7.6.2021   

DA

Den Europæiske Unions Tidende

L 199/31


KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) 2021/914

af 4. juni 2021

om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR ––

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (1), særlig artikel 28, stk. 7, og artikel 46, stk. 2, litra c), og

ud fra følgende betragtninger:

(1)

Den teknologiske udvikling letter de grænseoverskridende datastrømme, der er nødvendige for at udvide det internationale samarbejde og den internationale handel. Samtidig er det nødvendigt at sikre, at det beskyttelsesniveau for fysiske personer, der garanteres ved forordning (EU) 2016/679, ikke undermineres, når personoplysninger overføres til tredjelande, herunder i tilfælde af videreoverførsler. (2) Bestemmelserne om overførsler af oplysninger i kapitel V i forordning (EU) 2016/679 har til formål at sikre kontinuiteten i dette høje beskyttelsesniveau, når personoplysninger overføres til et tredjeland (3).

(2)

I henhold til artikel 46, stk. 1, i forordning (EU) 2016/679 må en dataansvarlig eller databehandler, hvis der ikke foreligger en afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, kun overføre personoplysninger til et tredjeland, hvis det har givet de fornødne garantier, og på betingelse af, at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige. Sådanne garantier kan fastsættes ved at benytte standardbestemmelser om databeskyttelse vedtaget af Kommissionen i henhold til artikel 46, stk. 2, litra c).

(3)

Standardkontraktbestemmelsernes rolle er begrænset til at sikre passende databeskyttelsesgarantier i forbindelse med internationale dataoverførsler. Den dataansvarlige eller databehandleren, der overfører personoplysningerne til et tredjeland (»dataeksportør«), og den dataansvarlige eller databehandleren, der modtager personoplysningerne (»dataimportør«), kan derfor frit medtage disse standardkontraktbestemmelser i en bredere kontrakt og tilføje andre klausuler eller yderligere garantier, forudsat at de ikke direkte eller indirekte er i strid med standardkontraktbestemmelserne eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. Dataansvarlige og databehandlere opfordres til at give yderligere garantier i form af kontraktlige forpligtelser, der supplerer standardkontraktbestemmelserne (4). Anvendelsen af standardkontraktbestemmelserne berører ikke dataeksportørens og/eller dataimportørens kontraktlige forpligtelser til at sikre overholdelse af gældende privilegier og immuniteter.

(4)

Ud over at anvende standardkontraktbestemmelser for at tilvejebringe de fornødne garantier for overførsler i henhold til artikel 46, stk. 1, i forordning (EU) 2016/679 skal dataeksportøren opfylde sine generelle forpligtelser som dataansvarlig eller databehandler i henhold til forordning (EU) 2016/679. Disse ansvarsområder omfatter den dataansvarliges forpligtelse til at give registrerede oplysninger om, at den dataansvarlige har til hensigt at overføre de registreredes personoplysninger til et tredjeland i henhold til artikel 13, stk. 1, litra f), og artikel 14, stk. 1, litra f), i forordning (EU) 2016/679. I tilfælde af overførsel i henhold til artikel 46 i forordning (EU) 2016/679 skal sådanne oplysninger omfatte en henvisning til de fornødne garantier og til, hvordan man kan få en kopi af dem eller oplysninger om, hvor de er gjort tilgængelige.

(5)

Kommissionens beslutning 2001/497/EF (5) og Kommissionens afgørelse 2010/87/EU (6) indeholder standardkontraktbestemmelser, der skal lette overførslen af personoplysninger fra en dataansvarlig, der er etableret i Unionen, til en dataansvarlig eller databehandler, der er etableret i et tredjeland, som ikke giver et tilstrækkeligt beskyttelsesniveau. Denne beslutning og denne afgørelse var baseret på Europa-Parlamentets og Rådets direktiv 95/46/EF (7).

(6)

I henhold til artikel 46, stk. 5, i forordning (EU) 2016/679, forbliver beslutning 2001/497/EF og afgørelse 2010/87/EU i kraft, indtil de om nødvendigt ændres, erstattes eller ophæves ved en kommissionsafgørelse vedtaget i henhold til artikel 46, stk. 2, i nævnte forordning. Standardkontraktbestemmelserne i afgørelserne skulle ajourføres på baggrund af de nye krav i forordning (EU) 2016/679. Siden vedtagelsen af beslutningen og afgørelsen har der desuden fundet en vigtig udvikling sted i den digitale økonomi med udbredt brug af nye og mere komplekse behandlingsaktiviteter, der ofte involverer flere dataimportører og -eksportører, lange og komplekse behandlingskæder samt skiftende forretningsforbindelser. Dette kræver en modernisering af standardkontraktbestemmelserne, så de bedre afspejler disse realiteter og dækker yderligere behandlings- og overførselssituationer, og så de bygger på en mere fleksibel tilgang, f.eks. med hensyn til antallet af parter, der kan tilslutte sig kontrakten.

(7)

En dataansvarlig eller en databehandler kan bruge standardkontraktbestemmelserne i bilaget til denne afgørelse med henblik på at give de fornødne garantier, jf. artikel 46, stk. 1, i forordning (EU) 2016/679, for overførsel af personoplysninger til en databehandler eller dataansvarlig, der er etableret i et tredjeland, uden at dette berører fortolkningen af begrebet international overførsel i henhold til forordning (EU) 2016/679. Standardkontraktbestemmelserne må kun anvendes til sådanne overførsler, i det omfang importørens behandling ikke direkte falder ind under anvendelsesområdet for forordning (EU) 2016/679. Dette omfatter også overførsel af personoplysninger foretaget af en dataansvarlig eller databehandler, der ikke er etableret i Unionen, i det omfang behandlingen er omfattet af forordning (EU) 2016/679 (i henhold til dennes artikel 3, stk. 2), fordi den vedrører udbud af varer eller tjenesteydelser til registrerede i Unionen eller overvågning af deres adfærd, for så vidt som deres adfærd finder sted inden for Unionen.

(8)

I forbindelse med den generelle tilpasning af Europa-Parlamentets og Rådets forordning (EU) 2016/679 og forordning (EU) 2018/1725 (8) bør det også være muligt at anvende standardkontraktbestemmelserne i forbindelse med en kontrakt, jf. artikel 29, stk. 4, i forordning (EU) 2018/1725, vedrørende overførsel af personoplysninger til en underdatabehandler i et tredjeland fra en databehandler, der ikke er en EU-institution eller et EU-organ, men er bundet af forordning (EU) 2016/679, og som behandler personoplysninger på vegne af en EU-institution eller et EU-organ i overensstemmelse med artikel 29 i forordning (EU) 2018/1725. Forudsat at kontrakten afspejler de samme databeskyttelsesforpligtelser, som fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren i henhold til artikel 29, stk. 3, i forordning (EU) 2018/1725, navnlig ved at give tilstrækkelige garantier for tekniske og organisatoriske foranstaltninger til sikring af, at behandlingen opfylder kravene i nævnte forordning, sikrer dette overholdelse af artikel 29, stk. 4, i forordning (EU) 2018/1725. Dette vil navnlig være tilfældet, hvis den dataansvarlige og databehandleren anvender standardkontraktbestemmelserne i Kommissionens gennemførelsesafgørelse om standardkontraktbestemmelser mellem dataansvarlige og databehandlere i henhold til artikel 28, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 og artikel 29, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (9).

(9)

Hvis behandlingen omfatter dataoverførsler fra dataansvarlige, der er omfattet af forordning (EU) 2016/679, til databehandlere uden for forordningens geografiske anvendelsesområde eller fra databehandlere omfattet af forordning (EU) 2016/679 til underdatabehandlere uden for forordningens geografiske anvendelsesområde, bør standardkontraktbestemmelserne i bilaget til denne afgørelse også gøre det muligt at opfylde kravene i artikel 28, stk. 3 og 4, i forordning (EU) 2016/679.

(10)

Standardkontraktbestemmelserne i bilaget til denne afgørelse kombinerer generelle bestemmelser med en modulopbygget tilgang for at tage højde for forskellige overførselsscenarier og moderne behandlingskæders kompleksitet. Ud over de generelle bestemmelser bør dataansvarlige og databehandlere vælge det modul, der finder anvendelse på deres situation, for at skræddersy deres forpligtelser i henhold til standardkontraktbestemmelserne til deres rolle og ansvar i forbindelse med den databehandling, der foretages. Det bør være muligt for mere end to parter at overholde standardkontraktbestemmelserne. Desuden bør yderligere dataansvarlige og databehandlere kunne tiltræde standardkontraktbestemmelserne som dataeksportører eller -importører i hele løbetiden for den kontrakt, som bestemmelserne udgør en del af.

(11)

For at tilvejebringe de fornødne garantier bør standardkontraktbestemmelserne sikre, at de personoplysninger, der overføres på dette grundlag, gives et beskyttelsesniveau, der i det væsentlige svarer til det, der er garanteret i Unionen (10). For at sikre gennemsigtighed i behandlingen bør de registrerede have en kopi af standardkontraktbestemmelserne og navnlig informeres om de kategorier af personoplysninger, der behandles, retten til at få en kopi af standardkontraktbestemmelserne og enhver videreoverførsel. Dataimportørens videreoverførsel til en tredjepart i et andet tredjeland bør kun tillades, hvis en sådan tredjepart tiltræder standardkontraktbestemmelserne, hvis kontinuiteten i beskyttelsen sikres på anden vis eller i særlige situationer, f.eks. på grundlag af den registreredes udtrykkelige, informerede samtykke.

(12)

Med nogle undtagelser, navnlig for så vidt angår visse forpligtelser, der udelukkende vedrører forholdet mellem dataeksportøren og dataimportøren, bør de registrerede kunne påberåbe sig og om nødvendigt håndhæve standardkontraktbestemmelserne som begunstigede tredjemænd. Parterne bør derfor have mulighed for at vælge, at lovgivningen i en af medlemsstaterne skal regulere standardkontraktbestemmelserne, men at denne lovgivning skal give mulighed for påberåbelse af tredjemandsløftet. For at lette den individuelle klageadgang bør standardkontraktbestemmelserne kræve, at dataimportøren informerer de registrerede om et kontaktpunkt og straks behandler eventuelle klager eller anmodninger. I tilfælde af en tvist mellem dataimportøren og en registreret, der gør tredjemandsløftet gældende, bør den registrerede kunne indgive en klage til den kompetente tilsynsmyndighed eller indbringe tvisten for de kompetente domstole i EU.

(13)

For at sikre en effektiv håndhævelse bør dataimportøren pålægges at underkaste sig en sådan myndigheds og sådanne retsinstansers jurisdiktion og forpligte sig til at overholde enhver bindende afgørelse i henhold til gældende national ret. Dataimportøren bør navnlig indvilge i at besvare forespørgsler, underkaste sig revisioner og overholde de foranstaltninger, som tilsynsmyndigheden har vedtaget, herunder afhjælpende og kompenserende foranstaltninger. Desuden bør dataimportøren have mulighed for at tilbyde registrerede gratis klagemuligheder ved et uafhængigt tvistbilæggelsesorgan. I overensstemmelse med artikel 80, stk. 1, i forordning (EU) 2016/679 bør de registrerede have mulighed for at lade sig repræsentere af sammenslutninger eller andre organer i tvister mod dataimportøren, hvis de ønsker det.

(14)

Standardkontraktbestemmelserne bør indeholde regler om ansvar mellem parterne og i forhold til registrerede samt regler om skadesløsholdelse mellem parterne. Hvis den registrerede lider materiel eller immateriel skade som følge af en tilsidesættelse af tredjemandsløftet i henhold til standardkontraktbestemmelserne, bør vedkommende have ret til erstatning. Dette bør ikke berøre ansvar i henhold til forordning (EU) 2016/679.

(15)

I tilfælde af overførsel til en dataimportør, der fungerer som databehandler eller underdatabehandler, bør der gælde særlige krav i overensstemmelse med artikel 28, stk. 3, i forordning (EU) 2016/679. Standardkontraktbestemmelserne bør forpligte dataimportøren til at stille alle de oplysninger til rådighed, der er nødvendige for at påvise overholdelse af de forpligtelser, der er fastsat i standardkontraktbestemmelserne, og for at muliggøre og bidrage til dataeksportørens revision af dataimportørens behandlingsaktiviteter. I det tilfælde at dataimportøren gør brug af en underdatabehandler i overensstemmelse med artikel 28, stk. 2 og 4, i forordning (EU) 2016/679, bør standardkontraktbestemmelserne navnlig fastlægge proceduren for generel eller specifik tilladelse fra dataeksportøren og kravet om en skriftlig kontrakt med underdatabehandleren, der sikrer samme beskyttelsesniveau som i henhold til disse bestemmelser.

(16)

Det er hensigtsmæssigt at fastsætte forskellige garantier i standardkontraktbestemmelserne, som dækker den specifikke situation, hvor en databehandler i Unionen overfører personoplysninger til sin dataansvarlige i et tredjeland, og som afspejler databehandleres begrænsede selvstændige forpligtelser i henhold til forordning (EU) 2016/679. Navnlig bør standardkontraktbestemmelserne indeholde krav om, at databehandleren skal underrette den dataansvarlige, hvis databehandleren ikke er i stand til at følge sine instrukser, herunder hvis instrukserne er i strid med EU's databeskyttelseslovgivning, og om at den dataansvarlige skal afholde sig fra enhver handling, der vil forhindre databehandleren i at opfylde sine forpligtelser i henhold til forordning (EU) 2016/679. De bør også kræve, at parterne bistår hinanden med at besvare forespørgsler og anmodninger fra registrerede i henhold til den lokale lovgivning, der finder anvendelse på dataimportøren, eller i forbindelse med databehandling i Unionen i henhold til forordning (EU) 2016/679. Yderligere krav til håndtering af eventuelle virkninger af lovgivningen i bestemmelsestredjelandet for den dataansvarliges overholdelse af bestemmelserne, navnlig hvordan bindende anmodninger fra offentlige myndigheder i tredjelandet om videregivelse af de overførte personoplysninger skal behandles, bør finde anvendelse i tilfælde, hvor EU-databehandleren kombinerer de personoplysninger, der modtages fra den dataansvarlige i tredjelandet, med personoplysninger indsamlet af databehandleren i Unionen. Omvendt er sådanne krav ikke begrundede i tilfælde, hvor outsourcingen blot indebærer behandling og tilbageførsel af personoplysninger, der er modtaget fra den dataansvarlige, og som under alle omstændigheder har været og fortsat vil være underlagt det pågældende tredjelands jurisdiktion.

(17)

Parterne bør kunne påvise, at standardkontraktbestemmelserne er overholdt. Navnlig bør dataimportøren forpligtes til at opbevare passende dokumentation for de behandlingsaktiviteter, som han er ansvarlig for, og straks underrette dataeksportøren, hvis han af en eller anden grund ikke er i stand til at overholde bestemmelserne. Dataeksportøren bør til gengæld suspendere overførslen og i særligt alvorlige tilfælde have ret til at opsige kontrakten, for så vidt som den vedrører behandling af personoplysninger i henhold til standardkontraktbestemmelser, hvis dataimportøren overtræder bestemmelserne eller ikke er i stand til at overholde dem. Der bør gælde særlige regler, hvis den lokale lovgivning påvirker overholdelsen af bestemmelserne. Personoplysninger, der allerede er overført inden kontraktens ophør, og eventuelle kopier heraf, bør efter dataeksportørens valg tilbageleveres til dataeksportøren eller tilintetgøres i deres helhed.

(18)

Standardkontraktbestemmelserne bør indeholde specifikke garantier, navnlig i lyset af Domstolens retspraksis (11), med henblik på at imødegå eventuelle virkninger af lovgivningen i bestemmelsestredjelandet for dataimportørens overholdelse af bestemmelserne, navnlig for, hvordan bindende anmodninger fra offentlige myndigheder i tredjelandet om videregivelse af de overførte personoplysninger skal behandles.

(19)

Overførsel og behandling af personoplysninger i henhold til standardkontraktbestemmelser bør ikke finde sted, hvis lovgivningen og praksis i bestemmelsestredjelandet forhindrer dataimportøren i at overholde disse bestemmelser. I denne sammenhæng bør lovgivning og praksis, der respekterer kernen i de grundlæggende rettigheder og frihedsrettigheder og ikke går videre, end hvad der er nødvendigt og rimeligt i et demokratisk samfund for at sikre et af de mål, der er anført i artikel 23, stk. 1, i forordning (EU) 2016/679, ikke anses for at være i modstrid med standardkontraktbestemmelserne. Parterne bør garantere, at de på det tidspunkt, hvor de tiltræder standardkontraktbestemmelserne, ikke har grund til at tro, at den lovgivning og praksis, der gælder for dataimportøren, ikke er i overensstemmelse med disse krav.

(20)

Parterne bør navnlig tage hensyn til de særlige omstændigheder i forbindelse med overførslen (såsom kontraktens indhold og varighed, arten af de oplysninger, der skal overføres, modtagertype, formålet med behandlingen), den lovgivning og praksis i bestemmelsestredjelandet, der er relevant i lyset af omstændighederne ved overførslen, og eventuelle garantier, der er indført for at supplere garantierne i henhold til standardkontraktbestemmelserne (herunder relevante kontraktlige, tekniske og organisatoriske foranstaltninger, der gælder for overførslen og behandlingen af personoplysninger i bestemmelseslandet). For så vidt angår virkningen af sådanne love og praksisser på overholdelsen af standardkontraktbestemmelserne, kan forskellige elementer betragtes som led i en samlet vurdering, herunder pålidelige oplysninger om anvendelsen af lovgivningen i praksis (f.eks. retspraksis og rapporter fra uafhængige tilsynsorganer), eksistensen eller fraværet af anmodninger inden for samme sektor og på strenge betingelser dataeksportørens og/eller dataimportørens dokumenterede praktiske erfaring.

(21)

Dataimportøren bør underrette dataeksportøren, hvis han efter at have accepteret standardkontraktbestemmelserne har grund til at tro, at han ikke er i stand til at overholde disse. Hvis dataeksportøren modtager en sådan underretning eller på anden måde bliver opmærksom på, at dataimportøren ikke længere er i stand til at overholde standardkontraktbestemmelserne, bør dataeksportøren identificere passende foranstaltninger til afhjælpning af situationen, om nødvendigt i samråd med den kompetente tilsynsmyndighed. Sådanne foranstaltninger kan omfatte supplerende foranstaltninger, der vedtages af dataeksportøren og/eller dataimportøren, såsom tekniske eller organisatoriske foranstaltninger for at garantere sikkerhed og fortrolighed. Dataeksportøren bør være forpligtet til at suspendere overførslen, hvis han mener, at der ikke kan sikres de fornødne garantier, eller hvis den kompetente tilsynsmyndighed giver en instruks herom.

(22)

Hvis det er muligt, bør dataimportøren underrette dataeksportøren og den registrerede, hvis denne modtager en retligt bindende anmodning fra en offentlig (herunder en retlig) myndighed i henhold til bestemmelseslandets lovgivning om videregivelse af personoplysninger, der er videregivet i henhold til standardkontraktbestemmelserne. Dataimportøren bør ligeledes underrette dem, hvis han bliver bekendt med offentlige myndigheders direkte adgang til sådanne personoplysninger, i overensstemmelse med lovgivningen i bestemmelsestredjelandet. Hvis dataimportøren trods sin bedste indsats ikke er i stand til at underrette dataeksportøren og/eller den registrerede om specifikke anmodninger om videregivelse af oplysninger, bør denne give dataeksportøren så mange relevante oplysninger som muligt om anmodningerne. Desuden bør dataimportøren give dataeksportøren sammenfattede oplysninger med regelmæssige mellemrum. Dataimportøren bør også være forpligtet til at dokumentere enhver modtaget anmodning om videregivelse af oplysninger og det afgivne svar og på anmodning at stille disse oplysninger til rådighed for dataeksportøren eller den kompetente tilsynsmyndighed eller dem begge. Hvis dataimportøren efter en prøvelse af lovligheden af en sådan anmodning i henhold til bestemmelseslandets lovgivning konkluderer, at der er rimelig grund til at antage, at anmodningen er ulovlig i henhold til lovgivningen i bestemmelsestredjelandet, bør dataimportøren bestride den, herunder, hvor det er relevant, ved at udtømme de tilgængelige klagemuligheder. Hvis dataimportøren ikke længere er i stand til at overholde standardkontraktbestemmelserne, bør denne under alle omstændigheder underrette dataeksportøren herom, herunder hvis det er en følge af en anmodning om videregivelse af oplysninger.

(23)

Da interessenternes behov, teknologien og behandlingsaktiviteterne kan ændre sig, bør Kommissionen evaluere anvendelsen af standardkontraktbestemmelserne i lyset af erfaringerne som led i den regelmæssige evaluering af forordning (EU) 2016/679, der er omhandlet i forordningens artikel 97.

(24)

Beslutning 2001/497/EF og afgørelse 2010/87/EU bør ophæves tre måneder efter nærværende afgørelses ikrafttræden. I den periode bør dataeksportører og dataimportører med henblik på artikel 46, stk. 1, i forordning (EU) 2016/679 stadig kunne anvende standardkontraktbestemmelserne i beslutning 2001/497/EF og afgørelse 2010/87/EU. I en yderligere periode på 15 måneder bør dataeksportører og dataimportører med henblik på artikel 46, stk. 1, i forordning (EU) 2016/679 fortsat kunne påberåbe sig standardkontraktbestemmelser i beslutning 2001/497/EF og afgørelse 2010/87/EU i forbindelse med opfyldelsen af kontrakter, der er indgået mellem dem inden datoen for ophævelsen af beslutningen og afgørelsen, forudsat at de behandlingsaktiviteter, der er genstand for kontrakten, forbliver uændrede, og at anvendelsen af disse bestemmelser sikrer, at overførslen af personoplysninger er omfattet af de fornødne garantier, jf. artikel 46, stk. 1, i forordning (EU) 2016/679. I tilfælde af relevante ændringer af kontrakten bør dataeksportøren være forpligtet til at anvende en ny begrundelse for dataoverførsler i henhold til kontrakten, navnlig ved at erstatte de eksisterende standardkontraktbestemmelser med standardkontraktbestemmelserne i bilaget til denne afgørelse. Det samme bør gælde for benyttelse af underdatabehandlere til udførelse af databehandling, der er omfattet af kontrakten.

(25)

Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd er blevet hørt i overensstemmelse med artikel 42, stk. 1 og 2, i forordning (EU) 2018/1725 og afgav en fælles udtalelse den 14. januar 2021 (12), som er taget i betragtning ved udarbejdelsen af denne afgørelse.

(26)

Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelsen fra det udvalg, der er nedsat ved artikel 93 i forordning (EU) 2016/679 —

VEDTAGET DENNE AFGØRELSE:

Artikel 1

1.   Standardkontraktbestemmelserne, som fastsat i bilaget, anses for at give de fornødne garantier, jf. artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i forordning (EU) 2016/679, for en dataansvarligs eller databehandlers overførsel af personoplysninger, der behandles i henhold til den nævnte forordning (dataeksportør), til en dataansvarlig eller (under)databehandler, hvis behandling af oplysningerne ikke er omfattet af den nævnte forordning (dataimportør).

2.   Standardkontraktbestemmelserne fastsætter også de dataansvarliges og databehandlernes rettigheder og forpligtelser med hensyn til de forhold, der er omhandlet i artikel 28, stk. 3 og 4, i forordning (EU) 2016/679, for så vidt angår overførsel af personoplysninger fra en dataansvarlig til en databehandler eller fra en databehandler til en underdatabehandler.

Artikel 2

Hvis de kompetente myndigheder i medlemsstaterne udøver korrigerende beføjelser i henhold til artikel 58 i forordning (EU) 2016/679, som følge af at dataimportøren er eller har været underlagt lovgivning eller praksis i bestemmelsestredjelandet, der forhindrer vedkommende i at overholde standardkontraktbestemmelserne i bilaget, hvilket fører til suspension af eller forbud mod overførsel af oplysninger til tredjelande, underretter den pågældende medlemsstat straks Kommissionen, som videresender oplysningerne til de øvrige medlemsstater.

Artikel 3

Kommissionen evaluerer den praktiske anvendelse af standardkontraktbestemmelserne i bilaget på grundlag af alle tilgængelige oplysninger som led i den regelmæssige evaluering, der kræves i henhold til artikel 97 i forordning (EU) 2016/679.

Artikel 4

1.   Denne afgørelse træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2.   Beslutning 2001/497/EF ophæves med virkning fra den 27. september 2021.

3.   Afgørelse 2010/87/EU ophæves med virkning fra den 27. september 2021.

4.   Kontrakter, der er indgået inden den 27. september 2021 på baggrund af beslutning 2001/497/EF eller afgørelse 2010/87/EU, anses for at give de fornødne garantier, jf. artikel 46, stk. 1, i forordning (EU) 2016/679, indtil den 27. december 2022, forudsat at den behandling, der er genstand for kontrakten, forbliver uændret, og at anvendelsen af disse bestemmelser sikrer, at overførslen af personoplysninger er omfattet af de fornødne garantier.

Udfærdiget i Bruxelles, den 4. juni 2021.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand


(1)  EUT L 119 af 4.5.2016, s. 1.

(2)  Artikel 44 i forordning (EU) 2016/679.

(3)  Se også Domstolens dom af 16. juli 2020 i sag C-311/18, Data Protection Commissioner mod Facebook Ireland Ltd og Maximillian Schrems (»Schrems II«), ECLI:EU:C:2020:559, præmis 93.

(4)  Betragtning 109 til forordning (EU) 2016/679.

(5)  Kommissionens beslutning 2001/497/EF af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF (EFT L 181 af 4.7.2001, s. 19).

(6)  Kommissionens afgørelse 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til databehandlere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (EUT L 39 af 12.2.2010, s. 5).

(7)  Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

(8)  Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39), se betragtning 5.

(9)  C(2021) 3701.

(10)  Schrems II-dommen, præmis 96 og 103. Se også forordning (EU) 2016/679, betragtning 108 og 114.

(11)  Schrems II.

(12)  Fælles udtalelse 2/2021 fra Det Europæiske Databeskyttelsesråd og Den Europæiske Tilsynsførende for Databeskyttelse om Europa-Kommissionens gennemførelsesafgørelse om standardkontraktbestemmelser for videregivelse af personoplysninger til tredjelande med henblik på de spørgsmål, der er omhandlet i artikel 46, stk. 2, litra c), i forordning (EU) 2016/679.


BILAG

STANDARDKONTRAKTBESTEMMELSER

AFSNIT I

Bestemmelse 1

Formål og anvendelsesområde

a)

Formålet med disse standardkontraktbestemmelser er at sikre overholdelse af kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (1) ved overførsel af personoplysninger til et tredjeland.

b)

Parterne:

i)

Den/det eller de fysiske eller juridiske person(er), offentlige myndighed(er), kontor(er) eller andre organ(er) (herefter benævnt »enhed(er)«), der overfører personoplysningerne, jf. bilag I.A., (herefter benævnt »dataeksportør«) og

ii)

den/de enhed(er) i et tredjeland, der modtager personoplysningerne fra dataeksportøren, direkte eller indirekte via en anden enhed, der også anvender disse standardkontraktbestemmelser, jf. bilag I.A., (herefter begge benævnt (»dataimportør«)

har aftalt at anvende disse standardkontraktbestemmelser (herefter benævnt: »bestemmelser«).

c)

Disse bestemmelser gælder for overførsel af personoplysninger som omhandlet i bilag I.B.

d)

Tillægget til disse bestemmelser, der indeholder de bilag, der henvises til heri, udgør en integreret del af disse bestemmelser.

Bestemmelse 2

Bestemmelsernes virkning og ufravigelighed

a)

Disse bestemmelser fastsætter fornødne garantier, herunder rettigheder for registrerede, som kan håndhæves, samt effektive retsmidler, jf. artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i forordning (EU) 2016/679, og vedrørende dataoverførsler fra dataansvarlige til databehandlere og/eller fra databehandlere til databehandlere standardkontraktbestemmelser, jf. artikel 28, stk. 7, i forordning (EU) 2016/679, forudsat at disse ikke ændres, undtaget med det formål at vælge det/de passende modul(er) eller tilføje eller opdatere oplysninger i tillægget. Dette forhindrer ikke parterne i at inkludere standardkontraktbestemmelserne, der er fastsat i disse bestemmelser, i en bredere kontrakt og/eller tilføje andre bestemmelser eller yderligere garantier, forudsat at disse ikke direkte eller indirekte er i modstrid med disse bestemmelser eller udgør en krænkelse af de registreredes grundlæggende rettigheder eller frihedsrettigheder.

b)

Disse bestemmelser berører ikke de forpligtelser, som dataeksportøren er underlagt i medfør af forordning (EU) 2016/679.

Bestemmelse 3

Begunstigede tredjemænd

a)

De registrerede kan påberåbe sig og håndhæve disse bestemmelser som begunstigede tredjemænd over for dataeksportøren og/eller dataimportøren med følgende undtagelser:

i)

Bestemmelse 1, bestemmelse 2, bestemmelse 3, bestemmelse 6, bestemmelse 7

ii)

Bestemmelse 8 — Modul et: Bestemmelse 8.5, litra e), og bestemmelse 8.9, litra b), Modul to: Bestemmelse 8.1, litra b), bestemmelse 8.9, litra a), c), d) og e), Modul tre: Bestemmelse 8.1, litra a), c) og d), og bestemmelse 8.9, litra a), c), d), e), f) og g), Modul fire: Bestemmelse 8.1, litra b), og bestemmelse 8.3, litra b)

iii)

Bestemmelse 9 — Modul to: Bestemmelse 9, litra a), c), d) og e), Modul tre: Bestemmelse 9, litra a), c), d) og e)

iv)

Bestemmelse 12 — Modul et: Bestemmelse 12, litra a) og d), Modul to og tre: Bestemmelse 12, litra a), d) og f)

v)

Bestemmelse 13

vi)

Bestemmelse 15.1, litra c), d) og e)

vii)

Bestemmelse 16, litra e)

viii)

Bestemmelse 18 — Modul et, to og tre: Bestemmelse 18, litra a) og b), Modul fire: Bestemmelse 18.

b)

Litra a) berører ikke de registreredes rettigheder i henhold til forordning (EU) 2016/679.

Bestemmelse 4

Fortolkning

a)

Hvis begreber, der er fastlagt i forordning (EU) 2016/679, anvendes i disse bestemmelser, har de den samme betydning som i forordningen.

b)

Disse bestemmelser skal læses og fortolkes på baggrund af bestemmelserne i forordning (EU) 2016/679.

c)

Disse bestemmelser må ikke fortolkes på måder, der er i strid med de rettigheder og forpligtelser, der er fastsat i forordning (EU) 2016/679.

Bestemmelse 5

Hierarki

I tilfælde af en modsætning mellem disse bestemmelser og bestemmelser i andre relevante aftaler mellem parterne, der er indgået på det tidspunkt, hvor disse bestemmelser bliver aftalt, eller som efterfølgende indgås, har disse bestemmelser forrang.

Bestemmelse 6

Beskrivelse af overførslen/overførslerne

Detaljerede oplysninger om overførslen eller overførslerne, navnlig de kategorier af personoplysninger, der overføres, og formålet eller formålene med overførslen, er anført i bilag I.B.

Bestemmelse 7 — Fakultative bestemmelser

Tillægsbestemmelse

a)

En enhed, der ikke anvender disse bestemmelser, kan med parternes godkendelse til enhver tid tiltræde disse bestemmelser, enten som dataeksportør eller dataimportør, ved at udfylde tillægget og underskrive bilag I.A.

b)

Når denne enhed har udfyldt tillægget og underskrevet bilag I.A., indgår den tiltrædende enhed som en part og anvender ligeledes disse bestemmelser og indtræder i en dataeksportørs eller dataimportørs rettigheder i overensstemmelse med betegnelsen i bilag I.A.

c)

Den tiltrædende part er ikke omfattet af rettigheder eller forpligtelser i medfør af disse bestemmelser for perioden forud for tiltrædelsen til bestemmelserne.

AFSNIT II — PARTERNES FORPLIGTELSER

Bestemmelse 8

Databeskyttelsesgarantier

Dataeksportøren garanterer, at denne har gjort en rimelig indsats for at kontrollere, at dataimportøren, når denne gennemfører tilstrækkelige tekniske og organisatoriske foranstaltninger, kan opfylde sine forpligtelser i henhold til disse bestemmelser.

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

8.1.   Formålsbegrænsning

Dataimportøren behandler kun personoplysningerne til det eller de konkrete formål, som overførslen vedrører, jf. bilag I.B. Dataimportøren må kun behandle personoplysningerne til andre formål:

i)

med den registreredes forudgående samtykke

ii)

hvis det er nødvendigt med henblik på fastlæggelse, udøvelse eller forsvar af retskrav i forbindelse med konkrete administrative eller retlige procedurer eller

iii)

hvis behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

8.2.   Gennemsigtighed

a)

For at give registrerede personer mulighed for effektivt at udøve deres rettigheder i henhold til bestemmelse 10 informerer dataimportøren dem direkte eller gennem dataeksportøren:

i)

om sin identitet og kontaktoplysninger

ii)

om de kategorier af personoplysninger, der behandles

iii)

om retten til at få udleveret en kopi af disse bestemmelser

iv)

om modtageren eller kategorier af modtagere (alt efter hvad der er relevant for at sikre, at oplysningerne er brugbare), hvis dataimportøren har til hensigt at videreoverføre personoplysningerne til en eller flere tredjeparter, samt formål og begrundelse for en sådan videreoverførsel i henhold til bestemmelse 8.7.

b)

Litra a) gælder ikke, hvis den registrerede allerede er bekendt med oplysningerne, herunder hvis informationerne allerede er blevet oplyst af dataeksportøren, eller hvis det er umuligt at tilvejebringe oplysningerne, eller det ville medføre en uforholdsmæssig stor indsats for dataeksportøren. I sidstnævnte tilfælde gør dataimportøren i videst muligt omfang oplysningerne offentligt tilgængelige.

c)

På forespørgsel gør parterne en kopi af disse bestemmelser, herunder tillægget udfyldt af parterne, tilgængelig for den registrerede uden beregning. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan parterne redigere dele af teksten i tillægget, før en kopi stilles til rådighed, men de skal samtidig tilvejebringe et meningsfyldt resumé, hvis den registrerede ellers ikke ville være i stand til at forstå tillæggets indhold eller udøve sine rettigheder. Efter anmodning meddeler parterne den registrerede årsagerne til redigeringen uden at afsløre de redigerede oplysninger, i det omfang det er muligt.

d)

Litra a) til c) berører ikke dataeksportørens forpligtelser i medfør af artikel 13 og 14 i forordning (EU) 2016/679.

8.3.   Nøjagtighed og dataminimering

a)

Parterne sikrer hver især, at personoplysningerne er nøjagtige og om nødvendigt ajourførte. Dataimportøren træffer alle rimelige foranstaltninger for at sikre, at unøjagtige personoplysninger, der har relevans for formålet eller formålene for behandlingen, bliver slettet eller rettet hurtigst muligt.

b)

Hvis en af parterne bliver opmærksom på, at de personoplysninger, som denne part har videregivet eller modtaget, er unøjagtige eller forældede, informerer denne part den anden part uden unødig forsinkelse.

c)

Dataimportøren sikrer, at personoplysningerne er tilstrækkelige, relevante og begrænsede til de oplysninger, der er nødvendige for formålet eller formålene med behandlingen.

8.4.   Opbevaringsbegrænsning

Dataimportøren gemmer kun personoplysningerne i den periode, der er nødvendig til det eller de formål, som oplysningerne behandles til. Dataimportøren etablerer tilstrækkelige tekniske og organisatoriske foranstaltninger til at sikre overholdelse af denne forpligtelse, herunder sletning eller anonymisering (2) af oplysningerne samt alle sikkerhedskopier ved opbevaringsperiodens udløb.

8.5.   Sikkerhed i forbindelse med behandling

a)

Dataimportøren, og under dataoverførsel også dataeksportøren, iværksætter tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger til at garantere datasikkerheden, herunder sikkerhedsbrud, der kan føre til hændelig eller ulovlig ødelæggelse, tab, ændring eller uautoriseret videregivelse af eller adgang til personoplysningerne (herefter benævnt »brud på persondatasikkerheden«). Ved vurdering af det tilstrækkelige sikkerhedsniveau tages behørigt hensyn til den bedste teknologi, implementeringsomkostninger, art, omfang, sammenhæng og formål med behandlingen samt de risici, som behandlingen indebærer for den registrerede. Parterne overvejer navnlig at anvende kryptering eller pseudonymisering, herunder under videregivelse, hvis formålet med behandlingen kan opfyldes på denne måde.

b)

Parterne har indgået aftale om de tekniske og organisatoriske foranstaltninger i medfør af bilag II. Dataimportøren udfører en regelmæssig kontrol for at sikre, at foranstaltningerne fortsat garanterer et tilstrækkeligt sikkerhedsniveau.

c)

Dataimportøren sikrer, at personer, der har tilladelse til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

d)

I tilfælde af brud på persondatasikkerheden vedrørende personoplysninger, som dataimportøren behandler i henhold til disse bestemmelser, træffer dataimportøren tilstrækkelige foranstaltninger til at håndtere bruddet på persondatasikkerheden, herunder foranstaltninger til at afbøde eventuelle negative konsekvenser af bruddet.

e)

I tilfælde af brud på persondatasikkerheden, der med sandsynlighed indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder, underretter dataimportøren uden unødig forsinkelse både dataeksportøren og den kompetente tilsynsmyndighed, jf. bestemmelse 13. Denne underretning indeholder i) en beskrivelse af typen af sikkerhedsbrud (herunder, hvis det er muligt, kategorier og det omtrentlige antal berørte registrerede personer og dataregistreringer), ii) de sandsynlige konsekvenser, iii) foreslåede eller iværksatte foranstaltninger til håndtering af sikkerhedsbruddet og iv) oplysninger om et kontaktpunkt, der kan give yderligere oplysninger. Hvis dataimportøren ikke kan give alle oplysningerne på samme tid, kan de oplyses trinvist uden yderligere unødig forsinkelse.

f)

I tilfælde af brud på persondatasikkerheden, der med sandsynlighed kan medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter dataimportøren også uden unødig forsinkelse de berørte registrerede personer om bruddet på persondatasikkerheden samt arten heraf, hvis det er nødvendigt i samarbejde med dataeksportøren, ledsaget af oplysningerne i medfør af litra e), punkt ii) til iv), medmindre dataimportøren har iværksat foranstaltninger, der i væsentlig grad reducerer risikoen for de fysiske personers rettigheder eller frihedsrettigheder, eller en sådan underretning vil kræve en uforholdsmæssig stor indsats. I sidstnævnte tilfælde udsender dataimportøren i stedet en offentlig meddelelse eller træffer tilsvarende foranstaltninger til at informere offentligheden om bruddet på persondatasikkerheden.

g)

Dataimportøren dokumenterer alle relevante forhold vedrørende bruddet på persondatasikkerheden, herunder sin indsats og eventuelle udbedrende foranstaltninger, og fører registrering heraf.

8.6.   Følsomme personoplysninger

Hvis overførslen indeholder personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data til formål for entydig identifikation af en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering eller data vedrørende domme eller lovovertrædelse (herefter benævnt »følsomme personoplysninger«), anvender dataimportøren særlige restriktioner og/eller yderligere garantier alt efter de specifikke data og den foreliggende risiko. Det kan være begrænsning af det personale, der har adgang til personoplysningerne, supplerende sikkerhedsforanstaltninger (f.eks. pseudonymisering) eller yderligere restriktioner vedrørende videregivelse.

8.7.   Videreoverførsel

Dataimportøren videregiver ikke personoplysningerne til en tredjepart uden for Den Europæiske Union (3) (i samme land som dataimportøren eller i et andet tredjeland, herefter benævnt »videreoverførsel«), medmindre denne tredjepart er eller accepterer at være bundet af det relevante modul af disse bestemmelser. I andre tilfælde videreoverfører dataimportøren kun oplysningerne, hvis:

i)

overførslen sker til et land, hvor der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, jf. artikel 45 i forordning (EU) 2016/679, der omfatter videreoverførslen

ii)

tredjeparten på anden måde sikrer fornødne garantier, jf. artikel 46 eller 47 i forordning (EU) 2016/679, for den pågældende behandling

iii)

tredjeparten indgår en bindende aftale med dataimportøren om at garantere det samme niveau af databeskyttelse som i henhold til disse bestemmelser, og dataimportøren stiller en kopi af disse garantier til rådighed for dataeksportøren

iv)

det er nødvendigt med henblik på fastlæggelse, udøvelse eller forsvar af retskrav i forbindelse med konkrete administrative eller retlige procedurer

v)

det er nødvendigt for at beskytte den registreredes eller en anden fysisk persons vitale interesser eller

vi)

såfremt ingen af de øvrige betingelser finder anvendelse, importøren har indhentet den registreredes udtrykkelige samtykke til videreoverførsel i en konkret situation efter at have informeret vedkommende om formålet eller formålene hermed, modtagers identitet samt de mulige risici for vedkommende ved en sådan overførsel på grund af de utilstrækkelige databeskyttelsesgarantier. I et sådant tilfælde informerer dataimportøren dataeksportøren og fremsender på anmodning fra sidstnævnte en kopi til denne af de oplysninger, der er givet til den registrerede.

Videreoverførsel er betinget af, at dataimportøren samtidig overholder alle øvrige garantier i henhold til disse bestemmelser, navnlig formålsbegrænsning.

8.8.   Databehandling under dataimportørens ansvar

Dataimportøren sikrer, at alle personer, der optræder under dennes ansvar, herunder databehandler, udelukkende behandler data efter instruks fra dataimportøren.

8.9.   Dokumentation og overholdelse

a)

Alle parterne skal kunne påvise overholdelse af deres forpligtelser i henhold til disse bestemmelser. Navnlig skal dataimportøren føre en passende dokumentation for behandlingsaktiviteterne udført under dennes ansvar.

b)

Dataimportøren sikrer, at en sådan dokumentation er til rådighed for den kompetente tilsynsmyndighed på forespørgsel.

MODUL TO: Overførsel fra dataansvarlig til databehandler

8.1.   Instrukser

a)

Dataimportøren behandler kun personoplysningerne ud fra dokumenterede instrukser fra dataeksportøren. Dataeksportøren kan give instrukser i hele kontraktens varighed.

b)

Dataimportøren informerer omgående dataeksportøren, hvis dataimportøren ikke er i stand til at følge instrukserne.

8.2.   Formålsbegrænsning

Dataimportøren behandler kun personoplysningerne til det eller de konkrete formål, som overførslen vedrører, jf. bilag I.B., medmindre der modtages yderligere instrukser fra dataeksportøren.

8.3.   Gennemsigtighed

På forespørgsel gør dataeksportøren en kopi af disse bestemmelser, herunder tillægget udfyldt af parterne, tilgængelig for den registrerede uden beregning. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder foranstaltningerne beskrevet i bilag II og personoplysninger, kan dataeksportøren redigere dele af teksten i tillægget til disse bestemmelser, før en kopi stilles til rådighed, men dataeksportøren skal samtidig tilvejebringe et meningsfyldt resumé, hvis den registrerede ellers ikke ville være i stand til at forstå tillæggets indhold eller udøve sine rettigheder. Efter anmodning meddeler parterne den registrerede årsagerne til redigeringen uden at afsløre de redigerede oplysninger, i det omfang det er muligt. Denne bestemmelse berører ikke dataeksportørens forpligtelser i medfør af artikel 13 og 14 i forordning (EU) 2016/679.

8.4.   Nøjagtighed

Hvis dataimportøren bliver opmærksom på, at de modtagne personoplysninger er unøjagtige eller forældede, informerer dataimportøren dataeksportøren herom uden unødig forsinkelse. I sådanne tilfælde samarbejder dataimportøren med dataeksportøren om at få oplysningerne slettet eller rettet.

8.5.   Behandlingens varighed og sletning eller tilbagelevering af oplysninger

Dataimportøren foretager kun behandling af oplysningerne i den periode, der er fastsat i bilag I.B. Når behandlingen er afsluttet, sletter dataimportøren alle personoplysninger, som denne har behandlet på vegne af dataeksportøren og bekræfter over for dataeksportøren, at arbejdet er afsluttet, eller tilbageleverer, afhængigt af dataeksportørens valg, alle personoplysninger til dataeksportøren, som er blevet behandlet på vegne af denne, og sletter eksisterende kopier. Indtil dataene slettes eller returneres, skal dataimportøren fortsat sikre, at disse bestemmelser overholdes. I tilfælde, hvor den lokale lovgivning, der er gældende for dataimportøren, forbyder sletning eller tilbagelevering af personoplysningerne, garanterer dataimportøren, at denne fortsat sikrer overholdelse af disse bestemmelser og kun behandler personoplysningerne i det omfang og i den periode, der er krævet i henhold til den lokale lovgivning. Dette berører ikke bestemmelse 14, navnlig kravet om, at dataimportøren i henhold til standardbestemmelse 14, litra e), skal underrette dataeksportøren i hele kontraktens løbetid, hvis denne har grund til at tro, at denne er eller er blevet underlagt lovgivning eller praksis, der ikke er i overensstemmelse med kravene i bestemmelse 14, litra a).

8.6.   Sikkerhed i forbindelse med behandling

a)

Dataimportøren, og under dataoverførsel også dataeksportøren, iværksætter tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af personoplysningerne, herunder mod brud på sikkerheden, der kan føre til hændelig eller ulovlig ødelæggelse, tab, ændring eller uautoriseret videregivelse af eller adgang til personoplysningerne (herefter benævnt »brud på persondatasikkerheden«). Ved vurdering af det tilstrækkelige sikkerhedsniveau tager parterne behørigt hensyn til den bedste teknologi, implementeringsomkostninger, art, omfang, sammenhæng og formål med behandlingen samt de risici, som behandlingen indebærer for den registrerede. Parterne overvejer navnlig at anvende kryptering eller pseudonymisering, herunder under videregivelse, hvis formålet med behandlingen kan opfyldes på denne måde. I tilfælde af pseudonymisering er det, hvor det er muligt, udelukkende dataeksportøren, der råder over de supplerende oplysninger, der kan knytte personoplysningerne til en specifik registreret person. For at opfylde sine forpligtelser i henhold til dette punkt gennemfører dataimportøren som minimum de tekniske og organisatoriske foranstaltninger, der er angivet i bilag II. Dataimportøren udfører en regelmæssig kontrol for at sikre, at foranstaltningerne fortsat garanterer et tilstrækkeligt sikkerhedsniveau.

b)

Dataimportøren giver kun udvalgte medarbejdere adgang til personoplysningerne i det omfang, det er strengt nødvendigt for udførelse, administration og overvågning af kontrakten. Dataimportøren sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt

c)

I tilfælde af brud på persondatasikkerheden vedrørende personoplysninger, som dataimportøren behandler i henhold til disse bestemmelser, træffer dataimportøren tilstrækkelige foranstaltninger til at håndtere bruddet på persondatasikkerheden, herunder foranstaltninger til at afbøde eventuelle negative konsekvenser af bruddet. Dataimportøren underretter også dataeksportøren uden unødig forsinkelse efter at være blevet opmærksom på sikkerhedsbruddet. En sådan underretning skal indeholde nærmere oplysninger om et kontaktpunkt, hvor der kan indhentes flere oplysninger, en beskrivelse af bruddets art (herunder om muligt kategorier og omtrentlige antal berørte registrerede og registreringer af personoplysninger), de sandsynlige konsekvenser heraf og de foranstaltninger, der er truffet eller foreslået for at afhjælpe bruddet, herunder, hvor det er relevant, foranstaltninger til at afbøde de mulige negative virkninger. Hvis og i det omfang det ikke er muligt at give alle oplysninger samtidig, skal den oprindelige anmeldelse indeholde de oplysninger, der er til rådighed, og yderligere oplysninger skal, efterhånden som de foreligger, efterfølgende gives uden unødig forsinkelse.

d)

Dataimportøren samarbejder med og bistår dataeksportøren for at sætte dataeksportøren i stand til at opfylde sine forpligtelser i henhold til forordning (EU) 2016/679, navnlig til at underrette den kompetente tilsynsmyndighed og de berørte registrerede, idet der tages hensyn til arten af behandlingen og de oplysninger, dataimportøren har til rådighed.

8.7.   Følsomme personoplysninger

Hvis overførslen omfatter personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data eller biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en persons seksuelle forhold eller seksuelle orientering eller om straffedomme og lovovertrædelser (i det følgende benævnt »følsomme personoplysninger«), anvender dataimportøren de specifikke restriktioner og/eller yderligere garantier, der er beskrevet i bilag I.B.

8.8.   Videreoverførsel

Dataimportøren videregiver kun personoplysningerne til tredjepart på grundlag af dokumenterede instrukser fra dataeksportøren. Desuden må dataene kun videregives til en tredjepart uden for Den Europæiske Union (4) (i samme land som dataimportøren eller i et andet tredjeland, herefter benævnt »videreoverførsel«), hvis denne tredjepart er eller accepterer at være bundet af det relevante modul af disse bestemmelser, eller hvis:

i)

videreoverførslen sker til et land, der er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45 i forordning (EU) 2016/679, som omfatter videreoverførslen

ii)

tredjeparten på anden måde sikrer fornødne garantier, jf. artikel 46 eller 47 i forordning (EU) 2016/679, for den pågældende behandling

iii)

videreoverførslen er nødvendig med henblik på fastlæggelse, udøvelse eller forsvar af retskrav i forbindelse med konkrete administrative eller retlige procedurer eller

iv)

videreoverførslen er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

Videreoverførsel er betinget af, at dataimportøren samtidig overholder alle øvrige garantier i henhold til disse bestemmelser, navnlig formålsbegrænsning.

8.9.   Dokumentation og overholdelse

a)

Dataimportøren behandler straks og på passende vis forespørgsler fra dataeksportøren vedrørende behandlingen i henhold til disse bestemmelser.

b)

Parterne skal kunne påvise, at de overholder disse bestemmelser. Navnlig skal dataimportøren føre en tilstrækkelig dokumentation for de behandlingsaktiviteter, der udføres på vegne af dataeksportøren.

c)

Dataimportøren stiller alle de oplysninger til rådighed for dataeksportøren, der er nødvendige for at påvise, at forpligtelserne i disse bestemmelser er opfyldt, og giver på dataeksportørens anmodning med rimelige mellemrum eller ved formodet manglende overholdelse mulighed for og bistår ved revisioner af de behandlingsaktiviteter, der er omfattet af disse bestemmelser. Når dataeksportøren træffer beslutning om en undersøgelse eller revision, kan denne tage hensyn til relevante certificeringer, som dataimportøren er i besiddelse af.

d)

Dataeksportøren kan vælge selv at foretage revisionen eller bemyndige en uafhængig revisor. Revisioner kan omfatte inspektioner på dataimportørens adresse eller fysiske faciliteter og gennemføres, hvor det er relevant, med rimeligt varsel.

e)

Parterne stiller efter anmodning de i litra b) og c) omhandlede oplysninger, herunder resultaterne af eventuelle revisioner, til rådighed for den kompetente tilsynsmyndighed.

MODUL TRE: Overførsel fra databehandler til databehandler

8.1.   Instrukser

a)

Dataeksportøren har meddelt dataimportøren, at denne fungerer som databehandler efter instruks fra den eller de dataansvarlige. Instrukserne stilles til rådighed for dataimportøren forud for behandlingen.

b)

Dataimportøren må kun behandle personoplysningerne efter dokumenterede instrukser fra den dataansvarlige, som dataeksportøren har meddelt dataimportøren, samt eventuelle supplerende dokumenterede instrukser fra dataeksportøren. Sådanne supplerende instrukser må ikke være i modstrid med instrukserne fra den dataansvarlige. Den dataansvarlige eller dataeksportøren kan give supplerende dokumenterede instrukser vedrørende databehandlingen i hele kontraktens løbetid.

c)

Dataimportøren informerer omgående dataeksportøren, hvis dataimportøren ikke er i stand til at følge instrukserne. Hvis dataimportøren ikke er i stand til at følge instrukserne fra den dataansvarlige, underretter dataeksportøren straks den dataansvarlige herom.

d)

Dataeksportøren garanterer, at denne har pålagt dataimportøren de samme databeskyttelsesforpligtelser, som er fastsat i kontrakten eller i andre retsakter i EU-retten eller medlemsstatslovgivningen, der gælder for den dataansvarlige og dataeksportøren (5).

8.2.   Formålsbegrænsning

Dataimportøren behandler kun personoplysningerne til det eller de specifikke formål for overførslen, jf. bilag I.B., medmindre der foreligger supplerende instrukser fra den dataansvarlige, som dataeksportøren har meddelt dataimportøren, eller fra dataeksportøren.

8.3.   Gennemsigtighed

På forespørgsel gør dataeksportøren en kopi af disse bestemmelser, herunder tillægget udfyldt af parterne, tilgængelig for den registrerede uden beregning. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan dataeksportøren redigere dele af teksten i tillægget, før en kopi stilles til rådighed, men de skal samtidig tilvejebringe et meningsfyldt resumé, hvis den registrerede ellers ikke ville være i stand til at forstå tillæggets indhold eller udøve sine rettigheder. Efter anmodning meddeler parterne den registrerede årsagerne til redigeringen uden at afsløre de redigerede oplysninger, i det omfang det er muligt.

8.4.   Nøjagtighed

Hvis dataimportøren bliver opmærksom på, at de modtagne personoplysninger er unøjagtige eller forældede, informerer dataimportøren dataeksportøren herom uden unødig forsinkelse. I sådanne tilfælde samarbejder dataimportøren med dataeksportøren om at få oplysningerne slettet eller rettet.

8.5.   Behandlingens varighed og sletning eller tilbagelevering af oplysninger

Dataimportøren foretager kun behandling af oplysningerne i den periode, der er fastsat i bilag I.B. Når behandlingen er afsluttet, sletter dataimportøren alle personoplysninger, som denne har behandlet på vegne af den dataansvarlige, og bekræfter over for dataeksportøren, at arbejdet er afsluttet, eller tilbageleverer, afhængigt af dataeksportørens valg, alle personoplysninger til dataeksportøren, som er blevet behandlet på vegne af denne, og sletter eksisterende kopier. Indtil dataene slettes eller returneres, skal dataimportøren fortsat sikre, at disse bestemmelser overholdes. I tilfælde, hvor den lokale lovgivning, der er gældende for dataimportøren, forbyder sletning eller tilbagelevering af personoplysningerne, garanterer dataimportøren, at denne fortsat sikrer overholdelse af disse bestemmelser og kun behandler personoplysningerne i det omfang og i den periode, der er krævet i henhold til den lokale lovgivning. Dette berører ikke bestemmelse 14, navnlig kravet om, at dataimportøren i henhold til standardbestemmelse 14, litra e), skal underrette dataeksportøren i hele kontraktens løbetid, hvis denne har grund til at tro, at denne er eller er blevet underlagt lovgivning eller praksis, der ikke er i overensstemmelse med kravene i bestemmelse 14, litra a).

8.6.   Sikkerhed i forbindelse med behandling

a)

Dataimportøren, og under dataoverførsel også dataeksportøren, iværksætter tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af personoplysningerne, herunder mod brud på sikkerheden, der kan føre til hændelig eller ulovlig ødelæggelse, tab, ændring eller uautoriseret videregivelse af eller adgang til personoplysningerne (herefter benævnt »brud på persondatasikkerheden«). Ved vurdering af det tilstrækkelige sikkerhedsniveau tages behørigt hensyn til den bedste teknologi, implementeringsomkostninger, art, omfang, sammenhæng og formål med behandlingen samt de risici, som behandlingen indebærer for den registrerede. Parterne overvejer navnlig at anvende kryptering eller pseudonymisering, herunder under videregivelse, hvis formålet med behandlingen kan opfyldes på denne måde. I tilfælde af pseudonymisering er det, hvor det er muligt, udelukkende dataeksportøren eller den dataansvarlige, der råder over de supplerende oplysninger, der kan knytte personoplysningerne til en specifik registreret person. For at opfylde sine forpligtelser i henhold til dette punkt gennemfører dataimportøren som minimum de tekniske og organisatoriske foranstaltninger, der er angivet i bilag II. Dataimportøren udfører en regelmæssig kontrol for at sikre, at foranstaltningerne fortsat garanterer et tilstrækkeligt sikkerhedsniveau.

b)

Dataimportøren giver kun udvalgte medarbejdere adgang til data i det omfang, det er strengt nødvendigt for udførelse, administration og overvågning af kontrakten. Dataimportøren sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt

c)

I tilfælde af brud på persondatasikkerheden vedrørende personoplysninger, som dataimportøren behandler i henhold til disse bestemmelser, træffer dataimportøren tilstrækkelige foranstaltninger til at håndtere bruddet på persondatasikkerheden, herunder foranstaltninger til at afbøde eventuelle negative konsekvenser af bruddet. Dataimportøren underretter desuden uden unødig forsinkelse dataeksportøren og, hvis det er relevant og muligt, den dataansvarlige efter at have fået kendskab til bruddet. Denne underretning indeholder oplysninger om et kontaktpunkt, der kan give yderligere oplysninger, en beskrivelse af typen af sikkerhedsbrud (herunder, hvis det er muligt, kategorier og det omtrentlige antal berørte registrerede personer og dataregistreringer), de sandsynlige konsekvenser og de foreslåede eller iværksatte foranstaltninger til håndtering af sikkerhedsbruddet, herunder foranstaltninger til afhjælpning af mulige negative konsekvenser. Hvis og i det omfang det ikke er muligt at give alle oplysninger samtidig, skal den oprindelige anmeldelse indeholde de oplysninger, der er til rådighed, og yderligere oplysninger skal, efterhånden som de foreligger, efterfølgende gives uden unødig forsinkelse.

d)

Dataimportøren samarbejder med og bistår dataeksportøren for at sætte dataeksportøren i stand til at opfylde sine forpligtelser i henhold til forordning (EU) 2016/679, navnlig til at underrette den dataansvarlige, således at denne kan underrette den kompetente tilsynsmyndighed og de berørte registrerede under hensyntagen til arten af behandlingen og de oplysninger, som dataimportøren har til rådighed.

8.7.   Følsomme personoplysninger

Hvis overførslen omfatter personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data eller biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en persons seksuelle forhold eller seksuelle orientering eller om straffedomme og lovovertrædelser (i det følgende benævnt »følsomme personoplysninger«), anvender dataimportøren de specifikke restriktioner og/eller yderligere garantier, der er fastsat i bilag I.B.

8.8.   Videreoverførsel

Dataimportøren videregiver kun personoplysningerne til tredjepart på grundlag af dokumenterede instrukser fra den dataansvarlige, som dataeksportøren har meddelt dataimportøren. Desuden må dataene kun videregives til en tredjepart uden for Den Europæiske Union (6) (i samme land som dataimportøren eller i et andet tredjeland, herefter benævnt »videreoverførsel«), hvis denne tredjepart er eller accepterer at være bundet af det relevante modul af disse bestemmelser, eller hvis:

i)

videreoverførslen sker til et land, der er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45 i forordning (EU) 2016/679, som omfatter videreoverførslen

ii)

tredjeparten på anden måde sikrer fornødne garantier, jf. artikel 46 eller 47 i forordning (EU) 2016/679

iii)

videreoverførslen er nødvendig med henblik på fastlæggelse, udøvelse eller forsvar af retskrav i forbindelse med konkrete administrative eller retlige procedurer eller

iv)

videreoverførslen er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

Videreoverførsel er betinget af, at dataimportøren samtidig overholder alle øvrige garantier i henhold til disse bestemmelser, navnlig formålsbegrænsning.

8.9.   Dokumentation og overholdelse

a)

Dataimportøren behandler straks og på passende vis forespørgsler fra dataeksportøren eller den dataansvarlige vedrørende behandlingen i henhold til disse bestemmelser.

b)

Parterne skal kunne påvise, at de overholder disse bestemmelser. Navnlig skal dataimportøren føre en tilstrækkelig dokumentation for de behandlingsaktiviteter, der udføres på vegne af den dataansvarlige.

c)

Dataimportøren stiller alle de oplysninger, der er nødvendige for at påvise, at forpligtelserne i disse bestemmelser er opfyldt, til rådighed for dataeksportøren, som stiller dem til rådighed for den dataansvarlige.

d)

Dataimportøren giver med rimelige mellemrum eller ved formodet manglende overholdelse mulighed for og bistår ved revisioner foretaget af dataeksportøren af de behandlingsaktiviteter, der er omfattet af disse bestemmelser. Det samme gælder, hvis dataeksportøren anmoder om en revision efter instruks fra den dataansvarlige. Når dataeksportøren træffer beslutning om en revision, kan denne tage hensyn til dataimportørens relevante certificeringer.

e)

Hvis revisionen foretages efter instruks fra den dataansvarlige, stiller dataeksportøren resultaterne til rådighed for den dataansvarlige.

f)

Dataeksportøren kan vælge selv at foretage revisionen eller bemyndige en uafhængig revisor. Revisioner kan omfatte inspektioner på dataimportørens adresse eller fysiske faciliteter og gennemføres, hvor det er relevant, med rimeligt varsel.

g)

Parterne stiller efter anmodning de i litra b) og c) omhandlede oplysninger, herunder resultaterne af eventuelle revisioner, til rådighed for den kompetente tilsynsmyndighed.

MODUL FIRE: Overførsel fra databehandler til dataansvarlig

8.1.   Instrukser

a)

Dataeksportøren behandler kun personoplysningerne efter dokumenterede instrukser fra dataimportøren, der optræder i egenskab af dataansvarlig.

b)

Dataeksportøren underretter straks dataimportøren, hvis denne ikke er i stand til at følge disse instrukser, herunder hvis sådanne instrukser er i strid med forordning (EU) 2016/679 eller anden EU-ret eller medlemsstatslovgivning om databeskyttelse.

c)

Dataimportøren afstår fra enhver handling, der forhindrer dataeksportøren i at opfylde sine forpligtelser i henhold til forordning (EU) 2016/679, herunder i forbindelse med underkontraheret databehandling eller for så vidt angår samarbejde med de kompetente tilsynsmyndigheder.

d)

Når behandlingen er afsluttet og efter dataimportørens anvisning, sletter dataeksportøren alle personoplysninger, som denne har behandlet på vegne af dataimportøren, og bekræfter over for dataimportøren, at arbejdet er afsluttet, eller tilbageleverer alle personoplysninger til dataimportøren, som er blevet behandlet på vegne af denne, og sletter eksisterende kopier.

8.2.   Sikkerhed i forbindelse med behandling

a)

Parterne iværksætter tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger til at garantere datasikkerheden, herunder under videregivelse, samt til beskyttelse mod sikkerhedsbrud, der kan føre til hændelig eller ulovlig ødelæggelse, tab, ændring eller uautoriseret videregivelse af eller adgang til personoplysningerne (herefter benævnt »brud på persondatasikkerheden«). Når de vurderer det passende sikkerhedsniveau, tager de behørigt hensyn til den bedste teknologi, implementeringsomkostninger, personoplysningernes art (7), behandlingens art, omfang, sammenhæng og formål samt de risici, som behandlingen indebærer for de registrerede, og overvejer især at anvende kryptering eller pseudonymisering, herunder under overførslen, hvis dette ikke forhindrer opfyldelsen af formålet med behandlingen.

b)

Dataeksportøren bistår dataimportøren med at garantere en passende datasikkerhed i overensstemmelse med litra a). I tilfælde af brud på persondatasikkerheden vedrørende de personoplysninger, som dataeksportøren behandler i henhold til disse bestemmelser, underretter dataeksportøren dataimportøren uden unødig forsinkelse efter at have fået kendskab hertil og bistår dataimportøren med at afhjælpe sikkerhedsbruddet.

c)

Dataimportøren sikrer, at personer, der har tilladelse til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

8.3.   Dokumentation og overholdelse

a)

Parterne skal kunne påvise, at de overholder disse bestemmelser.

b)

Dataeksportøren stiller alle de oplysninger til rådighed for dataimportøren, der er nødvendige for at påvise, at dataeksportøren overholder sine forpligtelser i henhold til disse bestemmelser, og giver mulighed for samt bidrager til revisioner.

Bestemmelse 9

Brug af underdatabehandlere

MODUL TO: Overførsel fra dataansvarlig til databehandler

a)

ALTERNATIV 1: SPECIFIK FORUDGÅENDE TILLADELSE Dataimportøren giver ikke behandlingsaktiviteter, der udføres på dataeksportørens vegne i henhold til disse bestemmelser, i underentreprise til en underdatabehandler uden dataeksportørens forudgående særlige skriftlige tilladelse. Dataimportøren indgiver anmodningen om særlig tilladelse mindst [angiv tidsperiode] inden kontraktindgåelse med den pågældende underdatabehandler sammen med de oplysninger, der er nødvendige for, at dataeksportøren kan træffe afgørelse om tilladelsen. Listen over underdatabehandlere, som dataeksportøren allerede har givet tilladelse til, findes i bilag III. Parterne holder bilag III ajour.

ALTERNATIV 2: GENEREL SKRIFTLIG TILLADELSE Dataimportøren har dataeksportørens generelle tilladelse til at indgå kontrakt med underdatabehandlere, der er opført på en aftalt liste. Dataimportøren underretter specifikt dataeksportøren skriftligt om eventuelle forventede ændringer af listen ved tilføjelse eller udskiftning af underdatabehandlere mindst [angiv tidsperiode] i forvejen, således at dataeksportøren får tilstrækkelig tid til at gøre indsigelse mod sådanne ændringer, inden der indgås kontrakt med den eller de pågældende underdatabehandlere. Dataimportøren giver dataeksportøren de oplysninger, der er nødvendige for, at dataeksportøren kan gøre brug af sin indsigelsesret.

b)

Hvis dataimportøren indgår kontrakt med en underdatabehandler om at udføre specifikke behandlingsaktiviteter (på vegne af dataeksportøren), skal det ske ved en skriftlig kontrakt, der i det væsentlige fastsætter de samme databeskyttelsesforpligtelser som dem, der er bindende for dataimportøren i henhold til disse bestemmelser, herunder med hensyn til tredjemandsløftet (8). Parterne er enige om, at dataimportøren ved at overholde denne bestemmelse opfylder sine forpligtelser i henhold til bestemmelse 8.8. Dataimportøren sikrer, at underdatabehandleren opfylder de forpligtelser, som dataimportøren er underlagt i henhold til disse bestemmelser.

c)

Dataimportøren tilvejebringer på dataeksportørens anmodning en kopi til dataeksportøren af en sådan underdatabehandleraftale samt eventuelle efterfølgende ændringer. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan dataimportøren redigere aftaleteksten, før han videregiver en kopi.

d)

Dataimportøren har det fulde ansvar over for dataeksportøren for opfyldelsen af underdatabehandlerens forpligtelser i henhold til underdatabehandlerens kontrakt med dataimportøren. Dataimportøren underretter dataeksportøren, hvis underdatabehandleren ikke opfylder sine forpligtelser i henhold til kontrakten.

e)

Dataimportøren indgår en aftale om tredjemandsløfte med underdatabehandleren, så dataeksportøren i tilfælde, hvor dataimportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent, har ret til at opsige kontrakten med underdatabehandleren og instruere denne om at slette eller tilbagelevere personoplysningerne.

MODUL TRE: Overførsel fra databehandler til databehandler

a)

ALTERNATIV 1: SPECIFIK FORUDGÅENDE TILLADELSE Dataimportøren giver ikke behandlingsaktiviteter, der udføres på dataeksportørens vegne i henhold til disse bestemmelser, i underentreprise til en underdatabehandler uden den dataansvarliges forudgående særlige skriftlige tilladelse. Dataimportøren indgiver anmodningen om særlig tilladelse mindst [angiv tidsperiode] inden kontraktindgåelse med den pågældende underdatabehandler sammen med de oplysninger, der er nødvendige for, at den dataansvarlige kan træffe afgørelse om tilladelsen. Dataimportøren underretter dataeksportøren om en sådan kontrakt. Listen over underdatabehandlere, som den dataansvarlige allerede har givet tilladelse til, findes i bilag III. Parterne holder bilag III ajour.

ALTERNATIV 2: GENEREL SKRIFTLIG TILLADELSE Dataimportøren har den dataansvarliges generelle tilladelse til at indgå kontrakt med underdatabehandlere, der er opført på en aftalt liste. Dataimportøren underretter specifikt den dataansvarlige skriftligt om eventuelle forventede ændringer af listen ved tilføjelse eller udskiftning af underdatabehandlere mindst [angiv tidsperiode] i forvejen, således at den dataansvarlige får tilstrækkelig tid til at gøre indsigelse mod sådanne ændringer, inden der indgås kontrakt med den eller de pågældende underdatabehandlere. Dataimportøren giver den dataansvarlige de oplysninger, der er nødvendige for, at dataeksportøren kan gøre brug af sin indsigelsesret. Dataimportøren underretter dataeksportøren om indgåelse af kontrakt med underbehandlere.

b)

Hvis dataimportøren indgår kontrakt med en underdatabehandler om at udføre specifikke behandlingsaktiviteter (på vegne af den dataansvarlige), skal det ske ved en skriftlig kontrakt, der i det væsentlige fastsætter de samme databeskyttelsesforpligtelser som dem, der er bindende for dataimportøren i henhold til disse bestemmelser, herunder med hensyn til tredjemandsløftet (9). Parterne er enige om, at dataimportøren ved at overholde denne bestemmelse opfylder sine forpligtelser i henhold til bestemmelse 8.8. Dataimportøren sikrer, at underdatabehandleren opfylder de forpligtelser, som dataimportøren er underlagt i henhold til disse bestemmelser.

c)

Dataimportøren tilvejebringer på dataeksportørens eller den dataansvarliges anmodning en kopi af en sådan underdatabehandleraftale samt eventuelle efterfølgende ændringer. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan dataimportøren redigere aftaleteksten, før han videregiver en kopi.

d)

Dataimportøren har det fulde ansvar over for dataeksportøren for opfyldelsen af underdatabehandlerens forpligtelser i henhold til underdatabehandlerens kontrakt med dataimportøren. Dataimportøren underretter dataeksportøren, hvis underdatabehandleren ikke opfylder sine forpligtelser i henhold til kontrakten.

e)

Dataimportøren indgår en aftale om tredjemandsløfte med underdatabehandleren, så dataeksportøren i tilfælde, hvor dataimportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent, har ret til at opsige kontrakten med underdatabehandleren og instruere denne om at slette eller tilbagelevere personoplysningerne.

Bestemmelse 10

De registreredes rettigheder

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

a)

Dataimportøren behandler, eventuelt med bistand fra dataeksportøren, alle forespørgsler og anmodninger fra en registreret vedrørende behandlingen af vedkommendes personoplysninger og udøvelsen af vedkommendes rettigheder i henhold til disse bestemmelser uden unødig forsinkelse og senest inden for en måned efter modtagelse af en forespørgsel eller anmodning. (10) Dataimportøren træffer passende foranstaltninger til behandling af sådanne undersøgelser og anmodninger og udøvelse af registreredes rettigheder. Alle oplysninger, der gives til den registrerede, skal være letforståelige og lettilgængelige i et klart og enkelt sprog.

b)

Efter anmodning fra den registrerede skal dataimportøren navnlig vederlagsfrit:

i)

tilvejebringe en bekræftelse til den registrerede om, hvorvidt den pågældendes personoplysninger bliver behandlet, og, hvis det er tilfældet, en kopi af oplysningerne om den pågældende og oplysningerne i bilag I, hvis der er eller vil blive videreoverført personoplysninger, tilvejebringe oplysninger om modtagere eller kategorier af modtagere (alt efter hvad der er relevant med henblik på at give meningsfulde oplysninger), som personoplysningerne er blevet eller vil blive videreoverført til, formålet med sådanne videreoverførsler og begrundelsen herfor i henhold til bestemmelse 8.7 samt tilvejebringe oplysninger om retten til at indgive klage til en tilsynsmyndighed i overensstemmelse med bestemmelse 12, litra c), punkt i)

ii)

berigtige urigtige eller ufuldstændige oplysninger om den registrerede

iii)

slette personoplysninger om den registrerede, hvis sådanne oplysninger bliver eller er blevet behandlet i strid med en af disse bestemmelser, således at tredjemandsløftet sikres, eller hvis den registrerede trækker det samtykke, som behandlingen er baseret på, tilbage.

c)

Hvis dataimportøren behandler personoplysningerne med henblik på direkte markedsføring, ophører behandlingen til sådanne formål, hvis den registrerede gør indsigelse mod den.

d)

Dataimportøren træffer ikke afgørelse udelukkende på grundlag af en automatisk behandling af de overførte personoplysninger (i det følgende benævnt »automatisk afgørelse«), som vil have retsvirkning for den registrerede eller på tilsvarende vis i væsentlig grad berøre vedkommende, medmindre det sker med den registreredes udtrykkelige samtykke, eller hvis det er tilladt i henhold til lovgivningen i bestemmelseslandet, forudsat at denne lovgivning fastsætter egnede foranstaltninger til beskyttelse af de registreredes rettigheder og legitime interesser. I så fald skal dataimportøren om nødvendigt i samarbejde med dataeksportøren:

i)

underrette den registrerede om den påtænkte automatiske afgørelse, de forventede konsekvenser og den anvendte fremgangsmåde og

ii)

indføre passende garantier, som minimum ved at give den registrerede mulighed for at bestride afgørelsen, fremsætte sit synspunkt og få foretaget en menneskelig vurdering.

e)

Hvis anmodninger fra en registreret er uforholdsmæssige, især fordi de gentages, kan dataimportøren enten opkræve et rimeligt gebyr baseret på de administrative omkostninger til behandling af anmodningen eller afvise at efterkomme anmodningen.

f)

Dataimportøren kan afvise en registrerets anmodning, hvis et sådant afslag er tilladt i henhold til lovgivningen i bestemmelseslandet og er nødvendigt og rimeligt i et demokratisk samfund for at beskytte et af de mål, der er anført i artikel 23, stk. 1, i forordning (EU) 2016/679.

g)

Hvis dataimportøren har til hensigt at afvise en registrerets anmodning, underretter denne den registrerede om årsagerne til afslaget og om muligheden for at indgive en klage til den kompetente tilsynsmyndighed og/eller indbringe sagen for en domstol.

MODUL TO: Overførsel fra dataansvarlig til databehandler

a)

Dataimportøren underretter straks dataeksportøren om enhver anmodning fra en registreret. Dataimportøren må ikke selv besvare anmodningen, medmindre dataeksportøren har givet tilladelse hertil.

b)

Dataimportøren bistår dataeksportøren med at opfylde sine forpligtelser til at besvare de registreredes anmodninger vedrørende udøvelse af deres rettigheder i henhold til forordning (EU) 2016/679. I den forbindelse fastsætter parterne i bilag II passende tekniske og organisatoriske foranstaltninger under hensyntagen til arten af den behandling, bistanden ydes ved, samt omfanget af den nødvendige bistand.

c)

Dataimportøren skal ved opfyldelsen af sine forpligtelser i henhold til litra a) og b) følge dataeksportørens instrukser.

MODUL TRE: Overførsel fra databehandler til databehandler

a)

Dataimportøren underretter straks dataeksportøren og, hvis det er relevant, den dataansvarlige om enhver anmodning, denne har modtaget fra en registreret, uden at besvare denne anmodning, medmindre den dataansvarlige har givet tilladelse hertil.

b)

Dataimportøren bistår, eventuelt i samarbejde med dataeksportøren, den dataansvarlige med at opfylde sine forpligtelser til at besvare de registreredes anmodninger vedrørende udøvelse af deres rettigheder i henhold til forordning (EU) 2016/679 eller forordning (EU) 2018/1725, alt efter hvad der er relevant. I den forbindelse fastsætter parterne i bilag II passende tekniske og organisatoriske foranstaltninger under hensyntagen til arten af den behandling, bistanden ydes ved, samt omfanget af den nødvendige bistand.

c)

Ved opfyldelsen af dataimportørens forpligtelser i henhold til litra a) og b) skal denne følge instrukserne fra den dataansvarlige som meddelt af dataeksportøren.

MODUL FIRE: Overførsel fra databehandler til dataansvarlig

Parterne bistår hinanden med at besvare forespørgsler og anmodninger fra registrerede i henhold til den lokale lovgivning, der finder anvendelse på dataimportøren, eller i henhold til forordning (EU) 2016/679 ved databehandling foretaget af dataeksportøren i EU.

Bestemmelse 11

Klageadgang

a)

Dataimportøren underretter de registrerede i et gennemsigtigt og lettilgængeligt format, via individuel meddelelse eller på sit websted om et kontaktpunkt, der er bemyndiget til at behandle klager. Dataimportøren behandler straks klager, som den modtager fra en registreret.

[ALTERNATIV: Dataimportøren accepterer, at registrerede også kan indgive en klage til et uafhængigt tvistbilæggelsesorgan (11) uden omkostninger for den registrerede. Dataimportøren underretter de registrerede på den måde, der er fastsat i litra a), om en sådan klagemekanisme, og om at de ikke er forpligtet til at gøre brug af den eller følge en bestemt fremgangsmåde ved indgivelse af klage.]

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

b)

I tilfælde af en tvist mellem en registreret og en af parterne om overholdelse af disse bestemmelser skal den pågældende part gøre sit bedste for at løse problemet i mindelighed og rettidigt. Parterne holder hinanden underrettet om sådanne tvister og samarbejder om at bilægge dem, hvis det er relevant.

c)

Hvis den registrerede gør tredjemandsløftet gældende i henhold til bestemmelse 3, accepterer dataimportøren den registreredes afgørelse om at:

i)

indgive en klage til tilsynsmyndigheden i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted eller sit arbejdssted, eller til den kompetente tilsynsmyndighed i henhold til bestemmelse 13

ii)

indbringe sagen for de kompetente domstole i henhold til bestemmelse 18.

d)

Parterne accepterer, at den registrerede kan lade sig repræsentere af et almennyttigt organ, en organisation eller en forening på de betingelser, der er fastsat i artikel 80, stk. 1, i forordning (EU) 2016/679.

e)

Dataimportøren accepterer at rette sig efter en afgørelse, der er bindende i henhold til gældende EU-ret eller medlemsstatslovgivning.

f)

Dataimportøren accepterer, at den registreredes valg ikke berører vedkommendes materielle og proceduremæssige rettigheder til at benytte sig af retsmidler i overensstemmelse med gældende lovgivning.

Bestemmelse 12

Ansvar

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

MODUL FIRE: Overførsel fra databehandler til dataansvarlig

a)

Parterne er ansvarlige over for den eller de andre parter for eventuel skade, som en part påfører den eller de andre parter ved overtrædelse af disse bestemmelser.

b)

Parterne er ansvarlige over for den registrerede, og den registrerede har ret til erstatning for materiel eller immateriel skade, som parten forårsager den registrerede ved at tilsidesætte tredjemandsløftet i henhold til disse bestemmelser. Dette berører ikke dataeksportørens forpligtelser, jf. forordning (EU) 2016/679.

c)

Hvis mere end én part er ansvarlig for skader, der påføres den registrerede som følge af en overtrædelse af disse bestemmelser, hæfter alle ansvarlige parter solidarisk, og den registrerede har ret til at anlægge sag mod enhver af disse parter.

d)

Parterne er enige om, at hvis en part drages til ansvar i henhold til litra c), har denne part ret til at kræve kompensation fra den eller de andre parter for den del af erstatningen, der svarer til dens eller deres ansvar for skaden.

e)

Dataimportøren kan ikke unddrage sig sit eget ansvar ved at påberåbe sig en databehandlers eller underdatabehandlers adfærd.

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

a)

Parterne er ansvarlige over for den eller de andre parter for eventuel skade, som en part påfører den eller de andre parter ved overtrædelse af disse bestemmelser.

b)

Dataimportøren er ansvarlig over for den registrerede, og den registrerede har ret til erstatning for enhver materiel eller immateriel skade, som dataimportøren eller dennes underdatabehandlere forårsager for den registrerede ved at tilsidesætte tredjemandsløftet i henhold til disse bestemmelser.

c)

Uanset litra b) er dataeksportøren ansvarlig over for den registrerede, og den registrerede har ret til erstatning for enhver materiel eller immateriel skade, som dataeksportøren eller dataimportøren (eller dennes underdatabehandlere) forvolder den registrerede ved at tilsidesætte tredjemandsløftet i henhold til disse bestemmelser. Dette berører ikke dataeksportørens ansvar og, hvis dataeksportøren er databehandler, der handler på vegne af en dataansvarlig, den dataansvarliges ansvar i henhold til forordning (EU) 2016/679 eller forordning (EU) 2018/1725, alt efter hvad der er relevant.

d)

Parterne er enige om, at hvis dataeksportøren holdes ansvarlig i henhold til litra c) for skader forvoldt af dataimportøren (eller dennes underdatabehandlere), har denne ret til at kræve den del af erstatningen, der svarer til dataimportørens ansvar for skaden, tilbage fra dataimportøren.

e)

Hvis mere end én part er ansvarlig for skader, der påføres den registrerede som følge af en overtrædelse af disse bestemmelser, hæfter alle ansvarlige parter solidarisk, og den registrerede har ret til at anlægge sag mod enhver af disse parter.

f)

Parterne er enige om, at hvis en part drages til ansvar i henhold til litra e), har denne part ret til at kræve kompensation fra den eller de andre parter for den del af erstatningen, der svarer til dens eller deres ansvar for skaden.

g)

Dataimportøren kan ikke unddrage sig sit eget ansvar ved at påberåbe sig en underdatabehandlers adfærd.

Bestemmelse 13

Tilsyn

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

a)

[Hvis dataeksportøren er etableret i en EU-medlemsstat:] Den tilsynsmyndighed, der har ansvaret for at sikre, at dataeksportøren overholder forordning (EU) 2016/679 for så vidt angår dataoverførslen, jf. bilag I.C, fungerer som kompetent tilsynsmyndighed.

[Hvis dataeksportøren ikke er etableret i en EU-medlemsstat, men er omfattet af det geografiske anvendelsesområde for forordning (EU) 2016/679 i overensstemmelse med forordningens artikel 3, stk. 2, og har udpeget en repræsentant i henhold til artikel 27, stk. 1, i forordning (EU) 2016/679:] Tilsynsmyndigheden i den medlemsstat, hvor repræsentanten som omhandlet i artikel 27, stk. 1, i forordning (EU) 2016/679 er etableret, jf. bilag I.C, fungerer som kompetent tilsynsmyndighed.

[Hvis dataeksportøren ikke er etableret i en EU-medlemsstat, men er omfattet af det geografiske anvendelsesområde for forordning (EU) 2016/679 i overensstemmelse med forordningens artikel 3, stk. 2, men ikke skal udpege en repræsentant i henhold til artikel 27, stk. 2, i forordning (EU) 2016/679:] Tilsynsmyndigheden i en af de medlemsstater, hvor de registrerede, hvis personoplysninger overføres i henhold til disse bestemmelser i forbindelse med udbud af varer eller tjenesteydelser til dem, eller hvis adfærd overvåges, er hjemmehørende, jf. bilag I.C, fungerer som kompetent tilsynsmyndighed.

b)

Dataimportøren indvilliger i at henvende sig til og samarbejde med den kompetente tilsynsmyndighed om alle procedurer, der har til formål at sikre overholdelse af disse bestemmelser. Dataimportøren accepterer navnlig at besvare forespørgsler, samarbejde ved revisioner og overholde de foranstaltninger, som tilsynsmyndigheden har vedtaget, herunder afhjælpende og kompenserende foranstaltninger. Dataimportøren giver tilsynsmyndigheden en skriftlig bekræftelse af, at de nødvendige foranstaltninger er truffet.

AFSNIT III — LOKALE LOVE OG FORPLIGTELSER I TILFÆLDE AF OFFENTLIGE MYNDIGHEDERS ADGANG

Bestemmelse 14

Lokale love og praksis, der påvirker overholdelsen af bestemmelserne

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

MODUL FIRE: Overførsel fra databehandler til dataansvarlig (hvis EU-databehandleren kombinerer de personoplysninger, der modtages fra den dataansvarlige i tredjelandet, med personoplysninger indsamlet af databehandleren i EU)

a)

Parterne garanterer, at de ikke har grund til at tro, at den lovgivning og praksis i bestemmelsestredjelandet, der gælder for dataimportørens behandling af personoplysninger, herunder krav om videregivelse af personoplysninger eller foranstaltninger, der tillader offentlige myndigheders adgang, forhindrer dataimportøren i at opfylde sine forpligtelser i henhold til disse bestemmelser. Dette baseres på, at lovgivning og praksis, der respekterer kernen i de grundlæggende rettigheder og frihedsrettigheder og ikke går videre, end hvad der er nødvendigt og rimeligt i et demokratisk samfund for at sikre et af de mål, der er anført i artikel 23, stk. 1, i forordning (EU) 2016/679, ikke anses for at være i modstrid med disse bestemmelser.

b)

Parterne erklærer, at de ved ydelsen af garantien i litra a) navnlig har taget behørigt hensyn til følgende elementer:

i)

de særlige omstændigheder ved overførslen, herunder behandlingskædens længde, antallet af involverede aktører og de anvendte transmissionskanaler, påtænkte videreoverførsler, modtagertype, formålet med behandlingen, kategorierne og formatet af de overførte personoplysninger, den økonomiske sektor, inden for hvilken overførslen finder sted, og opbevaringsstedet for de overførte oplysninger

ii)

lovgivning og praksis i bestemmelsestredjelandet — herunder dem, der kræver videregivelse af oplysninger til offentlige myndigheder eller tillader sådanne myndigheder adgang — som er relevante på grund af de konkrete forhold ved overførslen samt de gældende begrænsninger og garantier (12)

iii)

alle relevante kontraktmæssige, tekniske eller organisatoriske sikkerhedsforanstaltninger, der er indført for at supplere garantierne i henhold til disse bestemmelser, herunder foranstaltninger, der anvendes under videregivelsen og behandlingen af personoplysninger i bestemmelseslandet.

c)

Dataimportøren garanterer, at denne i forbindelse med den vurdering, der er omhandlet i litra b), har gjort sit bedste for at give dataeksportøren relevante oplysninger og indvilliger i fortsat at samarbejde med dataeksportøren for at sikre, at disse bestemmelser overholdes.

d)

Parterne er enige om at dokumentere vurderingen i henhold til litra b) og efter anmodning stille den til rådighed for den kompetente tilsynsmyndighed.

e)

Dataimportøren indvilliger i straks at underrette dataeksportøren, hvis denne efter at have accepteret disse bestemmelser og i kontraktens løbetid har grund til at tro, at den pågældende er eller er blevet underlagt love eller praksis, der ikke er i overensstemmelse med kravene i litra a), herunder efter en ændring af lovgivningen i tredjelandet eller en foranstaltning (f.eks. en anmodning om videregivelse af oplysninger), der angiver en anvendelse af sådanne love i praksis, som ikke er i overensstemmelse med kravene i litra a). [Til modul tre: Dataeksportøren videresender underretningen til den dataansvarlige.]

f)

Efter en underretning i henhold til litra e), eller hvis dataeksportøren på anden måde har grund til at tro, at dataimportøren ikke længere kan opfylde sine forpligtelser i henhold til disse bestemmelser, identificerer dataeksportøren straks passende foranstaltninger (f.eks. tekniske eller organisatoriske foranstaltninger til at garantere sikkerhed og fortrolighed), som dataeksportøren og/eller dataimportøren skal træffe for at afhjælpe situationen, [til modul tre: hvis det er relevant i samråd med den dataansvarlige]. Dataeksportøren suspenderer dataoverførslen, hvis denne mener, at de fornødne garantier ved overførslen ikke kan sikres, eller efter instruks fra [til modul tre: den dataansvarlige eller] den kompetente tilsynsmyndighed til at gøre dette. I så fald har dataeksportøren ret til at opsige kontrakten, for så vidt den vedrører behandling af personoplysninger i henhold til disse bestemmelser. Hvis kontrakten omfatter mere end to parter, kan dataeksportøren kun udøve denne opsigelsesret over for den relevante part, medmindre parterne har aftalt andet. Når kontrakten opsiges i henhold til denne bestemmelse, finder bestemmelse 16, litra d) og e), anvendelse.

Bestemmelse 15

Dataimportørens forpligtelser i tilfælde af offentlige myndigheders adgang

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

MODUL FIRE: Overførsel fra databehandler til dataansvarlig (hvis EU-databehandleren kombinerer de personoplysninger, der modtages fra den dataansvarlige i tredjelandet, med personoplysninger indsamlet af databehandleren i EU)

15.1.   Underretning

a)

Dataimportøren indvilliger i straks at underrette dataeksportøren og, hvis det er muligt, den registrerede (om nødvendigt med hjælp fra dataeksportøren), hvis denne:

i)

modtager en retligt bindende anmodning fra en offentlig (herunder en retlig) myndighed i henhold til lovgivningen i bestemmelseslandet om videregivelse af personoplysninger, der er overført i henhold til disse bestemmelser; en sådan underretning skal indeholde oplysninger om de personoplysninger, der anmodes om, den anmodende myndighed, retsgrundlaget for anmodningen og svaret eller

ii)

får kendskab til enhver direkte adgang for offentlige myndigheder til personoplysninger, der overføres i henhold til disse bestemmelser, i overensstemmelse med lovgivningen i bestemmelseslandet; underretningen skal indeholde alle de oplysninger, importøren råder over.

[Til modul tre: Dataeksportøren videresender underretningen til den dataansvarlige.]

b)

Hvis dataimportøren har forbud mod at underrette dataeksportøren og/eller den registrerede i henhold til lovgivningen i bestemmelseslandet, indvilliger dataimportøren i at gøre sit bedste for at opnå en ophævelse af forbuddet med henblik på at meddele så mange oplysninger som muligt og hurtigst muligt. Dataimportøren indvilliger i at dokumentere sin bedste indsats for at kunne påvise dette på dataeksportørens anmodning.

c)

Hvis det er tilladt i henhold til lovgivningen i bestemmelseslandet, indvilliger dataimportøren i med regelmæssige mellemrum i kontraktens løbetid at give dataeksportøren den størst mulige mængde relevante oplysninger om de modtagne anmodninger (navnlig antallet af anmodninger, typen af oplysninger, der anmodes om, den eller de anmodende myndigheder, hvorvidt anmodninger er blevet anfægtet og resultatet af sådanne anfægtelser osv.). [Til modul tre: Dataeksportøren videresender oplysningerne til den dataansvarlige.]

d)

Dataimportøren indvilliger i at bevare oplysningerne i henhold til litra a) til c) i kontraktens løbetid og stiller dem til rådighed for den kompetente tilsynsmyndighed på anmodning.

e)

Litra a) til c) berører ikke dataimportørens forpligtelse i henhold til bestemmelse 14, litra e), og bestemmelse 16 til straks at underrette dataeksportøren, hvis dataimportøren ikke er i stand til at overholde disse bestemmelser.

15.2.   Legalitetskontrol og dataminimering

a)

Dataimportøren indvilliger i at undersøge lovligheden af anmodningen om videregivelse af oplysninger, navnlig om den forbliver inden for de beføjelser, der er tildelt den anmodende offentlige myndighed, og at anfægte anmodningen, hvis dataimportøren efter en grundig vurdering konkluderer, at der er rimelig grund til at antage, at anmodningen er ulovlig i henhold til bestemmelseslandets lovgivning, gældende forpligtelser i henhold til folkeretten og principperne om international forståelse. Dataimportøren gør på samme betingelser brug af klagemuligheder. Ved anfægtelse af en anmodning anmoder dataimportøren om foreløbige foranstaltninger med henblik på at suspendere virkningerne af anmodningen, indtil den kompetente retlige myndighed har truffet afgørelse om sagens realitet. Dataimportøren videregiver først de personoplysninger, der anmodes om, i henhold til de gældende procedureregler. Disse krav berører ikke dataimportørens forpligtelser i henhold til bestemmelse 14, litra e).

b)

Dataimportøren indvilliger i at dokumentere sin juridiske vurdering og enhver anfægtelse af anmodningen om videregivelse af oplysninger og stiller dokumentationen til rådighed for dataeksportøren i det omfang, det er tilladt i henhold til lovgivningen i bestemmelseslandet. Dataimportøren stiller også dokumentationen til rådighed for den kompetente tilsynsmyndighed efter anmodning. [Til modul tre: Dataeksportøren gør vurderingen tilgængelig for den dataansvarlige.]

c)

Dataimportøren indvilliger i at give det minimum af oplysninger, der er tilladt ved besvarelse af en anmodning om videregivelse af oplysninger, baseret på en rimelig fortolkning af anmodningen.

AFSNIT IV — AFSLUTTENDE BESTEMMELSER

Bestemmelse 16

Manglende overholdelse af bestemmelserne og ophævelse

a)

Dataimportøren informerer omgående dataeksportøren, hvis dataimportøren uanset årsagen ikke kan overholde disse bestemmelser.

b)

Hvis dataimportøren overtræder disse bestemmelser eller ikke er i stand til at overholde bestemmelserne, suspenderer dataeksportøren overførslen af personoplysninger til dataimportøren, indtil overtrædelsen bringes til ophør eller kontrakten ophører. Dette berører ikke bestemmelse 14, litra f).

c)

Dataeksportøren har ret til at opsige kontrakten, for så vidt den vedrører behandling af personoplysninger i henhold til disse bestemmelser, hvis:

i)

dataeksportøren har suspenderet videregivelsen af personoplysninger til dataimportøren i henhold til litra b), og overholdelsen af disse bestemmelser ikke genetableres inden for en rimelig frist og under alle omstændigheder senest en måned efter suspensionen

ii)

dataimportøren på alvorlig eller vedvarende vis tilsidesætter disse bestemmelser eller

iii)

dataimportøren ikke efterkommer en bindende afgørelse truffet af en kompetent domstol eller tilsynsmyndighed vedrørende dennes forpligtelser i henhold til disse bestemmelser.

I så fald underretter dataimportøren den kompetente tilsynsmyndighed [til modul tre: og den dataansvarlige] om en sådan manglende overholdelse. Hvis kontrakten omfatter mere end to parter, kan dataeksportøren kun udøve denne opsigelsesret over for den relevante part, medmindre parterne har aftalt andet.

d)

[Til modul et, to og tre: Personoplysninger, der allerede er overført inden kontraktens ophør i henhold til litra c), bør efter dataeksportørens valg omgående tilbageleveres til dataeksportøren eller slettes i deres helhed. Det samme gælder kopier af dataene.] [Til modul fire: Personoplysninger indsamlet af dataeksportøren i EU, som allerede er overført inden kontraktens ophør i henhold til litra c), skal straks slette i deres helhed, herunder eventuelle kopier heraf.] Dataimportøren dokumenterer sletningen af oplysningerne over for dataeksportøren. Indtil dataene slettes eller returneres, skal dataimportøren fortsat sikre, at disse bestemmelser overholdes. I tilfælde, hvor lokal lovgivning, der er gældende for dataimportøren, forbyder sletning eller tilbagelevering af de overførte personoplysninger, garanterer dataimportøren, at denne fortsat sikrer overholdelse af disse bestemmelser og kun behandler personoplysningerne i det omfang og i den periode, der er krævet i henhold til den lokale lovgivning.

e)

Hver part kan tilbagekalde sit samtykke til at være bundet af disse bestemmelser, hvis i) Europa-Kommissionen vedtager en afgørelse i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679, som omfatter overførsel af personoplysninger, som disse bestemmelser finder anvendelse på, eller ii) forordning (EU) 2016/679 bliver en del af de retlige rammer i det land, hvortil personoplysningerne overføres. Dette berører ikke de øvrige forpligtelser, der gælder for den pågældende behandling, jf. forordning (EU) 2016/679.

Bestemmelse 17

Gældende lovgivning

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

[ALTERNATIV 1: Disse bestemmelser er underlagt lovgivningen i en af EU-medlemsstaterne, forudsat at denne lovgivning giver mulighed for påberåbelse af tredjemandsløftet. Parterne er enige om, at dette skal være lovgivningen i ___ (angiv medlemsstat).]

[ALTERNATIV 2 (til modul to og tre): Disse bestemmelser er underlagt lovgivningen i den EU-medlemsstat, hvor dataeksportøren er etableret. Hvis en sådan lovgivning ikke giver mulighed for påberåbelse af tredjemandsløftet, er de underlagt lovgivningen i en anden EU-medlemsstat, som giver mulighed for påberåbelse af tredjemandsløftet. Parterne er enige om, at dette skal være lovgivningen i ___ (angiv medlemsstat).]

MODUL FIRE: Overførsel fra databehandler til dataansvarlig

Disse bestemmelser er underlagt lovgivningen i et land, der giver mulighed for påberåbelse af tredjemandsløftet. Parterne er enige om, at dette skal være lovgivningen i ___ (angiv land).

Bestemmelse 18

Valg af værneting og kompetent domstol

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

a)

Tvister, der opstår i forbindelse med disse bestemmelser, afgøres af domstolene i en EU-medlemsstat.

b)

Parterne er enige om, at dette skal være domstolene i ___ (angiv medlemsstat).

c)

En registreret kan også anlægge sag mod dataeksportøren og/eller dataimportøren ved domstolene i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted.

d)

Parterne er enige om at lade sig underkaste sig sådanne domstoles kompetence.

MODUL FIRE: Overførsel fra databehandler til dataansvarlig

 

Tvister, der opstår i forbindelse med disse bestemmelser, afgøres af domstolene i _____ (angiv land).


(1)  Hvis dataeksportøren er en databehandler i medfør af forordning (EU) 2016/679, der handler på vegne af en EU-institution eller et EU-organ i egenskab af dataansvarlig, skal anvendelse af disse standardkontraktbestemmelser ved brug af en anden databehandler (underkontraheret databehandling), der ikke er omfattet af forordning (EU) 2016/679, også sikre overholdelse af artikel 29, stk. 4, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39) i det omfang, at disse standardkontraktbestemmelser samt databeskyttelsesforpligtelser som fastsat i kontrakten eller et andet retligt dokument mellem den dataansvarlige og databehandleren, jf. artikel 29, stk. 3, i forordning (EU) 2018/1725, er tilpasset hinanden. Dette vil navnlig være tilfældet, hvis den dataansvarlige og databehandleren baserer sig på standardkontraktbestemmelserne i gennemførelsesafgørelse 2021/915.

(2)  Ved anonymisering af oplysningerne er der krav om, at enkeltpersoner ikke længere kan identificeres, jf. betragtning 26 i forordning (EU) 2016/679, samt at processen er irreversibel.

(3)  Aftalen om Det Europæiske Økonomiske Samarbejdsområde (EØS-aftalen) indeholder bestemmelser vedrørende udvidelse af EU's indre marked til at omfatte de tre EØS-lande Island, Liechtenstein og Norge. Unionsretten vedrørende databeskyttelse, herunder forordning (EU) 2016/679, er omfattet af EØS-aftalen og er indarbejdet i bilag XI hertil. Derfor udgør videregivelse af oplysninger fra dataimportøren til en tredjepart i EØS ikke en videreoverførsel i betydningen i disse bestemmelser.

(4)  Aftalen om Det Europæiske Økonomiske Samarbejdsområde (EØS-aftalen) indeholder bestemmelser vedrørende udvidelse af EU's indre marked til at omfatte de tre EØS-lande Island, Liechtenstein og Norge. Unionsretten vedrørende databeskyttelse, herunder forordning (EU) 2016/679, er omfattet af EØS-aftalen og er indarbejdet i bilag XI hertil. Derfor udgør videregivelse af oplysninger fra dataimportøren til en tredjepart i EØS ikke en videreoverførsel i betydningen i disse bestemmelser.

(5)  Jf. artikel 28, stk. 4, i forordning (EU) 2016/679 og, hvis den dataansvarlige er en EU-institution eller et EU-organ, artikel 29, stk. 4, i forordning (EU) 2018/1725.

(6)  Aftalen om Det Europæiske Økonomiske Samarbejdsområde (EØS-aftalen) indeholder bestemmelser vedrørende udvidelse af EU's indre marked til at omfatte de tre EØS-lande Island, Liechtenstein og Norge. Unionsretten vedrørende databeskyttelse, herunder forordning (EU) 2016/679, er omfattet af EØS-aftalen og er indarbejdet i bilag XI hertil. Derfor udgør videregivelse af oplysninger fra dataimportøren til en tredjepart i EØS ikke en videreoverførsel i betydningen i disse bestemmelser.

(7)  Dette omfatter, om overførslen og den videre behandling omfatter personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data eller biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en persons seksuelle forhold eller seksuelle orientering eller om straffedomme eller lovovertrædelser.

(8)  Dette krav kan opfyldes af underdatabehandlere, der tiltræder disse bestemmelser i henhold til det relevante modul, jf. punkt 7.

(9)  Dette krav kan opfyldes af underdatabehandlere, der tiltræder disse bestemmelser i henhold til det relevante modul, jf. punkt 7.

(10)  Denne periode kan om nødvendigt forlænges med op til to måneder afhængigt af anmodningernes kompleksitet og antal. Dataimportøren underretter straks og behørigt den registrerede om en sådan forlængelse.

(11)  Dataimportøren må kun tilbyde uafhængig tvistbilæggelse gennem en voldgiftsinstans, hvis denne er etableret i et land, der har ratificeret New York-konventionen om fuldbyrdelse af voldgiftskendelser.

(12)  For så vidt angår sådanne loves og praksissers betydning for overholdelsen af disse bestemmelser kan forskellige elementer indgå som en del af en samlet vurdering. Disse elementer kan omfatte relevant og dokumenteret praktisk erfaring med tidligere anmodninger om videregivelse af oplysninger fra offentlige myndigheder, eller manglen på samme, i en passende og tilstrækkeligt repræsentativ periode. Dette gælder navnlig interne registre eller anden dokumentation, der løbende udarbejdes i overensstemmelse med due diligence og er certificeret på øverste ledelsesniveau, forudsat at disse oplysninger lovligt kan deles med tredjeparter. Når det på grundlag af denne praktiske erfaring konkluderes, at dataimportøren ikke vil blive forhindret i at overholde disse bestemmelser, skal dette understøttes af andre relevante objektive elementer, og det er op til parterne grundigt at overveje, om disse elementer tilsammen er tilstrækkeligt tungtvejende med hensyn til pålidelighed og repræsentativitet til at understøtte denne konklusion. Parterne bør navnlig tage hensyn til, om deres praktiske erfaringer underbygges af og ikke er i modstrid med offentligt tilgængelige eller på anden måde tilgængelige, pålidelige oplysninger om eksistensen eller fraværet af anmodninger inden for samme sektor og/eller anvendelsen af lovgivningen i praksis, såsom retspraksis og rapporter fra uafhængige tilsynsorganer.


TILLÆG

FORKLARENDE BEMÆRKNINGER:

Det skal være muligt klart at skelne mellem de oplysninger, der gælder for hver enkelt overførsel eller kategori af overførsler, og i den forbindelse være muligt at fastlægge parternes respektive rolle som dataeksportør(er) og/eller dataimportør(er). Dette kræver ikke nødvendigvis udfyldelse og underskrivelse af separate tillæg for hver overførsel/kategori af overførsler og/eller kontraktlige forhold, hvor denne gennemsigtighed kan opnås gennem et enkelt tillæg. Hvis det er nødvendigt for at sikre tilstrækkelig klarhed, bør der dog anvendes særskilte tillæg.


BILAG I

A.   LISTE OVER PARTER

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

MODUL FIRE: Overførsel fra databehandler til dataansvarlig

Dataeksportør(er): [Identitet og kontaktoplysninger for dataeksportøren eller dataeksportørerne og, hvis det er relevant, for dataeksportørens eller dataeksportørernes databeskyttelsesrådgiver og/eller repræsentant i Den Europæiske Union]

1.

Navn: …

Adresse: …

Kontaktpersonens navn, stilling og kontaktoplysninger: …

Aktiviteter med relevans for de oplysninger, der overføres i henhold til disse bestemmelser: …

Underskrift og dato: …

Rolle (dataansvarlig/databehandler) …

2.

Dataimportør(er): [Identitet og kontaktoplysninger for dataimportøren eller dataimportørerne, herunder eventuelle kontaktpersoner med ansvar for databeskyttelse]

1.

Navn: …

Adresse: …

Kontaktpersonens navn, stilling og kontaktoplysninger: …

Aktiviteter med relevans for de oplysninger, der overføres i henhold til disse bestemmelser: …

Underskrift og dato: …

Rolle (dataansvarlig/databehandler) …

2.

B.   BESKRIVELSE AF OVERFØRSLEN

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

MODUL FIRE: Overførsel fra databehandler til dataansvarlig

Kategorier af registrerede personer for hvem personoplysninger overføres

Kategorier af personoplysninger, der overføres

Følsomme personoplysninger, der overføres (hvis relevant), og anvendte begrænsninger eller garantier, der fuldt ud tager hensyn til oplysningernes art og de involverede risici, f.eks. streng formålsbegrænsning, adgangsbegrænsninger (herunder kun adgang for særligt uddannet personale), registrering af adgangen til oplysningerne, begrænsninger for videreoverførsel eller yderligere sikkerhedsforanstaltninger.

Overførslens hyppighed (f.eks. om dataene overføres på engangsbasis eller løbende).

Behandlingens art

Formål med dataoverførslen og den videre behandling

Den periode, hvor personoplysningerne opbevares eller, hvis det ikke kan oplyses, kriterier for fastsættelse af perioden

For overførsler til (under-)databehandlere angives også genstanden for behandlingen og behandlingens varighed og karakter

.

C.   KOMPETENT TILSYNSMYNDIGHED

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

Udpegning af den eller de kompetente tilsynsmyndigheder i overensstemmelse med bestemmelse 13


BILAG II

TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER, HERUNDER TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER TIL SIKRING AF DATASIKKERHEDEN

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

FORKLARENDE BEMÆRKNINGER:

De tekniske og organisatoriske foranstaltninger skal beskrives specifikt (ikke generelt). Se også den generelle bemærkning på første side i tillægget, navnlig om behovet for klart at angive, hvilke foranstaltninger der gælder for hver overførsel/række af overførsler.

Beskrivelse af de tekniske og organisatoriske foranstaltninger, som dataimportøren eller dataimportørerne har gennemført (herunder eventuelle relevante certificeringer) for at sikre et passende sikkerhedsniveau under hensyntagen til behandlingens art, omfang, sammenhæng og formål samt risici for fysiske personers rettigheder og frihedsrettigheder.

[Eksempler på mulige foranstaltninger:

Foranstaltninger til pseudonymisering og kryptering af personoplysninger

Foranstaltninger til løbende sikring af fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemer og -tjenester

Foranstaltninger til sikring af mulighed for at genetablere tilgængelighed og adgang til personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse

Processer til regelmæssig afprøvning, vurdering og evaluering af effektiviteten i de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden

Foranstaltninger til brugeridentifikation og -godkendelse

Foranstaltninger til beskyttelse af data under overførsel

Foranstaltninger til beskyttelse af data under opbevaring

Foranstaltninger til fysisk sikring af steder, hvor personoplysninger bliver behandlet

Foranstaltninger til sikring af logning af begivenheder

Foranstaltninger til sikring af systemkonfiguration, herunder standardkonfiguration

Foranstaltninger til intern forvaltning og styring af IT-systemer og IT-sikkerhed

Foranstaltninger til certificering/kvalitetssikring af processer og produkter

Foranstaltninger til sikring af dataminimering

Foranstaltninger til sikring af datakvalitet

Foranstaltninger til sikring af begrænset datalagring

Foranstaltninger til sikring af ansvarlighed

Foranstaltninger til muliggørelse af dataportabilitet og sikring af sletning]

For overførsler til (under)databehandlere beskrives også de specifikke tekniske og organisatoriske foranstaltninger, som (under)databehandleren skal træffe for at kunne bistå den dataansvarlige og, for overførsler fra en databehandler til en underdatabehandler, dataeksportøren


BILAG III

LISTE OVER UNDERDATABEHANDLERE

MODUL TO: Overførsel fra dataansvarlig til databehandler

MODUL TRE: Overførsel fra databehandler til databehandler

FORKLARENDE BEMÆRKNINGER:

Dette bilag skal udfyldes for modul to og tre, hvis der gives specifik tilladelse til underdatabehandlere (bestemmelse 9, litra a), alternativ 1).

Den dataansvarlige har givet tilladelse til anvendelse af følgende underdatabehandlere:

1.

Navn: …

Adresse: …

Kontaktpersonens navn, stilling og kontaktoplysninger: …

Beskrivelse af behandlingen (herunder en klar ansvarsfordeling, hvis flere underdatabehandlere godkendes): …

2.