat ändamål

i)

om han eller hon har fått den registrerades förhandssamtycke,

ii)

om det är nödvändigt för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden, eller

iii)

om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

8.2   Öppenhet

a)

För att se till att de registrerade har möjlighet att utöva sina rättigheter enligt klausul 10 ska uppgiftsinföraren informera dem, antingen direkt eller genom uppgiftsutföraren,

i)

om sin identitet och sina kontaktuppgifter,

ii)

om de kategorier av personuppgifter som behandlas,

iii)

om rätten att erhålla en kopia av dessa klausuler, och

iv)

i de fall uppgiftsinföraren har för avsikt att överföra personuppgifterna vidare till en eller flera tredje parter, om mottagaren eller kategorierna av mottagare (enligt vad som är lämpligt för att tillhandahålla meningsfull information), ändamålet med den vidare överföringen och grunden till överföringen enligt klausul 8.7.

b)

Led a är inte tillämpligt om den registrerade redan har tillgång till denna information, till exempel om informationen redan har tillhandahållits av uppgiftsutföraren, eller om det visar sig vara omöjligt att tillhandahålla informationen eller om det medför en oproportionerlig börda för uppgiftsinföraren. I det sistnämnda fallet ska uppgiftsinföraren, i största möjliga utsträckning, göra informationen allmänt tillgänglig.

c)

På begäran ska parterna tillhandahålla en kopia av dessa klausuler, inklusive tillägget när det har fyllts i av dem, till den registrerade utan kostnad. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive personuppgifter, får parterna redigera delar av texten i tillägget innan en kopia tillhandahålls, men de måste bifoga en meningsfull sammanfattning om den registrerade annars inte skulle kunna förstå dess innehåll eller utöva sina rättigheter. På begäran ska parterna tillhandahålla skälen till redigeringen till den registrerade, i möjligaste mån utan att avslöja de redigerade uppgifterna.

d)

Leden a–c påverkar inte uppgiftsutförarens skyldigheter enligt artiklarna 13 och 14 i förordning (EU) 2016/679.

8.3   Korrekthet och uppgiftsminimering

a)

Varje part ska säkerställa att personuppgifterna är korrekta och, vid behov, uppdaterade. Uppgiftsinföraren ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga, med hänsyn till behandlingens ändamål, raderas eller rättas utan dröjsmål.

b)

Om en av parterna får kännedom om att de personuppgifter som den har överfört eller tagit emot är felaktiga, eller har blivit inaktuella, ska den informera den andra parten utan onödigt dröjsmål.

c)

Uppgiftsinföraren ska säkerställa att personuppgifterna är adekvata, relevanta och begränsade till vad som är nödvändigt med tanke på behandlingens ändamål.

8.4   Begränsad lagring

Uppgiftsinföraren ska inte lagra personuppgifterna under längre tid än vad som är nödvändigt för det eller de ändamål för vilka de behandlas. Uppgiftsinföraren ska införa lämpliga tekniska eller organisatoriska åtgärder för att säkerställa fullgörande av denna skyldighet, däribland att radera eller anonymisera (2) uppgifterna och alla säkerhetskopior i slutet av lagringsperioden.

8.5   Säkerhet vid behandling

a)

Uppgiftsinföraren, och under överföring även uppgiftsutföraren, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa personuppgifternas säkerhet, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska de ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för den registrerade i samband med behandlingen. Parterna ska i synnerhet överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt.

b)

Parterna har kommit överens om de tekniska och organisatoriska åtgärder som fastställs i bilaga II. Uppgiftsinföraren ska göra regelbundna kontroller för att säkerställa att dessa åtgärder även fortsättningsvis ger en lämplig säkerhetsnivå.

c)

Uppgiftsinföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

d)

I händelse av en personuppgiftsincident som gäller uppgifter som har behandlats av uppgiftsinföraren enligt dessa klausuler ska uppgiftsinföraren vidta lämpliga åtgärder för att hantera personuppgiftsincidenten, däribland åtgärder för att mildra dess möjliga negativa konsekvenser.

e)

I händelse av en personuppgiftsincident som sannolikt kommer att leda till risker för fysiska personers rättigheter och friheter ska uppgiftsinföraren utan onödigt dröjsmål meddela både uppgiftsutföraren och den behöriga tillsynsmyndigheten enligt klausul 13. Meddelandet ska innehålla i) en beskrivning av incidentens karaktär (inbegripet, om möjligt, vilka kategorier och det ungefärliga antalet registrerade och personuppgiftsregister som berörs), ii) dess sannolika konsekvenser, iii) vilka åtgärder som har vidtagits eller föreslagits för att hantera incidenten och iv) uppgifter om en kontaktpunkt som kan lämna mer information. Om det inte är möjligt för uppgiftsinföraren att tillhandahålla all information vid samma tillfälle kan han eller hon göra detta i omgångar utan onödigt dröjsmål.

f)

I händelse av en personuppgiftsincident som sannolikt kommer att leda till stora risker för fysiska personers rättigheter och friheter ska uppgiftsinföraren även, utan onödigt dröjsmål, informera de berörda registrerade om personuppgiftsincidenten och dess karaktär, vid behov i samarbete med uppgiftsutföraren, tillsammans med den information som avses i led e ii–iv, såvida inte uppgiftsinföraren har genomfört åtgärder för att avsevärt minska riskerna för fysiska personers rättigheter eller friheter, eller om detta skulle medföra oproportionerliga ansträngningar. I det sistnämnda fallet ska uppgiftsinföraren i stället utfärda ett offentligt tillkännagivande eller vidta en liknande åtgärd för att informera allmänheten om personuppgiftsincidenten.

g)

Uppgiftsinföraren ska dokumentera alla relevanta omständigheter kring personuppgiftsincidenten, däribland dess konsekvenser och eventuella korrigerande åtgärder som vidtagits, och föra ett register över dokumentationen.

8.6   Känsliga uppgifter

Om överföringen inbegriper personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter för unik identifiering av en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning, eller uppgifter om brottmålsdomar eller lagöverträdelser (känsliga uppgifter) ska uppgiftsinföraren tillämpa särskilda begränsningar och/eller ytterligare skyddsåtgärder som är anpassade till uppgifternas specifika karaktär och de medföljande riskerna. Detta kan omfatta begränsningar av den personal som har tillgång till personuppgifterna, ytterligare säkerhetsåtgärder (såsom pseudonymisering) och/eller ytterligare begränsningar när det gäller vidare utlämning av uppgifter.

8.7   Vidare överföringar

Uppgiftsinföraren får inte lämna ut personuppgifter till en tredje part utanför Europeiska unionen (3) (i samma land som uppgiftsinföraren eller i ett annat tredjeland, nedan kallat vidare överföring), såvida inte den tredje parten är eller samtycker till att vara bunden av dessa klausuler i motsvarande modul. I annat fall får uppgiftsinföraren endast genomföra en vidare överföring

i)

om den sker till ett land som omfattas av ett beslut om adekvat skyddsnivå enligt artikel 45 i förordning (EU) 2016/679 som täcker den vidare överföringen,

ii)

om den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder enligt artikel 46 eller 47 i förordning (EU) 2016/679 med avseende på behandlingen i fråga,

iii)

om den tredje parten ingår ett bindande instrument med uppgiftsinföraren som säkerställer samma nivå av skydd som dessa klausuler, och om uppgiftsinföraren förser uppgiftsutföraren med en kopia av dessa skyddsåtgärder,

iv)

om det är nödvändigt för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden,

v)

om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person, eller

vi)

om inget av de andra villkoren är tillämpligt, om uppgiftsinföraren har fått den registrerades uttryckliga samtycke för vidare överföring i en särskild situation, efter att ha informerat honom/henne om överföringens ändamål, mottagarens identitet och de möjliga riskerna för honom/henne vid en sådan överföring på grund av bristen på lämpliga skyddsåtgärder för personuppgifter. I sådana fall ska uppgiftsinföraren informera uppgiftsutföraren och, på begäran av denne, tillhandahålla en kopia av den information som lämnats till den registrerade.

Vid varje vidare överföring måste uppgiftsinföraren uppfylla kraven för alla andra skyddsåtgärder i dessa klausuler, i synnerhet ändamålsbegränsning.

8.8   Behandling under överinseende av uppgiftsinföraren

Uppgiftsinföraren ska säkerställa att varje person som agerar under dess överinseende, inbegripet personuppgiftsbiträden, endast behandlar uppgifterna enligt dennes instruktioner.

8.9   Dokumentation och efterlevnad

a)

Varje part ska kunna visa att de fullgör sina skyldigheter enligt dessa klausuler. Framför allt ska uppgiftsinföraren föra lämplig dokumentation över den behandling som utförs inom hans eller hennes ansvarsområde.

b)

Uppgiftsinföraren ska göra denna dokumentation tillgänglig för den behöriga tillsynsmyndigheten på begäran.

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

8.1   Instruktioner

a)

Uppgiftsinföraren ska endast behandla personuppgifterna enligt dokumenterade instruktioner från uppgiftsutföraren. Uppgiftsutföraren får ge sådana instruktioner under hela avtalets giltighetstid.

b)

Uppgiftsinföraren ska omedelbart informera uppgiftsutföraren om han eller hon inte kan följa dessa instruktioner.

8.2   Ändamålsbegränsning

Uppgiftsinföraren ska endast behandla personuppgifterna för det eller de specifika ändamålen med överföringen, enligt vad som fastställs i bilaga I.B, såvida inte uppgiftsutföraren har gett andra instruktioner.

8.3   Öppenhet

På begäran ska uppgiftsutföraren tillhandahålla en kopia av dessa klausuler, inklusive tillägget när det har fyllts i av parterna, till den registrerade utan kostnad. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive de åtgärder som beskrivs i bilaga II och personuppgifter, får uppgiftsutföraren redigera delar av texten i tillägget till dessa klausuler innan en kopia tillhandahålls, men han eller hon måste bifoga en meningsfull sammanfattning om den registrerade annars inte skulle kunna förstå dess innehåll eller utöva sina rättigheter. På begäran ska parterna tillhandahålla skälen till redigeringen till den registrerade, i möjligaste mån utan att avslöja de redigerade uppgifterna. Denna klausul påverkar inte uppgiftsutförarens skyldigheter enligt artiklarna 13 och 14 i förordning (EU) 2016/679.

8.4   Korrekthet

Om uppgiftsinföraren får kännedom om att de personuppgifter som han eller hon har tagit emot är felaktiga, eller har blivit inaktuella, ska han eller hon informera uppgiftsutföraren utan onödigt dröjsmål. I sådana fall ska uppgiftsinföraren samarbeta med uppgiftsutföraren för att radera eller rätta uppgifterna.

8.5   Behandlingens varaktighet och radering eller återlämnande av uppgifter

Uppgiftsinförarens behandling ska endast äga rum under den period som anges i bilaga I.B. När tillhandahållandet av behandlingstjänsterna har avslutats ska uppgiftsinföraren, enligt uppgiftsutförarens val, radera alla personuppgifter som behandlats på uppdrag av uppgiftsutföraren och intyga för uppgiftsutföraren att detta har skett, eller till uppgiftsutföraren återlämna alla personuppgifter som har behandlats på uppdrag av uppgiftsutföraren och radera befintliga kopior. Till dess att uppgifterna raderats eller återlämnats ska uppgiftsinföraren fortsätta att se till att dessa klausuler följs. Om återlämnande eller radering av personuppgifterna är förbjudet enligt lokal lagstiftning som är tillämplig för uppgiftsinföraren ska uppgiftsinföraren garantera att han eller hon kommer att fortsätta att uppfylla kraven i dessa klausuler och endast kommer att behandla personuppgifterna i den utsträckning och under den tid som krävs enligt den lokala lagstiftningen. Detta påverkar inte klausul 14, i synnerhet kravet enligt klausul 14 e att uppgiftsinföraren under hela avtalets giltighetstid ska meddela uppgiftsutföraren om han eller hon har anledning att misstänka att han eller hon är eller har blivit föremål för lagar eller förfaranden som inte stämmer överens med kraven i klausul 14 a.

8.6   Säkerhet vid behandling

a)

Uppgiftsinföraren, och under överföring även uppgiftsutföraren, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst till uppgifterna (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska parterna ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för de registrerade i samband med behandlingen. Parterna ska i synnerhet överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt. Vid användning av pseudonymisering ska uppgiftsutföraren om möjligt behålla sin fullständiga kontroll över den ytterligare information som krävs för att knyta personuppgifterna till en viss registrerad. För att fullgöra sina skyldigheter enligt denna punkt ska uppgiftsinföraren åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga II. Uppgiftsinföraren ska göra regelbundna kontroller för att säkerställa att dessa åtgärder även fortsättningsvis ger en lämplig säkerhetsnivå.

b)

Uppgiftsinföraren ska endast ge sin personal tillgång till personuppgifterna i den utsträckning det är absolut nödvändigt för att genomföra, förvalta och övervaka avtalet. Uppgiftsinföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

c)

I händelse av en personuppgiftsincident som gäller uppgifter som har behandlats av uppgiftsinföraren enligt dessa klausuler ska uppgiftsinföraren vidta lämpliga åtgärder för att hantera incidenten, däribland åtgärder för att mildra dess negativa konsekvenser. Uppgiftsinföraren ska även meddela uppgiftsutföraren utan onödigt dröjsmål efter att ha fått kännedom om incidenten. Meddelandet ska innehålla uppgifter om en kontaktpunkt som kan lämna mer information, en beskrivning av incidentens karaktär (inbegripet, om möjligt, vilka kategorier och det ungefärliga antalet registrerade och personuppgiftsregister som berörs), dess sannolika konsekvenser samt vilka åtgärder som har vidtagits eller föreslagits för att hantera incidenten, däribland, i tillämpliga fall, åtgärder för att mildra dess möjliga negativa konsekvenser. Om, och i den mån, det inte är möjligt att tillhandahålla all information vid samma tillfälle ska det inledande meddelandet innehålla den information som då finns tillgänglig, varefter ytterligare information ska tillhandahållas utan onödigt dröjsmål efterhand som den blir tillgänglig.

d)

Uppgiftsinföraren ska samarbeta med och bistå uppgiftsutföraren så att uppgiftsutföraren kan fullgöra sina skyldigheter enligt förordning (EU) 2016/679, framför allt att meddela den behöriga tillsynsmyndigheten och de berörda registrerade, med beaktande av behandlingens karaktär och den information som finns tillgänglig för uppgiftsinföraren.

8.7   Känsliga uppgifter

Om överföringen inbegriper personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter för unik identifiering av en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning, eller uppgifter om brottmålsdomar och lagöverträdelser (känsliga uppgifter) ska uppgiftsinföraren tillämpa de särskilda begränsningar och/eller de ytterligare skyddsåtgärder som beskrivs i bilaga I.B.

8.8   Vidare överföringar

Uppgiftsinföraren ska endast lämna ut personuppgifter till en tredje part enligt dokumenterade instruktioner från uppgiftsutföraren. Dessutom får uppgifterna endast lämnas ut till en tredje part utanför Europeiska unionen (4) (i samma land som uppgiftsinföraren eller i ett annat tredjeland, nedan kallat vidare överföring), om den tredje parten är eller samtycker till att vara bunden av dessa klausuler i motsvarande modul, eller

i)

om den vidare överföringen sker till ett land som omfattas av ett beslut om adekvat skyddsnivå enligt artikel 45 i förordning (EU) 2016/679 som täcker den vidare överföringen,

ii)

om den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder enligt artikel 46 eller 47 i förordning (EU) 2016/679 med avseende på behandlingen i fråga,

iii)

om den vidare överföringen är nödvändig för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden, eller

iv)

om den vidare överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

Vid varje vidare överföring måste uppgiftsinföraren uppfylla kraven för alla andra skyddsåtgärder i dessa klausuler, i synnerhet ändamålsbegränsning.

8.9   Dokumentation och efterlevnad

a)

Uppgiftsinföraren ska skyndsamt och på ett lämpligt sätt hantera förfrågningar från uppgiftsutföraren angående behandlingen enligt dessa klausuler.

b)

Parterna ska kunna visa att de uppfyller kraven i dessa klausuler. Framför allt ska uppgiftsinföraren föra lämplig dokumentation över den behandling som utförts på uppdrag av uppgiftsutföraren.

c)

Uppgiftsinföraren ska se till att uppgiftsutföraren har tillgång till all information som behövs för att visa att de skyldigheter som fastställs i dessa klausuler har fullgjorts och, på uppgiftsutförarens begäran, möjliggöra och bidra till revisioner av den behandling som omfattas av dessa klausuler med rimliga mellanrum eller om det finns indikationer på bristande efterlevnad. När beslut fattas om en granskning eller revision får uppgiftsutföraren ta hänsyn till relevanta intyg som innehas av uppgiftsinföraren.

d)

Uppgiftsutföraren får välja att utföra revisionen själv eller anlita en oberoende revisor. Revisionerna får omfatta inspektioner i uppgiftsinförarens lokaler eller fysiska anläggningar och ska, om så är lämpligt, utföras med rimligt varsel.

e)

Parterna ska se till att den information som avses i leden b och c, inklusive resultaten av eventuella revisioner, finns tillgänglig för den behöriga tillsynsmyndigheten på begäran.

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

8.1   Instruktioner

a)

Uppgiftsutföraren har informerat uppgiftsinföraren om att han eller hon agerar i egenskap av personuppgiftsbiträde enligt den eller de personuppgiftsansvarigas instruktioner, vilka uppgiftsutföraren ska göra tillgängliga för uppgiftsinföraren före behandlingen.

b)

Uppgiftsinföraren ska endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, vilka uppgiftsutföraren ska tillhandahålla uppgiftsinföraren, och eventuella ytterligare dokumenterade instruktioner från uppgiftsutföraren. Sådana ytterligare instruktioner får inte stå i strid med den personuppgiftsansvariges instruktioner. Den personuppgiftsansvarige eller uppgiftsutföraren får ge ytterligare dokumenterade instruktioner avseende behandlingen av personuppgifter under hela avtalets giltighetstid.

c)

Uppgiftsinföraren ska omedelbart informera uppgiftsutföraren vid eventuell oförmåga att följa dessa instruktioner. Om uppgiftsinföraren inte kan följa den personuppgiftsansvariges instruktioner ska uppgiftsutföraren omedelbart informera den personuppgiftsansvarige.

d)

Uppgiftsutföraren garanterar att han eller hon har ålagt uppgiftsinföraren samma skyldigheter i fråga om uppgiftsskydd som fastställs i avtalet eller annan rättsakt enligt unionens eller medlemsstaternas lagstiftning mellan den personuppgiftsansvarige och uppgiftsutföraren (5).

8.2   Ändamålsbegränsning

Uppgiftsinföraren ska endast behandla personuppgifter för det eller de specifika ändamålen med överföringen, enligt vad som fastställs i bilaga I.B, såvida inte andra instruktioner har lämnats av den personuppgiftsansvarige, enligt information från uppgiftsutföraren till uppgiftsinföraren, eller av uppgiftsutföraren.

8.3   Öppenhet

På begäran ska uppgiftsutföraren tillhandahålla en kopia av dessa klausuler, inklusive tillägget när det har fyllts i av parterna, till den registrerade utan kostnad. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive personuppgifter, får uppgiftsutföraren redigera delar av texten i tillägget innan en kopia tillhandahålls, men han eller hon måste bifoga en meningsfull sammanfattning om den registrerade annars inte skulle kunna förstå dess innehåll eller utöva sina rättigheter. På begäran ska parterna tillhandahålla skälen till redigeringen till den registrerade, i möjligaste mån utan att avslöja de redigerade uppgifterna.

8.4   Korrekthet

Om uppgiftsinföraren får kännedom om att de personuppgifter som han eller hon har tagit emot är felaktiga, eller har blivit inaktuella, ska han eller hon informera uppgiftsutföraren utan onödigt dröjsmål. I sådana fall ska uppgiftsinföraren samarbeta med uppgiftsutföraren för att rätta eller radera uppgifterna.

8.5   Behandlingens varaktighet och radering eller återlämnande av uppgifter

Uppgiftsinförarens behandling ska endast äga rum under den period som anges i bilaga I.B. När tillhandahållandet av behandlingstjänsterna har avslutats ska uppgiftsinföraren, enligt uppgiftsutförarens val, radera alla personuppgifter som behandlats på uppdrag av den personuppgiftsansvarige och intyga för uppgiftsutföraren att detta har skett, eller till uppgiftsutföraren återlämna alla personuppgifter som har behandlats på uppdrag av uppgiftsutföraren och radera befintliga kopior. Till dess att uppgifterna raderats eller återlämnats ska uppgiftsinföraren fortsätta att se till att dessa klausuler följs. Om återlämnande eller radering av personuppgifterna är förbjudet enligt lokal lagstiftning som är tillämplig för uppgiftsinföraren ska uppgiftsinföraren garantera att han eller hon kommer att fortsätta att uppfylla kraven i dessa klausuler och endast kommer att behandla personuppgifterna i den utsträckning och under den tid som krävs enligt den lokala lagstiftningen. Detta påverkar inte klausul 14, i synnerhet kravet enligt klausul 14 e att uppgiftsinföraren under hela avtalets giltighetstid ska meddela uppgiftsutföraren om han eller hon har anledning att misstänka att han eller hon är eller har blivit föremål för lagar eller förfaranden som inte stämmer överens med kraven i klausul 14 a.

8.6   Säkerhet vid behandling

a)

Uppgiftsinföraren, och under överföring även uppgiftsutföraren, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst till uppgifterna (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska de ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för den registrerade i samband med behandlingen. Parterna ska i synnerhet överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt. Vid användning av pseudonymisering ska uppgiftsutföraren eller den personuppgiftsansvarige om möjligt behålla sin fullständiga kontroll över den ytterligare information som krävs för att knyta personuppgifterna till en viss registrerad. För att fullgöra sina skyldigheter enligt denna punkt ska uppgiftsinföraren åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga II. Uppgiftsinföraren ska göra regelbundna kontroller för att säkerställa att dessa åtgärder även fortsättningsvis ger en lämplig säkerhetsnivå.

b)

Uppgiftsinföraren ska endast ge sin personal tillgång till uppgifterna i den utsträckning det är absolut nödvändigt för att genomföra, förvalta och övervaka avtalet. Uppgiftsinföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

c)

I händelse av en personuppgiftsincident som gäller uppgifter som har behandlats av uppgiftsinföraren enligt dessa klausuler ska uppgiftsinföraren vidta lämpliga åtgärder för att hantera incidenten, däribland åtgärder för att mildra dess negativa konsekvenser. Uppgiftsinföraren ska även, utan onödigt dröjsmål, meddela uppgiftsutföraren och, om det är lämpligt och genomförbart, den personuppgiftsansvarige efter att ha fått kännedom om incidenten. Meddelandet ska innehålla uppgifter om en kontaktpunkt som kan lämna mer information, en beskrivning av incidentens karaktär (inbegripet, om möjligt, vilka kategorier och det ungefärliga antalet registrerade och personuppgiftsregister som berörs), dess sannolika konsekvenser samt vilka åtgärder som har vidtagits eller föreslagits för att hantera incidenten, däribland åtgärder för att mildra dess möjliga negativa konsekvenser. Om, och i den mån, det inte är möjligt att tillhandahålla all information vid samma tillfälle ska det inledande meddelandet innehålla den information som då finns tillgänglig, varefter ytterligare information ska tillhandahållas utan onödigt dröjsmål efterhand som den blir tillgänglig.

d)

Uppgiftsinföraren ska samarbeta med och bistå uppgiftsutföraren så att uppgiftsutföraren kan fullgöra sina skyldigheter enligt förordning (EU) 2016/679, framför allt att meddela den personuppgiftsansvarige så att denne i sin tur kan meddela den behöriga tillsynsmyndigheten och de berörda registrerade, med beaktande av behandlingens karaktär och den information som finns tillgänglig för uppgiftsinföraren.

8.7   Känsliga uppgifter

Om överföringen inbegriper personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter för unik identifiering av en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning, eller uppgifter om brottmålsdomar och lagöverträdelser (känsliga uppgifter) ska uppgiftsinföraren tillämpa de särskilda begränsningar och/eller de ytterligare skyddsåtgärder som beskrivs i bilaga I.B.

8.8   Vidare överföringar

Uppgiftsinföraren ska endast lämna ut personuppgifterna till en tredje part efter dokumenterade instruktioner från den personuppgiftsansvarige, enligt den information som uppgiftsinföraren har fått av uppgiftsutföraren. Dessutom får uppgifterna endast lämnas ut till en tredje part utanför Europeiska unionen (6) (i samma land som uppgiftsinföraren eller i ett annat tredjeland, nedan kallat vidare överföring), om den tredje parten är eller samtycker till att vara bunden av dessa klausuler i motsvarande modul, eller

i)

om den vidare överföringen sker till ett land som omfattas av ett beslut om adekvat skyddsnivå enligt artikel 45 i förordning (EU) 2016/679 som täcker den vidare överföringen,

ii)

om den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder enligt artikel 46 eller 47 i förordning (EU) 2016/679,

iii)

om den vidare överföringen är nödvändig för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden, eller

iv)

om den vidare överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

Vid varje vidare överföring måste uppgiftsinföraren uppfylla kraven för alla andra skyddsåtgärder i dessa klausuler, i synnerhet ändamålsbegränsning.

8.9   Dokumentation och efterlevnad

a)

Uppgiftsinföraren ska skyndsamt och på lämpligt sätt hantera förfrågningar från uppgiftsutföraren eller den personuppgiftsansvarige angående behandlingen enligt dessa klausuler.

b)

Parterna ska kunna visa att de uppfyller kraven i dessa klausuler. Framför allt ska uppgiftsinföraren föra lämplig dokumentation över den behandling som utförts på uppdrag av den personuppgiftsansvarige.

c)

Uppgiftsinföraren ska se till att uppgiftsutföraren får tillgång till all information som behövs för att visa att de skyldigheter som fastställs i dessa klausuler har fullgjorts; uppgiftsutföraren ska sedan vidarebefordra denna information till den personuppgiftsansvarige.

d)

Uppgiftsinföraren ska möjliggöra och bidra till uppgiftsutförarens revisioner av den behandling som omfattas av dessa klausuler, med rimliga mellanrum eller om det finns indikationer på bristande efterlevnad. Detsamma ska gälla om uppgiftsutföraren begär en revision enligt instruktioner från den personuppgiftsansvarige. När beslut fattas om en revision får uppgiftsutföraren ta hänsyn till relevanta intyg som innehas av uppgiftsinföraren.

e)

Om revisionen utförs efter den personuppgiftsansvariges instruktioner ska uppgiftsutföraren göra resultaten tillgängliga för den personuppgiftsansvarige.

f)

Uppgiftsutföraren får välja att utföra revisionen själv eller anlita en oberoende revisor. Revisionerna får omfatta inspektioner i uppgiftsinförarens lokaler eller fysiska anläggningar och ska, om så är lämpligt, utföras med rimligt varsel.

g)

Parterna ska se till att den information som avses i leden b och c, inklusive resultaten av eventuella revisioner, finns tillgänglig för den behöriga tillsynsmyndigheten på begäran.

MODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig

8.1   Instruktioner

a)

Uppgiftsutföraren ska endast behandla personuppgifterna enligt dokumenterade instruktioner från den uppgiftsinförare som agerar som dess personuppgiftsansvarige.

b)

Uppgiftsutföraren ska omedelbart informera uppgiftsinföraren om han eller hon inte kan följa dessa instruktioner, däribland om instruktionerna bryter mot förordning (EU) 2016/679 eller någon annan dataskyddslagstiftning i unionen eller medlemsstaterna.

c)

Uppgiftsinföraren ska avstå från varje åtgärd som skulle hindra uppgiftsutföraren från att fullgöra sina skyldigheter enligt förordning (EU) 2016/679, däribland vid anlitande av en underentreprenör eller när det gäller samarbete med de behöriga tillsynsmyndigheterna.

d)

När tillhandahållandet av behandlingstjänsterna har avslutats ska uppgiftsutföraren, enligt uppgiftsinförarens val, radera alla personuppgifter som behandlats på uppdrag av uppgiftsinföraren och intyga för uppgiftsinföraren att detta har skett, eller till uppgiftsinföraren återlämna alla personuppgifter som har behandlats på uppdrag av uppgiftsinföraren och radera befintliga kopior.

8.2   Säkerhet vid behandling

a)

Parterna ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet, även under överföring, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska de ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, personuppgifternas karaktär (7), behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för de registrerade i samband med behandlingen, och särskilt överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt.

b)

Uppgiftsutföraren ska bistå uppgiftsinföraren med att säkerställa en lämplig säkerhetsnivå för uppgifterna i enlighet med led a. I händelse av en personuppgiftsincident som gäller personuppgifter som har behandlats av uppgiftsutföraren enligt dessa klausuler ska uppgiftsutföraren utan onödigt dröjsmål meddela uppgiftsinföraren efter att ha fått kännedom om incidenten och bistå uppgiftsinföraren i hanteringen av densamma.

c)

Uppgiftsutföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

8.3   Dokumentation och efterlevnad

a)

Parterna ska kunna visa att de uppfyller kraven i dessa klausuler.

b)

Uppgiftsutföraren ska se till att uppgiftsinföraren får tillgång till all information som behövs för att visa att skyldigheterna enligt dessa klausuler har fullgjorts och för att möjliggöra och bidra till revisioner.

Klausul 9

Användning av underentreprenörer

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

a)

ALTERNATIV 1: SÄRSKILT FÖRHANDSTILLSTÅND Uppgiftsinföraren får inte utkontraktera någon av sina behandlingar som utförs på uppdrag av uppgiftsutföraren enligt dessa klausuler till en underentreprenör utan ett särskilt skriftligt förhandstillstånd från uppgiftsutföraren. Uppgiftsinföraren ska lämna in en ansökan om ett särskilt förhandstillstånd minst [ange tidsperiod] före anlitandet av underentreprenören, tillsammans med den information som krävs för att uppgiftsutföraren ska kunna fatta ett beslut om tillståndet. Förteckningen över underentreprenörer som redan godkänts av uppgiftsutföraren finns i bilaga III. Parterna ska se till att bilaga III är uppdaterad.

ALTERNATIV 2: ALLMÄNT SKRIFTLIGT TILLSTÅND Uppgiftsinföraren har uppgiftsutförarens allmänna tillstånd att anlita en eller flera underentreprenörer i en överenskommen förteckning. Uppgiftsinföraren ska informera uppgiftsutföraren skriftligen om alla planerade ändringar av förteckningen genom tillägg eller ersättning av underentreprenörer minst [ange tidsperiod] i förväg, så att uppgiftsutföraren har tillräckligt med tid för att invända mot sådana ändringar före anlitandet av underentreprenören(-erna). Uppgiftsinföraren ska ge uppgiftsutföraren all information som behövs för att uppgiftsutföraren ska kunna utöva sin rätt att göra invändningar.

b)

Om uppgiftsinföraren anlitar en underentreprenör för att utföra särskilda behandlingar (på uppdrag av uppgiftsutföraren) ska han eller hon göra detta genom ett skriftligt avtal som, i sak, innehåller samma skyldigheter i fråga om dataskydd som de avtal som är bindande för uppgiftsinföraren enligt dessa klausuler, däribland vad gäller de registrerades rättigheter som berättigade tredje parter (8). Parterna är överens om att uppgiftsinföraren, genom att uppfylla kraven i denna klausul, fullgör sina skyldigheter enligt klausul 8.8. Uppgiftsinföraren ska säkerställa att underentreprenören fullgör de skyldigheter som uppgiftsinföraren omfattas av enligt dessa klausuler.

c)

Uppgiftsinföraren ska, på uppgiftsutförarens begäran, tillhandahålla en kopia av avtalet med underentreprenören och eventuella senare ändringar till uppgiftsutföraren. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive personuppgifter, får uppgiftsinföraren redigera texten i avtalet innan en kopia tillhandahålls.

d)

Uppgiftsinföraren ska fortsatt vara fullt ansvarig inför uppgiftsutföraren för fullgörandet av underentreprenörens skyldigheter inom ramen för dennes avtal med uppgiftsinföraren. Uppgiftsinföraren ska meddela uppgiftsutföraren om underentreprenören underlåter att fullgöra sina skyldigheter inom ramen för avtalet.

e)

Uppgiftsinföraren ska komma överens om en klausul om tredjepartsberättigande med underentreprenören, varigenom uppgiftsutföraren – om uppgiftsinföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd – ska ha rätt att säga upp avtalet med underentreprenören och beordra underentreprenören att radera eller återlämna personuppgifterna.

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

a)

ALTERNATIV 1: SÄRSKILT FÖRHANDSTILLSTÅND Uppgiftsinföraren får inte utkontraktera någon av sina behandlingar som utförs på uppdrag av uppgiftsutföraren enligt dessa klausuler till en underentreprenör utan ett särskilt skriftligt förhandstillstånd från den personuppgiftsansvarige. Uppgiftsinföraren ska lämna in en ansökan om ett särskilt förhandstillstånd minst [ange tidsperiod] före anlitandet av underentreprenören, tillsammans med den information som behövs för att den personuppgiftsansvarige ska kunna fatta ett beslut om tillståndet. Uppgiftsinföraren ska informera uppgiftsutföraren om anlitandet. Förteckningen över underentreprenörer som redan godkänts av den personuppgiftsansvarige finns i bilaga III. Parterna ska se till att bilaga III är uppdaterad.

ALTERNATIV 2: ALLMÄNT SKRIFTLIGT TILLSTÅND Uppgiftsinföraren har den personuppgiftsansvariges allmänna tillstånd att anlita en eller flera underentreprenörer i en överenskommen förteckning. Uppgiftsinföraren ska informera den personuppgiftsansvarige skriftligen om alla planerade ändringar av förteckningen genom tillägg eller ersättning av underentreprenörer minst [ange tidsperiod] i förväg, så att den personuppgiftsansvarige har tillräckligt med tid för att invända mot sådana ändringar före anlitandet av underentreprenören(-erna). Uppgiftsinföraren ska ge den personuppgiftsansvarige all information som behövs för att den personuppgiftsansvarige ska kunna utöva sin rätt att göra invändningar. Uppgiftsinföraren ska informera uppgiftsutföraren om anlitandet av underentreprenören(-erna).

b)

Om uppgiftsinföraren anlitar en underentreprenör för att utföra särskilda behandlingar (på uppdrag av den personuppgiftsansvarige) ska han eller hon göra detta genom ett skriftligt avtal som, i sak, innehåller samma skyldigheter i fråga om dataskydd som de avtal som är bindande för uppgiftsinföraren enligt dessa klausuler, däribland vad gäller de registrerades rättigheter som berättigade tredje parter (9). Parterna är överens om att uppgiftsinföraren, genom att uppfylla kraven i denna klausul, fullgör sina skyldigheter enligt klausul 8.8. Uppgiftsinföraren ska säkerställa att underentreprenören fullgör de skyldigheter som uppgiftsinföraren omfattas av enligt dessa klausuler.

c)

Uppgiftsinföraren ska, på uppgiftsutförarens eller den personuppgiftsansvariges begäran, tillhandahålla en kopia av avtalet med underentreprenören och eventuella senare ändringar. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive personuppgifter, får uppgiftsinföraren redigera texten i avtalet innan en kopia tillhandahålls.

d)

Uppgiftsinföraren ska fortsatt vara fullt ansvarig inför uppgiftsutföraren för fullgörandet av underentreprenörens skyldigheter inom ramen för dennes avtal med uppgiftsinföraren. Uppgiftsinföraren ska meddela uppgiftsutföraren om underentreprenören underlåter att fullgöra sina skyldigheter inom ramen för avtalet.

e)

Uppgiftsinföraren ska komma överens om en klausul om tredjepartsberättigande med underentreprenören, varigenom uppgiftsutföraren – om uppgiftsinföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd – ska ha rätt att säga upp avtalet med underentreprenören och beordra underentreprenören att radera eller återlämna personuppgifterna.

Klausul 10

De registrerades rättigheter

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

a)

Uppgiftsinföraren ska, i relevanta fall med bistånd från uppgiftsutföraren, hantera eventuella förfrågningar och begäranden från en registrerad avseende behandlingen av hans/hennes personuppgifter och utövandet av hans/hennes rättigheter enligt dessa klausuler utan onödigt dröjsmål och senast inom en månad efter mottagandet av förfrågningen eller begäran. (10) Uppgiftsinföraren ska vidta lämpliga åtgärder för att underlätta sådana förfrågningar och begäranden och utövandet av den registrerades rättigheter. All information till den registrerade ska tillhandahållas i ett begripligt och lättillgängligt format, med ett tydligt och enkelt språk.

b)

Uppgiftsinföraren ska i synnerhet, på begäran av den registrerade, utan kostnad

i)

bekräfta för den registrerade huruvida personuppgifter som rör honom eller henne behandlas och, om så är fallet, tillhandahålla en kopia av de uppgifter som rör honom eller henne och den information som anges i bilaga I, om personuppgifter har överförts eller kommer att överföras vidare, tillhandahålla uppgifter om mottagare eller kategorier av mottagare (enligt vad som är lämpligt för att tillhandahålla meningsfull information) till vilka personuppgifterna har överförts eller kommer att överföras vidare, ändamålet med dessa vidare överföringar och deras grund i enlighet med klausul 8.7, samt tillhandahålla information om rätten att inge ett klagomål till en tillsynsmyndighet i enlighet med klausul 12 c i,

ii)

rätta felaktiga eller ofullständiga uppgifter som rör den registrerade,

iii)

radera personuppgifter som rör den registrerade om uppgifterna behandlas eller har behandlats i strid med någon av dessa klausuler som säkerställer rättigheterna för en berättigad tredje part, eller om den registrerade drar tillbaka det samtycke som ligger till grund för behandlingen.

c)

Om uppgiftsinföraren behandlar personuppgifterna för direkt marknadsföring ska han eller hon upphöra med behandlingen för sådana ändamål om den registrerade motsätter sig det.

d)

Uppgiftsinföraren får inte fatta beslut som endast baseras på automatisk behandling av de överförda personuppgifterna (databehandlat beslut), vilket skulle medföra rättsverkningar för den registrerade eller på liknande sätt avsevärt påverka honom/henne, såvida inte den registrerade har gett sitt uttryckliga samtycke eller om uppgiftsinföraren har tillstånd att göra detta enligt det mottagande landets lagar, förutsatt att de föreskriver lämpliga åtgärder för att skydda den registrerades rättigheter och berättigade intressen. I sådana fall ska uppgiftsinföraren, vid behov i samarbete med uppgiftsutföraren,

i)

informera den registrerade om det planerade databehandlade beslutet, dess konsekvenser och den logik som används, och

ii)

genomföra lämpliga skyddsåtgärder, åtminstone genom att ge den registrerade möjlighet att bestrida beslutet, uttrycka sin åsikt och erhålla en mänsklig granskning.

e)

Om en registrerad person lämnar in ett överdrivet antal begäranden, i synnerhet om de har en repetitiv karaktär, får uppgiftsinföraren antingen ta ut en rimlig avgift med beaktande av de administrativa kostnaderna för beviljandet av begäran eller vägra att hantera begäran.

f)

Uppgiftsinföraren får avvisa en begäran från en registrerad person om avvisandet är tillåtet enligt det mottagande landets lagstiftning, och om det är nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda ett av de mål som anges i artikel 23.1 i förordning (EU) 2016/679.

g)

Om uppgiftsinföraren har för avsikt att avvisa en begäran från en registrerad ska han eller hon informera den registrerade om skälen till avvisandet och om möjligheten att inge ett klagomål till den behöriga tillsynsmyndigheten och/eller begära rättslig prövning.

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

a)

Uppgiftsinföraren ska skyndsamt meddela uppgiftsutföraren om varje begäran från en registrerad. Uppgiftsinföraren ska inte själv besvara begäran, såvida inte han eller hon har fått tillstånd att göra detta av uppgiftsutföraren.

b)

Uppgiftsinföraren ska bistå uppgiftsutföraren med att fullgöra dennes skyldigheter att tillgodose de registrerades begäranden om att utöva sina rättigheter enligt förordning (EU) 2016/679. I detta avseende ska parterna fastställa lämpliga tekniska och organisatoriska åtgärder i bilaga II, med beaktande av behandlingens karaktär, genom vilka biståndet ska tillhandahållas, såväl som tillämpningsområdet för och omfattningen av det bistånd som begärs.

c)

När uppgiftsinföraren fullgör sina skyldigheter enligt leden a och b ska han eller hon följa uppgiftsutförarens instruktioner.

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

a)

Uppgiftsinföraren ska skyndsamt meddela uppgiftsutföraren och, om så är lämpligt, den personuppgiftsansvarige om varje begäran som tas emot från en registrerad, utan att besvara begäran såvida inte han eller hon har den personuppgiftsansvariges tillstånd att göra detta.

b)

Uppgiftsinföraren ska bistå den personuppgiftsansvarige, i tillämpliga fall i samarbete med uppgiftsutföraren, med att fullgöra dennes skyldigheter att tillgodose de registrerades begäranden om att utöva sina rättigheter enligt förordning (EU) 2016/679 eller förordning (EU) 2018/1725, enligt vad som är tillämpligt. I detta avseende ska parterna fastställa lämpliga tekniska och organisatoriska åtgärder i bilaga II, med beaktande av behandlingens karaktär, genom vilka biståndet ska tillhandahållas, såväl som tillämpningsområdet för och omfattningen av det bistånd som begärs.

c)

När uppgiftsinföraren fullgör sina skyldigheter enligt leden a och b ska han eller hon följa den personuppgiftsansvariges instruktioner, vilka meddelas av uppgiftsutföraren.

MODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig

Parterna ska bistå varandra med att svara på förfrågningar och begäranden från registrerade enligt den lokala lagstiftning som är tillämplig på uppgiftsinföraren eller, vid databehandling av uppgiftsutföraren inom EU, enligt förordning (EU) 2016/679.

Klausul 11

Tillgång till prövning

a)

Uppgiftsinföraren ska informera de registrerade i ett öppet och lättillgängligt format, genom enskilda meddelanden eller på sin webbplats, om en kontaktpunkt som har tillstånd att hantera klagomål. Uppgiftsinföraren ska skyndsamt hantera varje klagomål som tas emot från en registrerad.

[ALTERNATIV: Uppgiftsinföraren samtycker till att registrerade även får inge klagomål till ett oberoende tvistlösningsorgan (11) utan kostnad för den registrerade. Uppgiftsinföraren ska informera de registrerade, på det sätt som anges i led a, om denna mekanism för prövning och om att de inte måste använda den eller följa en viss ordning när de begär prövning.]

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

b)

Om en tvist uppstår mellan en registrerad och en av parterna när det gäller efterlevnaden av dessa klausuler ska den parten göra sitt yttersta för att lösa tvisten i godo på ett skyndsamt sätt. Parterna ska informera varandra om sådana tvister och, i tillämpliga fall, samarbeta för att lösa dem.

c)

Om den registrerade åberopar en rättighet som berättigad tredje part enligt klausul 3 ska uppgiftsinföraren godta den registrerades beslut att

i)

inge ett klagomål till tillsynsmyndigheten i den medlemsstat där han/hon är stadigvarande bosatt eller har sin arbetsplats, eller till den behöriga tillsynsmyndigheten enligt klausul 13,

ii)

hänskjuta tvisten till de behöriga domstolarna i den mening som avses i klausul 18.

d)

Parterna godtar att den registrerade får företrädas av ett organ, en organisation eller sammanslutning utan vinstsyfte enligt de villkor som fastställs i artikel 80.1 i förordning (EU) 2016/679.

e)

Uppgiftsinföraren ska följa ett beslut som är bindande enligt tillämplig lagstiftning i EU eller medlemsstaterna.

f)

Uppgiftsinföraren är införstådd med att det val som gjorts av den registrerade inte kommer att påverka hans/hennes materiella och processuella rättigheter att begära prövning i enlighet med tillämplig lagstiftning.

Klausul 12

Ansvarsskyldighet

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

MODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig

a)

Varje part ska vara ansvarig inför den andra parten eller de andra parterna för eventuella skador den orsakar den andra parten eller de andra parterna genom överträdelse av dessa klausuler.

b)

Varje part ska vara ansvarig inför den registrerade, och den registrerade ska ha rätt till ersättning, för varje materiell eller immateriell skada som parten orsakar den registrerade genom att kränka rättigheterna för en berättigad tredje part enligt dessa klausuler. Detta påverkar inte uppgiftsutförarens ansvarsskyldighet enligt förordning (EU) 2016/679.

c)

Om fler än en part är ansvariga för eventuell skada som orsakats den registrerade till följd av en överträdelse av dessa klausuler ska alla ansvarsskyldiga parter vara solidariskt ansvariga, och den registrerade ska ha rätt att väcka talan i domstol mot var och en av dessa parter.

d)

Parterna är överens om att en part som hålls ansvarig enligt led c ska ha rätt att återkräva från den andra parten eller de andra parterna den del av ersättningen som motsvarar dess/deras ansvarsskyldighet för skadan.

e)

Uppgiftsinföraren får inte åberopa ett personuppgiftsbiträdes eller en underentreprenörs uppförande för att undvika sitt eget ansvar.

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

a)

Varje part ska vara ansvarig inför den andra parten eller de andra parterna för eventuella skador den orsakar den andra parten eller de andra parterna genom överträdelse av dessa klausuler.

b)

Uppgiftsinföraren ska vara ansvarig inför den registrerade, och den registrerade ska ha rätt till ersättning, för varje materiell eller immateriell skada som uppgiftsinföraren eller dess underentreprenör orsakar den registrerade genom att kränka rättigheterna för en berättigad tredje part enligt dessa klausuler.

c)

Utan att det påverkar led b ska uppgiftsutföraren vara ansvarig inför den registrerade, och den registrerade ska ha rätt till ersättning, för varje materiell eller immateriell skada som uppgiftsutföraren eller uppgiftsinföraren (eller dess underentreprenör) orsakar den registrerade genom att kränka rättigheterna för en berättigad tredje part enligt dessa klausuler. Detta påverkar inte uppgiftsutförarens ansvarsskyldighet eller, om uppgiftsutföraren är ett personuppgiftsbiträde som agerar på uppdrag av en personuppgiftsansvarig, den personuppgiftsansvariges ansvarsskyldighet enligt förordning (EU) 2016/679 eller förordning (EU) 2018/1725, enligt vad som är tillämpligt.

d)

Parterna är överens om att en uppgiftsutförare som enligt led c hålls ansvarig för skada som orsakats av uppgiftsinföraren (eller dess underentreprenör) ska ha rätt att återkräva den del av ersättningen från uppgiftsinföraren som motsvarar dennes ansvarsskyldighet för skadan.

e)

Om fler än en part är ansvariga för eventuell skada som orsakats den registrerade till följd av en överträdelse av dessa klausuler ska alla ansvarsskyldiga parter vara solidariskt ansvariga, och den registrerade ska ha rätt att väcka talan i domstol mot var och en av dessa parter.

f)

Parterna är överens om att en part som hålls ansvarig enligt led e ska ha rätt att återkräva från den andra parten eller de andra parterna den del av ersättningen som motsvarar dess/deras ansvarsskyldighet för skadan.

g)

Uppgiftsinföraren får inte åberopa en underentreprenörs uppförande för att undvika sitt eget ansvar.

Klausul 13

Tillsyn

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

a)

[Om uppgiftsutföraren är etablerad i en av EU:s medlemsstater:] Den tillsynsmyndighet som har ansvar för att säkerställa uppgiftsutförarens efterlevnad av förordning (EU) 2016/679 när det gäller överföring av uppgifter, enligt vad som anges i bilaga I.C, ska fungera som behörig tillsynsmyndighet.

[Om uppgiftsutföraren inte är etablerad i en av EU:s medlemsstater, men omfattas av det territoriella tillämpningsområdet för förordning (EU) 2016/679 i enlighet med artikel 3.2 i den förordningen, och har utsett en företrädare enligt artikel 27.1 i förordning (EU) 2016/679:] Tillsynsmyndigheten i den medlemsstat i vilken företrädaren i den mening som avses i artikel 27.1 i förordning (EU) 2016/679 är etablerad, enligt vad som anges i bilaga I.C, ska fungera som behörig tillsynsmyndighet.

[Om uppgiftsutföraren inte är etablerad i en av EU:s medlemsstater, men omfattas av det territoriella tillämpningsområdet för förordning (EU) 2016/679 i enlighet med artikel 3.2 i den förordningen, dock utan att vara skyldig att utse en företrädare enligt artikel 27.2 i förordning (EU) 2016/679:] Tillsynsmyndigheten i en av de medlemsstater i vilken de registrerade vars personuppgifter överförs enligt dessa klausuler befinner sig i samband med utbjudandet av varor eller tjänster till dem, eller i samband med att deras beteende övervakas, enligt vad som anges i bilaga I.C, ska fungera som behörig tillsynsmyndighet.

b)

Uppgiftsinföraren samtycker till att godta den behöriga tillsynsmyndighetens behörighet och samarbeta med den i varje förfarande som syftar till att säkerställa efterlevnaden av dessa klausuler. Uppgiftsinföraren samtycker i synnerhet till att svara på förfrågningar, gå med på revisioner och iaktta de åtgärder som antagits av tillsynsmyndigheten, inbegripet korrigerande och kompenserade åtgärder. Uppgiftsinföraren ska ge tillsynsmyndigheten en skriftlig bekräftelse på att nödvändiga åtgärder har vidtagits.

AVSNITT III – LOKALA LAGAR OCH SKYLDIGHETER VID ÅTKOMST AV OFFENTLIGA MYNDIGHETER

Klausul 14

Lokala lagar och förfaranden som påverkar efterlevnaden av klausulerna

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

MODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig (om personuppgiftsbiträdet i EU kombinerar de personuppgifter som tagits emot från den personuppgiftsansvarige i tredjelandet med personuppgifter som samlats in av personuppgiftsbiträdet i EU)

a)

Parterna garanterar att de inte har någon anledning att misstänka att de lagar och förfaranden i det mottagande tredjelandet som är tillämpliga på uppgiftsinförarens behandling av personuppgifter, däribland eventuella krav på att lämna ut personuppgifter eller åtgärder för att bevilja åtkomst för offentliga myndigheter, hindrar uppgiftsinföraren från att fullgöra sina skyldigheter enligt dessa klausuler. Detta bygger på förutsättningen att lagar och förfaranden som är förenliga med andemeningen i de grundläggande rättigheterna och friheterna, och som inte går utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda de ändamål som anges i artikel 23.1 i förordning (EU) 2016/679, inte strider mot dessa klausuler.

b)

Genom att tillhandahålla den garanti som avses i led a intygar parterna att de har tagit vederbörlig hänsyn till särskilt följande aspekter:

i)

De särskilda omständigheterna kring överföringen, däribland behandlingskedjans längd, antalet inblandade aktörer och vilka överföringskanaler som använts; planerade vidare överföringar; typen av mottagare; ändamålet med behandlingen; de överförda personuppgifternas kategorier och format; den ekonomiska sektor inom vilken överföringen äger rum; platsen för lagring av de överförda uppgifterna.

ii)

De lagar och förfaranden i det mottagande tredjelandet – inbegripet krav på att lämna ut uppgifterna till offentliga myndigheter eller att ge sådana myndigheter åtkomst till uppgifterna – som är relevanta mot bakgrund av överföringens särskilda omständigheter samt tillämpliga begränsningar och skyddsåtgärder (12).

iii)

Alla relevanta avtalsenliga, tekniska eller organisatoriska skyddsåtgärder som införts för att komplettera skyddsåtgärderna enligt dessa klausuler, inbegripet åtgärder som tillämpats under överföringen och vid behandlingen av personuppgifterna i det mottagande tredjelandet.

c)

Uppgiftsinföraren garanterar att han eller hon, i samband med den bedömning som avses i led b, har gjort sitt yttersta för att ge uppgiftsutföraren relevant information, och samtycker till att fortsätta att samarbeta med uppgiftsutföraren för att säkerställa efterlevnaden av dessa klausuler.

d)

Parterna är överens om att dokumentera den bedömning som avses i led b och att på begäran göra den tillgänglig för den behöriga tillsynsmyndigheten.

e)

Uppgiftsinföraren samtycker till att skyndsamt meddela uppgiftsutföraren om han eller hon, efter att ha godkänt dessa klausuler och under hela avtalets giltighetstid, har anledning att misstänka att han eller hon är eller har blivit föremål för lagar eller förfaranden som inte stämmer överens med kraven i led a, däribland efter en ändring i lagarna i tredjelandet eller en åtgärd (såsom en begäran om utlämnande av uppgifter) som antyder att en tillämpning av sådana lagar i praktiken inte stämmer överens med kraven i led a. [För modul tre: Uppgiftsutföraren ska vidarebefordra meddelandet till den personuppgiftsansvarige.]

f)

Efter att ha tagit emot ett meddelande i enlighet med led e, eller om uppgiftsutföraren har andra anledningar att misstänka att uppgiftsinföraren inte längre kan fullgöra sina skyldigheter enligt dessa klausuler, ska uppgiftsutföraren skyndsamt fastställa lämpliga åtgärder (t.ex. tekniska eller organisatoriska åtgärder för att säkerställa säkerhet och konfidentialitet) som ska antas av uppgiftsutföraren och/eller uppgiftsinföraren för att hantera situationen [för modul tre:, i tillämpliga fall efter samråd med den personuppgiftsansvarige]. Uppgiftsutföraren ska avbryta överföringen av uppgifter om han eller hon anser att inga lämpliga skyddsåtgärder kan säkerställas för överföringen, eller efter att ha fått instruktioner från [för modul tre: den personuppgiftsansvarige eller] den behöriga tillsynsmyndigheten att göra det. I sådana fall ska uppgiftsutföraren ha rätt att säga upp avtalet i den mån det gäller behandling av personuppgifter enligt dessa klausuler. Om avtalet omfattar fler än två parter får uppgiftsutföraren utöva denna rätt att säga upp avtalet med endast den berörda parten, såvida inte parterna har kommit överens om annat. Om avtalet sägs upp enligt denna klausul ska klausul 16 d och e tillämpas.

Klausul 15

Uppgiftsinförarens skyldigheter vid åtkomst av offentliga myndigheter

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

MODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig (om personuppgiftsbiträdet i EU kombinerar de personuppgifter som tagits emot från den personuppgiftsansvarige i tredjelandet med personuppgifter som samlats in av personuppgiftsbiträdet i EU)

15.1   Meddelanden

a)

Uppgiftsinföraren samtycker till att skyndsamt meddela uppgiftsutföraren och, om så är möjligt, den registrerade (vid behov med hjälp av uppgiftsutföraren) om han eller hon

i)

får en rättsligt bindande begäran från en offentlig myndighet, inbegripet en rättslig myndighet, i enlighet med det mottagande landets lagstiftning om att personuppgifter som överförts enligt dessa klausuler ska lämnas ut; meddelandet ska innehålla information om de begärda personuppgifterna, den begärande myndigheten, den rättsliga grunden för begäran och det svar som lämnats, eller

ii)

får kännedom om att offentliga myndigheter har haft direkt tillgång till enligt dessa klausuler överförda personuppgifter i enlighet med det mottagande landets lagstiftning; meddelandet ska innehålla all information som uppgiftsinföraren har tillgång till.

[För modul tre: Uppgiftsutföraren ska vidarebefordra meddelandet till den personuppgiftsansvarige.]

b)

Om uppgiftsinföraren är förbjuden att meddela uppgiftsutföraren och/eller den registrerade enligt det mottagande landets lagstiftning samtycker uppgiftsinföraren till att göra sitt yttersta för att få till stånd ett undantag från förbudet, för att kunna tillhandahålla så mycket information som möjligt inom kortast möjliga tid. Uppgiftsinföraren samtycker till att dokumentera sina ansträngningar för att kunna bekräfta dem på begäran av uppgiftsutföraren.

c)

Om det är tillåtet enligt det mottagande landets lagstiftning samtycker uppgiftsinföraren till att, med jämna mellanrum under hela avtalets giltighetstid, ge uppgiftsutföraren så mycket relevant information som möjligt om de begäranden som tagits emot (i synnerhet antalet begäranden, vilken typ av uppgifter som begärts, den eller de begärande myndigheterna, om begärandena har bestridits och resultaten av bestridandena etc.). [För modul tre: Uppgiftsutföraren ska vidarebefordra informationen till den personuppgiftsansvarige.]

d)

Uppgiftsinföraren samtycker till att lagra den information som avses i leden a–c under hela avtalets giltighetstid och göra den tillgänglig för den behöriga tillsynsmyndigheten på begäran.

e)

Leden a–c påverkar inte uppgiftsinförarens skyldighet enligt klausul 14 e och klausul 16 att skyndsamt informera uppgiftsutföraren om han eller hon inte kan uppfylla kraven i dessa klausuler.

15.2   Granskning av laglighet och uppgiftsminimering

a)

Uppgiftsinföraren samtycker till att granska lagligheten i begäran om utlämnande av uppgifter, särskilt om begäran omfattas av de befogenheter som har beviljats den begärande offentliga myndigheten, och att bestrida begäran om han eller hon, efter noggrann bedömning, drar slutsatsen att det finns rimliga skäl att betrakta begäran som olaglig enligt det mottagande landets lagstiftning, tillämpliga skyldigheter enligt internationell rätt och principen om internationell hövlighet. Uppgiftsinföraren ska, enligt samma villkor, fullfölja möjligheterna att överklaga. Om uppgiftsinföraren bestrider en begäran ska han eller hon vidta provisoriska åtgärder för att upphäva konsekvenserna av begäran tills den behöriga rättsliga myndigheten har fattat beslut i frågan. Uppgiftsinföraren får inte lämna ut de begärda personuppgifterna förrän han eller hon är skyldig att göra detta enligt tillämpliga förfaranderegler. Dessa krav påverkar inte uppgiftsinförarens skyldigheter enligt klausul 14 e.

b)

Uppgiftsinföraren samtycker till att dokumentera sin rättsliga bedömning och varje bestridande av begäran om utlämnande av uppgifter och, i den mån det är tillåtet enligt det mottagande landets lagstiftning, göra dokumentationen tillgänglig för uppgiftsutföraren. Uppgiftsinföraren ska även göra dokumentationen tillgänglig för den behöriga tillsynsmyndigheten på begäran. [För modul tre: Uppgiftsutföraren ska se till att den personuppgiftsansvarige får tillgång till bedömningen.]

c)

Uppgiftsinföraren samtycker till att tillhandahålla den minsta tillåtna mängden information när han eller hon besvarar en begäran om utlämnande av uppgifter, baserat på en rimlig tolkning av begäran.

AVSNITT IV – SLUTBESTÄMMELSER

Klausul 16

Bristande efterlevnad av klausulerna och avtalets uppsägning

a)

Uppgiftsinföraren ska skyndsamt informera uppgiftsutföraren om han eller hon inte kan uppfylla kraven i dessa klausuler, oavsett orsak.

b)

Om uppgiftsinföraren bryter mot dessa klausuler eller inte kan uppfylla kraven i dessa klausuler ska uppgiftsutföraren avbryta överföringen av personuppgifter till uppgiftsinföraren tills efterlevnaden åter har säkerställts eller avtalet har sagts upp. Detta påverkar inte tillämpningen av klausul 14 f.

c)

Uppgiftsutföraren ska ha rätt att säga upp avtalet i den mån det gäller behandlingen av personuppgifter enligt dessa klausuler om

i)

uppgiftsutföraren har avbrutit överföringen av personuppgifter till uppgiftsinföraren enligt led b och om efterlevnaden av dessa klausuler inte har återupprättats inom en rimlig tidsperiod, under alla omständigheter inom en månad efter avbrytandet,

ii)

uppgiftsinföraren gör sig skyldig till allvarliga eller upprepade överträdelser av dessa klausuler, eller

iii)

uppgiftsinföraren inte följer ett bindande beslut av en behörig domstol eller tillsynsmyndighet angående hans eller hennes skyldigheter enligt dessa klausuler.

I sådana fall ska uppgiftsutföraren informera den behöriga tillsynsmyndigheten [för modul tre: och den personuppgiftsansvarige] om denna bristande efterlevnad. Om avtalet omfattar fler än två parter får uppgiftsutföraren utöva denna rätt att säga upp avtalet med endast den berörda parten, såvida inte parterna har kommit överens om annat.

d)

[För modulerna ett, två och tre: Personuppgifter som överförts före uppsägningen av avtalet i enlighet med led c ska efter uppgiftsutförarens eget val omedelbart återlämnas till uppgiftsutföraren eller raderas i sin helhet. Detsamma ska gälla för eventuella kopior av uppgifterna.] [För modul fyra: Personuppgifter som samlats in av uppgiftsutföraren i EU och som överförts före uppsägningen av avtalet enligt led c ska omedelbart raderas i sin helhet, inklusive eventuella kopior.] Uppgiftsinföraren ska intyga för uppgiftsutföraren att uppgifterna har raderats. Till dess att uppgifterna raderats eller återlämnats ska uppgiftsinföraren fortsätta att se till att dessa klausuler följs. Om återlämnande eller radering av de överförda personuppgifterna är förbjudet enligt lokal lagstiftning som är tillämplig för uppgiftsinföraren ska uppgiftsinföraren garantera att han eller hon kommer att fortsätta att uppfylla kraven i dessa klausuler och endast kommer att behandla personuppgifterna i den utsträckning och under den tid som krävs enligt den lokala lagstiftningen.

e)

Endera parten får återkalla sin överenskommelse om att vara bunden av dessa klausuler om i) Europeiska kommissionen antar ett beslut i enlighet med artikel 45.3 i förordning (EU) 2016/679 som omfattar den överföring av personuppgifter som dessa klausuler gäller för, eller ii) förordning (EU) 2016/679 blir en del av den rättsliga ramen i det land till vilket personuppgifterna överförs. Detta påverkar inte övriga skyldigheter som är tillämpliga på behandlingen i fråga enligt förordning (EU) 2016/679.

Klausul 17

Tillämplig lag

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

[ALTERNATIV 1: Dessa klausuler ska regleras genom lagstiftningen i en av EU:s medlemsstater, under förutsättning att lagstiftningen omfattar rättigheter för berättigade tredje parter. Parterna är överens om att detta ska vara lagstiftningen i _______ (ange medlemsstat).]

[ALTERNATIV 2 (för modulerna två och tre): Dessa klausuler ska regleras genom lagstiftningen i den medlemsstat i EU i vilken uppgiftsutföraren är etablerad. Om lagstiftningen inte omfattar rättigheter för berättigade tredje parter ska klausulerna regleras genom lagstiftningen i en annan medlemsstat i EU som omfattar rättigheter för berättigade tredje parter. Parterna är överens om att detta ska vara lagstiftningen i _______ (ange medlemsstat).]

MODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig

Dessa klausuler ska regleras genom lagstiftningen i ett land som omfattar rättigheter för berättigade tredje parter. Parterna är överens om att detta ska vara lagstiftningen i _______ (ange land).

Klausul 18

Val av forum och jurisdiktion

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

a)

Varje tvist som uppstår på grund av dessa klausuler ska lösas av domstolarna i en medlemsstat i EU.

b)

Parterna är överens om att dessa ska vara domstolarna i _______ (ange medlemsstat).

c)

En registrerad får även inleda rättsliga förfaranden mot uppgiftsutföraren och/eller uppgiftsinföraren vid domstolarna i den medlemsstat där han/hon har sin stadigvarande vistelseort.

d)

Parterna är överens om att underkasta sig sådana domstolars jurisdiktion.

MODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig

 

Varje tvist som uppstår på grund av dessa klausuler ska lösas av domstolarna i _____ (ange land).


(1)  Om uppgiftsutföraren är ett personuppgiftsbiträde som omfattas av förordning (EU) 2016/679 och som agerar på uppdrag av en unionsinstitution eller ett unionsorgan som personuppgiftsansvarig, säkerställer användningen av dessa klausuler vid anlitande av ett annat personuppgiftsbiträde (som underentreprenör) som inte omfattas av förordning (EU) 2016/679 även överensstämmelse med artikel 29.4 i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39), i den utsträckning som dessa klausuler och de skyldigheter i fråga om uppgiftsskydd som fastställs i avtalet eller en annan rättsakt mellan den personuppgiftsansvarige och personuppgiftsbiträdet i enlighet med artikel 29.3 i förordning (EU) 2018/1725 har samordnats. Detta kommer särskilt att vara fallet om den personuppgiftsansvarige och personuppgiftsbiträdet använder de standardavtalsklausuler som ingår i beslut 2021/915.

(2)  Detta kräver att uppgifterna görs anonyma på ett sätt som gör att den enskilda individen inte längre kan identifieras av någon annan, i linje med skäl 26 i förordning (EU) 2016/679, och att denna process är oåterkallelig.

(3)  Enligt avtalet om Europeiska ekonomiska samarbetsområdet (EES-avtalet) ska EU:s inre marknad utvidgas till att omfatta de tre EES-staterna Island, Liechtenstein och Norge. Unionens dataskyddslagstiftning, inbegripet förordning (EU) 2016/679, omfattas av EES-avtalet och har införlivats i bilaga XI till avtalet. Om uppgiftsinföraren lämnar ut uppgifter till en tredje part inom EES ska detta därmed inte betraktas som en vidare överföring vid tillämpning av dessa klausuler.

(4)  Enligt avtalet om Europeiska ekonomiska samarbetsområdet (EES-avtalet) ska EU:s inre marknad utvidgas till att omfatta de tre EES-staterna Island, Liechtenstein och Norge. Unionens dataskyddslagstiftning, inbegripet förordning (EU) 2016/679, omfattas av EES-avtalet och har införlivats i bilaga XI till avtalet. Om uppgiftsinföraren lämnar ut uppgifter till en tredje part inom EES ska detta därmed inte betraktas som en vidare överföring vid tillämpning av dessa klausuler.

(5)  Se artikel 28.4 i förordning (EU) 2016/679 och, om den personuppgiftsansvarige är en EU-institution eller ett EU-organ, artikel 29.4 i förordning (EU) 2018/1725.

(6)  Enligt avtalet om Europeiska ekonomiska samarbetsområdet (EES-avtalet) ska EU:s inre marknad utvidgas till att omfatta de tre EES-staterna Island, Liechtenstein och Norge. Unionens dataskyddslagstiftning, inbegripet förordning (EU) 2016/679, omfattas av EES-avtalet och har införlivats i bilaga XI till avtalet. Om uppgiftsinföraren lämnar ut uppgifter till en tredje part inom EES ska detta därmed inte betraktas som en vidare överföring vid tillämpning av dessa klausuler.

(7)  Detta omfattar huruvida överföringen och den efterföljande behandlingen inbegriper personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter för unik identifiering av en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning, eller uppgifter om brottmålsdomar eller lagöverträdelser.

(8)  Detta krav får uppfyllas av den underentreprenör som anslutit sig till dessa klausuler inom ramen för den tillämpliga modulen i enlighet med klausul 7.

(9)  Detta krav får uppfyllas av den underentreprenör som anslutit sig till dessa klausuler inom ramen för den tillämpliga modulen i enlighet med klausul 7.

(10)  Denna period får förlängas med högst två ytterligare månader i den mån det är nödvändigt med beaktande av begärandenas komplexitet och antal. Uppgiftsinföraren ska skyndsamt och på vederbörligt sätt informera den registrerade om sådana förlängningar.

(11)  Uppgiftsinföraren får endast erbjuda oberoende tvistlösning genom en skiljedomstol om han eller hon är etablerad i ett land som har ratificerat New York-konventionen om verkställighet av skiljedomar.

(12)  När det gäller konsekvenserna av sådana lagar och förfaranden för efterlevnaden av dessa klausuler kan olika aspekter anses utgöra en del av den övergripande bedömningen. Sådana aspekter kan omfatta relevant och dokumenterad praktisk erfarenhet av tidigare begäranden om utlämning av uppgifter från offentliga myndigheter, eller avsaknad av sådana begäranden, som täcker en tillräckligt representativ tidsram. Detta gäller särskilt interna register eller annan dokumentation som upprättats kontinuerligt i enlighet med tillbörlig aktsamhet och som godkänts på ledningsnivå, under förutsättning att denna information kan delas med tredje parter på ett lagligt sätt. Om denna praktiska erfarenhet används som grund för slutsatsen att uppgiftsinföraren inte kommer att hindras från att uppfylla kraven i dessa klausuler måste den stödjas av andra relevanta, objektiva aspekter, och parterna måste noggrant överväga huruvida dessa aspekter tillsammans har tillräckligt stor vikt, vad gäller deras tillförlitlighet och representativitet, för att underbygga denna slutsats. Parterna måste i synnerhet ta hänsyn till huruvida deras praktiska erfarenhet bekräftas och inte motsägs av offentligt tillgänglig eller på annat sätt åtkomlig och tillförlitlig information om förekomst eller avsaknad av begäranden inom samma sektor och/eller av tillämpningen av lagstiftningen i praktiken, t.ex. rättspraxis och rapporter från oberoende tillsynsorgan.


TILLÄGG

FÖRKLARANDE ANMÄRKNINGAR:

Det måste vara möjligt att tydligt urskilja den information som är tillämplig på varje överföring eller kategori av överföringar och, i detta avseende, fastställa parternas respektive roller som uppgiftsutförare och/eller uppgiftsinförare. Detta innebär inte nödvändigtvis att separata tillägg måste fyllas i och undertecknas för varje överföring/kategori av överföringar och/eller avtalsförhållande, om denna öppenhet kan uppnås genom ett tillägg. Separata tillägg bör emellertid användas om det är nödvändigt för att säkerställa tillräcklig klarhet.


BILAGA I

A.   FÖRTECKNING ÖVER PARTER

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

MODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig

Uppgiftsutförare: [Uppgiftsutförarens/uppgiftsutförarnas identitet och kontaktuppgifter och, i tillämpliga fall, uppgifter om hans/hennes eller deras dataskyddsombud och/eller företrädare i Europeiska unionen]

1.

Namn: …

Adress: …

Kontaktpersonens namn, befattning och kontaktuppgifter: …

Verksamheter som är relevanta för de uppgifter som överförs enligt dessa klausuler: …

Underskrift och datum: …

Roll (personuppgiftsansvarig/personuppgiftsbiträde): …

2.

Uppgiftsinförare: [Uppgiftsinförarens/uppgiftsinförarnas identitet och kontaktuppgifter, inklusive eventuella kontaktpersoner med ansvar för dataskydd]

1.

Namn: …

Adress: …

Kontaktpersonens namn, befattning och kontaktuppgifter: …

Verksamheter som är relevanta för de uppgifter som överförs enligt dessa klausuler: …

Underskrift och datum: …

Roll (personuppgiftsansvarig/personuppgiftsbiträde): …

2.

B.   BESKRIVNING AV ÖVERFÖRINGEN

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

MODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig

Kategorier av registrerade vars personuppgifter överförs

Kategorier av personuppgifter som överförs

Känsliga uppgifter som överförs (i tillämpliga fall) och tillämpade begränsningar eller skyddsåtgärder där full hänsyn tas till uppgifternas karaktär och de medföljande riskerna, till exempel strikt ändamålsbegränsning, åtkomstbegränsningar (däribland åtkomst endast för personal som har specialutbildning), registrering av åtkomst till uppgifterna, begränsningar av vidare överföringar eller ytterligare säkerhetsåtgärder.

Frekvens för överföringen (t.ex. om uppgifterna överförs vid ett engångstillfälle eller kontinuerligt).

Behandlingens karaktär

Ändamålet/ändamålen med överföringen av uppgifter och den efterföljande behandlingen

Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period

Vid överföringar till personuppgiftsbiträden/underentreprenörer, ange även föremålet för behandlingen liksom dess karaktär och varaktighet

C.   BEHÖRIG TILLSYNSMYNDIGHET

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

Ange den eller de behöriga tillsynsmyndigheterna i enlighet med klausul 13


BILAGA II

TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER, INKLUSIVE TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA UPPGIFTERNAS SÄKERHET

MODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

FÖRKLARANDE ANMÄRKNINGAR:

De tekniska och organisatoriska åtgärderna måste beskrivas i specifika (och inte allmänna) ordalag. Se även den allmänna kommentaren på den första sidan av tillägget, i synnerhet om behovet av att tydligt ange vilka åtgärder som är tillämpliga på varje överföring/uppsättning av överföringar.

Beskrivning av de tekniska och organisatoriska åtgärder som genomförts av uppgiftsinföraren/uppgiftsinförarna (inklusive relevanta tillstånd) för att säkerställa en lämplig säkerhetsnivå, med hänsyn till behandlingens karaktär, omfattning, sammanhang och ändamål, och riskerna för fysiska personers rättigheter och friheter.

[Exempel på möjliga åtgärder:

Åtgärder avseende pseudonymisering och kryptering av personuppgifter

Åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och behandlingstjänster

Åtgärder för att säkerställa förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident

Förfaranden för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärderna för att säkerställa behandlingens säkerhet

Åtgärder för identifiering och auktorisering av användare

Åtgärder för att skydda uppgifterna under överföring

Åtgärder för att skydda uppgifterna under lagring

Åtgärder för att säkerställa den fysiska säkerheten på de platser där personuppgifter behandlas

Åtgärder för att säkerställa loggning av händelser

Åtgärder för att säkerställa systemets konfiguration, inbegripet dess standardkonfiguration

Åtgärder för intern styrning och förvaltning av it-system och it-säkerhet

Åtgärder för certifiering/säkring av processer och produkter

Åtgärder för att säkerställa uppgiftsminimering

Åtgärder för att säkerställa uppgifternas kvalitet

Åtgärder för att säkerställa begränsad lagring av uppgifterna

Åtgärder för att säkerställa ansvarsskyldighet

Åtgärder för att möjliggöra uppgifternas portabilitet och säkerställa radering]

Vid överföringar till personuppgiftsbiträden/underentreprenörer, beskriv även de särskilda tekniska och organisatoriska åtgärder som ska vidtas av personuppgiftsbiträdet/underentreprenören för att kunna bistå den personuppgiftsansvarige och, vid överföringar från ett personuppgiftsbiträde till en underentreprenör, uppgiftsutföraren


BILAGA III

FÖRTECKNING ÖVER UNDERENTREPRENÖRER

MODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde

MODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde

FÖRKLARANDE ANMÄRKNINGAR:

Denna bilaga måste fyllas i för modulerna två och tre i samband med utfärdandet av ett särskilt tillstånd för underentreprenörer (klausul 9 a, alternativ 1).

Den personuppgiftsansvarige har gett tillstånd att använda följande underentreprenörer:

1.

Namn: …

Adress: …

Kontaktpersonens namn, befattning och kontaktuppgifter: …

Beskrivning av behandlingen (inklusive en tydlig avgränsning av ansvarsområden om flera underentreprenörer har fått tillstånd): …

2.


Upp