?

7.6.2021    | EN | Official Journal of the European Union | L 199/317.6.2021    | SV | Europeiska unionens officiella tidning | L 199/31
COMMISSION IMPLEMENTING DECISION (EU) 2021/914KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2021/914
of 4 June 2021av den 4 juni 2021
on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Councilom standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679
(Text with EEA relevance)(Text av betydelse för EES)
THE EUROPEAN COMMISSION,EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT
Having regard to the Treaty on the Functioning of the European Union,med beaktande av fördraget om Europeiska unionens funktionssätt,
Having regard to Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (1), and in particular Article 28(7) and Article 46(2)(c) thereof,med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (1), särskilt artikel 28.7 och artikel 46.2 c, och
Whereas:av följande skäl:
(1) | Technological developments are facilitating cross-border data flows necessary for the expansion of international cooperation and international trade. At the same time, it is necessary to ensure that the level of protection of natural persons guaranteed by Regulation (EU) 2016/679 is not undermined where personal data is transferred to third countries, including in cases of onward transfers (2). The data transfer provisions in Chapter V of Regulation (EU) 2016/679 are intended to ensure the continuity of that high level of protection where personal data is transferred to a third country (3).(1) | Tekniska framsteg underlättar de gränsöverskridande dataflöden som är nödvändiga för att internationellt samarbete och internationell handel ska utvecklas. Samtidigt är det nödvändigt att säkerställa att den nivå av skydd som fysiska personer garanteras genom förordning (EU) 2016/679 inte undergrävs när personuppgifter överförs till tredjeländer, däribland i samband med vidare överföring (2). Syftet med bestämmelserna om överföring av personuppgifter i kapitel V i förordning (EU) 2016/679 är att säkerställa att den höga skyddsnivån upprätthålls när personuppgifter överförs till ett tredjeland (3).
(2) | Pursuant to Article 46(1) of Regulation (EU) 2016/679, in the absence of an adequacy decision by the Commission pursuant to Article 45(3), a controller or processor may transfer personal data to a third country only if it has provided appropriate safeguards, and on condition that enforceable rights and effective legal remedies for data subjects are available. Such safeguards may be provided for by standard data protection clauses adopted by the Commission pursuant to Article 46(2)(c).(2) | I enlighet med artikel 46.1 i förordning (EU) 2016/679 får en personuppgiftsansvarig eller ett personuppgiftsbiträde, i avsaknad av ett beslut om adekvat skyddsnivå från kommissionen enligt artikel 45.3, endast överföra personuppgifter till ett tredjeland efter att ha vidtagit lämpliga skyddsåtgärder och på villkor att lagstadgade rättigheter och effektiva rättsmedel finns tillgängliga för de registrerade. Sådana skyddsåtgärder kan ta formen av standardavtalsklausuler som antagits av kommissionen i enlighet med artikel 46.2 c.
(3) | The role of standard contractual clauses is limited to ensuring appropriate data protection safeguards for international data transfers. Therefore, the controller or processor transferring the personal data to a third country (the ‘data exporter’) and the controller or processor receiving the personal data (the ‘data importer’) are free to include those standard contractual clauses in a wider contract and to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, the standard contractual clauses or prejudice the fundamental rights or freedoms of data subjects. Controllers and processors are encouraged to provide additional safeguards by means of contractual commitments that supplement the standard contractual clauses (4). The use of the standard contractual clauses is without prejudice to any contractual obligations of the data exporter and/or importer to ensure respect for applicable privileges and immunities.(3) | Användningen av standardavtalsklausuler är begränsad till att säkerställa lämpliga skyddsåtgärder för personuppgifter vid internationella överföringar. Den personuppgiftsansvarig eller det personuppgiftsbiträde som överför personuppgifterna till ett tredjeland (uppgiftsutföraren) och den personuppgiftsansvarig eller det personuppgiftsbiträde som tar emot personuppgifterna (uppgiftsinföraren) har därför friheten att införa dessa standardavtalsklausuler i ett mer övergripande avtal och att lägga till andra bestämmelser eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausulerna eller påverkar de registrerades grundläggande rättigheter eller friheter. Personuppgiftsansvariga och personuppgiftsbiträden uppmuntras att tillhandahålla ytterligare skyddsåtgärder genom avtalsenliga åtaganden som kompletterar standardavtalsklausulerna (4). Användningen av standardavtalsklausulerna påverkar inte uppgiftsutförarens och/eller uppgiftsinförarens avtalsenliga skyldigheter att säkerställa respekten för tillämpliga privilegier och tillämplig immunitet.
(4) | Beyond using standard contractual clauses to provide appropriate safeguards for transfers pursuant to Article 46(1) of Regulation (EU) 2016/679, the data exporter has to fulfil its general responsibilities as controller or processor under Regulation (EU) 2016/679. Those responsibilities include an obligation of the controller to provide data subjects with information about the fact that it intends to transfer their personal data to a third country pursuant to Article 13(1)(f) and Article 14(1)(f) of Regulation (EU) 2016/679. In the case of transfers pursuant to Article 46 of Regulation (EU) 2016/679, such information must include a reference to the appropriate safeguards and the means by which to obtain a copy of them or information where they have been made available.(4) | Även om uppgiftsutföraren använder standardavtalsklausuler för att tillhandahålla lämpliga skyddsåtgärder för överföringar i enlighet med artikel 46.1 i förordning (EU) 2016/679 måste han eller hon fullgöra sina allmänna skyldigheter i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde enligt förordning (EU) 2016/679. Detta omfattar den personuppgiftsansvariges skyldighet att informera de registrerade om avsikten att överföra deras personuppgifter till ett tredjeland enligt artikel 13.1 f och artikel 14.1 f i förordning (EU) 2016/679. Vid överföringar enligt artikel 46 i förordning (EU) 2016/679 måste denna information inbegripa en hänvisning till de lämpliga skyddsåtgärderna och hur en kopia av dem kan erhållas, eller information om var de har gjorts tillgängliga.
(5) | Commission Decisions 2001/497/EC (5) and 2010/87/EU (6) contain standard contractual clauses to facilitate the transfer of personal data from a data controller established in the Union to a controller or processor established in a third country that does not offer an adequate level of protection. Those decisions were based on Directive 95/46/EC of the European Parliament and of the Council (7).(5) | Kommissionens beslut 2001/497/EG (5) och 2010/87/EU (6) innehåller standardavtalsklausuler för att underlätta överföringen av personuppgifter från en personuppgiftsansvarig som är etablerad i unionen till en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad/etablerat i ett tredjeland som inte har en adekvat skyddsnivå. Dessa beslut fattades på grundval av Europaparlamentets och rådets direktiv 95/46/EG (7).
(6) | Pursuant to Article 46(5) of Regulation (EU) 2016/679, Decision 2001/497/EC and Decision 2010/87/EU remain in force until amended, replaced or repealed, if necessary, by a Commission decision adopted pursuant to Article 46(2) of that Regulation. The standard contractual clauses in the decisions required updating in the light of new requirements in Regulation (EU) 2016/679. Moreover, since the decisions were adopted, the digital economy has seen significant developments, with the widespread use of new and more complex processing operations often involving multiple data importers and exporters, long and complex processing chains, and evolving business relationships. This calls for modernisation of the standard contractual clauses to reflect those realities better, by covering additional processing and transfer situations, and to allow a more flexible approach, for example with respect to the number of parties able to join the contract.(6) | Enligt artikel 46.5 i förordning (EU) 2016/679 ska beslut 2001/497/EG och beslut 2010/87/EU förbli i kraft tills de, vid behov, ändras, ersätts eller upphävs av ett kommissionsbeslut som antagits i enlighet med artikel 46.2 i samma förordning. Standardavtalsklausulerna i besluten behövde uppdateras mot bakgrund av nya krav i förordning (EU) 2016/679. Sedan besluten antogs har den digitala ekonomin dessutom utvecklats avsevärt, med omfattande användning av nya och mer komplexa behandlingssteg som ofta inbegriper flera uppgiftsinförare och uppgiftsutförare, långa och komplexa behandlingskedjor och nya typer av affärsförbindelser. Detta innebär att standardavtalsklausulerna måste moderniseras så att de speglar den nya verkligheten på ett bättre sätt genom att omfatta fler behandlings- och överföringssituationer och möjliggöra ett mer flexibelt tillvägagångssätt, till exempel med avseende på antalet parter som kan ingå ett avtal.
(7) | A controller or processor may use the standard contractual clauses set out in the Annex to this Decision to provide appropriate safeguards within the meaning of Article 46(1) of Regulation (EU) 2016/679 for the transfer of personal data to a processor or controller established in a third country, without prejudice to the interpretation of the notion of international transfer in Regulation (EU) 2016/679. The standard contractual clauses may be used for such transfers only to the extent that the processing by the importer does not fall within the scope of Regulation (EU) 2016/679. This also includes the transfer of personal data by a controller or processor not established in the Union, to the extent that the processing is subject to Regulation (EU) 2016/679 (pursuant to Article 3(2) thereof), because it relates to the offering of goods or services to data subjects in the Union or the monitoring of their behaviour as far as it takes place within the Union.(7) | En personuppgiftsansvarig eller ett personuppgiftsbiträde får använda de standardavtalsklausuler som anges i bilagan till detta beslut för att tillhandahålla lämpliga skyddsåtgärder i den mening som avses i artikel 46.1 i förordning (EU) 2016/679 vid överföring av personuppgifter till ett personuppgiftsbiträde eller en personuppgiftsansvarig som är etablerat/etablerad i ett tredjeland, utan att det påverkar tolkningen av begreppet internationell överföring i förordning (EU) 2016/679. Standardavtalsklausulerna får endast användas vid sådana överföringar i den utsträckning som uppgiftsinförarens behandling inte omfattas av tillämpningsområdet för förordning (EU) 2016/679. Detta omfattar även överföring av personuppgifter av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad/etablerat i unionen, i den utsträckning som behandlingen omfattas av förordning (EU) 2016/679 (enligt artikel 3.2 i samma förordning), eftersom den gäller utbjudande av varor eller tjänster till registrerade i unionen eller övervakning av deras beteende när de befinner sig i unionen.
(8) | Given the general alignment of Regulation (EU) 2016/679 and Regulation (EU) 2018/1725 of the European Parliament and of the Council (8), it should be possible to use the standard contractual clauses also in the context of a contract, as referred to in Article 29(4) of Regulation (EU) 2018/1725 for the transfer of personal data to a sub-processor in a third country by a processor that is not a Union institution or body, but which is subject to Regulation (EU) 2016/679 and which processes personal data on behalf of a Union institution or body in accordance with Article 29 of Regulation (EU) 2018/1725. Provided the contract reflects the same data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) Regulation (EU) 2018/1725, in particular by providing sufficient guarantees for technical and organisational measures to ensure that the processing meets the requirements of that Regulation, this will ensure compliance with Article 29(4) of Regulation (EU) 2018/1725. In particular, that will be the case where the controller and processor use the standard contractual clauses in Commission Implementing Decision on standard contractual clauses between controllers and processors under Article 28(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council and Article 29(7) of Regulation (EU) 2018/1725 of the European Parliament and of the Council (9).(8) | Mot bakgrund av att förordning (EU) 2016/679 och Europaparlamentets och rådets förordning (EU) 2018/1725 (8) generellt har samordnats bör det även vara möjligt att använda standardavtalsklausulerna inom ramen för ett avtal enligt artikel 29.4 i förordning (EU) 2018/1725 vid överföring av personuppgifter till en underentreprenör i ett tredjeland av ett personuppgiftsbiträde som inte är en unionsinstitution eller ett unionsorgan, men som omfattas av förordning (EU) 2016/679 och behandlar personuppgifter på uppdrag av en unionsinstitution eller ett unionsorgan i enlighet med artikel 29 i förordning (EU) 2018/1725. Under förutsättning att avtalet speglar samma skyldigheter avseende dataskydd som fastställs i avtalet eller någon annan rättsakt mellan den personuppgiftsansvarige och personuppgiftsbiträdet i enlighet med artikel 29.3 i förordning (EU) 2018/1725, i synnerhet genom att ge tillräckliga garantier för tekniska och organisatoriska åtgärder för att säkerställa att behandlingen uppfyller kraven i nämnda förordning, kommer efterlevnad av artikel 29.4 i förordning (EU) 2018/1725 att säkerställas. Detta kommer i synnerhet att vara fallet när den personuppgiftsansvarige och personuppgiftsbiträdet använder standardavtalsklausulerna i kommissionens genomförandebeslut om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden enligt artikel 28.7 i Europaparlamentets och rådets förordning (EU) 2016/679 och artikel 29.7 i Europaparlamentets och rådets förordning (EU) 2018/1725 (9).
(9) | Where the processing involves data transfers from controllers subject to Regulation (EU) 2016/679 to processors outside its territorial scope or from processors subject to Regulation (EU) 2016/679 to sub-processors outside its territorial scope, the standard contractual clauses set out in the Annex to this Decision should also allow to fulfil the requirements of Article 28(3) and (4) of Regulation (EU) 2016/679.(9) | Om behandlingen inbegriper överföringar av personuppgifter från personuppgiftsansvariga som omfattas av förordning (EU) 2016/679 till personuppgiftsbiträden som inte omfattas av dess geografiska tillämpningsområde, eller från personuppgiftsbiträden som omfattas av förordning (EU) 2016/679 till underentreprenörer som inte omfattas av dess geografiska tillämpningsområde, bör de standardavtalsklausuler som anges i bilagan till detta beslut också göra det möjligt att uppfylla kraven i artikel 28.3 och 28.4 i förordning (EU) 2016/679.
(10) | The standard contractual clauses set out in the Annex to this Decision combine general clauses with a modular approach to cater for various transfer scenarios and the complexity of modern processing chains. In addition to the general clauses, controllers and processors should select the module applicable to their situation, so as to tailor their obligations under the standard contractual clauses to their role and responsibilities in relation to the data processing in question. It should be possible for more than two parties to adhere to the standard contractual clauses. Moreover, additional controllers and processors should be allowed to accede to the standard contractual clauses as data exporters or importers throughout the lifecycle of the contract of which they form a part.(10) | I de standardavtalsklausuler som anges i bilagan till detta beslut kombineras allmänna klausuler med ett modulärt tillvägagångssätt för att ta hänsyn till olika överföringsscenarier och komplexiteten i de moderna behandlingskedjorna. Vid sidan av de allmänna klausulerna bör personuppgiftsansvariga och personuppgiftsbiträden välja den modul som är tillämplig i deras situation för att skräddarsy sina skyldigheter enligt standardavtalsklausulerna i förhållande till sina roller och ansvarsområden i samband med databehandlingen i fråga. Det bör vara möjligt för fler än två parter att följa standardavtalsklausulerna. Dessutom bör ytterligare personuppgiftsansvariga och personuppgiftsbiträden ha möjlighet att ansluta sig till standardavtalsklausulerna som uppgiftsutförare eller uppgiftsinförare under hela giltighetstiden för det avtal som de är en del av.
(11) | In order to provide appropriate safeguards, the standard contractual clauses should ensure that the personal data transferred on that basis is afforded a level of protection essentially equivalent to that guaranteed within the Union (10). With a view to ensuring transparency of processing, data subjects should be provided with a copy of the standard contractual clauses and be informed, in particular, of the categories of personal data processed, the right to obtain a copy of the standard contractual clauses, and any onward transfer. Onward transfers by the data importer to a third party in another third country should be allowed only if the third party accedes to the standard contractual clauses, if the continuity of protection is ensured otherwise, or in specific situations, such as on the basis of the explicit, informed consent of the data subject.(11) | För att tillhandahålla lämpliga skyddsåtgärder bör standardavtalsklausulerna säkerställa att de personuppgifter som överförs på denna grund har en skyddsnivå som väsentligen är likvärdig med den skyddsnivå som garanteras inom unionen (10). I syfte att säkerställa insyn i behandlingen bör de registrerade få en kopia av standardavtalsklausulerna och, i synnerhet, information om de kategorier av personuppgifter som behandlas, rätten att erhålla en kopia av standardavtalsklausulerna och all eventuell vidare överföring. Uppgiftsinföraren bör endast ha rätt att överföra uppgifterna vidare till en tredje part i ett annat tredjeland om den tredje parten har anslutit sig till standardavtalsklausulerna, om ett fortsatt skydd säkerställs på annat sätt eller i särskilda situationer, däribland om den registrerade har gett sitt uttryckliga och informerade medgivande.
(12) | With some exceptions, in particular as regards certain obligations that exclusively concern the relationship between the data exporter and data importer, data subjects should be able to invoke, and where necessary enforce, the standard contractual clauses as third-party beneficiaries. Therefore, while the parties should be allowed to choose the law of one of the Member States as governing the standard contractual clauses, that law must allow for third-party beneficiary rights. In order to facilitate individual redress, the standard contractual clauses should require the data importer to inform data subjects of a contact point and to deal promptly with any complaints or requests. In the event of a dispute between the data importer and a data subject who invokes his or her rights as a third-party beneficiary, the data subject should be able to lodge a complaint with the competent supervisory authority or refer the dispute to the competent courts in the EU.(12) | Med några undantag, främst vad gäller vissa skyldigheter som endast avser relationen mellan uppgiftsutföraren och uppgiftsinföraren, bör de registrerade som berättigade tredje parter kunna åberopa och vid behov verkställa standardavtalsklausulerna. Även om parterna bör ha möjlighet att välja lagstiftningen i en av medlemsstaterna som grund för standardavtalsklausulerna måste lagstiftningen därför tillgodose rättigheterna för en berättigad tredje part. För att underlätta tillgången till domstolsprövning bör standardavtalsklausulerna innehålla krav på att uppgiftsinföraren ska ge de registrerade information om en kontaktpunkt och skyndsamt hantera eventuella klagomål eller förfrågningar. Om en tvist uppstår mellan uppgiftsinföraren och en registrerad som åberopar sin rätt som berättigad tredje part bör den registrerade ha möjlighet att inge ett klagomål till den behöriga tillsynsmyndigheten eller hänskjuta tvisten till de behöriga domstolarna i EU.
(13) | In order to ensure effective enforcement, the data importer should be required to submit to the jurisdiction of such authority and courts, and to commit to abide by any binding decision under the applicable Member State law. In particular, the data importer should agree to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. In addition, the data importer should have the option of offering data subjects the opportunity to seek redress before an independent dispute resolution body, at no cost. In line with Article 80(1) of Regulation (EU) 2016/679, data subjects should be allowed to be represented by associations or other bodies in disputes against the data importer if they so wish.(13) | För att säkerställa ett effektivt verkställande bör uppgiftsinföraren vara skyldig att godta myndighetens och domstolarnas behörighet och åta sig att följa eventuella bindande beslut enligt medlemsstatens tillämpliga lagstiftning. I synnerhet bör uppgiftsinföraren samtycka till att svara på förfrågningar, gå med på revisioner och iaktta de åtgärder som antagits av tillsynsmyndigheten, däribland korrigerande och kompenserade åtgärder. Uppgiftsinföraren bör dessutom kunna ge de registrerade möjlighet att begära prövning inför ett oberoende tvistlösningsorgan utan kostnad. I linje med artikel 80.1 i förordning (EU) 2016/679 bör de registrerade ha rätt att företrädas av sammanslutningar eller andra organ i tvister med uppgiftsinföraren om de så önskar.
(14) | The standard contractual clauses should provide for rules on liability between the parties and with respect to data subjects, and rules on indemnification between the parties. Where the data subject suffers material or non-material damage as a consequence of any breach of the third-party beneficiary rights under the standard contractual clauses, he or she should be entitled to compensation. This should be without prejudice to any liability under Regulation (EU) 2016/679.(14) | Standardavtalsklausulerna bör innehålla regler om ansvarsförhållandena mellan parterna och med avseende på de registrerade samt regler om ersättningsskyldighet mellan parterna. Om den registrerade lider materiell eller immateriell skada till följd av en överträdelse av rättigheterna för en berättigad tredje part enligt standardavtalsklausulerna bör han eller hon ha rätt till ersättning. Detta bör inte påverka ansvarsskyldighet enligt förordning (EU) 2016/679.
(15) | In the case of a transfer to a data importer acting as a processor or sub-processor, specific requirements should apply in accordance with Article 28(3) of Regulation (EU) 2016/679. The standard contractual clauses should require the data importer to make available all information necessary to demonstrate compliance with the obligations set out in the clauses and to allow for and contribute to audits of its processing activities by the data exporter. With respect to the engagement of any sub-processor by the data importer, in line with Article 28(2) and (4) of Regulation (EU) 2016/679, the standard contractual clauses should in particular set out the procedure for general or specific authorisation from the data exporter and the requirement for a written contract with the sub-processor ensuring the same level of protection as under the clauses.(15) | Vid överföring till en uppgiftsinförare som agerar i egenskap av personuppgiftsbiträde eller underentreprenör bör särskilda krav gälla i enlighet med artikel 28.3 i förordning (EU) 2016/679. Standardavtalsklausulerna bör innehålla krav på att uppgiftsinföraren ska lämna ut all information som behövs för att visa att de skyldigheter som fastställs i klausulerna har fullgjorts och ska gå med på och bidra till uppgiftsutförarens revisioner av dennes behandling av personuppgifter. Om uppgiftsinföraren anlitar en underentreprenör, i linje med artikel 28.2 och 28.4 i förordning (EU) 2016/679, bör standardavtalsklausulerna särskilt omfatta ett förfarande för ett allmänt eller särskilt tillstånd från uppgiftsutföraren och ett krav på ett skriftligt avtal med underentreprenören för att säkerställa samma nivå av skydd som enligt klausulerna.
(16) | It is appropriate to provide different safeguards in the standard contractual clauses that cover the specific situation of a transfer of personal data by a processor in the Union to its controller in a third country and reflect the limited self-standing obligations for processors under Regulation (EU) 2016/679. In particular, the standard contractual clauses should require the processor to inform the controller if it is unable to follow its instructions, including if such instructions infringe Union data protection law, and require the controller to refrain from any actions that would prevent the processor from fulfilling its obligations under Regulation (EU) 2016/679. They should also require the parties to assist each other in responding to enquiries and requests from data subjects under the local law applicable to the data importer or, for data processing in the Union, under Regulation (EU) 2016/679. Additional requirements to address any effects of the laws of the third country of destination on the controller’s compliance with the clauses, in particular how to deal with binding requests from public authorities in the third country for disclosure of the transferred personal data, should apply where the Union processor combines the personal data received from the controller in the third country with personal data collected by the processor in the Union. Conversely, no such requirements are justified where the outsourcing merely involves the processing and transfer back of personal data that has been received from the controller and in any event has been and will remain subject to the jurisdiction of the third country in question.(16) | Det är lämpligt att föreskriva andra skyddsåtgärder i de standardavtalsklausuler som omfattar den särskilda situation då ett personuppgiftsbiträde i unionen överför personuppgifter till sin personuppgiftsansvarige i ett tredjeland och som speglar de begränsade fristående skyldigheterna för personuppgiftsbiträden enligt förordning (EU) 2016/679. Standardavtalsklausulerna bör i synnerhet innehålla krav på att personuppgiftsbiträdet ska informera den personuppgiftsansvarige om han eller hon inte kan följa sina instruktioner, däribland om instruktionerna bryter mot unionens dataskyddslagstiftning, och att den personuppgiftsansvarige ska avstå från varje åtgärd som skulle hindra personuppgiftsbiträdet att fullgöra sina skyldigheter enligt förordning (EU) 2016/679. Det bör även finnas krav på att parterna ska bistå varandra med att svara på förfrågningar och begäranden från registrerade enligt den lokala lagstiftning som är tillämplig för uppgiftsinföraren eller, vid databehandling inom unionen, enligt förordning (EU) 2016/679. Ytterligare krav för att hantera eventuella konsekvenser av lagstiftningen i det mottagande tredjelandet för den personuppgiftsansvariges efterlevnad av klausulerna, i synnerhet när det gäller hanteringen av bindande begäranden från offentliga myndigheter i tredjelandet om utlämnande av de överförda personuppgifterna, bör gälla i de fall då personuppgiftsbiträdet i unionen kombinerar de personuppgifter som tagits emot från den personuppgiftsansvarige i tredjelandet med personuppgifter som samlats in av personuppgiftsbiträdet i unionen. Omvänt är inga sådana krav motiverade om utkontrakteringen endast inbegriper behandling och återlämning av personuppgifter som tagits emot från den personuppgiftsansvarige och som under alla omständigheter har varit och kommer att förbli föremål för det berörda tredjelandets jurisdiktion.
(17) | The parties should be able to demonstrate compliance with the standard contractual clauses. In particular, the data importer should be required to keep appropriate documentation for the processing activities under its responsibility and to inform the data exporter promptly if it is unable to comply with the clauses, for whatever reason. In turn, the data exporter should suspend the transfer and, in particularly serious cases, have the right to terminate the contract, insofar as it concerns the processing of personal data under standard contractual clauses, where the data importer is in breach of the clauses or unable to comply with them. Specific rules should apply where local laws affect compliance with the clauses. Personal data that has been transferred prior to the termination of the contract, and any copies thereof, should at the choice of the data exporter be returned to the data exporter or destroyed in their entirety.(17) | Parterna bör kunna visa att de uppfyller kraven i standardavtalsklausulerna. I synnerhet bör uppgiftsinföraren vara skyldig att dokumentera den behandling som ingår i hans eller hennes ansvarsområde på ett lämpligt sätt, och att skyndsamt informera uppgiftsutföraren om han eller hon inte kan uppfylla kraven i klausulerna, oavsett orsak. I sin tur bör uppgiftsutföraren avbryta överföringen och, i särskilt allvarliga fall, ha rätt att säga upp avtalet, i den mån det gäller behandlingen av personuppgifter enligt standardavtalsklausuler, om uppgiftsinföraren bryter mot klausulerna eller inte kan uppfylla dem. Särskilda regler bör gälla om den lokala lagstiftningen påverkar efterlevnaden av klausulerna. Personuppgifter som har överförts innan avtalet sades upp, och eventuella kopior av dessa, bör efter uppgiftsutförarens eget val skickas tillbaka till uppgiftsutföraren eller förstöras i sin helhet.
(18) | The standard contractual clauses should provide for specific safeguards, in particular in the light of the case law of the Court of Justice (11), to address any effects of the laws of the third country of destination on the data importer’s compliance with the clauses, in particular how to deal with binding requests from public authorities in that country for disclosure of the transferred personal data.(18) | Standardavtalsklausulerna bör innehålla särskilda skyddsåtgärder, framför allt mot bakgrund av domstolens rättspraxis (11), för att hantera eventuella konsekvenser av det mottagande tredjelandets lagstiftning för uppgiftsinförarens efterlevnad av klausulerna, särskilt när det gäller hanteringen av bindande begäranden från offentliga myndigheter i det berörda landet om utlämnande av de överförda personuppgifterna.
(19) | The transfer and processing of personal data under standard contractual clauses should not take place if the laws and practices of the third country of destination prevent the data importer from complying with the clauses. In this context, laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679 should not be considered as being in conflict with the standard contractual clauses. The parties should warrant that, at the time of agreeing to the standard contractual clauses, they have no reason to believe that the laws and practices applicable to the data importer are not in line with these requirements.(19) | Överföring och behandling av personuppgifter enligt standardavtalsklausuler bör inte äga rum om lagstiftningen och förfarandena i det mottagande tredjelandet hindrar uppgiftsinföraren från att uppfylla kraven i klausulerna. I detta sammanhang bör lagar och förfaranden som är förenliga med andemeningen i de grundläggande rättigheterna och friheterna, och som inte går utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda de ändamål som anges i artikel 23.1 i förordning (EU) 2016/679, inte anses vara i strid med standardavtalsklausulerna. När parterna kommer överens om standardavtalsklausulerna bör de garantera att de inte har någon anledning att misstänka att de lagar och förfaranden som är tillämpliga för uppgiftsinföraren inte stämmer överens med dessa krav.
(20) | The parties should take account, in particular, of the specific circumstances of the transfer (such as the content and duration of the contract, the nature of the data to be transferred, the type of recipient, the purpose of the processing), the laws and practices of the third country of destination that are relevant in light of the circumstances of the transfer and any safeguards put in place to supplement those under the standard contractual clauses (including relevant contractual, technical and organisational measures applying to the transmission of personal data and its processing in the country of destination). As regards the impact of such laws and practices on compliance with the standard contractual clauses, different elements may be considered as part of an overall assessment, including reliable information on the application of the law in practice (such as case law and reports by independent oversight bodies), the existence or absence of requests in the same sector and, under strict conditions, the documented practical experience of the data exporter and/or data importer.(20) | Parterna bör framför allt ta hänsyn till de särskilda omständigheterna kring överföringen (däribland avtalets innehåll och varaktighet, karaktären hos de uppgifter som ska överföras, typen av mottagare, ändamålet med behandlingen), de lagar och förfaranden i det mottagande tredjelandet som är relevanta mot bakgrund av omständigheterna kring överföringen samt eventuella skyddsåtgärder som införts för att komplettera de som ingår i standardavtalsklausulerna (däribland relevanta avtalsenliga, tekniska och organisatoriska åtgärder som avser överföringen av personuppgifter och deras behandling i det mottagande tredjelandet). När det gäller konsekvenserna av sådana lagar och förfaranden för efterlevnaden av standardavtalsklausulerna kan olika aspekter betraktas som delar av en övergripande bedömning, däribland tillförlitlig information om lagstiftningens tillämpning i praktiken (såsom rättspraxis och rapporter från oberoende tillsynsorgan), förekomst eller frånvaro av begäranden i samma sektor och, under stränga villkor, dokumentation av uppgiftsutförarens och/eller uppgiftsinförarens praktiska erfarenhet.
(21) | The data importer should notify the data exporter if, after agreeing to the standard contractual clauses, it has reason to believe that it is not able to comply with the standard contractual clauses. If the data exporter receives such notification or otherwise becomes aware that the data importer is no longer able to comply with the standard contractual clauses, it should identify appropriate measures to address the situation, if necessary in consultation with the competent supervisory authority. Such measures may include supplementary measures adopted by the data exporter and/or data importer, such as technical or organisational measures to ensure security and confidentiality. The data exporter should be required to suspend the transfer if it considers that no appropriate safeguards can be ensured, or if so instructed by the competent supervisory authority.(21) | Uppgiftsinföraren bör meddela uppgiftsutföraren om han eller hon, efter att ha godtagit standardavtalsklausulerna, har anledning att tro att han eller hon inte kommer att kunna uppfylla kraven i standardavtalsklausulerna. Om uppgiftsutföraren får ett sådant meddelande eller på annat sätt får kännedom om att uppgiftsinföraren inte längre kan uppfylla kraven i standardavtalsklausulerna bör han eller hon fastställa lämpliga åtgärder för att hantera situationen, vid behov i samråd med behörig tillsynsmyndighet. Sådana åtgärder kan omfatta kompletterande åtgärder som vidtas av uppgiftsutföraren och/eller uppgiftsinföraren, däribland tekniska eller organisatoriska åtgärder för att garantera säkerhet och konfidentialitet. Uppgiftsutföraren bör vara skyldig att avbryta överföringen om han eller hon anser att lämpliga skyddsåtgärder inte kan säkerställas, eller om den behöriga tillsynsmyndigheten ger instruktioner om detta.
(22) | Where possible, the data importer should notify the data exporter and the data subject if it receives a legally binding request from a public (including judicial) authority under the law of the country of destination for disclosure of personal data transferred pursuant to the standard contractual clauses. Similarly, it should notify them if it becomes aware of any direct access by public authorities to such personal data, in accordance with the law of the third country of destination. If, despite its best efforts, the data importer is not in a position to notify the data exporter and/or the data subject of specific disclosure requests, it should provide the data exporter with as much relevant information as possible on the requests. In addition, the data importer should provide the data exporter with aggregate information at regular intervals. The data importer should also be required to document any request for disclosure received and the response provided, and make that information available to the data exporter or the competent supervisory authority, or both, upon request. If, following a review of the legality of such a request under the laws of the country of destination, the data importer concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the third country of destination, it should challenge it, including, where appropriate, by exhausting available possibilities of appeal. In any event, if the data importer is no longer able to comply with the standard contractual clauses, it should inform the data exporter accordingly, including where this is the consequence of a request for disclosure.(22) | Om möjligt bör uppgiftsinföraren informera uppgiftsutföraren och den registrerade om han eller hon får en rättsligt bindande begäran från en offentlig (inbegripet rättslig) myndighet enligt det mottagande landets lagstiftning om att de personuppgifter som överförts enligt standardavtalsklausulerna ska lämnas ut. Likaså bör uppgiftsinföraren meddela uppgiftsutföraren och den registrerade om han eller hon får kännedom om att offentliga myndigheter har haft direkt tillgång till personuppgifterna, i enlighet med det mottagande tredjelandets lagstiftning. Om uppgiftsinföraren, efter att ha gjort sitt yttersta, inte har möjlighet att informera uppgiftsutföraren och/eller den registrerade om specifika begäranden om utlämnande av uppgifter bör han eller hon ge uppgiftsutföraren så mycket relevant information som möjligt om begärandena. Dessutom bör uppgiftsinföraren ge uppgiftsutföraren sammanställd information med jämna mellanrum. Uppgiftsinföraren bör även vara skyldig att dokumentera alla begäranden om utlämnande som tagits emot och vilka svar som lämnats, och samtidigt på begäran göra denna information tillgänglig för uppgiftsutföraren eller den behöriga tillsynsmyndigheten, eller båda. Om uppgiftsinföraren, efter en granskning av lagligheten i en sådan begäran enligt det mottagande landets lagstiftning, drar slutsatsen att det finns rimliga skäl att betrakta begäran som olaglig enligt det mottagande tredjelandets lagstiftning bör han eller hon bestrida den, däribland genom att, i tillämpliga fall, använda alla tillgängliga möjligheter att överklaga. Under alla omständigheter bör uppgiftsinföraren, om han eller hon inte längre kan uppfylla kraven i standardavtalsklausulerna, informera uppgiftsutföraren om detta och uppge om det beror på en begäran om utlämnande.
(23) | As stakeholder needs, technology and processing operations may change, the Commission should evaluate the operation of the standard contractual clauses in the light of experience, as part of the periodic evaluation of Regulation (EU) 2016/679 referred to in Article 97 of that Regulation.(23) | Eftersom intressenternas behov, tekniker och behandlingar kan förändras bör kommissionen utvärdera användningen av standardavtalsklausulerna mot bakgrund av erfarenheterna, som en del av den regelbundna utvärdering av förordning (EU) 2016/679 som aves i artikel 97 i den förordningen.
(24) | Decision 2001/497/EC and Decision 2010/87/EU should be repealed three months after the entry into force of this Decision. During that period, data exporters and data importers should, for the purpose of Article 46(1) of Regulation (EU) 2016/679, still be able to use the standard contractual clauses set out in Decisions 2001/497/EC and 2010/87/EU. For an additional period of 15 months, data exporters and data importers should, for the purpose of Article 46(1) of Regulation (EU) 2016/679, be able to continue to rely on standard contractual clauses set out in Decisions 2001/497/EC and 2010/87/EU for the performance of contracts concluded between them before the date of repeal of those decisions, provided that the processing operations that are the subject matter of the contract remain unchanged and that reliance on the clauses ensures that the transfer of personal data is subject to appropriate safeguards within the meaning of Article 46(1) of Regulation (EU) 2016/679. In the event of relevant changes to the contract, the data exporter should be required to rely on a new ground for data transfers under the contract, in particular by replacing the existing standard contractual clauses with the standard contractual clauses set out in the Annex to this Decision. The same should apply to any sub-contracting to a (sub-)processor of processing operations covered by the contract.(24) | Beslut 2001/497/EG och beslut 2010/87/EU bör upphävas tre månader efter att detta beslut har trätt i kraft. Under denna period bör uppgiftsutförare och uppgiftsinförare, vid tillämpning av artikel 46.1 i förordning (EU) 2016/679, fortfarande kunna använda de standardavtalsklausuler som anges i besluten 2001/497/EG och 2010/87/EU. Under ytterligare en period på 15 månader bör uppgiftsutförare och uppgiftsinförare, vid tillämpning av artikel 46.1 i förordning (EU) 2016/679, kunna fortsätta att använda de standardavtalsklausuler som anges i besluten 2001/497/EG och 2010/87/EU för att fullgöra avtal som ingåtts mellan dem före det datum då dessa beslut upphävs, under förutsättning att de behandlingar som är föremål för avtalet förblir oförändrade och att användningen av klausulerna säkerställer att överföringen av personuppgifter omfattas av lämpliga skyddsåtgärder i den mening som avses i artikel 46.1 i förordning (EU) 2016/679. Om relevanta ändringar görs i avtalet bör uppgiftsutföraren vara skyldig att använda en ny grund för överföringar av personuppgifter inom ramen för avtalet, i synnerhet genom att ersätta de befintliga standardavtalsklausulerna med de standardavtalsklausuler som anges i bilagan till detta beslut. Detsamma bör gälla vid utkontraktering av den behandling som omfattas av avtalet till ett personuppgiftsbiträde/en underentreprenör.
(25) | The European Data Protection Supervisor and the European Data Protection Board were consulted in accordance with Article 42(1) and (2) of Regulation (EU) 2018/1725 and delivered a joint opinion on 14 January 2021 (12), which has been taken into consideration in the preparation of this Decision.(25) | Samråd har skett med Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen i enlighet med artikel 42.1 och 42.2 i förordning (EU) 2018/1725, vilka avgav ett gemensamt yttrande den 14 januari 2021 (12), vilket har beaktats under utarbetandet av detta beslut.
(26) | The measures provided for in this Decision are in accordance with the opinion of the Committee established under Article 93 of Regulation (EU) 2016/679,(26) | De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats enligt artikel 93 i förordning (EU) 2016/679.
HAS ADOPTED THIS DECISION:HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Article 1Artikel 1
1.   The standard contractual clauses set out in the Annex are considered to provide appropriate safeguards within the meaning of Article 46(1) and (2)(c) of Regulation (EU) 2016/679 for the transfer by a controller or processor of personal data processed subject to that Regulation (data exporter) to a controller or (sub-)processor whose processing of the data is not subject to that Regulation (data importer).1.   De standardavtalsklausuler som anges i bilagan anses garantera lämpliga skyddsåtgärder i den mening som avses i artikel 46.1 och 46.2 c i förordning (EU) 2016/679 i samband med att en personuppgiftsansvarig eller ett personuppgiftsbiträde (uppgiftsutförare) överför personuppgifter som behandlas enligt den förordningen till en personuppgiftsansvarig eller ett personuppgiftsbiträde/en underentreprenör, vars behandling av uppgifterna inte omfattas av den förordningen (uppgiftsinförare).
2.   The standard contractual clauses also set out the rights and obligations of controllers and processors with respect to the matters referred to in Article 28(3) and (4) of Regulation (EU) 2016/679, as regards the transfer of personal data from a controller to a processor, or from a processor to a sub-processor.2.   I standardavtalsklausulerna fastställs även den personuppgiftsansvariges och personuppgiftsbiträdets rättigheter och skyldigheter med avseende på de frågor som avses i artikel 28.3 och 28.4 i förordning (EU) 2016/679 vad gäller överföring av personuppgifter från en personuppgiftsansvarig till ett personuppgiftsbiträde, eller från ett personuppgiftsbiträde till en underentreprenör.
Article 2Artikel 2
Where the competent Member State authorities exercise corrective powers pursuant to Article 58 of Regulation (EU) 2016/679 in response to the data importer being or becoming subject to laws or practices in the third country of destination that prevent it from complying with the standard contractual clauses set out in the Annex, leading to the suspension or ban of data transfers to third countries, the Member State concerned shall, without delay, inform the Commission, which will forward the information to the other Member States.Om de behöriga myndigheterna i medlemsstaterna utövar korrigerande befogenheter i enlighet med artikel 58 i förordning (EU) 2016/679, på grund av att uppgiftsinföraren är eller kommer att bli föremål för lagar eller förfaranden i det mottagande tredjelandet som hindrar honom eller henne att uppfylla kraven i de standardavtalsklausuler som anges i bilagan, vilket leder till att överföringarna av personuppgifter till tredjelandet avbryts eller förbjuds, ska den berörda medlemsstaten, utan dröjsmål, meddela kommissionen, som kommer att vidarebefordra informationen till övriga medlemsstater.
Article 3Artikel 3
The Commission shall evaluate the practical application of the standard contractual clauses set out in the Annex on the basis of all available information, as part of the periodic evaluation required by Article 97 of Regulation (EU) 2016/679.Kommissionen ska utvärdera den praktiska tillämpningen av de standardavtalsklausuler som anges i bilagan på grundval av all tillgänglig information och som en del av den regelbundna utvärdering som krävs enligt artikel 97 i förordning (EU) 2016/679.
Article 4Artikel 4
1.   This Decision shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.1.   Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
2.   Decision 2001/497/EC is repealed with effect from 27 September 2021.2.   Beslut 2001/497/EG ska upphöra att gälla med verkan från den 27 september 2021.
3.   Decision 2010/87/EU is repealed with effect from 27 September 2021.3.   Beslut 2010/87/EU ska upphöra att gälla med verkan från den 27 september 2021.
4.   Contracts concluded before 27 September 2021 on the basis of Decision 2001/497/EC or Decision 2010/87/EU shall be deemed to provide appropriate safeguards within the meaning of Article 46(1) of Regulation (EU) 2016/679 until 27 December 2022, provided the processing operations that are the subject matter of the contract remain unchanged and that reliance on those clauses ensures that the transfer of personal data is subject to appropriate safeguards.4.   Avtal som ingåtts före den 27 september 2021 på grundval av beslut 2001/497/EG eller beslut 2010/87/EU ska anses garantera lämpliga skyddsåtgärder i den mening som avses i artikel 46.1 i förordning (EU) 2016/679 fram till den 27 december 2022, under förutsättning att de behandlingar som är föremål för avtalet förblir oförändrade och att användningen av dessa klausuler säkerställer att överföringen av personuppgifter omfattas av lämpliga skyddsåtgärder.
Done at Brussels, 4 June 2021.Utfärdat i Bryssel den 4 juni 2021.
For the CommissionPå kommissionens vägnar
The PresidentUrsula VON DER LEYEN
Ursula VON DER LEYENOrdförande
(1)   OJ L 119, 4.5.2016, p. 1.(1)  EUT L 119, 4.5.2016, s. 1.
(2)  Article 44 of Regulation (EU) 2016/679.(2)  Artikel 44 i förordning (EU) 2016/679.
(3)  See also judgment of the Court of Justice of 16 July 2020 in Case C-311/18, Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (‘Schrems II’), ECLI:EU:C:2020:559, paragraph 93.(3)  Se även domstolens dom av den 16 juli 2020 i mål C-311/18, Data Protection Commissioner mot Facebook Ireland Ltd och Maximillian Schrems (”Schrems II”), ECLI:EU:C:2020:559, punkt 93.
(4)  Recital 109 of Regulation (EU) 2016/679.(4)  Skäl 109 i förordning (EU) 2016/679.
(5)  Commission Decision 2001/497/EC of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (OJ L 181, 4.7.2001, p. 19).(5)  Kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG (EGT L 181, 4.7.2001, s. 19).
(6)  Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council (OJ L 39, 12.2.2010, p. 5).(6)  Kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (EUT L 39, 12.2.2010, s. 5).
(7)  Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ L 281, 23.11.1995, p. 31).(7)  Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).
(8)  Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39); see recital 5.(8)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39), se skäl 5.
(9)  C(2021) 3701.(9)  C(2021) 3701.
(10)   Schrems II, paragraphs 96 and 103. See also Regulation (EU) 2016/679, recitals 108 and 114.(10)  Schrems II, punkterna 96 och 103. Se även förordning (EU) 2016/679, skälen 108 och 114.
(11)   Schrems II.(11)  Schrems II.
(12)  EDPB EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries for the matters referred to in Article 46(2)(c) of Regulation (EU) 2016/679.(12)  EDPB:s och EDPS:s gemensamma yttrande 2/2021 om Europeiska kommissionens genomförandebeslut om standardavtalsklausuler för överföring av personuppgifter till tredjeländer för de frågor som avses i artikel 46.2 c i förordning (EU) 2016/679.
ANNEXBILAGA
STANDARD CONTRACTUAL CLAUSESSTANDARDAVTALSKLAUSULER
SECTION IAVSNITT I
Clause 1Klausul 1
Purpose and scopeSyfte och tillämpningsområde
(a) | The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (1) for the transfer of personal data to a third country.a) | Syftet med dessa standardavtalsklausuler är att säkerställa överensstämmelse med kraven i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning) (1) vid överföring av personuppgifter till ett tredjeland.
(b) | The Parties: | (i) | the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter ‘entity/ies’) transferring the personal data, as listed in Annex I.A (hereinafter each ‘data exporter’), and | (ii) | the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A (hereinafter each ‘data importer’) | have agreed to these standard contractual clauses (hereinafter: ‘Clauses’).b) | Parterna: | i) | den eller de fysiska eller juridiska personer, den eller de offentliga myndigheter, den eller de byråer eller andra organ (enheterna) som överför personuppgifter enligt förteckningen i bilaga I.A. (uppgiftsutföraren), och | ii) | den eller de enheter i ett tredjeland som tar emot personuppgifter från uppgiftsutföraren, direkt eller indirekt via en annan enhet som också är part i dessa klausuler, enligt förteckningen i bilaga I.A. (uppgiftsinföraren) | har kommit överens om dessa standardavtalsklausuler (klausulerna).
(c) | These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.c) | Dessa klausuler är tillämpliga med avseende på överföring av personuppgifter enligt vad som anges i bilaga I.B.
(d) | The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.d) | Det tillägg till dessa klausuler som innehåller de bilagor som det hänvisas till utgör en integrerad del av dessa klausuler.
Clause 2Klausul 2
Effect and invariability of the ClausesKlausulernas verkan och beständighet
(a) | These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46(2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except to select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.a) | Genom dessa klausuler fastställs lämpliga skyddsåtgärder, däribland verkställbara rättigheter och effektiva rättsmedel för de registrerade enligt artikel 46.1 och artikel 46.2 c i förordning (EU) 2016/679 och, när det gäller överföring av personuppgifter från personuppgiftsansvariga till personuppgiftsbiträden och/eller från personuppgiftsbiträden till personuppgiftsbiträden, standardavtalsklausuler enligt artikel 28.7 i förordning (EU) 2016/679, under förutsättning att de inte ändras, förutom för att välja en eller flera lämpliga moduler eller lägga till eller uppdatera informationen i tillägget. Detta hindrar inte parterna från att inbegripa de standardavtalsklausuler som fastställs i dessa klausuler i ett mer övergripande avtal och/eller att lägga till andra klausuler eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med dessa klausuler eller påverkar de registrerades grundläggande rättigheter eller friheter.
(b) | These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.b) | Dessa klausuler påverkar inte de skyldigheter som uppgiftsutföraren omfattas av med stöd av förordning (EU) 2016/679.
Clause 3Klausul 3
Third-party beneficiariesBerättigade tredje parter
(a) | Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions: | (i) | Clause 1, Clause 2, Clause 3, Clause 6, Clause 7; | (ii) | Clause 8 – Module One: Clause 8.5 (e) and Clause 8.9(b); Module Two: Clause 8.1(b), 8.9(a), (c), (d) and (e); Module Three: Clause 8.1(a), (c) and (d) and Clause 8.9(a), (c), (d), (e), (f) and (g); Module Four: Clause 8.1 (b) and Clause 8.3(b); | (iii) | Clause 9 – Module Two: Clause 9(a), (c), (d) and (e); Module Three: Clause 9(a), (c), (d) and (e); | (iv) | Clause 12 – Module One: Clause 12(a) and (d); Modules Two and Three: Clause 12(a), (d) and (f); | (v) | Clause 13; | (vi) | Clause 15.1(c), (d) and (e); | (vii) | Clause 16(e); | (viii) | Clause 18 – Modules One, Two and Three: Clause 18(a) and (b); Module Four: Clause 18.a) | Registrerade personer får åberopa och verkställa dessa klausuler, i egenskap av berättigade tredje parter, gentemot uppgiftsutföraren och/eller uppgiftsinföraren, med följande undantag: | i) | Klausul 1, klausul 2, klausul 3, klausul 6, klausul 7. | ii) | Klausul 8 – modul ett: klausul 8.5 e och klausul 8.9 b; modul två: klausul 8.1 b, 8.9 a, c, d och e; modul tre: klausul 8.1 a, c och d och klausul 8.9 a, c, d, e, f och g; modul fyra: klausul 8.1 b och klausul 8.3 b. | iii) | Klausul 9 – modul två: klausul 9 a, c, d och e; modul tre: klausul 9 a, c, d och e. | iv) | Klausul 12 – modul ett: klausul 12 a och d; modulerna två och tre: klausul 12 a, d och f. | v) | Klausul 13. | vi) | Klausul 15.1 c, d och e. | vii) | Klausul 16 e. | viii) | Klausul 18 – modulerna ett, två och tre: klausul 18 a och b; modul fyra: klausul 18.
(b) | Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.b) | Led a påverkar inte de registrerades rättigheter enligt förordning (EU) 2016/679.
Clause 4Klausul 4
InterpretationTolkning
(a) | Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.a) | Om begrepp som definieras i förordning (EU) 2016/679 används i dessa klausuler ska begreppen ha samma betydelse som i den förordningen.
(b) | These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.b) | Dessa klausuler ska läsas och tolkas mot bakgrund av bestämmelserna i förordning (EU) 2016/679.
(c) | These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.c) | Dessa klausuler ska inte tolkas på ett sätt som står i strid med de rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679.
Clause 5Klausul 5
HierarchyHierarki
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.Om en konflikt uppstår mellan dessa klausuler och bestämmelserna i de överenskommelser mellan parterna som gäller vid den tidpunkt då dessa klausuler överenskoms eller därefter träder i kraft, ska dessa klausuler ha företräde.
Clause 6Klausul 6
Description of the transfer(s)Beskrivning av överföringen eller överföringarna
The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.Närmare uppgifter om överföringen eller överföringarna, och i synnerhet de kategorier av personuppgifter som överförs och det eller de ändamål för vilka de överförs, anges i bilaga I.B.
Clause 7 – OptionalKlausul 7 – Valfri
Docking clauseDockningsklausul
(a) | An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.a) | En enhet som inte är part i dessa klausuler får, efter överenskommelse med parterna, när som helst ansluta sig till dessa klausuler, antingen som uppgiftsutförare eller uppgiftsinförare, genom att fylla i tillägget och underteckna bilaga I.A.
(b) | Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.b) | När den anslutande enheten har fyllt i tillägget och undertecknat bilaga I.A ska den bli en part i dessa klausuler och ha samma rättigheter och skyldigheter som en uppgiftsutförare eller uppgiftsinförare i enlighet med dess beteckning i bilaga I.A.
(c) | The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.c) | Den anslutande enheten ska inte ha några rättigheter eller skyldigheter enligt dessa klausuler från perioden innan enheten blev en part.
SECTION II – OBLIGATIONS OF THE PARTIESAVSNITT II – PARTERNAS SKYLDIGHETER
Clause 8Klausul 8
Data protection safeguardsSkyddsåtgärder för uppgifter
The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.Uppgiftsutföraren garanterar att han eller hon har gjort rimliga ansträngningar för att se till att uppgiftsinföraren, genom genomförandet av lämpliga tekniska och organisatoriska åtgärder, kan fullgöra sina skyldigheter enligt dessa klausuler.
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
8.1   Purpose limitation8.1   Ändamålsbegränsning
The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B. It may only process the personal data for another purpose:Uppgiftsinföraren ska endast behandla personuppgifterna för det eller de specifika ändamålen med överföringen, enligt vad som fastställs i bilaga I.B. Uppgiftsinföraren får endast behandla personuppgifterna för något annat ändamål
(i) | where it has obtained the data subject’s prior consent;i) | om han eller hon har fått den registrerades förhandssamtycke,
(ii) | where necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; orii) | om det är nödvändigt för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden, eller
(iii) | where necessary in order to protect the vital interests of the data subject or of another natural person.iii) | om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
8.2   Transparency8.2   Öppenhet
(a) | In order to enable data subjects to effectively exercise their rights pursuant to Clause 10, the data importer shall inform them, either directly or through the data exporter: | (i) | of its identity and contact details; | (ii) | of the categories of personal data processed; | (iii) | of the right to obtain a copy of these Clauses; | (iv) | where it intends to onward transfer the personal data to any third party/ies, of the recipient or categories of recipients (as appropriate with a view to providing meaningful information), the purpose of such onward transfer and the ground therefore pursuant to Clause 8.7.a) | För att se till att de registrerade har möjlighet att utöva sina rättigheter enligt klausul 10 ska uppgiftsinföraren informera dem, antingen direkt eller genom uppgiftsutföraren, | i) | om sin identitet och sina kontaktuppgifter, | ii) | om de kategorier av personuppgifter som behandlas, | iii) | om rätten att erhålla en kopia av dessa klausuler, och | iv) | i de fall uppgiftsinföraren har för avsikt att överföra personuppgifterna vidare till en eller flera tredje parter, om mottagaren eller kategorierna av mottagare (enligt vad som är lämpligt för att tillhandahålla meningsfull information), ändamålet med den vidare överföringen och grunden till överföringen enligt klausul 8.7.
(b) | Paragraph (a) shall not apply where the data subject already has the information, including when such information has already been provided by the data exporter, or providing the information proves impossible or would involve a disproportionate effort for the data importer. In the latter case, the data importer shall, to the extent possible, make the information publicly available.b) | Led a är inte tillämpligt om den registrerade redan har tillgång till denna information, till exempel om informationen redan har tillhandahållits av uppgiftsutföraren, eller om det visar sig vara omöjligt att tillhandahålla informationen eller om det medför en oproportionerlig börda för uppgiftsinföraren. I det sistnämnda fallet ska uppgiftsinföraren, i största möjliga utsträckning, göra informationen allmänt tillgänglig.
(c) | On request, the Parties shall make a copy of these Clauses, including the Appendix as completed by them, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including personal data, the Parties may redact part of the text of the Appendix prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information.c) | På begäran ska parterna tillhandahålla en kopia av dessa klausuler, inklusive tillägget när det har fyllts i av dem, till den registrerade utan kostnad. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive personuppgifter, får parterna redigera delar av texten i tillägget innan en kopia tillhandahålls, men de måste bifoga en meningsfull sammanfattning om den registrerade annars inte skulle kunna förstå dess innehåll eller utöva sina rättigheter. På begäran ska parterna tillhandahålla skälen till redigeringen till den registrerade, i möjligaste mån utan att avslöja de redigerade uppgifterna.
(d) | Paragraphs (a) to (c) are without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.d) | Leden a–c påverkar inte uppgiftsutförarens skyldigheter enligt artiklarna 13 och 14 i förordning (EU) 2016/679.
8.3   Accuracy and data minimisation8.3   Korrekthet och uppgiftsminimering
(a) | Each Party shall ensure that the personal data is accurate and, where necessary, kept up to date. The data importer shall take every reasonable step to ensure that personal data that is inaccurate, having regard to the purpose(s) of processing, is erased or rectified without delay.a) | Varje part ska säkerställa att personuppgifterna är korrekta och, vid behov, uppdaterade. Uppgiftsinföraren ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga, med hänsyn till behandlingens ändamål, raderas eller rättas utan dröjsmål.
(b) | If one of the Parties becomes aware that the personal data it has transferred or received is inaccurate, or has become outdated, it shall inform the other Party without undue delay.b) | Om en av parterna får kännedom om att de personuppgifter som den har överfört eller tagit emot är felaktiga, eller har blivit inaktuella, ska den informera den andra parten utan onödigt dröjsmål.
(c) | The data importer shall ensure that the personal data is adequate, relevant and limited to what is necessary in relation to the purpose(s) of processing.c) | Uppgiftsinföraren ska säkerställa att personuppgifterna är adekvata, relevanta och begränsade till vad som är nödvändigt med tanke på behandlingens ändamål.
8.4   Storage limitation8.4   Begränsad lagring
The data importer shall retain the personal data for no longer than necessary for the purpose(s) for which it is processed. It shall put in place appropriate technical or organisational measures to ensure compliance with this obligation, including erasure or anonymisation (2) of the data and all back-ups at the end of the retention period.Uppgiftsinföraren ska inte lagra personuppgifterna under längre tid än vad som är nödvändigt för det eller de ändamål för vilka de behandlas. Uppgiftsinföraren ska införa lämpliga tekniska eller organisatoriska åtgärder för att säkerställa fullgörande av denna skyldighet, däribland att radera eller anonymisera (2) uppgifterna och alla säkerhetskopior i slutet av lagringsperioden.
8.5   Security of processing8.5   Säkerhet vid behandling
(a) | The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the personal data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access (hereinafter ‘personal data breach’). In assessing the appropriate level of security, they shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subject. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner.a) | Uppgiftsinföraren, och under överföring även uppgiftsutföraren, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa personuppgifternas säkerhet, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska de ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för den registrerade i samband med behandlingen. Parterna ska i synnerhet överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt.
(b) | The Parties have agreed on the technical and organisational measures set out in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.b) | Parterna har kommit överens om de tekniska och organisatoriska åtgärder som fastställs i bilaga II. Uppgiftsinföraren ska göra regelbundna kontroller för att säkerställa att dessa åtgärder även fortsättningsvis ger en lämplig säkerhetsnivå.
(c) | The data importer shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.c) | Uppgiftsinföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
(d) | In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the personal data breach, including measures to mitigate its possible adverse effects.d) | I händelse av en personuppgiftsincident som gäller uppgifter som har behandlats av uppgiftsinföraren enligt dessa klausuler ska uppgiftsinföraren vidta lämpliga åtgärder för att hantera personuppgiftsincidenten, däribland åtgärder för att mildra dess möjliga negativa konsekvenser.
(e) | In case of a personal data breach that is likely to result in a risk to the rights and freedoms of natural persons, the data importer shall without undue delay notify both the data exporter and the competent supervisory authority pursuant to Clause 13. Such notification shall contain i) a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), ii) its likely consequences, iii) the measures taken or proposed to address the breach, and iv) the details of a contact point from whom more information can be obtained. To the extent it is not possible for the data importer to provide all the information at the same time, it may do so in phases without undue further delay.e) | I händelse av en personuppgiftsincident som sannolikt kommer att leda till risker för fysiska personers rättigheter och friheter ska uppgiftsinföraren utan onödigt dröjsmål meddela både uppgiftsutföraren och den behöriga tillsynsmyndigheten enligt klausul 13. Meddelandet ska innehålla i) en beskrivning av incidentens karaktär (inbegripet, om möjligt, vilka kategorier och det ungefärliga antalet registrerade och personuppgiftsregister som berörs), ii) dess sannolika konsekvenser, iii) vilka åtgärder som har vidtagits eller föreslagits för att hantera incidenten och iv) uppgifter om en kontaktpunkt som kan lämna mer information. Om det inte är möjligt för uppgiftsinföraren att tillhandahålla all information vid samma tillfälle kan han eller hon göra detta i omgångar utan onödigt dröjsmål.
(f) | In case of a personal data breach that is likely to result in a high risk to the rights and freedoms of natural persons, the data importer shall also notify without undue delay the data subjects concerned of the personal data breach and its nature, if necessary in cooperation with the data exporter, together with the information referred to in paragraph (e), points ii) to iv), unless the data importer has implemented measures to significantly reduce the risk to the rights or freedoms of natural persons, or notification would involve disproportionate efforts. In the latter case, the data importer shall instead issue a public communication or take a similar measure to inform the public of the personal data breach.f) | I händelse av en personuppgiftsincident som sannolikt kommer att leda till stora risker för fysiska personers rättigheter och friheter ska uppgiftsinföraren även, utan onödigt dröjsmål, informera de berörda registrerade om personuppgiftsincidenten och dess karaktär, vid behov i samarbete med uppgiftsutföraren, tillsammans med den information som avses i led e ii–iv, såvida inte uppgiftsinföraren har genomfört åtgärder för att avsevärt minska riskerna för fysiska personers rättigheter eller friheter, eller om detta skulle medföra oproportionerliga ansträngningar. I det sistnämnda fallet ska uppgiftsinföraren i stället utfärda ett offentligt tillkännagivande eller vidta en liknande åtgärd för att informera allmänheten om personuppgiftsincidenten.
(g) | The data importer shall document all relevant facts relating to the personal data breach, including its effects and any remedial action taken, and keep a record thereof.g) | Uppgiftsinföraren ska dokumentera alla relevanta omständigheter kring personuppgiftsincidenten, däribland dess konsekvenser och eventuella korrigerande åtgärder som vidtagits, och föra ett register över dokumentationen.
8.6   Sensitive data8.6   Känsliga uppgifter
Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions or offences (hereinafter ‘sensitive data’), the data importer shall apply specific restrictions and/or additional safeguards adapted to the specific nature of the data and the risks involved. This may include restricting the personnel permitted to access the personal data, additional security measures (such as pseudonymisation) and/or additional restrictions with respect to further disclosure.Om överföringen inbegriper personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter för unik identifiering av en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning, eller uppgifter om brottmålsdomar eller lagöverträdelser (känsliga uppgifter) ska uppgiftsinföraren tillämpa särskilda begränsningar och/eller ytterligare skyddsåtgärder som är anpassade till uppgifternas specifika karaktär och de medföljande riskerna. Detta kan omfatta begränsningar av den personal som har tillgång till personuppgifterna, ytterligare säkerhetsåtgärder (såsom pseudonymisering) och/eller ytterligare begränsningar när det gäller vidare utlämning av uppgifter.
8.7   Onward transfers8.7   Vidare överföringar
The data importer shall not disclose the personal data to a third party located outside the European Union (3) (in the same country as the data importer or in another third country, hereinafter ‘onward transfer’) unless the third party is or agrees to be bound by these Clauses, under the appropriate Module. Otherwise, an onward transfer by the data importer may only take place if:Uppgiftsinföraren får inte lämna ut personuppgifter till en tredje part utanför Europeiska unionen (3) (i samma land som uppgiftsinföraren eller i ett annat tredjeland, nedan kallat vidare överföring), såvida inte den tredje parten är eller samtycker till att vara bunden av dessa klausuler i motsvarande modul. I annat fall får uppgiftsinföraren endast genomföra en vidare överföring
(i) | it is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;i) | om den sker till ett land som omfattas av ett beslut om adekvat skyddsnivå enligt artikel 45 i förordning (EU) 2016/679 som täcker den vidare överföringen,
(ii) | the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 of Regulation (EU) 2016/679 with respect to the processing in question;ii) | om den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder enligt artikel 46 eller 47 i förordning (EU) 2016/679 med avseende på behandlingen i fråga,
(iii) | the third party enters into a binding instrument with the data importer ensuring the same level of data protection as under these Clauses, and the data importer provides a copy of these safeguards to the data exporter;iii) | om den tredje parten ingår ett bindande instrument med uppgiftsinföraren som säkerställer samma nivå av skydd som dessa klausuler, och om uppgiftsinföraren förser uppgiftsutföraren med en kopia av dessa skyddsåtgärder,
(iv) | it is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings;iv) | om det är nödvändigt för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden,
(v) | it is necessary in order to protect the vital interests of the data subject or of another natural person; orv) | om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person, eller
(vi) | where none of the other conditions apply, the data importer has obtained the explicit consent of the data subject for an onward transfer in a specific situation, after having informed him/her of its purpose(s), the identity of the recipient and the possible risks of such transfer to him/her due to the lack of appropriate data protection safeguards. In this case, the data importer shall inform the data exporter and, at the request of the latter, shall transmit to it a copy of the information provided to the data subject.vi) | om inget av de andra villkoren är tillämpligt, om uppgiftsinföraren har fått den registrerades uttryckliga samtycke för vidare överföring i en särskild situation, efter att ha informerat honom/henne om överföringens ändamål, mottagarens identitet och de möjliga riskerna för honom/henne vid en sådan överföring på grund av bristen på lämpliga skyddsåtgärder för personuppgifter. I sådana fall ska uppgiftsinföraren informera uppgiftsutföraren och, på begäran av denne, tillhandahålla en kopia av den information som lämnats till den registrerade.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.Vid varje vidare överföring måste uppgiftsinföraren uppfylla kraven för alla andra skyddsåtgärder i dessa klausuler, i synnerhet ändamålsbegränsning.
8.8   Processing under the authority of the data importer8.8   Behandling under överinseende av uppgiftsinföraren
The data importer shall ensure that any person acting under its authority, including a processor, processes the data only on its instructions.Uppgiftsinföraren ska säkerställa att varje person som agerar under dess överinseende, inbegripet personuppgiftsbiträden, endast behandlar uppgifterna enligt dennes instruktioner.
8.9   Documentation and compliance8.9   Dokumentation och efterlevnad
(a) | Each Party shall be able to demonstrate compliance with its obligations under these Clauses. In particular, the data importer shall keep appropriate documentation of the processing activities carried out under its responsibility.a) | Varje part ska kunna visa att de fullgör sina skyldigheter enligt dessa klausuler. Framför allt ska uppgiftsinföraren föra lämplig dokumentation över den behandling som utförs inom hans eller hennes ansvarsområde.
(b) | The data importer shall make such documentation available to the competent supervisory authority on request.b) | Uppgiftsinföraren ska göra denna dokumentation tillgänglig för den behöriga tillsynsmyndigheten på begäran.
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
8.1   Instructions8.1   Instruktioner
(a) | The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.a) | Uppgiftsinföraren ska endast behandla personuppgifterna enligt dokumenterade instruktioner från uppgiftsutföraren. Uppgiftsutföraren får ge sådana instruktioner under hela avtalets giltighetstid.
(b) | The data importer shall immediately inform the data exporter if it is unable to follow those instructions.b) | Uppgiftsinföraren ska omedelbart informera uppgiftsutföraren om han eller hon inte kan följa dessa instruktioner.
8.2   Purpose limitation8.2   Ändamålsbegränsning
The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.Uppgiftsinföraren ska endast behandla personuppgifterna för det eller de specifika ändamålen med överföringen, enligt vad som fastställs i bilaga I.B, såvida inte uppgiftsutföraren har gett andra instruktioner.
8.3   Transparency8.3   Öppenhet
On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand the its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.På begäran ska uppgiftsutföraren tillhandahålla en kopia av dessa klausuler, inklusive tillägget när det har fyllts i av parterna, till den registrerade utan kostnad. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive de åtgärder som beskrivs i bilaga II och personuppgifter, får uppgiftsutföraren redigera delar av texten i tillägget till dessa klausuler innan en kopia tillhandahålls, men han eller hon måste bifoga en meningsfull sammanfattning om den registrerade annars inte skulle kunna förstå dess innehåll eller utöva sina rättigheter. På begäran ska parterna tillhandahålla skälen till redigeringen till den registrerade, i möjligaste mån utan att avslöja de redigerade uppgifterna. Denna klausul påverkar inte uppgiftsutförarens skyldigheter enligt artiklarna 13 och 14 i förordning (EU) 2016/679.
8.4   Accuracy8.4   Korrekthet
If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.Om uppgiftsinföraren får kännedom om att de personuppgifter som han eller hon har tagit emot är felaktiga, eller har blivit inaktuella, ska han eller hon informera uppgiftsutföraren utan onödigt dröjsmål. I sådana fall ska uppgiftsinföraren samarbeta med uppgiftsutföraren för att radera eller rätta uppgifterna.
8.5   Duration of processing and erasure or return of data8.5   Behandlingens varaktighet och radering eller återlämnande av uppgifter
Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).Uppgiftsinförarens behandling ska endast äga rum under den period som anges i bilaga I.B. När tillhandahållandet av behandlingstjänsterna har avslutats ska uppgiftsinföraren, enligt uppgiftsutförarens val, radera alla personuppgifter som behandlats på uppdrag av uppgiftsutföraren och intyga för uppgiftsutföraren att detta har skett, eller till uppgiftsutföraren återlämna alla personuppgifter som har behandlats på uppdrag av uppgiftsutföraren och radera befintliga kopior. Till dess att uppgifterna raderats eller återlämnats ska uppgiftsinföraren fortsätta att se till att dessa klausuler följs. Om återlämnande eller radering av personuppgifterna är förbjudet enligt lokal lagstiftning som är tillämplig för uppgiftsinföraren ska uppgiftsinföraren garantera att han eller hon kommer att fortsätta att uppfylla kraven i dessa klausuler och endast kommer att behandla personuppgifterna i den utsträckning och under den tid som krävs enligt den lokala lagstiftningen. Detta påverkar inte klausul 14, i synnerhet kravet enligt klausul 14 e att uppgiftsinföraren under hela avtalets giltighetstid ska meddela uppgiftsutföraren om han eller hon har anledning att misstänka att han eller hon är eller har blivit föremål för lagar eller förfaranden som inte stämmer överens med kraven i klausul 14 a.
8.6   Security of processing8.6   Säkerhet vid behandling
(a) | The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter ‘personal data breach’). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.a) | Uppgiftsinföraren, och under överföring även uppgiftsutföraren, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst till uppgifterna (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska parterna ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för de registrerade i samband med behandlingen. Parterna ska i synnerhet överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt. Vid användning av pseudonymisering ska uppgiftsutföraren om möjligt behålla sin fullständiga kontroll över den ytterligare information som krävs för att knyta personuppgifterna till en viss registrerad. För att fullgöra sina skyldigheter enligt denna punkt ska uppgiftsinföraren åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga II. Uppgiftsinföraren ska göra regelbundna kontroller för att säkerställa att dessa åtgärder även fortsättningsvis ger en lämplig säkerhetsnivå.
(b) | The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.b) | Uppgiftsinföraren ska endast ge sin personal tillgång till personuppgifterna i den utsträckning det är absolut nödvändigt för att genomföra, förvalta och övervaka avtalet. Uppgiftsinföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
(c) | In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.c) | I händelse av en personuppgiftsincident som gäller uppgifter som har behandlats av uppgiftsinföraren enligt dessa klausuler ska uppgiftsinföraren vidta lämpliga åtgärder för att hantera incidenten, däribland åtgärder för att mildra dess negativa konsekvenser. Uppgiftsinföraren ska även meddela uppgiftsutföraren utan onödigt dröjsmål efter att ha fått kännedom om incidenten. Meddelandet ska innehålla uppgifter om en kontaktpunkt som kan lämna mer information, en beskrivning av incidentens karaktär (inbegripet, om möjligt, vilka kategorier och det ungefärliga antalet registrerade och personuppgiftsregister som berörs), dess sannolika konsekvenser samt vilka åtgärder som har vidtagits eller föreslagits för att hantera incidenten, däribland, i tillämpliga fall, åtgärder för att mildra dess möjliga negativa konsekvenser. Om, och i den mån, det inte är möjligt att tillhandahålla all information vid samma tillfälle ska det inledande meddelandet innehålla den information som då finns tillgänglig, varefter ytterligare information ska tillhandahållas utan onödigt dröjsmål efterhand som den blir tillgänglig.
(d) | The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.d) | Uppgiftsinföraren ska samarbeta med och bistå uppgiftsutföraren så att uppgiftsutföraren kan fullgöra sina skyldigheter enligt förordning (EU) 2016/679, framför allt att meddela den behöriga tillsynsmyndigheten och de berörda registrerade, med beaktande av behandlingens karaktär och den information som finns tillgänglig för uppgiftsinföraren.
8.7   Sensitive data8.7   Känsliga uppgifter
Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter ‘sensitive data’), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.Om överföringen inbegriper personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter för unik identifiering av en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning, eller uppgifter om brottmålsdomar och lagöverträdelser (känsliga uppgifter) ska uppgiftsinföraren tillämpa de särskilda begränsningar och/eller de ytterligare skyddsåtgärder som beskrivs i bilaga I.B.
8.8   Onward transfers8.8   Vidare överföringar
The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (4) (in the same country as the data importer or in another third country, hereinafter ‘onward transfer’) if the third party is or agrees to be bound by these Clauses, under the appropriate Module, or if:Uppgiftsinföraren ska endast lämna ut personuppgifter till en tredje part enligt dokumenterade instruktioner från uppgiftsutföraren. Dessutom får uppgifterna endast lämnas ut till en tredje part utanför Europeiska unionen (4) (i samma land som uppgiftsinföraren eller i ett annat tredjeland, nedan kallat vidare överföring), om den tredje parten är eller samtycker till att vara bunden av dessa klausuler i motsvarande modul, eller
(i) | the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;i) | om den vidare överföringen sker till ett land som omfattas av ett beslut om adekvat skyddsnivå enligt artikel 45 i förordning (EU) 2016/679 som täcker den vidare överföringen,
(ii) | the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;ii) | om den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder enligt artikel 46 eller 47 i förordning (EU) 2016/679 med avseende på behandlingen i fråga,
(iii) | the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; oriii) | om den vidare överföringen är nödvändig för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden, eller
(iv) | the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.iv) | om den vidare överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.Vid varje vidare överföring måste uppgiftsinföraren uppfylla kraven för alla andra skyddsåtgärder i dessa klausuler, i synnerhet ändamålsbegränsning.
8.9   Documentation and compliance8.9   Dokumentation och efterlevnad
(a) | The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.a) | Uppgiftsinföraren ska skyndsamt och på ett lämpligt sätt hantera förfrågningar från uppgiftsutföraren angående behandlingen enligt dessa klausuler.
(b) | The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.b) | Parterna ska kunna visa att de uppfyller kraven i dessa klausuler. Framför allt ska uppgiftsinföraren föra lämplig dokumentation över den behandling som utförts på uppdrag av uppgiftsutföraren.
(c) | The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non-compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.c) | Uppgiftsinföraren ska se till att uppgiftsutföraren har tillgång till all information som behövs för att visa att de skyldigheter som fastställs i dessa klausuler har fullgjorts och, på uppgiftsutförarens begäran, möjliggöra och bidra till revisioner av den behandling som omfattas av dessa klausuler med rimliga mellanrum eller om det finns indikationer på bristande efterlevnad. När beslut fattas om en granskning eller revision får uppgiftsutföraren ta hänsyn till relevanta intyg som innehas av uppgiftsinföraren.
(d) | The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.d) | Uppgiftsutföraren får välja att utföra revisionen själv eller anlita en oberoende revisor. Revisionerna får omfatta inspektioner i uppgiftsinförarens lokaler eller fysiska anläggningar och ska, om så är lämpligt, utföras med rimligt varsel.
(e) | The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.e) | Parterna ska se till att den information som avses i leden b och c, inklusive resultaten av eventuella revisioner, finns tillgänglig för den behöriga tillsynsmyndigheten på begäran.
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
8.1   Instructions8.1   Instruktioner
(a) | The data exporter has informed the data importer that it acts as processor under the instructions of its controller(s), which the data exporter shall make available to the data importer prior to processing.a) | Uppgiftsutföraren har informerat uppgiftsinföraren om att han eller hon agerar i egenskap av personuppgiftsbiträde enligt den eller de personuppgiftsansvarigas instruktioner, vilka uppgiftsutföraren ska göra tillgängliga för uppgiftsinföraren före behandlingen.
(b) | The data importer shall process the personal data only on documented instructions from the controller, as communicated to the data importer by the data exporter, and any additional documented instructions from the data exporter. Such additional instructions shall not conflict with the instructions from the controller. The controller or data exporter may give further documented instructions regarding the data processing throughout the duration of the contract.b) | Uppgiftsinföraren ska endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, vilka uppgiftsutföraren ska tillhandahålla uppgiftsinföraren, och eventuella ytterligare dokumenterade instruktioner från uppgiftsutföraren. Sådana ytterligare instruktioner får inte stå i strid med den personuppgiftsansvariges instruktioner. Den personuppgiftsansvarige eller uppgiftsutföraren får ge ytterligare dokumenterade instruktioner avseende behandlingen av personuppgifter under hela avtalets giltighetstid.
(c) | The data importer shall immediately inform the data exporter if it is unable to follow those instructions. Where the data importer is unable to follow the instructions from the controller, the data exporter shall immediately notify the controller.c) | Uppgiftsinföraren ska omedelbart informera uppgiftsutföraren vid eventuell oförmåga att följa dessa instruktioner. Om uppgiftsinföraren inte kan följa den personuppgiftsansvariges instruktioner ska uppgiftsutföraren omedelbart informera den personuppgiftsansvarige.
(d) | The data exporter warrants that it has imposed the same data protection obligations on the data importer as set out in the contract or other legal act under Union or Member State law between the controller and the data exporter (5).d) | Uppgiftsutföraren garanterar att han eller hon har ålagt uppgiftsinföraren samma skyldigheter i fråga om uppgiftsskydd som fastställs i avtalet eller annan rättsakt enligt unionens eller medlemsstaternas lagstiftning mellan den personuppgiftsansvarige och uppgiftsutföraren (5).
8.2   Purpose limitation8.2   Ändamålsbegränsning
The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B., unless on further instructions from the controller, as communicated to the data importer by the data exporter, or from the data exporter.Uppgiftsinföraren ska endast behandla personuppgifter för det eller de specifika ändamålen med överföringen, enligt vad som fastställs i bilaga I.B, såvida inte andra instruktioner har lämnats av den personuppgiftsansvarige, enligt information från uppgiftsutföraren till uppgiftsinföraren, eller av uppgiftsutföraren.
8.3   Transparency8.3   Öppenhet
On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including personal data, the data exporter may redact part of the text of the Appendix prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information.På begäran ska uppgiftsutföraren tillhandahålla en kopia av dessa klausuler, inklusive tillägget när det har fyllts i av parterna, till den registrerade utan kostnad. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive personuppgifter, får uppgiftsutföraren redigera delar av texten i tillägget innan en kopia tillhandahålls, men han eller hon måste bifoga en meningsfull sammanfattning om den registrerade annars inte skulle kunna förstå dess innehåll eller utöva sina rättigheter. På begäran ska parterna tillhandahålla skälen till redigeringen till den registrerade, i möjligaste mån utan att avslöja de redigerade uppgifterna.
8.4   Accuracy8.4   Korrekthet
If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to rectify or erase the data.Om uppgiftsinföraren får kännedom om att de personuppgifter som han eller hon har tagit emot är felaktiga, eller har blivit inaktuella, ska han eller hon informera uppgiftsutföraren utan onödigt dröjsmål. I sådana fall ska uppgiftsinföraren samarbeta med uppgiftsutföraren för att rätta eller radera uppgifterna.
8.5   Duration of processing and erasure or return of data8.5   Behandlingens varaktighet och radering eller återlämnande av uppgifter
Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the controller and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).Uppgiftsinförarens behandling ska endast äga rum under den period som anges i bilaga I.B. När tillhandahållandet av behandlingstjänsterna har avslutats ska uppgiftsinföraren, enligt uppgiftsutförarens val, radera alla personuppgifter som behandlats på uppdrag av den personuppgiftsansvarige och intyga för uppgiftsutföraren att detta har skett, eller till uppgiftsutföraren återlämna alla personuppgifter som har behandlats på uppdrag av uppgiftsutföraren och radera befintliga kopior. Till dess att uppgifterna raderats eller återlämnats ska uppgiftsinföraren fortsätta att se till att dessa klausuler följs. Om återlämnande eller radering av personuppgifterna är förbjudet enligt lokal lagstiftning som är tillämplig för uppgiftsinföraren ska uppgiftsinföraren garantera att han eller hon kommer att fortsätta att uppfylla kraven i dessa klausuler och endast kommer att behandla personuppgifterna i den utsträckning och under den tid som krävs enligt den lokala lagstiftningen. Detta påverkar inte klausul 14, i synnerhet kravet enligt klausul 14 e att uppgiftsinföraren under hela avtalets giltighetstid ska meddela uppgiftsutföraren om han eller hon har anledning att misstänka att han eller hon är eller har blivit föremål för lagar eller förfaranden som inte stämmer överens med kraven i klausul 14 a.
8.6   Security of processing8.6   Säkerhet vid behandling
(a) | The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter ‘personal data breach’). In assessing the appropriate level of security, they shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subject. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter or the controller. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.a) | Uppgiftsinföraren, och under överföring även uppgiftsutföraren, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst till uppgifterna (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska de ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för den registrerade i samband med behandlingen. Parterna ska i synnerhet överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt. Vid användning av pseudonymisering ska uppgiftsutföraren eller den personuppgiftsansvarige om möjligt behålla sin fullständiga kontroll över den ytterligare information som krävs för att knyta personuppgifterna till en viss registrerad. För att fullgöra sina skyldigheter enligt denna punkt ska uppgiftsinföraren åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga II. Uppgiftsinföraren ska göra regelbundna kontroller för att säkerställa att dessa åtgärder även fortsättningsvis ger en lämplig säkerhetsnivå.
(b) | The data importer shall grant access to the data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.b) | Uppgiftsinföraren ska endast ge sin personal tillgång till uppgifterna i den utsträckning det är absolut nödvändigt för att genomföra, förvalta och övervaka avtalet. Uppgiftsinföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
(c) | In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify, without undue delay, the data exporter and, where appropriate and feasible, the controller after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the data breach, including measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.c) | I händelse av en personuppgiftsincident som gäller uppgifter som har behandlats av uppgiftsinföraren enligt dessa klausuler ska uppgiftsinföraren vidta lämpliga åtgärder för att hantera incidenten, däribland åtgärder för att mildra dess negativa konsekvenser. Uppgiftsinföraren ska även, utan onödigt dröjsmål, meddela uppgiftsutföraren och, om det är lämpligt och genomförbart, den personuppgiftsansvarige efter att ha fått kännedom om incidenten. Meddelandet ska innehålla uppgifter om en kontaktpunkt som kan lämna mer information, en beskrivning av incidentens karaktär (inbegripet, om möjligt, vilka kategorier och det ungefärliga antalet registrerade och personuppgiftsregister som berörs), dess sannolika konsekvenser samt vilka åtgärder som har vidtagits eller föreslagits för att hantera incidenten, däribland åtgärder för att mildra dess möjliga negativa konsekvenser. Om, och i den mån, det inte är möjligt att tillhandahålla all information vid samma tillfälle ska det inledande meddelandet innehålla den information som då finns tillgänglig, varefter ytterligare information ska tillhandahållas utan onödigt dröjsmål efterhand som den blir tillgänglig.
(d) | The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify its controller so that the latter may in turn notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.d) | Uppgiftsinföraren ska samarbeta med och bistå uppgiftsutföraren så att uppgiftsutföraren kan fullgöra sina skyldigheter enligt förordning (EU) 2016/679, framför allt att meddela den personuppgiftsansvarige så att denne i sin tur kan meddela den behöriga tillsynsmyndigheten och de berörda registrerade, med beaktande av behandlingens karaktär och den information som finns tillgänglig för uppgiftsinföraren.
8.7   Sensitive data8.7   Känsliga uppgifter
Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter ‘sensitive data’), the data importer shall apply the specific restrictions and/or additional safeguards set out in Annex I.B.Om överföringen inbegriper personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter för unik identifiering av en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning, eller uppgifter om brottmålsdomar och lagöverträdelser (känsliga uppgifter) ska uppgiftsinföraren tillämpa de särskilda begränsningar och/eller de ytterligare skyddsåtgärder som beskrivs i bilaga I.B.
8.8   Onward transfers8.8   Vidare överföringar
The data importer shall only disclose the personal data to a third party on documented instructions from the controller, as communicated to the data importer by the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (6) (in the same country as the data importer or in another third country, hereinafter ‘onward transfer’) if the third party is or agrees to be bound by these Clauses, under the appropriate Module, or if:Uppgiftsinföraren ska endast lämna ut personuppgifterna till en tredje part efter dokumenterade instruktioner från den personuppgiftsansvarige, enligt den information som uppgiftsinföraren har fått av uppgiftsutföraren. Dessutom får uppgifterna endast lämnas ut till en tredje part utanför Europeiska unionen (6) (i samma land som uppgiftsinföraren eller i ett annat tredjeland, nedan kallat vidare överföring), om den tredje parten är eller samtycker till att vara bunden av dessa klausuler i motsvarande modul, eller
(i) | the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;i) | om den vidare överföringen sker till ett land som omfattas av ett beslut om adekvat skyddsnivå enligt artikel 45 i förordning (EU) 2016/679 som täcker den vidare överföringen,
(ii) | the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 of Regulation (EU) 2016/679;ii) | om den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder enligt artikel 46 eller 47 i förordning (EU) 2016/679,
(iii) | the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; oriii) | om den vidare överföringen är nödvändig för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden, eller
(iv) | the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.iv) | om den vidare överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.Vid varje vidare överföring måste uppgiftsinföraren uppfylla kraven för alla andra skyddsåtgärder i dessa klausuler, i synnerhet ändamålsbegränsning.
8.9   Documentation and compliance8.9   Dokumentation och efterlevnad
(a) | The data importer shall promptly and adequately deal with enquiries from the data exporter or the controller that relate to the processing under these Clauses.a) | Uppgiftsinföraren ska skyndsamt och på lämpligt sätt hantera förfrågningar från uppgiftsutföraren eller den personuppgiftsansvarige angående behandlingen enligt dessa klausuler.
(b) | The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the controller.b) | Parterna ska kunna visa att de uppfyller kraven i dessa klausuler. Framför allt ska uppgiftsinföraren föra lämplig dokumentation över den behandling som utförts på uppdrag av den personuppgiftsansvarige.
(c) | The data importer shall make all information necessary to demonstrate compliance with the obligations set out in these Clauses available to the data exporter, which shall provide it to the controller.c) | Uppgiftsinföraren ska se till att uppgiftsutföraren får tillgång till all information som behövs för att visa att de skyldigheter som fastställs i dessa klausuler har fullgjorts; uppgiftsutföraren ska sedan vidarebefordra denna information till den personuppgiftsansvarige.
(d) | The data importer shall allow for and contribute to audits by the data exporter of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non-compliance. The same shall apply where the data exporter requests an audit on instructions of the controller. In deciding on an audit, the data exporter may take into account relevant certifications held by the data importer.d) | Uppgiftsinföraren ska möjliggöra och bidra till uppgiftsutförarens revisioner av den behandling som omfattas av dessa klausuler, med rimliga mellanrum eller om det finns indikationer på bristande efterlevnad. Detsamma ska gälla om uppgiftsutföraren begär en revision enligt instruktioner från den personuppgiftsansvarige. När beslut fattas om en revision får uppgiftsutföraren ta hänsyn till relevanta intyg som innehas av uppgiftsinföraren.
(e) | Where the audit is carried out on the instructions of the controller, the data exporter shall make the results available to the controller.e) | Om revisionen utförs efter den personuppgiftsansvariges instruktioner ska uppgiftsutföraren göra resultaten tillgängliga för den personuppgiftsansvarige.
(f) | The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.f) | Uppgiftsutföraren får välja att utföra revisionen själv eller anlita en oberoende revisor. Revisionerna får omfatta inspektioner i uppgiftsinförarens lokaler eller fysiska anläggningar och ska, om så är lämpligt, utföras med rimligt varsel.
(g) | The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.g) | Parterna ska se till att den information som avses i leden b och c, inklusive resultaten av eventuella revisioner, finns tillgänglig för den behöriga tillsynsmyndigheten på begäran.
MODULE FOUR: Transfer processor to controllerMODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig
8.1   Instructions8.1   Instruktioner
(a) | The data exporter shall process the personal data only on documented instructions from the data importer acting as its controller.a) | Uppgiftsutföraren ska endast behandla personuppgifterna enligt dokumenterade instruktioner från den uppgiftsinförare som agerar som dess personuppgiftsansvarige.
(b) | The data exporter shall immediately inform the data importer if it is unable to follow those instructions, including if such instructions infringe Regulation (EU) 2016/679 or other Union or Member State data protection law.b) | Uppgiftsutföraren ska omedelbart informera uppgiftsinföraren om han eller hon inte kan följa dessa instruktioner, däribland om instruktionerna bryter mot förordning (EU) 2016/679 eller någon annan dataskyddslagstiftning i unionen eller medlemsstaterna.
(c) | The data importer shall refrain from any action that would prevent the data exporter from fulfilling its obligations under Regulation (EU) 2016/679, including in the context of sub-processing or as regards cooperation with competent supervisory authorities.c) | Uppgiftsinföraren ska avstå från varje åtgärd som skulle hindra uppgiftsutföraren från att fullgöra sina skyldigheter enligt förordning (EU) 2016/679, däribland vid anlitande av en underentreprenör eller när det gäller samarbete med de behöriga tillsynsmyndigheterna.
(d) | After the end of the provision of the processing services, the data exporter shall, at the choice of the data importer, delete all personal data processed on behalf of the data importer and certify to the data importer that it has done so, or return to the data importer all personal data processed on its behalf and delete existing copies.d) | När tillhandahållandet av behandlingstjänsterna har avslutats ska uppgiftsutföraren, enligt uppgiftsinförarens val, radera alla personuppgifter som behandlats på uppdrag av uppgiftsinföraren och intyga för uppgiftsinföraren att detta har skett, eller till uppgiftsinföraren återlämna alla personuppgifter som har behandlats på uppdrag av uppgiftsinföraren och radera befintliga kopior.
8.2   Security of processing8.2   Säkerhet vid behandling
(a) | The Parties shall implement appropriate technical and organisational measures to ensure the security of the data, including during transmission, and protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access (hereinafter ‘personal data breach’). In assessing the appropriate level of security, they shall take due account of the state of the art, the costs of implementation, the nature of the personal data (7), the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects, and in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner.a) | Parterna ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet, även under överföring, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska de ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, personuppgifternas karaktär (7), behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för de registrerade i samband med behandlingen, och särskilt överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt.
(b) | The data exporter shall assist the data importer in ensuring appropriate security of the data in accordance with paragraph (a). In case of a personal data breach concerning the personal data processed by the data exporter under these Clauses, the data exporter shall notify the data importer without undue delay after becoming aware of it and assist the data importer in addressing the breach.b) | Uppgiftsutföraren ska bistå uppgiftsinföraren med att säkerställa en lämplig säkerhetsnivå för uppgifterna i enlighet med led a. I händelse av en personuppgiftsincident som gäller personuppgifter som har behandlats av uppgiftsutföraren enligt dessa klausuler ska uppgiftsutföraren utan onödigt dröjsmål meddela uppgiftsinföraren efter att ha fått kännedom om incidenten och bistå uppgiftsinföraren i hanteringen av densamma.
(c) | The data exporter shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.c) | Uppgiftsutföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
8.3   Documentation and compliance8.3   Dokumentation och efterlevnad
(a) | The Parties shall be able to demonstrate compliance with these Clauses.a) | Parterna ska kunna visa att de uppfyller kraven i dessa klausuler.
(b) | The data exporter shall make available to the data importer all information necessary to demonstrate compliance with its obligations under these Clauses and allow for and contribute to audits.b) | Uppgiftsutföraren ska se till att uppgiftsinföraren får tillgång till all information som behövs för att visa att skyldigheterna enligt dessa klausuler har fullgjorts och för att möjliggöra och bidra till revisioner.
Clause 9Klausul 9
Use of sub-processorsAnvändning av underentreprenörer
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
(a) | OPTION 1: SPECIFIC PRIOR AUTHORISATION The data importer shall not sub-contract any of its processing activities performed on behalf of the data exporter under these Clauses to a sub-processor without the data exporter’s prior specific written authorisation. The data importer shall submit the request for specific authorisation at least [Specify time period] prior to the engagement of the sub-processor, together with the information necessary to enable the data exporter to decide on the authorisation. The list of sub-processors already authorised by the data exporter can be found in Annex III. The Parties shall keep Annex III up to date. | OPTION 2: GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub-processors at least [Specify time period] in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.a) | ALTERNATIV 1: SÄRSKILT FÖRHANDSTILLSTÅND Uppgiftsinföraren får inte utkontraktera någon av sina behandlingar som utförs på uppdrag av uppgiftsutföraren enligt dessa klausuler till en underentreprenör utan ett särskilt skriftligt förhandstillstånd från uppgiftsutföraren. Uppgiftsinföraren ska lämna in en ansökan om ett särskilt förhandstillstånd minst [ange tidsperiod] före anlitandet av underentreprenören, tillsammans med den information som krävs för att uppgiftsutföraren ska kunna fatta ett beslut om tillståndet. Förteckningen över underentreprenörer som redan godkänts av uppgiftsutföraren finns i bilaga III. Parterna ska se till att bilaga III är uppdaterad. | ALTERNATIV 2: ALLMÄNT SKRIFTLIGT TILLSTÅND Uppgiftsinföraren har uppgiftsutförarens allmänna tillstånd att anlita en eller flera underentreprenörer i en överenskommen förteckning. Uppgiftsinföraren ska informera uppgiftsutföraren skriftligen om alla planerade ändringar av förteckningen genom tillägg eller ersättning av underentreprenörer minst [ange tidsperiod] i förväg, så att uppgiftsutföraren har tillräckligt med tid för att invända mot sådana ändringar före anlitandet av underentreprenören(-erna). Uppgiftsinföraren ska ge uppgiftsutföraren all information som behövs för att uppgiftsutföraren ska kunna utöva sin rätt att göra invändningar.
(b) | Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. (8) The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.b) | Om uppgiftsinföraren anlitar en underentreprenör för att utföra särskilda behandlingar (på uppdrag av uppgiftsutföraren) ska han eller hon göra detta genom ett skriftligt avtal som, i sak, innehåller samma skyldigheter i fråga om dataskydd som de avtal som är bindande för uppgiftsinföraren enligt dessa klausuler, däribland vad gäller de registrerades rättigheter som berättigade tredje parter (8). Parterna är överens om att uppgiftsinföraren, genom att uppfylla kraven i denna klausul, fullgör sina skyldigheter enligt klausul 8.8. Uppgiftsinföraren ska säkerställa att underentreprenören fullgör de skyldigheter som uppgiftsinföraren omfattas av enligt dessa klausuler.
(c) | The data importer shall provide, at the data exporter’s request, a copy of such a sub-processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.c) | Uppgiftsinföraren ska, på uppgiftsutförarens begäran, tillhandahålla en kopia av avtalet med underentreprenören och eventuella senare ändringar till uppgiftsutföraren. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive personuppgifter, får uppgiftsinföraren redigera texten i avtalet innan en kopia tillhandahålls.
(d) | The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub-processor to fulfil its obligations under that contract.d) | Uppgiftsinföraren ska fortsatt vara fullt ansvarig inför uppgiftsutföraren för fullgörandet av underentreprenörens skyldigheter inom ramen för dennes avtal med uppgiftsinföraren. Uppgiftsinföraren ska meddela uppgiftsutföraren om underentreprenören underlåter att fullgöra sina skyldigheter inom ramen för avtalet.
(e) | The data importer shall agree a third-party beneficiary clause with the sub-processor whereby – in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent – the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.e) | Uppgiftsinföraren ska komma överens om en klausul om tredjepartsberättigande med underentreprenören, varigenom uppgiftsutföraren – om uppgiftsinföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd – ska ha rätt att säga upp avtalet med underentreprenören och beordra underentreprenören att radera eller återlämna personuppgifterna.
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
(a) | OPTION 1: SPECIFIC PRIOR AUTHORISATION The data importer shall not sub-contract any of its processing activities performed on behalf of the data exporter under these Clauses to a sub-processor without the prior specific written authorisation of the controller. The data importer shall submit the request for specific authorisation at least [Specify time period] prior to the engagement of the sub-processor, together with the information necessary to enable the controller to decide on the authorisation. It shall inform the data exporter of such engagement. The list of sub-processors already authorised by the controller can be found in Annex III. The Parties shall keep Annex III up to date. | OPTION 2: GENERAL WRITTEN AUTHORISATION The data importer has the controller’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the controller in writing of any intended changes to that list through the addition or replacement of sub-processors at least [Specify time period] in advance, thereby giving the controller sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the controller with the information necessary to enable the controller to exercise its right to object. The data importer shall inform the data exporter of the engagement of the sub-processor(s).a) | ALTERNATIV 1: SÄRSKILT FÖRHANDSTILLSTÅND Uppgiftsinföraren får inte utkontraktera någon av sina behandlingar som utförs på uppdrag av uppgiftsutföraren enligt dessa klausuler till en underentreprenör utan ett särskilt skriftligt förhandstillstånd från den personuppgiftsansvarige. Uppgiftsinföraren ska lämna in en ansökan om ett särskilt förhandstillstånd minst [ange tidsperiod] före anlitandet av underentreprenören, tillsammans med den information som behövs för att den personuppgiftsansvarige ska kunna fatta ett beslut om tillståndet. Uppgiftsinföraren ska informera uppgiftsutföraren om anlitandet. Förteckningen över underentreprenörer som redan godkänts av den personuppgiftsansvarige finns i bilaga III. Parterna ska se till att bilaga III är uppdaterad. | ALTERNATIV 2: ALLMÄNT SKRIFTLIGT TILLSTÅND Uppgiftsinföraren har den personuppgiftsansvariges allmänna tillstånd att anlita en eller flera underentreprenörer i en överenskommen förteckning. Uppgiftsinföraren ska informera den personuppgiftsansvarige skriftligen om alla planerade ändringar av förteckningen genom tillägg eller ersättning av underentreprenörer minst [ange tidsperiod] i förväg, så att den personuppgiftsansvarige har tillräckligt med tid för att invända mot sådana ändringar före anlitandet av underentreprenören(-erna). Uppgiftsinföraren ska ge den personuppgiftsansvarige all information som behövs för att den personuppgiftsansvarige ska kunna utöva sin rätt att göra invändningar. Uppgiftsinföraren ska informera uppgiftsutföraren om anlitandet av underentreprenören(-erna).
(b) | Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the controller), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. (9) The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.b) | Om uppgiftsinföraren anlitar en underentreprenör för att utföra särskilda behandlingar (på uppdrag av den personuppgiftsansvarige) ska han eller hon göra detta genom ett skriftligt avtal som, i sak, innehåller samma skyldigheter i fråga om dataskydd som de avtal som är bindande för uppgiftsinföraren enligt dessa klausuler, däribland vad gäller de registrerades rättigheter som berättigade tredje parter (9). Parterna är överens om att uppgiftsinföraren, genom att uppfylla kraven i denna klausul, fullgör sina skyldigheter enligt klausul 8.8. Uppgiftsinföraren ska säkerställa att underentreprenören fullgör de skyldigheter som uppgiftsinföraren omfattas av enligt dessa klausuler.
(c) | The data importer shall provide, at the data exporter’s or controller’s request, a copy of such a sub-processor agreement and any subsequent amendments. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.c) | Uppgiftsinföraren ska, på uppgiftsutförarens eller den personuppgiftsansvariges begäran, tillhandahålla en kopia av avtalet med underentreprenören och eventuella senare ändringar. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive personuppgifter, får uppgiftsinföraren redigera texten i avtalet innan en kopia tillhandahålls.
(d) | The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub-processor to fulfil its obligations under that contract.d) | Uppgiftsinföraren ska fortsatt vara fullt ansvarig inför uppgiftsutföraren för fullgörandet av underentreprenörens skyldigheter inom ramen för dennes avtal med uppgiftsinföraren. Uppgiftsinföraren ska meddela uppgiftsutföraren om underentreprenören underlåter att fullgöra sina skyldigheter inom ramen för avtalet.
(e) | The data importer shall agree a third-party beneficiary clause with the sub-processor whereby – in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent – the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.e) | Uppgiftsinföraren ska komma överens om en klausul om tredjepartsberättigande med underentreprenören, varigenom uppgiftsutföraren – om uppgiftsinföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd – ska ha rätt att säga upp avtalet med underentreprenören och beordra underentreprenören att radera eller återlämna personuppgifterna.
Clause 10Klausul 10
Data subject rightsDe registrerades rättigheter
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
(a) | The data importer, where relevant with the assistance of the data exporter, shall deal with any enquiries and requests it receives from a data subject relating to the processing of his/her personal data and the exercise of his/her rights under these Clauses without undue delay and at the latest within one month of the receipt of the enquiry or request. (10) The data importer shall take appropriate measures to facilitate such enquiries, requests and the exercise of data subject rights. Any information provided to the data subject shall be in an intelligible and easily accessible form, using clear and plain language.a) | Uppgiftsinföraren ska, i relevanta fall med bistånd från uppgiftsutföraren, hantera eventuella förfrågningar och begäranden från en registrerad avseende behandlingen av hans/hennes personuppgifter och utövandet av hans/hennes rättigheter enligt dessa klausuler utan onödigt dröjsmål och senast inom en månad efter mottagandet av förfrågningen eller begäran. (10) Uppgiftsinföraren ska vidta lämpliga åtgärder för att underlätta sådana förfrågningar och begäranden och utövandet av den registrerades rättigheter. All information till den registrerade ska tillhandahållas i ett begripligt och lättillgängligt format, med ett tydligt och enkelt språk.
(b) | In particular, upon request by the data subject the data importer shall, free of charge: | (i) | provide confirmation to the data subject as to whether personal data concerning him/her is being processed and, where this is the case, a copy of the data relating to him/her and the information in Annex I; if personal data has been or will be onward transferred, provide information on recipients or categories of recipients (as appropriate with a view to providing meaningful information) to which the personal data has been or will be onward transferred, the purpose of such onward transfers and their ground pursuant to Clause 8.7; and provide information on the right to lodge a complaint with a supervisory authority in accordance with Clause 12(c)(i); | (ii) | rectify inaccurate or incomplete data concerning the data subject; | (iii) | erase personal data concerning the data subject if such data is being or has been processed in violation of any of these Clauses ensuring third-party beneficiary rights, or if the data subject withdraws the consent on which the processing is based.b) | Uppgiftsinföraren ska i synnerhet, på begäran av den registrerade, utan kostnad | i) | bekräfta för den registrerade huruvida personuppgifter som rör honom eller henne behandlas och, om så är fallet, tillhandahålla en kopia av de uppgifter som rör honom eller henne och den information som anges i bilaga I, om personuppgifter har överförts eller kommer att överföras vidare, tillhandahålla uppgifter om mottagare eller kategorier av mottagare (enligt vad som är lämpligt för att tillhandahålla meningsfull information) till vilka personuppgifterna har överförts eller kommer att överföras vidare, ändamålet med dessa vidare överföringar och deras grund i enlighet med klausul 8.7, samt tillhandahålla information om rätten att inge ett klagomål till en tillsynsmyndighet i enlighet med klausul 12 c i, | ii) | rätta felaktiga eller ofullständiga uppgifter som rör den registrerade, | iii) | radera personuppgifter som rör den registrerade om uppgifterna behandlas eller har behandlats i strid med någon av dessa klausuler som säkerställer rättigheterna för en berättigad tredje part, eller om den registrerade drar tillbaka det samtycke som ligger till grund för behandlingen.
(c) | Where the data importer processes the personal data for direct marketing purposes, it shall cease processing for such purposes if the data subject objects to it.c) | Om uppgiftsinföraren behandlar personuppgifterna för direkt marknadsföring ska han eller hon upphöra med behandlingen för sådana ändamål om den registrerade motsätter sig det.
(d) | The data importer shall not make a decision based solely on the automated processing of the personal data transferred (hereinafter ‘automated decision’), which would produce legal effects concerning the data subject or similarly significantly affect him/her, unless with the explicit consent of the data subject or if authorised to do so under the laws of the country of destination, provided that such laws lays down suitable measures to safeguard the data subject’s rights and legitimate interests. In this case, the data importer shall, where necessary in cooperation with the data exporter: | (i) | inform the data subject about the envisaged automated decision, the envisaged consequences and the logic involved; and | (ii) | implement suitable safeguards, at least by enabling the data subject to contest the decision, express his/her point of view and obtain review by a human being.d) | Uppgiftsinföraren får inte fatta beslut som endast baseras på automatisk behandling av de överförda personuppgifterna (databehandlat beslut), vilket skulle medföra rättsverkningar för den registrerade eller på liknande sätt avsevärt påverka honom/henne, såvida inte den registrerade har gett sitt uttryckliga samtycke eller om uppgiftsinföraren har tillstånd att göra detta enligt det mottagande landets lagar, förutsatt att de föreskriver lämpliga åtgärder för att skydda den registrerades rättigheter och berättigade intressen. I sådana fall ska uppgiftsinföraren, vid behov i samarbete med uppgiftsutföraren, | i) | informera den registrerade om det planerade databehandlade beslutet, dess konsekvenser och den logik som används, och | ii) | genomföra lämpliga skyddsåtgärder, åtminstone genom att ge den registrerade möjlighet att bestrida beslutet, uttrycka sin åsikt och erhålla en mänsklig granskning.
(e) | Where requests from a data subject are excessive, in particular because of their repetitive character, the data importer may either charge a reasonable fee taking into account the administrative costs of granting the request or refuse to act on the request.e) | Om en registrerad person lämnar in ett överdrivet antal begäranden, i synnerhet om de har en repetitiv karaktär, får uppgiftsinföraren antingen ta ut en rimlig avgift med beaktande av de administrativa kostnaderna för beviljandet av begäran eller vägra att hantera begäran.
(f) | The data importer may refuse a data subject’s request if such refusal is allowed under the laws of the country of destination and is necessary and proportionate in a democratic society to protect one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679.f) | Uppgiftsinföraren får avvisa en begäran från en registrerad person om avvisandet är tillåtet enligt det mottagande landets lagstiftning, och om det är nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda ett av de mål som anges i artikel 23.1 i förordning (EU) 2016/679.
(g) | If the data importer intends to refuse a data subject’s request, it shall inform the data subject of the reasons for the refusal and the possibility of lodging a complaint with the competent supervisory authority and/or seeking judicial redress.g) | Om uppgiftsinföraren har för avsikt att avvisa en begäran från en registrerad ska han eller hon informera den registrerade om skälen till avvisandet och om möjligheten att inge ett klagomål till den behöriga tillsynsmyndigheten och/eller begära rättslig prövning.
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
(a) | The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.a) | Uppgiftsinföraren ska skyndsamt meddela uppgiftsutföraren om varje begäran från en registrerad. Uppgiftsinföraren ska inte själv besvara begäran, såvida inte han eller hon har fått tillstånd att göra detta av uppgiftsutföraren.
(b) | The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.b) | Uppgiftsinföraren ska bistå uppgiftsutföraren med att fullgöra dennes skyldigheter att tillgodose de registrerades begäranden om att utöva sina rättigheter enligt förordning (EU) 2016/679. I detta avseende ska parterna fastställa lämpliga tekniska och organisatoriska åtgärder i bilaga II, med beaktande av behandlingens karaktär, genom vilka biståndet ska tillhandahållas, såväl som tillämpningsområdet för och omfattningen av det bistånd som begärs.
(c) | In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.c) | När uppgiftsinföraren fullgör sina skyldigheter enligt leden a och b ska han eller hon följa uppgiftsutförarens instruktioner.
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
(a) | The data importer shall promptly notify the data exporter and, where appropriate, the controller of any request it has received from a data subject, without responding to that request unless it has been authorised to do so by the controller.a) | Uppgiftsinföraren ska skyndsamt meddela uppgiftsutföraren och, om så är lämpligt, den personuppgiftsansvarige om varje begäran som tas emot från en registrerad, utan att besvara begäran såvida inte han eller hon har den personuppgiftsansvariges tillstånd att göra detta.
(b) | The data importer shall assist, where appropriate in cooperation with the data exporter, the controller in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.b) | Uppgiftsinföraren ska bistå den personuppgiftsansvarige, i tillämpliga fall i samarbete med uppgiftsutföraren, med att fullgöra dennes skyldigheter att tillgodose de registrerades begäranden om att utöva sina rättigheter enligt förordning (EU) 2016/679 eller förordning (EU) 2018/1725, enligt vad som är tillämpligt. I detta avseende ska parterna fastställa lämpliga tekniska och organisatoriska åtgärder i bilaga II, med beaktande av behandlingens karaktär, genom vilka biståndet ska tillhandahållas, såväl som tillämpningsområdet för och omfattningen av det bistånd som begärs.
(c) | In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the controller, as communicated by the data exporter.c) | När uppgiftsinföraren fullgör sina skyldigheter enligt leden a och b ska han eller hon följa den personuppgiftsansvariges instruktioner, vilka meddelas av uppgiftsutföraren.
MODULE FOUR: Transfer processor to controllerMODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig
The Parties shall assist each other in responding to enquiries and requests made by data subjects under the local law applicable to the data importer or, for data processing by the data exporter in the EU, under Regulation (EU) 2016/679.Parterna ska bistå varandra med att svara på förfrågningar och begäranden från registrerade enligt den lokala lagstiftning som är tillämplig på uppgiftsinföraren eller, vid databehandling av uppgiftsutföraren inom EU, enligt förordning (EU) 2016/679.
Clause 11Klausul 11
RedressTillgång till prövning
(a) | The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject. | [OPTION: The data importer agrees that data subjects may also lodge a complaint with an independent dispute resolution body (11) at no cost to the data subject. It shall inform the data subjects, in the manner set out in paragraph (a), of such redress mechanism and that they are not required to use it, or follow a particular sequence in seeking redress.]a) | Uppgiftsinföraren ska informera de registrerade i ett öppet och lättillgängligt format, genom enskilda meddelanden eller på sin webbplats, om en kontaktpunkt som har tillstånd att hantera klagomål. Uppgiftsinföraren ska skyndsamt hantera varje klagomål som tas emot från en registrerad. | [ALTERNATIV: Uppgiftsinföraren samtycker till att registrerade även får inge klagomål till ett oberoende tvistlösningsorgan (11) utan kostnad för den registrerade. Uppgiftsinföraren ska informera de registrerade, på det sätt som anges i led a, om denna mekanism för prövning och om att de inte måste använda den eller följa en viss ordning när de begär prövning.]
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
(b) | In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.b) | Om en tvist uppstår mellan en registrerad och en av parterna när det gäller efterlevnaden av dessa klausuler ska den parten göra sitt yttersta för att lösa tvisten i godo på ett skyndsamt sätt. Parterna ska informera varandra om sådana tvister och, i tillämpliga fall, samarbeta för att lösa dem.
(c) | Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to: | (i) | lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13; | (ii) | refer the dispute to the competent courts within the meaning of Clause 18.c) | Om den registrerade åberopar en rättighet som berättigad tredje part enligt klausul 3 ska uppgiftsinföraren godta den registrerades beslut att | i) | inge ett klagomål till tillsynsmyndigheten i den medlemsstat där han/hon är stadigvarande bosatt eller har sin arbetsplats, eller till den behöriga tillsynsmyndigheten enligt klausul 13, | ii) | hänskjuta tvisten till de behöriga domstolarna i den mening som avses i klausul 18.
(d) | The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.d) | Parterna godtar att den registrerade får företrädas av ett organ, en organisation eller sammanslutning utan vinstsyfte enligt de villkor som fastställs i artikel 80.1 i förordning (EU) 2016/679.
(e) | The data importer shall abide by a decision that is binding under the applicable EU or Member State law.e) | Uppgiftsinföraren ska följa ett beslut som är bindande enligt tillämplig lagstiftning i EU eller medlemsstaterna.
(f) | The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.f) | Uppgiftsinföraren är införstådd med att det val som gjorts av den registrerade inte kommer att påverka hans/hennes materiella och processuella rättigheter att begära prövning i enlighet med tillämplig lagstiftning.
Clause 12Klausul 12
LiabilityAnsvarsskyldighet
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
MODULE FOUR: Transfer processor to controllerMODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig
(a) | Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.a) | Varje part ska vara ansvarig inför den andra parten eller de andra parterna för eventuella skador den orsakar den andra parten eller de andra parterna genom överträdelse av dessa klausuler.
(b) | Each Party shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages that the Party causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter under Regulation (EU) 2016/679.b) | Varje part ska vara ansvarig inför den registrerade, och den registrerade ska ha rätt till ersättning, för varje materiell eller immateriell skada som parten orsakar den registrerade genom att kränka rättigheterna för en berättigad tredje part enligt dessa klausuler. Detta påverkar inte uppgiftsutförarens ansvarsskyldighet enligt förordning (EU) 2016/679.
(c) | Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.c) | Om fler än en part är ansvariga för eventuell skada som orsakats den registrerade till följd av en överträdelse av dessa klausuler ska alla ansvarsskyldiga parter vara solidariskt ansvariga, och den registrerade ska ha rätt att väcka talan i domstol mot var och en av dessa parter.
(d) | The Parties agree that if one Party is held liable under paragraph (c), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its/their responsibility for the damage.d) | Parterna är överens om att en part som hålls ansvarig enligt led c ska ha rätt att återkräva från den andra parten eller de andra parterna den del av ersättningen som motsvarar dess/deras ansvarsskyldighet för skadan.
(e) | The data importer may not invoke the conduct of a processor or sub-processor to avoid its own liability.e) | Uppgiftsinföraren får inte åberopa ett personuppgiftsbiträdes eller en underentreprenörs uppförande för att undvika sitt eget ansvar.
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
(a) | Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.a) | Varje part ska vara ansvarig inför den andra parten eller de andra parterna för eventuella skador den orsakar den andra parten eller de andra parterna genom överträdelse av dessa klausuler.
(b) | The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.b) | Uppgiftsinföraren ska vara ansvarig inför den registrerade, och den registrerade ska ha rätt till ersättning, för varje materiell eller immateriell skada som uppgiftsinföraren eller dess underentreprenör orsakar den registrerade genom att kränka rättigheterna för en berättigad tredje part enligt dessa klausuler.
(c) | Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.c) | Utan att det påverkar led b ska uppgiftsutföraren vara ansvarig inför den registrerade, och den registrerade ska ha rätt till ersättning, för varje materiell eller immateriell skada som uppgiftsutföraren eller uppgiftsinföraren (eller dess underentreprenör) orsakar den registrerade genom att kränka rättigheterna för en berättigad tredje part enligt dessa klausuler. Detta påverkar inte uppgiftsutförarens ansvarsskyldighet eller, om uppgiftsutföraren är ett personuppgiftsbiträde som agerar på uppdrag av en personuppgiftsansvarig, den personuppgiftsansvariges ansvarsskyldighet enligt förordning (EU) 2016/679 eller förordning (EU) 2018/1725, enligt vad som är tillämpligt.
(d) | The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.d) | Parterna är överens om att en uppgiftsutförare som enligt led c hålls ansvarig för skada som orsakats av uppgiftsinföraren (eller dess underentreprenör) ska ha rätt att återkräva den del av ersättningen från uppgiftsinföraren som motsvarar dennes ansvarsskyldighet för skadan.
(e) | Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.e) | Om fler än en part är ansvariga för eventuell skada som orsakats den registrerade till följd av en överträdelse av dessa klausuler ska alla ansvarsskyldiga parter vara solidariskt ansvariga, och den registrerade ska ha rätt att väcka talan i domstol mot var och en av dessa parter.
(f) | The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its/their responsibility for the damage.f) | Parterna är överens om att en part som hålls ansvarig enligt led e ska ha rätt att återkräva från den andra parten eller de andra parterna den del av ersättningen som motsvarar dess/deras ansvarsskyldighet för skadan.
(g) | The data importer may not invoke the conduct of a sub-processor to avoid its own liability.g) | Uppgiftsinföraren får inte åberopa en underentreprenörs uppförande för att undvika sitt eget ansvar.
Clause 13Klausul 13
SupervisionTillsyn
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
(a) | [Where the data exporter is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority. | [Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority. | [Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.a) | [Om uppgiftsutföraren är etablerad i en av EU:s medlemsstater:] Den tillsynsmyndighet som har ansvar för att säkerställa uppgiftsutförarens efterlevnad av förordning (EU) 2016/679 när det gäller överföring av uppgifter, enligt vad som anges i bilaga I.C, ska fungera som behörig tillsynsmyndighet. | [Om uppgiftsutföraren inte är etablerad i en av EU:s medlemsstater, men omfattas av det territoriella tillämpningsområdet för förordning (EU) 2016/679 i enlighet med artikel 3.2 i den förordningen, och har utsett en företrädare enligt artikel 27.1 i förordning (EU) 2016/679:] Tillsynsmyndigheten i den medlemsstat i vilken företrädaren i den mening som avses i artikel 27.1 i förordning (EU) 2016/679 är etablerad, enligt vad som anges i bilaga I.C, ska fungera som behörig tillsynsmyndighet. | [Om uppgiftsutföraren inte är etablerad i en av EU:s medlemsstater, men omfattas av det territoriella tillämpningsområdet för förordning (EU) 2016/679 i enlighet med artikel 3.2 i den förordningen, dock utan att vara skyldig att utse en företrädare enligt artikel 27.2 i förordning (EU) 2016/679:] Tillsynsmyndigheten i en av de medlemsstater i vilken de registrerade vars personuppgifter överförs enligt dessa klausuler befinner sig i samband med utbjudandet av varor eller tjänster till dem, eller i samband med att deras beteende övervakas, enligt vad som anges i bilaga I.C, ska fungera som behörig tillsynsmyndighet.
(b) | The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.b) | Uppgiftsinföraren samtycker till att godta den behöriga tillsynsmyndighetens behörighet och samarbeta med den i varje förfarande som syftar till att säkerställa efterlevnaden av dessa klausuler. Uppgiftsinföraren samtycker i synnerhet till att svara på förfrågningar, gå med på revisioner och iaktta de åtgärder som antagits av tillsynsmyndigheten, inbegripet korrigerande och kompenserade åtgärder. Uppgiftsinföraren ska ge tillsynsmyndigheten en skriftlig bekräftelse på att nödvändiga åtgärder har vidtagits.
SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIESAVSNITT III – LOKALA LAGAR OCH SKYLDIGHETER VID ÅTKOMST AV OFFENTLIGA MYNDIGHETER
Clause 14Klausul 14
Local laws and practices affecting compliance with the ClausesLokala lagar och förfaranden som påverkar efterlevnaden av klausulerna
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
MODULE FOUR: Transfer processor to controller (where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)MODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig (om personuppgiftsbiträdet i EU kombinerar de personuppgifter som tagits emot från den personuppgiftsansvarige i tredjelandet med personuppgifter som samlats in av personuppgiftsbiträdet i EU)
(a) | The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.a) | Parterna garanterar att de inte har någon anledning att misstänka att de lagar och förfaranden i det mottagande tredjelandet som är tillämpliga på uppgiftsinförarens behandling av personuppgifter, däribland eventuella krav på att lämna ut personuppgifter eller åtgärder för att bevilja åtkomst för offentliga myndigheter, hindrar uppgiftsinföraren från att fullgöra sina skyldigheter enligt dessa klausuler. Detta bygger på förutsättningen att lagar och förfaranden som är förenliga med andemeningen i de grundläggande rättigheterna och friheterna, och som inte går utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda de ändamål som anges i artikel 23.1 i förordning (EU) 2016/679, inte strider mot dessa klausuler.
(b) | The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements: | (i) | the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred; | (ii) | the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards (12); | (iii) | any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.b) | Genom att tillhandahålla den garanti som avses i led a intygar parterna att de har tagit vederbörlig hänsyn till särskilt följande aspekter: | i) | De särskilda omständigheterna kring överföringen, däribland behandlingskedjans längd, antalet inblandade aktörer och vilka överföringskanaler som använts; planerade vidare överföringar; typen av mottagare; ändamålet med behandlingen; de överförda personuppgifternas kategorier och format; den ekonomiska sektor inom vilken överföringen äger rum; platsen för lagring av de överförda uppgifterna. | ii) | De lagar och förfaranden i det mottagande tredjelandet – inbegripet krav på att lämna ut uppgifterna till offentliga myndigheter eller att ge sådana myndigheter åtkomst till uppgifterna – som är relevanta mot bakgrund av överföringens särskilda omständigheter samt tillämpliga begränsningar och skyddsåtgärder (12). | iii) | Alla relevanta avtalsenliga, tekniska eller organisatoriska skyddsåtgärder som införts för att komplettera skyddsåtgärderna enligt dessa klausuler, inbegripet åtgärder som tillämpats under överföringen och vid behandlingen av personuppgifterna i det mottagande tredjelandet.
(c) | The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.c) | Uppgiftsinföraren garanterar att han eller hon, i samband med den bedömning som avses i led b, har gjort sitt yttersta för att ge uppgiftsutföraren relevant information, och samtycker till att fortsätta att samarbeta med uppgiftsutföraren för att säkerställa efterlevnaden av dessa klausuler.
(d) | The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.d) | Parterna är överens om att dokumentera den bedömning som avses i led b och att på begäran göra den tillgänglig för den behöriga tillsynsmyndigheten.
(e) | The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a). [For Module Three: The data exporter shall forward the notification to the controller.]e) | Uppgiftsinföraren samtycker till att skyndsamt meddela uppgiftsutföraren om han eller hon, efter att ha godkänt dessa klausuler och under hela avtalets giltighetstid, har anledning att misstänka att han eller hon är eller har blivit föremål för lagar eller förfaranden som inte stämmer överens med kraven i led a, däribland efter en ändring i lagarna i tredjelandet eller en åtgärd (såsom en begäran om utlämnande av uppgifter) som antyder att en tillämpning av sådana lagar i praktiken inte stämmer överens med kraven i led a. [För modul tre: Uppgiftsutföraren ska vidarebefordra meddelandet till den personuppgiftsansvarige.]
(f) | Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation [for Module Three:, if appropriate in consultation with the controller]. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by [for Module Three: the controller or] the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.f) | Efter att ha tagit emot ett meddelande i enlighet med led e, eller om uppgiftsutföraren har andra anledningar att misstänka att uppgiftsinföraren inte längre kan fullgöra sina skyldigheter enligt dessa klausuler, ska uppgiftsutföraren skyndsamt fastställa lämpliga åtgärder (t.ex. tekniska eller organisatoriska åtgärder för att säkerställa säkerhet och konfidentialitet) som ska antas av uppgiftsutföraren och/eller uppgiftsinföraren för att hantera situationen [för modul tre:, i tillämpliga fall efter samråd med den personuppgiftsansvarige]. Uppgiftsutföraren ska avbryta överföringen av uppgifter om han eller hon anser att inga lämpliga skyddsåtgärder kan säkerställas för överföringen, eller efter att ha fått instruktioner från [för modul tre: den personuppgiftsansvarige eller] den behöriga tillsynsmyndigheten att göra det. I sådana fall ska uppgiftsutföraren ha rätt att säga upp avtalet i den mån det gäller behandling av personuppgifter enligt dessa klausuler. Om avtalet omfattar fler än två parter får uppgiftsutföraren utöva denna rätt att säga upp avtalet med endast den berörda parten, såvida inte parterna har kommit överens om annat. Om avtalet sägs upp enligt denna klausul ska klausul 16 d och e tillämpas.
Clause 15Klausul 15
Obligations of the data importer in case of access by public authoritiesUppgiftsinförarens skyldigheter vid åtkomst av offentliga myndigheter
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
MODULE FOUR: Transfer processor to controller (where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)MODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig (om personuppgiftsbiträdet i EU kombinerar de personuppgifter som tagits emot från den personuppgiftsansvarige i tredjelandet med personuppgifter som samlats in av personuppgiftsbiträdet i EU)
15.1   Notification15.1   Meddelanden
(a) | The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it: | (i) | receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or | (ii) | becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer. | [For Module Three: The data exporter shall forward the notification to the controller.]a) | Uppgiftsinföraren samtycker till att skyndsamt meddela uppgiftsutföraren och, om så är möjligt, den registrerade (vid behov med hjälp av uppgiftsutföraren) om han eller hon | i) | får en rättsligt bindande begäran från en offentlig myndighet, inbegripet en rättslig myndighet, i enlighet med det mottagande landets lagstiftning om att personuppgifter som överförts enligt dessa klausuler ska lämnas ut; meddelandet ska innehålla information om de begärda personuppgifterna, den begärande myndigheten, den rättsliga grunden för begäran och det svar som lämnats, eller | ii) | får kännedom om att offentliga myndigheter har haft direkt tillgång till enligt dessa klausuler överförda personuppgifter i enlighet med det mottagande landets lagstiftning; meddelandet ska innehålla all information som uppgiftsinföraren har tillgång till. | [För modul tre: Uppgiftsutföraren ska vidarebefordra meddelandet till den personuppgiftsansvarige.]
(b) | If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.b) | Om uppgiftsinföraren är förbjuden att meddela uppgiftsutföraren och/eller den registrerade enligt det mottagande landets lagstiftning samtycker uppgiftsinföraren till att göra sitt yttersta för att få till stånd ett undantag från förbudet, för att kunna tillhandahålla så mycket information som möjligt inom kortast möjliga tid. Uppgiftsinföraren samtycker till att dokumentera sina ansträngningar för att kunna bekräfta dem på begäran av uppgiftsutföraren.
(c) | Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.). [For Module Three: The data exporter shall forward the information to the controller.]c) | Om det är tillåtet enligt det mottagande landets lagstiftning samtycker uppgiftsinföraren till att, med jämna mellanrum under hela avtalets giltighetstid, ge uppgiftsutföraren så mycket relevant information som möjligt om de begäranden som tagits emot (i synnerhet antalet begäranden, vilken typ av uppgifter som begärts, den eller de begärande myndigheterna, om begärandena har bestridits och resultaten av bestridandena etc.). [För modul tre: Uppgiftsutföraren ska vidarebefordra informationen till den personuppgiftsansvarige.]
(d) | The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.d) | Uppgiftsinföraren samtycker till att lagra den information som avses i leden a–c under hela avtalets giltighetstid och göra den tillgänglig för den behöriga tillsynsmyndigheten på begäran.
(e) | Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.e) | Leden a–c påverkar inte uppgiftsinförarens skyldighet enligt klausul 14 e och klausul 16 att skyndsamt informera uppgiftsutföraren om han eller hon inte kan uppfylla kraven i dessa klausuler.
15.2   Review of legality and data minimisation15.2   Granskning av laglighet och uppgiftsminimering
(a) | The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).a) | Uppgiftsinföraren samtycker till att granska lagligheten i begäran om utlämnande av uppgifter, särskilt om begäran omfattas av de befogenheter som har beviljats den begärande offentliga myndigheten, och att bestrida begäran om han eller hon, efter noggrann bedömning, drar slutsatsen att det finns rimliga skäl att betrakta begäran som olaglig enligt det mottagande landets lagstiftning, tillämpliga skyldigheter enligt internationell rätt och principen om internationell hövlighet. Uppgiftsinföraren ska, enligt samma villkor, fullfölja möjligheterna att överklaga. Om uppgiftsinföraren bestrider en begäran ska han eller hon vidta provisoriska åtgärder för att upphäva konsekvenserna av begäran tills den behöriga rättsliga myndigheten har fattat beslut i frågan. Uppgiftsinföraren får inte lämna ut de begärda personuppgifterna förrän han eller hon är skyldig att göra detta enligt tillämpliga förfaranderegler. Dessa krav påverkar inte uppgiftsinförarens skyldigheter enligt klausul 14 e.
(b) | The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request. [For Module Three: The data exporter shall make the assessment available to the controller.]b) | Uppgiftsinföraren samtycker till att dokumentera sin rättsliga bedömning och varje bestridande av begäran om utlämnande av uppgifter och, i den mån det är tillåtet enligt det mottagande landets lagstiftning, göra dokumentationen tillgänglig för uppgiftsutföraren. Uppgiftsinföraren ska även göra dokumentationen tillgänglig för den behöriga tillsynsmyndigheten på begäran. [För modul tre: Uppgiftsutföraren ska se till att den personuppgiftsansvarige får tillgång till bedömningen.]
(c) | The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.c) | Uppgiftsinföraren samtycker till att tillhandahålla den minsta tillåtna mängden information när han eller hon besvarar en begäran om utlämnande av uppgifter, baserat på en rimlig tolkning av begäran.
SECTION IV – FINAL PROVISIONSAVSNITT IV – SLUTBESTÄMMELSER
Clause 16Klausul 16
Non-compliance with the Clauses and terminationBristande efterlevnad av klausulerna och avtalets uppsägning
(a) | The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.a) | Uppgiftsinföraren ska skyndsamt informera uppgiftsutföraren om han eller hon inte kan uppfylla kraven i dessa klausuler, oavsett orsak.
(b) | In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).b) | Om uppgiftsinföraren bryter mot dessa klausuler eller inte kan uppfylla kraven i dessa klausuler ska uppgiftsutföraren avbryta överföringen av personuppgifter till uppgiftsinföraren tills efterlevnaden åter har säkerställts eller avtalet har sagts upp. Detta påverkar inte tillämpningen av klausul 14 f.
(c) | The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where: | (i) | the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension; | (ii) | the data importer is in substantial or persistent breach of these Clauses; or | (iii) | the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses. | In these cases, it shall inform the competent supervisory authority [for Module Three: and the controller] of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.c) | Uppgiftsutföraren ska ha rätt att säga upp avtalet i den mån det gäller behandlingen av personuppgifter enligt dessa klausuler om | i) | uppgiftsutföraren har avbrutit överföringen av personuppgifter till uppgiftsinföraren enligt led b och om efterlevnaden av dessa klausuler inte har återupprättats inom en rimlig tidsperiod, under alla omständigheter inom en månad efter avbrytandet, | ii) | uppgiftsinföraren gör sig skyldig till allvarliga eller upprepade överträdelser av dessa klausuler, eller | iii) | uppgiftsinföraren inte följer ett bindande beslut av en behörig domstol eller tillsynsmyndighet angående hans eller hennes skyldigheter enligt dessa klausuler. | I sådana fall ska uppgiftsutföraren informera den behöriga tillsynsmyndigheten [för modul tre: och den personuppgiftsansvarige] om denna bristande efterlevnad. Om avtalet omfattar fler än två parter får uppgiftsutföraren utöva denna rätt att säga upp avtalet med endast den berörda parten, såvida inte parterna har kommit överens om annat.
(d) | [For Modules One, Two and Three: Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data.] [For Module Four: Personal data collected by the data exporter in the EU that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall immediately be deleted in its entirety, including any copy thereof.] The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.d) | [För modulerna ett, två och tre: Personuppgifter som överförts före uppsägningen av avtalet i enlighet med led c ska efter uppgiftsutförarens eget val omedelbart återlämnas till uppgiftsutföraren eller raderas i sin helhet. Detsamma ska gälla för eventuella kopior av uppgifterna.] [För modul fyra: Personuppgifter som samlats in av uppgiftsutföraren i EU och som överförts före uppsägningen av avtalet enligt led c ska omedelbart raderas i sin helhet, inklusive eventuella kopior.] Uppgiftsinföraren ska intyga för uppgiftsutföraren att uppgifterna har raderats. Till dess att uppgifterna raderats eller återlämnats ska uppgiftsinföraren fortsätta att se till att dessa klausuler följs. Om återlämnande eller radering av de överförda personuppgifterna är förbjudet enligt lokal lagstiftning som är tillämplig för uppgiftsinföraren ska uppgiftsinföraren garantera att han eller hon kommer att fortsätta att uppfylla kraven i dessa klausuler och endast kommer att behandla personuppgifterna i den utsträckning och under den tid som krävs enligt den lokala lagstiftningen.
(e) | Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.e) | Endera parten får återkalla sin överenskommelse om att vara bunden av dessa klausuler om i) Europeiska kommissionen antar ett beslut i enlighet med artikel 45.3 i förordning (EU) 2016/679 som omfattar den överföring av personuppgifter som dessa klausuler gäller för, eller ii) förordning (EU) 2016/679 blir en del av den rättsliga ramen i det land till vilket personuppgifterna överförs. Detta påverkar inte övriga skyldigheter som är tillämpliga på behandlingen i fråga enligt förordning (EU) 2016/679.
Clause 17Klausul 17
Governing lawTillämplig lag
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
[OPTION 1: These Clauses shall be governed by the law of one of the EU Member States, provided such law allows for third-party beneficiary rights. The Parties agree that this shall be the law of _______ (specify Member State).][ALTERNATIV 1: Dessa klausuler ska regleras genom lagstiftningen i en av EU:s medlemsstater, under förutsättning att lagstiftningen omfattar rättigheter för berättigade tredje parter. Parterna är överens om att detta ska vara lagstiftningen i _______ (ange medlemsstat).]
[OPTION 2 (for Modules Two and Three): These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of _______ (specify Member State).][ALTERNATIV 2 (för modulerna två och tre): Dessa klausuler ska regleras genom lagstiftningen i den medlemsstat i EU i vilken uppgiftsutföraren är etablerad. Om lagstiftningen inte omfattar rättigheter för berättigade tredje parter ska klausulerna regleras genom lagstiftningen i en annan medlemsstat i EU som omfattar rättigheter för berättigade tredje parter. Parterna är överens om att detta ska vara lagstiftningen i _______ (ange medlemsstat).]
MODULE FOUR: Transfer processor to controllerMODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig
These Clauses shall be governed by the law of a country allowing for third-party beneficiary rights. The Parties agree that this shall be the law of _______ (specify country).Dessa klausuler ska regleras genom lagstiftningen i ett land som omfattar rättigheter för berättigade tredje parter. Parterna är överens om att detta ska vara lagstiftningen i _______ (ange land).
Clause 18Klausul 18
Choice of forum and jurisdictionVal av forum och jurisdiktion
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
(a) | Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.a) | Varje tvist som uppstår på grund av dessa klausuler ska lösas av domstolarna i en medlemsstat i EU.
(b) | The Parties agree that those shall be the courts of _____ (specify Member State).b) | Parterna är överens om att dessa ska vara domstolarna i _______ (ange medlemsstat).
(c) | A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.c) | En registrerad får även inleda rättsliga förfaranden mot uppgiftsutföraren och/eller uppgiftsinföraren vid domstolarna i den medlemsstat där han/hon har sin stadigvarande vistelseort.
(d) | The Parties agree to submit themselves to the jurisdiction of such courts.d) | Parterna är överens om att underkasta sig sådana domstolars jurisdiktion.
MODULE FOUR: Transfer processor to controllerMODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig
  | Any dispute arising from these Clauses shall be resolved by the courts of _____ (specify country).  | Varje tvist som uppstår på grund av dessa klausuler ska lösas av domstolarna i _____ (ange land).
(1)  Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915.(1)  Om uppgiftsutföraren är ett personuppgiftsbiträde som omfattas av förordning (EU) 2016/679 och som agerar på uppdrag av en unionsinstitution eller ett unionsorgan som personuppgiftsansvarig, säkerställer användningen av dessa klausuler vid anlitande av ett annat personuppgiftsbiträde (som underentreprenör) som inte omfattas av förordning (EU) 2016/679 även överensstämmelse med artikel 29.4 i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39), i den utsträckning som dessa klausuler och de skyldigheter i fråga om uppgiftsskydd som fastställs i avtalet eller en annan rättsakt mellan den personuppgiftsansvarige och personuppgiftsbiträdet i enlighet med artikel 29.3 i förordning (EU) 2018/1725 har samordnats. Detta kommer särskilt att vara fallet om den personuppgiftsansvarige och personuppgiftsbiträdet använder de standardavtalsklausuler som ingår i beslut 2021/915.
(2)  This requires rendering the data anonymous in such a way that the individual is no longer identifiable by anyone, in line with recital 26 of Regulation (EU) 2016/679, and that this process is irreversible.(2)  Detta kräver att uppgifterna görs anonyma på ett sätt som gör att den enskilda individen inte längre kan identifieras av någon annan, i linje med skäl 26 i förordning (EU) 2016/679, och att denna process är oåterkallelig.
(3)  The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses.(3)  Enligt avtalet om Europeiska ekonomiska samarbetsområdet (EES-avtalet) ska EU:s inre marknad utvidgas till att omfatta de tre EES-staterna Island, Liechtenstein och Norge. Unionens dataskyddslagstiftning, inbegripet förordning (EU) 2016/679, omfattas av EES-avtalet och har införlivats i bilaga XI till avtalet. Om uppgiftsinföraren lämnar ut uppgifter till en tredje part inom EES ska detta därmed inte betraktas som en vidare överföring vid tillämpning av dessa klausuler.
(4)  The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses.(4)  Enligt avtalet om Europeiska ekonomiska samarbetsområdet (EES-avtalet) ska EU:s inre marknad utvidgas till att omfatta de tre EES-staterna Island, Liechtenstein och Norge. Unionens dataskyddslagstiftning, inbegripet förordning (EU) 2016/679, omfattas av EES-avtalet och har införlivats i bilaga XI till avtalet. Om uppgiftsinföraren lämnar ut uppgifter till en tredje part inom EES ska detta därmed inte betraktas som en vidare överföring vid tillämpning av dessa klausuler.
(5)  See Article 28(4) of Regulation (EU) 2016/679 and, where the controller is an EU institution or body, Article 29(4) of Regulation (EU) 2018/1725.(5)  Se artikel 28.4 i förordning (EU) 2016/679 och, om den personuppgiftsansvarige är en EU-institution eller ett EU-organ, artikel 29.4 i förordning (EU) 2018/1725.
(6)  The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purposes of these Clauses.(6)  Enligt avtalet om Europeiska ekonomiska samarbetsområdet (EES-avtalet) ska EU:s inre marknad utvidgas till att omfatta de tre EES-staterna Island, Liechtenstein och Norge. Unionens dataskyddslagstiftning, inbegripet förordning (EU) 2016/679, omfattas av EES-avtalet och har införlivats i bilaga XI till avtalet. Om uppgiftsinföraren lämnar ut uppgifter till en tredje part inom EES ska detta därmed inte betraktas som en vidare överföring vid tillämpning av dessa klausuler.
(7)  This includes whether the transfer and further processing involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions or offences.(7)  Detta omfattar huruvida överföringen och den efterföljande behandlingen inbegriper personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter för unik identifiering av en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning, eller uppgifter om brottmålsdomar eller lagöverträdelser.
(8)  This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7.(8)  Detta krav får uppfyllas av den underentreprenör som anslutit sig till dessa klausuler inom ramen för den tillämpliga modulen i enlighet med klausul 7.
(9)  This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7.(9)  Detta krav får uppfyllas av den underentreprenör som anslutit sig till dessa klausuler inom ramen för den tillämpliga modulen i enlighet med klausul 7.
(10)  That period may be extended by a maximum of two more months, to the extent necessary taking into account the complexity and number of requests. The data importer shall duly and promptly inform the data subject of any such extension.(10)  Denna period får förlängas med högst två ytterligare månader i den mån det är nödvändigt med beaktande av begärandenas komplexitet och antal. Uppgiftsinföraren ska skyndsamt och på vederbörligt sätt informera den registrerade om sådana förlängningar.
(11)  The data importer may offer independent dispute resolution through an arbitration body only if it is established in a country that has ratified the New York Convention on Enforcement of Arbitration Awards.(11)  Uppgiftsinföraren får endast erbjuda oberoende tvistlösning genom en skiljedomstol om han eller hon är etablerad i ett land som har ratificerat New York-konventionen om verkställighet av skiljedomar.
(12)  As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.(12)  När det gäller konsekvenserna av sådana lagar och förfaranden för efterlevnaden av dessa klausuler kan olika aspekter anses utgöra en del av den övergripande bedömningen. Sådana aspekter kan omfatta relevant och dokumenterad praktisk erfarenhet av tidigare begäranden om utlämning av uppgifter från offentliga myndigheter, eller avsaknad av sådana begäranden, som täcker en tillräckligt representativ tidsram. Detta gäller särskilt interna register eller annan dokumentation som upprättats kontinuerligt i enlighet med tillbörlig aktsamhet och som godkänts på ledningsnivå, under förutsättning att denna information kan delas med tredje parter på ett lagligt sätt. Om denna praktiska erfarenhet används som grund för slutsatsen att uppgiftsinföraren inte kommer att hindras från att uppfylla kraven i dessa klausuler måste den stödjas av andra relevanta, objektiva aspekter, och parterna måste noggrant överväga huruvida dessa aspekter tillsammans har tillräckligt stor vikt, vad gäller deras tillförlitlighet och representativitet, för att underbygga denna slutsats. Parterna måste i synnerhet ta hänsyn till huruvida deras praktiska erfarenhet bekräftas och inte motsägs av offentligt tillgänglig eller på annat sätt åtkomlig och tillförlitlig information om förekomst eller avsaknad av begäranden inom samma sektor och/eller av tillämpningen av lagstiftningen i praktiken, t.ex. rättspraxis och rapporter från oberoende tillsynsorgan.
APPENDIXTILLÄGG
EXPLANATORY NOTE:FÖRKLARANDE ANMÄRKNINGAR:
It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.Det måste vara möjligt att tydligt urskilja den information som är tillämplig på varje överföring eller kategori av överföringar och, i detta avseende, fastställa parternas respektive roller som uppgiftsutförare och/eller uppgiftsinförare. Detta innebär inte nödvändigtvis att separata tillägg måste fyllas i och undertecknas för varje överföring/kategori av överföringar och/eller avtalsförhållande, om denna öppenhet kan uppnås genom ett tillägg. Separata tillägg bör emellertid användas om det är nödvändigt för att säkerställa tillräcklig klarhet.
ANNEX IBILAGA I
A.   LIST OF PARTIESA.   FÖRTECKNING ÖVER PARTER
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
MODULE FOUR: Transfer processor to controllerMODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig
Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]Uppgiftsutförare: [Uppgiftsutförarens/uppgiftsutförarnas identitet och kontaktuppgifter och, i tillämpliga fall, uppgifter om hans/hennes eller deras dataskyddsombud och/eller företrädare i Europeiska unionen]
1. | Name: … | Address: … | Contact person’s name, position and contact details: … | Activities relevant to the data transferred under these Clauses: … | Signature and date: … | Role (controller/processor): …1. | Namn: … | Adress: … | Kontaktpersonens namn, befattning och kontaktuppgifter: … | Verksamheter som är relevanta för de uppgifter som överförs enligt dessa klausuler: … | Underskrift och datum: … | Roll (personuppgiftsansvarig/personuppgiftsbiträde): …
2. | …2. | …
Data importer(s): [Identity and contact details of the data importer(s), including any contact person with responsibility for data protection]Uppgiftsinförare: [Uppgiftsinförarens/uppgiftsinförarnas identitet och kontaktuppgifter, inklusive eventuella kontaktpersoner med ansvar för dataskydd]
1. | Name: … | Address: … | Contact person’s name, position and contact details: … | Activities relevant to the data transferred under these Clauses: … | Signature and date: … | Role (controller/processor): …1. | Namn: … | Adress: … | Kontaktpersonens namn, befattning och kontaktuppgifter: … | Verksamheter som är relevanta för de uppgifter som överförs enligt dessa klausuler: … | Underskrift och datum: … | Roll (personuppgiftsansvarig/personuppgiftsbiträde): …
2. | …2. | …
B.   DESCRIPTION OF TRANSFERB.   BESKRIVNING AV ÖVERFÖRINGEN
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
MODULE FOUR: Transfer processor to controllerMODUL FYRA: Överföring från personuppgiftsbiträde till personuppgiftsansvarig
Categories of data subjects whose personal data is transferredKategorier av registrerade vars personuppgifter överförs
Categories of personal data transferredKategorier av personuppgifter som överförs
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.Känsliga uppgifter som överförs (i tillämpliga fall) och tillämpade begränsningar eller skyddsåtgärder där full hänsyn tas till uppgifternas karaktär och de medföljande riskerna, till exempel strikt ändamålsbegränsning, åtkomstbegränsningar (däribland åtkomst endast för personal som har specialutbildning), registrering av åtkomst till uppgifterna, begränsningar av vidare överföringar eller ytterligare säkerhetsåtgärder.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).Frekvens för överföringen (t.ex. om uppgifterna överförs vid ett engångstillfälle eller kontinuerligt).
Nature of the processingBehandlingens karaktär
Purpose(s) of the data transfer and further processingÄndamålet/ändamålen med överföringen av uppgifter och den efterföljande behandlingen
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that periodDen period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processingVid överföringar till personuppgiftsbiträden/underentreprenörer, ange även föremålet för behandlingen liksom dess karaktär och varaktighet
C.   COMPETENT SUPERVISORY AUTHORITYC.   BEHÖRIG TILLSYNSMYNDIGHET
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
Identify the competent supervisory authority/ies in accordance with Clause 13Ange den eller de behöriga tillsynsmyndigheterna i enlighet med klausul 13
ANNEX IIBILAGA II
TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATATEKNISKA OCH ORGANISATORISKA ÅTGÄRDER, INKLUSIVE TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER FÖR ATT SÄKERSTÄLLA UPPGIFTERNAS SÄKERHET
MODULE ONE: Transfer controller to controllerMODUL ETT: Överföring från personuppgiftsansvarig till personuppgiftsansvarig
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
EXPLANATORY NOTE:FÖRKLARANDE ANMÄRKNINGAR:
The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers.De tekniska och organisatoriska åtgärderna måste beskrivas i specifika (och inte allmänna) ordalag. Se även den allmänna kommentaren på den första sidan av tillägget, i synnerhet om behovet av att tydligt ange vilka åtgärder som är tillämpliga på varje överföring/uppsättning av överföringar.
Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.Beskrivning av de tekniska och organisatoriska åtgärder som genomförts av uppgiftsinföraren/uppgiftsinförarna (inklusive relevanta tillstånd) för att säkerställa en lämplig säkerhetsnivå, med hänsyn till behandlingens karaktär, omfattning, sammanhang och ändamål, och riskerna för fysiska personers rättigheter och friheter.
[Examples of possible measures:[Exempel på möjliga åtgärder:
Measures of pseudonymisation and encryption of personal dataÅtgärder avseende pseudonymisering och kryptering av personuppgifter
Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and servicesÅtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och behandlingstjänster
Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incidentÅtgärder för att säkerställa förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident
Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processingFörfaranden för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärderna för att säkerställa behandlingens säkerhet
Measures for user identification and authorisationÅtgärder för identifiering och auktorisering av användare
Measures for the protection of data during transmissionÅtgärder för att skydda uppgifterna under överföring
Measures for the protection of data during storageÅtgärder för att skydda uppgifterna under lagring
Measures for ensuring physical security of locations at which personal data are processedÅtgärder för att säkerställa den fysiska säkerheten på de platser där personuppgifter behandlas
Measures for ensuring events loggingÅtgärder för att säkerställa loggning av händelser
Measures for ensuring system configuration, including default configurationÅtgärder för att säkerställa systemets konfiguration, inbegripet dess standardkonfiguration
Measures for internal IT and IT security governance and managementÅtgärder för intern styrning och förvaltning av it-system och it-säkerhet
Measures for certification/assurance of processes and productsÅtgärder för certifiering/säkring av processer och produkter
Measures for ensuring data minimisationÅtgärder för att säkerställa uppgiftsminimering
Measures for ensuring data qualityÅtgärder för att säkerställa uppgifternas kvalitet
Measures for ensuring limited data retentionÅtgärder för att säkerställa begränsad lagring av uppgifterna
Measures for ensuring accountabilityÅtgärder för att säkerställa ansvarsskyldighet
Measures for allowing data portability and ensuring erasure]Åtgärder för att möjliggöra uppgifternas portabilitet och säkerställa radering]
For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporterVid överföringar till personuppgiftsbiträden/underentreprenörer, beskriv även de särskilda tekniska och organisatoriska åtgärder som ska vidtas av personuppgiftsbiträdet/underentreprenören för att kunna bistå den personuppgiftsansvarige och, vid överföringar från ett personuppgiftsbiträde till en underentreprenör, uppgiftsutföraren
ANNEX IIIBILAGA III
LIST OF SUB-PROCESSORSFÖRTECKNING ÖVER UNDERENTREPRENÖRER
MODULE TWO: Transfer controller to processorMODUL TVÅ: Överföring från personuppgiftsansvarig till personuppgiftsbiträde
MODULE THREE: Transfer processor to processorMODUL TRE: Överföring från personuppgiftsbiträde till personuppgiftsbiträde
EXPLANATORY NOTE:FÖRKLARANDE ANMÄRKNINGAR:
This Annex must be completed for Modules Two and Three, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1).Denna bilaga måste fyllas i för modulerna två och tre i samband med utfärdandet av ett särskilt tillstånd för underentreprenörer (klausul 9 a, alternativ 1).
The controller has authorised the use of the following sub-processors:Den personuppgiftsansvarige har gett tillstånd att använda följande underentreprenörer:
1. | Name: … | Address: … | Contact person’s name, position and contact details: … | Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorised): …1. | Namn: … | Adress: … | Kontaktpersonens namn, befattning och kontaktuppgifter: … | Beskrivning av behandlingen (inklusive en tydlig avgränsning av ansvarsområden om flera underentreprenörer har fått tillstånd): …
2. | …2. | …