?

29.12.2004    | NL | Publicatieblad van de Europese Unie | L 385/7429.12.2004    | EN | Official Journal of the European Union | L 385/74
BESCHIKKING VAN DE COMMISSIECOMMISSION DECISION
van 27 december 2004of 27 December 2004
tot wijziging van Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landenamending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries
(Kennisgeving geschied onder nummer C(2004) 5271)(notified under document number C(2004) 5271)
(Voor de EER relevante tekst)(Text with EEA relevance)
(2004/915/EG)(2004/915/EC)
DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,THE COMMISSION OF THE EUROPEAN COMMUNITIES,
Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,Having regard to the Treaty establishing the European Community,
Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1), en met name op artikel 26, lid 4,Having regard to Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1), and in particular Article 26(4) thereof,
Overwegende hetgeen volgt:Whereas:
(1) | Teneinde het gegevensverkeer vanuit de Gemeenschap te vergemakkelijken, is het wenselijk dat de voor de verwerking verantwoordelijken voor de wereldwijde doorgifte van gegevens over één stel regels inzake gegevensbescherming kunnen beschikken. Bij gebrek aan mondiale normen voor gegevensbescherming zijn modelcontractbepalingen een belangrijk instrument waarmee persoonsgegevens vanuit alle lidstaten volgens een gemeenschappelijk stel regels kunnen worden doorgegeven. In Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlijn 95/46/EG (2) is daarom een stel modelcontractbepalingen vastgelegd waarmee passende garanties worden geboden voor de doorgifte van gegevens naar derde landen.(1) | In order to facilitate data flows from the Community, it is desirable for data controllers to be able to perform data transfers globally under a single set of data protection rules. In the absence of global data protection standards, standard contractual clauses provide an important tool allowing the transfer of personal data from all Member States under a common set of rules. Commission Decision 2001/497/EC of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries under Directive 95/46/EC (2) therefore lays down a model set of standard contractual clauses which ensures adequate safeguards for the transfer of data to third countries.
(2) | Sinds de goedkeuring van deze beschikking is veel ervaring opgedaan. Daarnaast heeft een coalitie van organisaties uit het bedrijfsleven (3) een stel alternatieve modelcontractbepalingen voorgesteld om te komen tot een zelfde niveau van persoonsgegevensbescherming als dat geboden door de modelcontractbepalingen van Beschikking 2001/497/EG, maar met gebruikmaking van andere mechanismen.(2) | Much experience has been gained since the adoption of that Decision. In addition, a coalition of business associations (3) has submitted a set of alternative standard contractual clauses designed to provide a level of data protection equivalent to that provided for by the set of standard contractual clauses laid down in Decision 2001/497/EC while making use of different mechanisms.
(3) | Aangezien het gebruik van modelcontractbepalingen voor de internationale doorgifte van gegevens vrijwillig is (er zijn volgens Richtlijn 95/46/EG immers nog diverse andere mogelijkheden voor de rechtmatige doorgifte van persoonsgegevens naar een derde land), moeten de gegevensexporteurs in de Gemeenschap en de gegevensimporteurs in een derde land de vrijheid hebben om te kiezen voor om het even welke reeks modelcontractbepalingen, of te opteren voor een andere wettelijke grondslag voor de doorgifte van gegevens. Aangezien echter elke reeks als geheel een model vormt, mogen de gegevensexporteurs deze reeks niet aanpassen en ook niet helemaal of gedeeltelijk met een andere op enigerlei wijze samenvoegen.(3) | Since the use of standard contractual clauses for international data transfers is voluntary as standard contractual clauses are only one of several possibilities under Directive 95/46/EC, for lawfully transferring personal data to a third country, data exporters in the Community and data importers in third countries should be free to choose any of the sets of standard contractual clauses, or to choose some other legal basis for data transfer. As each set as a whole forms a model, data exporters should not, however, be allowed to amend these sets or totally or partially merge them in any manner.
(4) | De modelcontractbepalingen die door het bedrijfsleven zijn voorgesteld beogen het gebruik van contractbepalingen door bedrijven aan te moedigen door mechanismen als meer flexibele auditvereisten en gedetailleerdere regels voor het recht van toegang.(4) | The standard contract clauses submitted by the business associations aim at increasing the use of contractual clauses among operators by mechanisms such as more flexible auditing requirements and more detailed rules on the right of access.
(5) | Als alternatief voor het systeem van de hoofdelijke aansprakelijkheid waarin is voorzien bij Beschikking 2001/497/EG, biedt de hier voorgestelde reeks een aansprakelijkheidssysteem op basis van het beginsel van de „nodige zorgvuldigheid” („due diligence”-verplichtingen), waarbij de gegevensexporteur en de gegevensimporteur in geval van een inbreuk op hun contractuele verplichtingen aansprakelijk zijn jegens de betrokkenen; de gegevensexporteur is ook aansprakelijk indien hij geen redelijke inspanning doet om zich ervan te vergewissen dat de gegevensimporteur in staat is om aan zijn wettelijke verplichtingen volgens de contractbepalingen te voldoen („culpa in eligendo”); eventueel kan in dit geval de betrokkene een zaak aanspannen tegen de gegevensexporteur. De handhaving van bepaling I, punt b), van de nieuwe reeks modelcontractbepalingen is in dit verband van bijzonder belang, met name in verband met de mogelijkheid voor de gegevensexporteur om in de kantoren van de gegevensimporteur controles te verrichten of van de gegevensimporteur bewijzen te verlangen dat hij over voldoende financiële middelen beschikt om zijn verplichtingen na te komen.(5) | Moreover, as an alternative to the system of joint and several liability provided for in Decision 2001/497/EC, the set now submitted contains a liability regime based on due diligence obligations where the data exporter and the data importer would be liable vis-à-vis the data subjects for their respective breach of their contractual obligations; the data exporter is also liable for not using reasonable efforts to determine that the data importer is able to satisfy its legal obligations under the clauses (culpa in eligendo) and the data subject can take action against the data exporter in this respect. The enforcement of clause I(b) of the new set of standard contractual clauses is of particular importance in this regard, in particular in connection with the possibility for the data exporter to carry out audits on the data importers’ premises or to request evidence of sufficient financial resources to fulfil its responsibilities.
(6) | Wat de uitoefening betreft van rechten in verband met het derdenbeding door de betrokkenen, is voorzien in een grotere betrokkenheid van de gegevensexporteur bij de behandeling van hun klachten, waarbij de gegevensexporteur verplicht is met de gegevensimporteur contact op te nemen en indien nodig hem te dwingen zich binnen de normale termijn van één maand aan het contract te houden. Indien de gegevensexporteur weigert de gegevensimporteur aan het contract te houden en de schending door de gegevensimporteur voortduurt, kan de betrokkene van de gegevensimporteur eisen dat hij de bepalingen naleeft en hem uiteindelijk in een lidstaat voor de rechtbank dagen. Het aanvaarden van deze jurisdictie en de bereidheid om een besluit van een bevoegde rechtbank of gegevensbeschermingsautoriteit na te leven, doen geen afbreuk aan andere procedurerechten van gegevensimporteurs uit derde landen, zoals het recht om in beroep te gaan.(6) | As regards the exercise of third party beneficiary rights by the data subjects, greater involvement of the data exporter in the resolution of data subjects' complaints is provided for, with the data exporter being obliged to make contact with the data importer and, if necessary, enforce the contract within the normal period of one month. If the data exporter refused to enforce the contract and the breach by the data importer still continues, the data subject may then enforce the clauses against the data importer and eventually sue him in a Member State. This acceptance of jurisdiction and the agreement to comply with a decision of a competent court or data protection authority does not prejudice any procedural rights of data importers established in third countries, such as rights of appeal.
(7) | Om echter te vermijden dat van deze extra flexibiliteit misbruik wordt gemaakt, moeten de gegevensbeschermingsautoriteiten de doorgifte van gegevens volgens de nieuwe reeks modelcontractbepalingen gemakkelijker kunnen opschorten of verbieden, wanneer de gegevensexporteur geen passende stappen wil ondernemen om de gegevensimporteur aan het contract te houden of deze laatste weigert te goeder trouw samen te werken met de bevoegde toezichthoudende gegevensbeschermingsautoriteiten.(7) | In order, however, to prevent abuses with this additional flexibility, it is appropriate to provide that data protection authorities can more easily prohibit or suspend data transfers based on the new set of standard contractual clauses in those cases where the data exporter refuses to take appropriate steps to enforce contractual obligations against the data importer or the latter refuses to cooperate in good faith with competent supervisory data protection authorities.
(8) | Het gebruik van modelcontractbepalingen geschiedt onverminderd de toepassing van nationale voorschriften die zijn goedgekeurd krachtens Richtlijn 95/46/EG of Richtlijn 2002/58/EG (4) betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), met name wat betreft de verzending van commerciële boodschappen aan EU-burgers.(8) | The use of standard contractual clauses will be made without prejudice to the application of national provisions adopted pursuant to Directive 95/46/EC or to Directive 2002//58/EC of the European Parliament and of the Council concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (4), in particular as far as the sending of commercial communications for the purposes of direct marketing is concerned.
(9) | Op deze basis kunnen de waarborgen van de voorgestelde modelcontractbepalingen als voldoende worden beschouwd overeenkomstig de bepaling van artikel 26, lid 2, van Richtlijn 95/46/EG.(9) | On that basis, the safeguards contained in the submitted standard contractual clauses can be considered as adequate within the meaning of Article 26(2) of Directive 95/46/EC.
(10) | Er is rekening gehouden met het advies (5) over het niveau van bescherming dat door de voorgestelde modelcontractbepalingen wordt geboden, dat is uitgebracht door de Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, opgericht krachtens artikel 29 van Richtlijn 95/46/EG.(10) | The Working Party on the Protection of Individuals with regard to the Processing of Personal Data established under Article 29 of Directive 95/46/EC has delivered an opinion (5) on the level of protection provided under the submitted standard contractual clauses which has been taken into account.
(11) | Het is aangewezen dat de Commissie drie jaar na de kennisgeving aan de lidstaten de toepassing van de wijzigingen op Beschikking 2001/497/EG evalueert.(11) | In order to assess the operation of the amendments to Decision 2001/497/EC, it is appropriate that the Commission evaluates them three years after their notification to the Member States
(12) | Beschikking 2001/497/EG wordt dienovereenkomstig gewijzigd.(12) | Decision 2001/497/EC should be amended accordingly.
(13) | De in deze beschikking vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31 van Richtlijn 95/46/EG ingestelde Comité,(13) | The measures provided for in this Decision are in accordance with the opinion of the Committee established under Article 31 of Directive 95/46/EC,
HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:HAS ADOPTED THIS DECISION:
Artikel 1Article 1
Beschikking 2001/497/EG wordt als volgt gewijzigd:Decision 2001/497/EC is amended as follows:
1) | De volgende alinea wordt toegevoegd aan artikel 1: | „De voor de verwerking verantwoordelijken kunnen kiezen uit reeks I of II uit de bijlage. Zij mogen de bepalingen echter niet wijzigen en ook geen afzonderlijke bepalingen of reeksen bepalingen combineren.”1. | In Article 1 the following paragraph is added: | ‘Data controllers may choose either of the sets I or II in the Annex. However, they may not amend the clauses nor combine individual clauses or the sets.’
2) | In artikel 4 worden de leden 2 en 3 vervangen door de volgende tekst: | „2.   Indien de voor de verwerking verantwoordelijke passende garanties biedt op basis van de modelcontractbepalingen van reeks II in de bijlage, hebben de bevoegde gegevensbeschermingsautoriteiten, voor de toepassing van lid 1, op grond van hun bestaande bevoegdheid het recht de doorgifte van gegevens te verbieden of op te schorten in een van beide volgende gevallen: | a) | bij weigering van de gegevensimporteur om te goeder trouw samen te werken met de gegevensbeschermingsautoriteiten, of om te voldoen aan de in het contract duidelijk omschreven verplichtingen; | b) | bij weigering van de gegevensexporteur om passende maatregelen te treffen om de gegevensimporteur aan het contract te houden binnen de normale termijn van één maand na kennisgeving aan de gegevensexporteur door de bevoegde gegevensbeschermingsautoriteit. | Voor de toepassing van de eerste alinea houden weigering te kwader trouw of weigering door de gegevensimporteur om het contract na te leven niet die gevallen in waar de samenwerking of naleving in strijd zou zijn met op de gegevensimporteur toepasselijke vereisten van het nationale recht die niet verder gaan dan wat in een democratische samenleving op basis van een van de in artikel 13, lid 1, van Richtlijn 95/46/EG genoemde belangen noodzakelijk is, met name sancties waarin bij internationale en/of nationale instrumenten is voorzien, en vereisten inzake de aangifte van belastingen en de bestrijding van het witwassen van zwart geld. | Voor de toepassing van punt (a) van de eerste alinea kan samenwerking onder meer inhouden dat de gegevensimporteur zijn gegevensverwerkingssysteem openstelt voor controle of dat hij verplicht gehoor geeft aan het advies van de toezichthoudende gegevensbeschermingsautoriteit in de Gemeenschap. | 3.   Het verbod of de opschorting overeenkomstig de leden 1 en 2 wordt opgeheven, zodra de redenen voor het verbod of de opschorting niet meer bestaan. | 4.   Wanneer een lidstaat op grond van de leden 1, 2 en 3 maatregelen treft, stelt hij de Commissie onverwijld daarvan in kennis, waarna de Commissie de andere lidstaten hiervan op de hoogte brengt.”.2. | In Article 4 paragraphs 2 and 3 are replaced by the following: | ‘2.   For the purposes of paragraph 1, where the data controller adduces adequate safeguards on the basis of the standard contractual clauses contained in set II in the Annex, the competent data protection authorities are entitled to exercise their existing powers to prohibit or suspend data flows in either of the following cases: | (a) | refusal of the data importer to cooperate in good faith with the data protection authorities, or to comply with their clear obligations under the contract; | (b) | refusal of the data exporter to take appropriate steps to enforce the contract against the data importer within the normal period of one month after notice by the competent data protection authority to the data exporter. | For the purposes of the first subparagraph, refusal in bad faith or refusal to enforce the contract by the data importer shall not include cases in which cooperation or enforcement would conflict with mandatory requirements of the national legislation applicable to the data importer which do not go beyond what is necessary in a democratic society on the basis of one of the interests listed in Article 13(1) of Directive 95/46/EC, in particular sanctions as laid down in international and/or national instruments, tax-reporting requirements or anti-money-laundering reporting requirements. | For the purposes of point (a) of the first subparagraph cooperation may include, in particular, the submission of the data importer’s data processing facilities for audit or the obligation to abide by the advice of the data protection supervisory authority in the Community. | 3.   The prohibition or suspension pursuant to paragraphs 1 and 2 shall be lifted as soon as the reasons for the prohibition or suspension no longer exist. | 4.   When Member States adopt measures pursuant to paragraphs 1, 2 and 3, they shall without delay inform the Commission which will forward the information to the other Member States.’.
3) | In artikel 5 wordt de eerste zin vervangen door de volgende tekst: | „De Commissie evalueert de werking van deze beschikking op basis van de beschikbare informatie drie jaar na de kennisgeving ervan en van enige wijziging erop aan de lidstaten.”.3. | In Article 5 the first sentence is replaced by the following: | ‘The Commission shall evaluate the operation of this Decision on the basis of available information three years after its notification and the notification of any amendment thereto to the Member States.’.
4) | De bijlage wordt als volgt gewijzigd: | 1. | Na de titel worden de woorden „REEKS I” ingevoegd. | 2. | De tekst in de bijlage bij deze beschikking wordt toegevoegd.4. | The Annex is amended as follows: | 1. | After the title the term ‘SET I’ is inserted. | 2. | The text set out in the Annex to this Decision is added.
Artikel 2Article 2
Deze beschikking is van toepassing met ingang van 1 april 2005.This Decision shall apply from 1 April 2005.
Artikel 3Article 3
Deze beschikking is gericht tot de lidstaten.This Decision is addressed to the Member States.
Gedaan te Brussel, 27 december 2004.Done at Brussels, 27 December 2004.
Voor de CommissieFor the Commission
Charlie McCREEVYCharlie McCREEVY
Lid van de CommissieMember of the Commission
(1)  PB L 281 van 23.11.1995, blz. 31. Richtlijn gewijzigd bij Verordening (EG) nr. 1883/2003 (PB L 284 van 31.10.2003, blz. 1).(1)  OJ L 281, 23.11.95, p. 31. Directive as amended by Regulation (EC) No 1883/2003 (OJ L 284, 31.10.2003, p. 1).
(2)  PB L 181 van 4.7.2001, blz. 19.(2)  OJ L 181, 4.7.2001, p. 19.
(3)  De Internationale Kamer van Koophandel (ICC), „Japan Business Council in Europe” (JBCE), „European Information and Communications Technology Association” (EICTA), het „EU-Committee” van de „American Chamber of Commerce In Belgium” (Amcham), de „Confederation of British Industry” (CBI), „International Communication Round Table” (ICRT) en de „Federation of European Direct Marketing Associations” (FEDMA).(3)  The International Chamber of Commerce (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce in Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) and the Federation of European Direct Marketing Associations (FEDMA).
(4)  PB L 201 van 31.7.2002, blz. 37.(4)  OJ L 201, 31.7.2002, p. 37.
(5)  Advies nr. 8/2003, beschikbaar op het volgende adres: http://europa.eu.int/comm/privacy(5)  Opinion No 8/2003, available at: http://europa.eu.int/comm/privacy
BIJLAGEANNEX
REEKS IISET II
Modelcontractbepalingen voor de doorgifte van persoonsgegevens uit de Gemeenschap naar derde landen (doorgifte van voor de verwerking verantwoordelijke naar voor de verwerking verantwoordelijke)Standard contractual clauses for the transfer of personal data from the Community to third countries (controller to controller transfers)
Contract inzake de doorgifte van gegevensData transfer agreement
Tussenbetween
_ (naam)_ (name)
_ (adres en land van vestiging)_ (address and country of establishment)
hierna de „gegevensexporteur”genoemdhereinafter “data exporter”)
enand
_ (naam)_ (name)
_(adres en land van vestiging)_ (address and country of establishment)
hierna de„gegevensimporteur”genoemdhereinafter “data importer”
elk een „partij”, samen „de partijen”each a “party”; together “the parties”.
DefinitiesDefinitions
Voor de toepassing van deze bepalingen:For the purposes of the clauses:
a) | hebben de begrippen „persoonsgegevens”, „bijzondere categorieën gegevens/gevoelige gegevens”, „verwerken/verwerking”, „voor de verwerking verantwoordelijke”, „verwerker”, „betrokkene” en „toezichthoudende autoriteit/autoriteit” hier dezelfde betekenis als in Richtlijn 95/46/EG van 24 oktober 1995 (waarbij „de autoriteit” betekent: de bevoegde gegevensbeschermingsautoriteit op het grondgebied waar de gegevensexporteur is gevestigd);(a) | “personal data”, “special categories of data/sensitive data”, “process/processing”, “controller”, “processor”, “data subject” and “supervisory authority/authority” shall have the same meaning as in Directive 95/46/EC of 24 October 1995 (whereby “the authority” shall mean the competent data protection authority in the territory in which the data exporter is established);
b) | wordt onder „gegevensexporteur” verstaan: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;(b) | “the data exporter” shall mean the controller who transfers the personal data;
c) | wordt onder „gegevensimporteur” verstaan: de voor de verwerking verantwoordelijke die ermee instemt om overeenkomstig de voorwaarden van deze bepalingen persoonsgegevens voor verdere verwerking van de gegevensexporteur te ontvangen en die niet onderworpen is aan een systeem voor passende bescherming van een derde land;(c) | “the data importer” shall mean the controller who agrees to receive from the data exporter personal data for further processing in accordance with the terms of these clauses and who is not subject to a third country’s system ensuring adequate protection;
d) | worden onder „bepalingen” deze contractbepalingen verstaan, die een afzonderlijk document zijn dat geen commerciële voorwaarden bevat die door de partijen in afzonderlijke commerciële overeenkomsten zijn vastgelegd.(d) | “clauses” shall mean these contractual clauses, which are a free-standing document that does not incorporate commercial business terms established by the parties under separate commercial arrangements.
De details van de doorgifte alsook de betrokken persoonsgegevens worden in bijlage B nader gespecificeerd; die bijlage is een vast onderdeel van de bepalingen.The details of the transfer (as well as the personal data covered) are specified in Annex B, which forms an integral part of the clauses.
I.   Verplichtingen van de gegevensexporteurI.   Obligations of the data exporter
De gegevensexporteur garandeert en verbindt zich tot het volgende:The data exporter warrants and undertakes that:
a) | De persoonsgegevens worden verzameld, verwerkt en doorgegeven overeenkomstig de wetgeving die van toepassing is op de gegevensexporteur.(a) | The personal data have been collected, processed and transferred in accordance with the laws applicable to the data exporter.
b) | Er is een redelijke inspanning gedaan om vast te stellen dat de gegevensimporteur in staat is zijn wettelijke verplichtingen volgens deze bepalingen na te leven.(b) | It has used reasonable efforts to determine that the data importer is able to satisfy its legal obligations under these clauses.
c) | De gegevensimporteur krijgt op verzoek kopieën van de relevante wetgeving inzake gegevensbescherming of verwijzingen daarnaar (indien relevant, en zonder juridisch advies) van het land waar de gegevensexporteur is gevestigd.(c) | It will provide the data importer, when so requested, with copies of relevant data protection laws or references to them (where relevant, and not including legal advice) of the country in which the data exporter is established.
d) | Er wordt geantwoord op informatieverzoeken van de betrokkenen en van de autoriteit in verband met de verwerking van de persoonsgegevens door de gegevensimporteur, tenzij de partijen zijn overeengekomen dat de gegevensimporteur antwoordt; indien de gegevensimporteur hiertoe niet bereid of in staat is, antwoordt de gegevensexporteur binnen de mate van wat redelijkerwijs mogelijk is en verstrekt de informatie die redelijkerwijs beschikbaar is. Een antwoord wordt binnen een redelijke termijn gegeven.(d) | It will respond to enquiries from data subjects and the authority concerning processing of the personal data by the data importer, unless the parties have agreed that the data importer will so respond, in which case the data exporter will still respond to the extent reasonably possible and with the information reasonably available to it if the data importer is unwilling or unable to respond. Responses will be made within a reasonable time.
e) | Op verzoek wordt een kopie van de bepalingen aan de betrokkenen ter beschikking gesteld in het kader van rechten in verband met het derdenbeding volgens bepaling III, tenzij de bepalingen vertrouwelijke informatie bevatten, die dan mag worden verwijderd. Indien gegevens worden verwijderd, stelt de gegevensexporteur de betrokkenen daarvan schriftelijk in kennis en wijst hij hen op het recht om deze verwijdering bij de autoriteit te melden. De gegevensexporteur verbindt zich er evenwel toe zich te richten naar een besluit van de autoriteit inzake de toegang tot de volledige tekst van de bepalingen voor de betrokkenen, mits de betrokkenen zich ertoe verbinden de vertrouwelijkheid van de verwijderde gegevens te respecteren. Indien nodig verstrekt de gegevensexporteur tevens een kopie van de bepalingen aan de autoriteit.(e) | It will make available, upon request, a copy of the clauses to data subjects who are third party beneficiaries under clause III, unless the clauses contain confidential information, in which case it may remove such information. Where information is removed, the data exporter shall inform data subjects in writing of the reason for removal and of their right to draw the removal to the attention of the authority. However, the data exporter shall abide by a decision of the authority regarding access to the full text of the clauses by data subjects, as long as data subjects have agreed to respect the confidentiality of the confidential information removed. The data exporter shall also provide a copy of the clauses to the authority where required.
II.   Verplichtingen van de gegevensimporteurII.   Obligations of the data importer
De gegevensimporteur garandeert en verbindt zich tot het volgende:The data importer warrants and undertakes that:
a) | Er wordt voorzien in de nodige technische en organisatorische maatregelen om de persoonsgegevens te beschermen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, verlies, vervalsing, ongeoorloofde verspreiding of toegang, en die een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich brengen.(a) | It will have in place appropriate technical and organisational measures to protect the personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, and which provide a level of security appropriate to the risk represented by the processing and the nature of the data to be protected.
b) | Er wordt in procedures voorzien om te garanderen dat elke derde partij die toegang krijgt tot de persoonsgegevens, met inbegrip van verwerkers, de vertrouwelijkheid en veiligheid ervan respecteert. Elke persoon die onder de verantwoordelijkheid van de gegevensimporteur handelt, met inbegrip van een verwerker, is verplicht de persoonsgegevens alleen volgens de instructies van de gegevensimporteur te verwerken. Deze bepaling is niet van toepassing op personen die bij wet of regelgeving geautoriseerd of verplicht zijn om toegang te hebben tot de persoonsgegevens.(b) | It will have in place procedures so that any third party it authorises to have access to the personal data, including processors, will respect and maintain the confidentiality and security of the personal data. Any person acting under the authority of the data importer, including a data processor, shall be obligated to process the personal data only on instructions from the data importer. This provision does not apply to persons authorised or required by law or regulation to have access to the personal data.
c) | Er is geen reden om aan te nemen dat op het ogenblik dat deze bepalingen worden toegepast, enige lokale wetgeving van kracht is die een belangrijk negatief effect zou hebben op de garanties van deze bepalingen; indien het bestaan van dergelijke wetgeving bekend wordt, wordt de gegevensexporteur daarvan in kennis gesteld, die op zijn beurt indien nodig de autoriteit inlicht.(c) | It has no reason to believe, at the time of entering into these clauses, in the existence of any local laws that would have a substantial adverse effect on the guarantees provided for under these clauses, and it will inform the data exporter (which will pass such notification on to the authority where required) if it becomes aware of any such laws.
d) | De persoonsgegevens worden verwerkt voor de toepassingen als beschreven in bijlage B, en de gegevensimporteur de wettelijke bevoegdheid bezit om de in deze bepalingen genoemde garanties te verstrekken en verbintenissen na te komen.(d) | It will process the personal data for purposes described in Annex B, and has the legal authority to give the warranties and fulfil the undertakings set out in these clauses.
e) | Aan de gegevensexporteur wordt mededeling gedaan over een contactpunt bij de gegevensimporteur dat bevoegd is om op zijn informatieverzoeken inzake de verwerking van persoonsgegevens te antwoorden; in verband met deze informatieverzoeken wordt te goeder trouw en binnen een redelijke termijn gezorgd voor een goede samenwerking met de gegevensexporteur, de betrokkene en de autoriteit. Wanneer de gegevensexporteur wettelijk wordt opgeheven, of indien de partijen zodanig overeenkomen , neemt de gegevensimporteur de verantwoordelijkheid over voor de naleving van bepaling I, onder e).(e) | It will identify to the data exporter a contact point within its organisation authorised to respond to enquiries concerning processing of the personal data, and will cooperate in good faith with the data exporter, the data subject and the authority concerning all such enquiries within a reasonable time. In case of legal dissolution of the data exporter, or if the parties have so agreed, the data importer will assume responsibility for compliance with the provisions of clause I(e).
f) | Op verzoek van de gegevensexporteur wordt aan deze documentatie overgelegd waaruit blijkt dat er voldoende financiële middelen beschikbaar zijn voor de naleving van de in bepaling III opgesomde verantwoordelijkheden (eventueel inclusief verzekeringskosten).(f) | At the request of the data exporter, it will provide the data exporter with evidence of financial resources sufficient to fulfil its responsibilities under clause III (which may include insurance coverage).
g) | Op redelijk verzoek van de gegevensexporteur worden met het oog op controle, audit en/of certificering door de gegevensexporteur (of een door de gegevensexporteur gekozen en door de gegevensimporteur geaccepteerde groep onafhankelijke en onpartijdige inspecteurs of auditeurs) het gegevensverwerkingssysteem, de gegevensbestanden en de voor de verwerking noodzakelijke documentatie opengesteld om na te gaan of alle garanties en verbintenissen van deze bepalingen worden nageleefd; zulks met een redelijke aankondiging vooraf en tijdens gewone kantooruren. Dit verzoek moet eventueel door een regelgevende of toezichthoudende autoriteit in het land van de gegevensimporteur worden toegestaan of goedgekeurd; deze toestemming of goedkeuring wordt door de gegevensimporteur tijdig aangevraagd.(g) | Upon reasonable request of the data exporter, it will submit its data processing facilities, data files and documentation needed for processing to reviewing, auditing and/or certifying by the data exporter (or any independent or impartial inspection agents or auditors, selected by the data exporter and not reasonably objected to by the data importer) to ascertain compliance with the warranties and undertakings in these clauses, with reasonable notice and during regular business hours. The request will be subject to any necessary consent or approval from a regulatory or supervisory authority within the country of the data importer, which consent or approval the data importer will attempt to obtain in a timely fashion.
h) | De persoonsgegevens worden naar keuze van de gegevensimporteur overeenkomstig de volgende bepalingen verwerkt: | i) | de wetgeving inzake gegevensbescherming in het land van vestiging van de gegevensexporteur; of | ii) | de relevante bepalingen (1) van besluiten van de Commissie krachtens artikel 25, lid 6, van Richtlijn 95/46/EG, wanneer de gegevensimporteur de relevante bepalingen van een dergelijke toestemming of een dergelijk besluit naleeft en gevestigd is in een land waarop dergelijke toestemming of dergelijk besluit betrekking heeft, maar niet is gedekt door dergelijke toestemming of dergelijk besluit wat de doorgifte van persoonsgegevens betreft (2), of | iii) | de beginselen voor gegevensverwerking neergelegd in bijlage A. | Aanduiding door de gegevensimporteur van de gekozen optie:_ | Initialen van de gegevensimporteur:_;(h) | It will process the personal data, at its option, in accordance with: | (i) | the data protection laws of the country in which the data exporter is established, or | (ii) | the relevant provisions (1) of any Commission decision pursuant to Article 25(6) of Directive 95/46/EC, where the data importer complies with the relevant provisions of such an authorisation or decision and is based in a country to which such an authorisation or decision pertains, but is not covered by such authorisation or decision for the purposes of the transfer(s) of the personal data (2), or | (iii) | the data processing principles set forth in Annex A. | Data importer to indicate which option it selects: | Initials of data importer:_;
i) | De persoonsgegevens worden niet bekendgemaakt of doorgegeven aan een derde voor de verwerking verantwoordelijke buiten de Europese Economische Ruimte (EER), tenzij de gegevensexporteur over de doorgifte wordt ingelicht en | i) | de derde voor de verwerking verantwoordelijke de persoonsgegevens verwerkt overeenkomstig de bepalingen van een besluit van de Commissie waarin wordt vastgesteld dat een derde land passende bescherming biedt, of | ii) | de derde voor de verwerking verantwoordelijke deze bepalingen of een andere door een bevoegde autoriteit in de Europese Unie goedgekeurde overeenkomst inzake doorgifte van gegevens ondertekent, of | iii) | de betrokkenen de mogelijkheid is geboden zich te verzetten, na te zijn geïnformeerd van het doel van de doorgifte, de categorieën ontvangers en het feit dat de landen waarnaar de gegevens worden geëxporteerd er eventueel andere normen voor gegevensbescherming op na houden, of | iv) | de betrokkenen ondubbelzinnig hebben ingestemd met de verdere doorgifte van gevoelige gegevens.(i) | It will not disclose or transfer the personal data to a third party data controller located outside the European Economic Area (EEA) unless it notifies the data exporter about the transfer and | (i) | the third party data controller processes the personal data in accordance with a Commission decision finding that a third country provides adequate protection, or | (ii) | the third party data controller becomes a signatory to these clauses or another data transfer agreement approved by a competent authority in the EU, or | (iii) | data subjects have been given the opportunity to object, after having been informed of the purposes of the transfer, the categories of recipients and the fact that the countries to which data is exported may have different data protection standards, or | (iv) | with regard to onward transfers of sensitive data, data subjects have given their unambiguous consent to the onward transfer
III.   Aansprakelijkheid en de rechten van derde partijenIII.   Liability and third party rights
a) | Elke partij is aansprakelijk tegenover de andere partij voor schade die door niet-naleving van deze bepalingen wordt toegebracht. De aansprakelijkheid tussen de partijen blijft beperkt tot werkelijk opgelopen schade. Schadevergoedingen met een bestraffend karakter (d.w.z. schadevergoedingen bedoeld om een partij voor onacceptabele handelswijzen te bestraffen) zijn uitdrukkelijk uitgesloten. Elke partij is aansprakelijk tegenover de betrokkenen voor schade toegebracht door inbreuken op de rechten van derde partijen krachtens deze bepalingen. Dit heeft geen gevolgen voor de aansprakelijkheid van de gegevensexporteur krachtens diens eigen wetgeving inzake gegevensbescherming.(a) | Each party shall be liable to the other parties for damages it causes by any breach of these clauses. Liability as between the parties is limited to actual damage suffered. Punitive damages (i.e. damages intended to punish a party for its outrageous conduct) are specifically excluded. Each party shall be liable to data subjects for damages it causes by any breach of third party rights under these clauses. This does not affect the liability of the data exporter under its data protection law.
b) | De partijen stemmen ermee in dat een betrokkene in het kader van het derdenbeding het recht heeft om de toepassing van deze bepaling, alsook van de bepalingen I.b), I.d), I.e), II.a), II.c), II.d), II.e), II.h), II.i), III.a), V., VI.d), en VII tegenover de gegevensimporteur of -exporteur bij niet naleving van hun respectieve contractuele verplichtingen inzake zijn persoonsgegevens af te dwingen, en zij aanvaarden in dit verband de rechtsbevoegdheid van het land van vestiging van de gegevensexporteur. Bij klachten over niet-naleving door de gegevensimporteur moet de betrokkene eerst de gegevensexporteur verzoeken de nodige actie te ondernemen om zijn rechten tegenover de gegevensimporteur te doen gelden; indien dit niet binnen een redelijke termijn gebeurt (onder normale omstandigheden één maand), kan de betrokkene zijn rechten tegenover de gegevensimporteur direct doen gelden. De betrokkene heeft het recht rechtstreeks een zaak aan te spannen tegen een gegevensexporteur die niet voldoende inspanningen heeft gedaan om te bepalen of de gegevensimporteur aan zijn verplichtingen volgens deze bepalingen kan voldoen (waarbij de bewijslast bij de gegevensexporteur ligt).(b) | The parties agree that a data subject shall have the right to enforce as a third party beneficiary this clause and clauses I(b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) and VII against the data importer or the data exporter, for their respective breach of their contractual obligations, with regard to his personal data, and accept jurisdiction for this purpose in the data exporter’s country of establishment. In cases involving allegations of breach by the data importer, the data subject must first request the data exporter to take appropriate action to enforce his rights against the data importer; if the data exporter does not take such action within a reasonable period (which under normal circumstances would be one month), the data subject may then enforce his rights against the data importer directly. A data subject is entitled to proceed directly against a data exporter that has failed to use reasonable efforts to determine that the data importer is able to satisfy its legal obligations under these clauses (the data exporter shall have the burden to prove that it took reasonable efforts).
IV.   Op de bepalingen toepasselijke wetgevingIV.   Law applicable to the clauses
Op deze bepalingen is de wetgeving van het land van vestiging van de gegevensexporteur van toepassing, met uitzondering van de wetten en regelingen in verband met de verwerking van persoonsgegevens door de gegevensimporteur volgens bepaling II, onder h), die alleen van toepassing is indien hiervoor in het kader van deze bepaling door de gegevensimporteur is geopteerd.These clauses shall be governed by the law of the country in which the data exporter is established, with the exception of the laws and regulations relating to processing of the personal data by the data importer under clause II(h), which shall apply only if so selected by the data importer under that clause.
V.   Geschillenregeling met betrokkenen of de autoriteitV.   Resolution of disputes with data subjects or the authority
a) | Indien een geschil ontstaat of door een betrokkene of de autoriteit tegen één of beide partijen een eis wordt ingesteld inzake de verwerking van persoonsgegevens, lichten de partijen elkaar wederzijds in over dit geschil of deze eis en werken zij samen met het oog op een spoedige minnelijke schikking ervan.(a) | In the event of a dispute or claim brought by a data subject or the authority concerning the processing of the personal data against either or both of the parties, the parties will inform each other about any such disputes or claims, and will cooperate with a view to settling them amicably in a timely fashion.
b) | De partijen stemmen ermee in mee te werken met elke algemeen-beschikbare niet-bindende bemiddelingsprocedure die door een betrokkene of de autoriteit wordt ingeleid. Daarbij kunnen de partijen kiezen voor medewerking op afstand (bv. via telefoon of andere elektronische middelen). De partijen zeggen ook toe hun deelname aan andere vormen van arbitrage, bemiddeling of geschillenbeslechting die voor geschillen inzake gegevensbescherming zijn ontwikkeld, in overweging te nemen.(b) | The parties agree to respond to any generally available non-binding mediation procedure initiated by a data subject or by the authority. If they do participate in the proceedings, the parties may elect to do so remotely (such as by telephone or other electronic means). The parties also agree to consider participating in any other arbitration, mediation or other dispute resolution proceedings developed for data protection disputes.
c) | Elke partij voegt zich naar een besluit van een bevoegde rechtbank in het land van vestiging van de gegevensexporteur of van de autoriteit, wanneer dit definitief is en ertegen geen beroep meer mogelijk is.(c) | Each party shall abide by a decision of a competent court of the data exporter’s country of establishment or of the authority which is final and against which no further appeal is possible.
VI.   BeëindigingVI.   Termination
a) | Indien de gegevensimporteur zijn verplichtingen krachtens deze bepalingen niet naleeft, kan de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur tijdelijk opschorten tot de inbreuk ongedaan is gemaakt of de overeenkomst beëindigd.(a) | In the event that the data importer is in breach of its obligations under these clauses, then the data exporter may temporarily suspend the transfer of personal data to the data importer until the breach is repaired or the contract is terminated.
b) | Ingeval | i) | de doorgifte van persoonsgegevens aan de gegevensimporteur door de gegevensexporteur overeenkomstig punt a) voor een periode langer dan een maand tijdelijk is opgeschort; | ii) | de naleving van deze bepalingen door de gegevensimporteur een inbreuk zou vormen op de wettelijke of regelgevende verplichtingen in zijn land; | iii) | de gegevensimporteur in belangrijke en voortdurende mate in gebreke blijft ten aanzien van garanties of verbintenissen krachtens deze bepalingen; | iv) | een definitief en niet voor beroep vatbaar besluit van een bevoegde rechtbank in het land van vestiging van de gegevensexporteur of van de autoriteit vaststelt dat de gegevensimporteur of -exporteur deze bepalingen heeft overtreden; of | v) | een aanvraag is gedaan voor een akkoord of liquidatie met betrekking tot de gegevensimporteur, hetzij als individu of instelling, en deze aanvraag niet binnen de daartoe in de toepasselijke wetgeving vastgestelde termijn wordt afgewezen; een besluit tot liquidatie wordt genomen; een curator wordt aangesteld over de bezittingen; een faillissementsbeheerder wordt aangewezen, indien de gegevensimporteur een individuele persoon is; een vrijwillige schikking door het bedrijf wordt opgestart; of enige andere equivalente gerechtelijke maatregel wordt getroffen; | dan heeft de gegevensexporteur het recht een einde te stellen aan deze bepalingen, ongeacht enige andere rechten die hij tegenover de gegevensimporteur kan doen gelden, en wordt indien nodig de autoriteit hiervan op de hoogte gesteld. Ook in de gevallen bestreken door de bepalingen i), ii), of iv) hierboven, kan de gegevensimporteur aan deze bepalingen een einde stellen.(b) | In the event that: | (i) | the transfer of personal data to the data importer has been temporarily suspended by the data exporter for longer than one month pursuant to paragraph (a); | (ii) | compliance by the data importer with these clauses would put it in breach of its legal or regulatory obligations in the country of import; | (iii) | the data importer is in substantial or persistent breach of any warranties or undertakings given by it under these clauses; | (iv) | a final decision against which no further appeal is possible of a competent court of the data exporter’s country of establishment or of the authority rules that there has been a breach of the clauses by the data importer or the data exporter; or | (v) | a petition is presented for the administration or winding up of the data importer, whether in its personal or business capacity, which petition is not dismissed within the applicable period for such dismissal under applicable law; a winding up order is made; a receiver is appointed over any of its assets; a trustee in bankruptcy is appointed, if the data importer is an individual; a company voluntary arrangement is commenced by it; or any equivalent event in any jurisdiction occurs | then the data exporter, without prejudice to any other rights which it may have against the data importer, shall be entitled to terminate these clauses, in which case the authority shall be informed where required. In cases covered by (i), (ii), or (iv) above the data importer may also terminate these clauses.
c) | Elke partij kan aan deze bepalingen een einde stellen indien i) door de Commissie een positieve vaststelling van gepastheid wordt uitgevaardigd krachtens artikel 25, lid 6, van Richtlijn 95/46/EG (of enige tekst die deze richtlijn vervangt) voor het land (of een deel daarvan) waarnaar de gegevens worden doorgegeven en waar zij door de gegevensimporteur worden verwerkt, of indien ii) Richtlijn 95/46/EG (of enige tekst die deze richtlijn vervangt) rechtstreeks van toepassing wordt in een land.(c) | Either party may terminate these clauses if (i) any Commission positive adequacy decision under Article 25(6) of Directive 95/46/EC (or any superseding text) is issued in relation to the country (or a sector thereof) to which the data is transferred and processed by the data importer, or (ii) Directive 95/46/EC (or any superseding text) becomes directly applicable in such country.
d) | De partijen stemmen ermee in dat de beëindiging van deze bepalingen, om het even wanneer, om het even in welke omstandigheden, en om het even om welke reden (behalve om de reden van bepaling VI.c), geen afbreuk doet aan de verplichtingen en/of voorwaarden waaraan de partijen krachtens deze bepalingen onderworpen zijn inzake de verwerking van doorgegeven persoonsgegevens.(d) | The parties agree that the termination of these clauses at any time, in any circumstances and for whatever reason (except for termination under clause VI(c)) does not exempt them from the obligations and/or conditions under the clauses as regards the processing of the personal data transferred.
VII.   Wijziging van deze bepalingenVII.   Variation of these clauses
De partijen mogen deze bepalingen niet wijzigen behalve ter actualisering van de informatie in bijlage B; in dat geval lichten zij de autoriteit daarvan indien nodig in. Dit hindert de partijen niet indien nodig aanvullende commerciële bepalingen toe te voegen.The parties may not modify these clauses except to update any information in Annex B, in which case they will inform the authority where required. This does not preclude the parties from adding additional commercial clauses where required.
VIII.   Beschrijving van de doorgifteVIII.   Description of the Transfer
De details van de doorgifte en van de persoonsgegevens worden in bijlage B nader toegelicht. De partijen stemmen ermee in dat bijlage B vertrouwelijke bedrijfsinformatie kan bevatten die niet aan derde partijen wordt bekendgemaakt, behalve als dit bij wet of op verzoek van een bevoegd regelgevend of overheidsorgaan, of als vereist bij bepaling I.e), wordt verlangd. De partijen kunnen aanvullende bijlagen opstellen voor aanvullende doorgiften, die zo nodig bij de autoriteit worden ingediend. Een andere mogelijkheid is dat bijlage B wordt opgesteld voor meervoudige doorgiften.The details of the transfer and of the personal data are specified in Annex B. The parties agree that Annex B may contain confidential business information which they will not disclose to third parties, except as required by law or in response to a competent regulatory or government agency, or as required under clause I(e). The parties may execute additional annexes to cover additional transfers, which will be submitted to the authority where required. Annex B may, in the alternative, be drafted to cover multiple transfers.
Datum:_Dated: _
__
__
voor de GEGEVENSIMPORTEURFOR DATA IMPORTER
voor de GEGEVENSEXPORTEURFOR DATA EXPORTER
BIJLAGE AANNEX A
BEGINSELEN VOOR DE VERWERKING VAN GEGEVENSDATA PROCESSING PRINCIPLES
1. | Beperking van het doel: Persoonsgegevens mogen alleen worden verwerkt en daarna gebruikt of verder doorgegeven voor de in bijlage B beschreven doeleinden, of indien de betrokkene daar achteraf toestemming toe geeft.1. | Purpose limitation: Personal data may be processed and subsequently used or further communicated only for purposes described in Annex B or subsequently authorised by the data subject.
2. | Kwaliteit en evenredigheid van de gegevens: De persoonsgegevens moeten correct en zo nodig bijgewerkt zijn. De persoonsgegevens moeten toereikend, ter zake dienend en niet bovenmatig zijn, uitgaande van de doeleinden waarvoor zij worden doorgegeven of verder verwerkt.2. | Data quality and proportionality: Personal data must be accurate and, where necessary, kept up to date. The personal data must be adequate, relevant and not excessive in relation to the purposes for which they are transferred and further processed.
3. | Transparantie: De betrokkenen moeten worden geïnformeerd om een correcte verwerking te waarborgen (zoals informatie over de doeleinden van de verwerking en doorgifte), tenzij deze informatie reeds door de gegevensexporteur is verstrekt.3. | Transparency: Data subjects must be provided with information necessary to ensure fair processing (such as information about the purposes of processing and about the transfer), unless such information has already been given by the data exporter.
4. | Veiligheid en vertrouwelijkheid: Er moeten door de voor de verwerking verantwoordelijke overeenkomstig de bij verwerking bestaande risico’s technische en organisatorische beveiligingsmaatregelen worden getroffen, zoals tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, verlies, vervalsing, ongeoorloofde bekendmaking of toegang. Eenieder die onder het gezag van de voor de verwerking verantwoordelijke staat, met inbegrip van een verwerker, mag alleen volgens zijn instructies gegevens verwerken.4. | Security and confidentiality: Technical and organisational security measures must be taken by the data controller that are appropriate to the risks, such as against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, presented by the processing. Any person acting under the authority of the data controller, including a processor, must not process the data except on instructions from the data controller.
5. | Recht van toegang, rectificatie, uitwissing en verzet: Zoals bepaald in artikel 12 van Richtlijn 95/46/EG moet aan de betrokkenen, hetzij rechtstreeks of via een derde partij, de persoonlijke informatie worden verstrekt die door een organisatie over hen wordt bijgehouden; dit geldt niet voor duidelijk abusieve verzoeken (onredelijke termijnen, steeds herhaald, systematisch), of waaraan krachtens de wetgeving in het land van de gegevensexporteur niet tegemoetgekomen kan worden. Indien de autoriteit hier vooraf mee heeft ingestemd, hoeft de toegang ook niet te worden verleend indien daardoor de belangen van de gegevensimporteur of van andere met de gegevensimporteur samenwerkende organisaties ernstig zouden kunnen worden geschaad en indien deze belangen niet moeten wijken voor de fundamentele rechten en vrijheden van de betrokkene. De bronnen van de persoonsgegevens hoeven niet te worden geïdentificeerd indien dit niet redelijkerwijs mogelijk is, of wanneer de rechten van andere personen erdoor zouden worden geschonden. De betrokkenen moeten hun persoongegevens kunnen rectificeren, aanvullen of wissen wanneer deze niet correct zijn of tegen deze beginselen in zijn verwerkt. Indien er dwingende redenen zijn om aan de gegrondheid van een verzoek te twijfelen, kan de organisatie verder bewijsmateriaal eisen alvorens over te gaan tot rectificatie, aanvulling of uitwissing. De rectificatie, wijziging of uitwissing hoeft niet te worden medegedeeld aan de derde partijen aan wie de gegevens zijn doorgegeven, indien dit een onevenredig grote inspanning vergt. De betrokkenen moeten ook in staat worden gesteld zich te verzetten tegen de verwerking van de eigen persoonsgegevens indien daar dwingende rechtmatige persoonlijke gronden toe bestaan. De bewijslast in geval van weigering ligt bij de gegevensimporteur, en de betrokkene kan de weigering steeds bij de autoriteit aanvechten.5. | Rights of access, rectification, deletion and objection: As provided in Article 12 of Directive 95/46/EC, data subjects must, whether directly or via a third party, be provided with the personal information about them that an organisation holds, except for requests which are manifestly abusive, based on unreasonable intervals or their number or repetitive or systematic nature, or for which access need not be granted under the law of the country of the data exporter. Provided that the authority has given its prior approval, access need also not be granted when doing so would be likely to seriously harm the interests of the data importer or other organisations dealing with the data importer and such interests are not overridden by the interests for fundamental rights and freedoms of the data subject. The sources of the personal data need not be identified when this is not possible by reasonable efforts, or where the rights of persons other than the individual would be violated. Data subjects must be able to have the personal information about them rectified, amended, or deleted where it is inaccurate or processed against these principles. If there are compelling grounds to doubt the legitimacy of the request, the organisation may require further justifications before proceeding to rectification, amendment or deletion. Notification of any rectification, amendment or deletion to third parties to whom the data have been disclosed need not be made when this involves a disproportionate effort. A data subject must also be able to object to the processing of the personal data relating to him if there are compelling legitimate grounds relating to his particular situation. The burden of proof for any refusal rests on the data importer, and the data subject may always challenge a refusal before the authority.
6. | Gevoelige gegevens: De gegevensimporteur neemt de nodige aanvullende maatregelen (bv. i.v.m. beveiliging) om gevoelige gegevens overeenkomstig de verplichtingen van bepaling II te beschermen.6. | Sensitive data: The data importer shall take such additional measures (e.g. relating to security) as are necessary to protect such sensitive data in accordance with its obligations under clause II.
7. | Gegevens gebruikt voor marketingdoeleinden: Indien gegevens worden verwerkt met directe marketingdoeleinden, moeten er doeltreffende procedures bestaan om de betrokkene in staat te stellen op elk moment voor een „opt-out” te kiezen.7. | Data used for marketing purposes: Where data are processed for the purposes of direct marketing, effective procedures should exist allowing the data subject at any time to “opt-out” from having his data used for such purposes.
8. | Geautomatiseerde besluiten – Met„geautomatiseerde besluiten” wordt hier bedoeld: een besluit door de gegevensexporteur of –importeur dat wettelijke of andere significante gevolgen heeft voor de betrokkene en dat uitsluitend gebaseerd is op een automatische verwerking van de persoonsgegevens ter evaluatie van persoonlijke aspecten, zoals prestaties op het werk, kredietwaardigheid, betrouwbaarheid, gedrag, enz. De gegevensimporteur neemt geen geautomatiseerde besluiten in verband met de betrokkenen, behalve indien: | a) | i) | een dergelijk besluit door de gegevensimporteur wordt getroffen naar aanleiding van het aangaan of de uitvoering van een overeenkomst met de betrokkene, en | ii) | de betrokkene de gelegenheid krijgt de resultaten van een geautomatiseerd besluit te bespreken met een vertegenwoordiger van de partij die dit besluit trof, of anderszins bij deze partij bezwaar aan te tekenen. | of | b) | hierin is voorzien door de wetgeving van de gegevensexporteur.8. | Automated decisions: For purposes hereof “automated decision” shall mean a decision by the data exporter or the data importer which produces legal effects concerning a data subject or significantly affects a data subject and which is based solely on automated processing of personal data intended to evaluate certain personal aspects relating to him, such as his performance at work, creditworthiness, reliability, conduct, etc. The data importer shall not make any automated decisions concerning data subjects, except when: | (a) | (i) | such decisions are made by the data importer in entering into or performing a contract with the data subject, and | (ii) | (the data subject is given an opportunity to discuss the results of a relevant automated decision with a representative of the parties making such decision or otherwise to make representations to that parties. | or | (b) | where otherwise provided by the law of the data exporter.
BIJLAGE BANNEX B
BESCHRIJVING VAN DE DOORGIFTEDESCRIPTION OF THE TRANSFER
(In te vullen door de partijen)(To be completed by the parties)
COMMERCIËLE BEPALINGEN TER ILLUSTRATIE (OPTIONEEL)ILLUSTRATIVE COMMERCIAL CLAUSES (OPTIONAL)
Schadeloosstelling tussen gegevensexporteur en gegevensimporteur:Indemnification between the data exporter and data importer:
„De partijen vergoeden elkaar voor alle kosten, lasten, schade, uitgave of verlies die zij elkaar toebrengen ten gevolge van niet-naleving van enig voorschrift van deze bepalingen. Schadeloosstelling in deze zin is afhankelijk van a) de onverwijlde melding door de schadeloos te stellen partij(en) aan de schadeloosstellende partij(en) van een aanspraak, b) het feit dat de schadeloosstellende partij(en) als enige controle heeft/hebben op de verdediging tegen en de regeling van een dergelijke aanspraak, en c) voldoende samenwerking en steun van de schadeloos te stellen partij(en) aan de schadeloosstellende partij(en) bij de verdediging tegen een dergelijke aanspraak.”.“The parties will indemnify each other and hold each other harmless from any cost, charge, damages, expense or loss which they cause each other as a result of their breach of any of the provisions of these clauses. Indemnification hereunder is contingent upon (a) the party(ies) to be indemnified (the “indemnified party(ies)”) promptly notifying the other party(ies) (the “indemnifying party(ies)”) of a claim, (b) the indemnifying party(ies) having sole control of the defence and settlement of any such claim, and (c) the indemnified party(ies) providing reasonable cooperation and assistance to the indemnifying party(ies) in defence of such claim.”.
Geschillenregeling tussen de gegevensexporteur en de gegevensimporteur (de partijen kunnen natuurlijk opteren voor elke andere alternatieve geschillenregeling of gerechtelijke formule):Dispute resolution between the data exporter and data importer (the parties may of course substitute any other alternative dispute resolution or jurisdictional clause):
„Bij een geschil tussen de gegevensimporteur en de gegevensexporteur over een mogelijke inbreuk op enig voorschrift van deze bepalingen wordt dit geschil definitief beslecht door een of meer geschillenbeslechters volgens de arbitrageregels van de Internationale Kamer van Koophandel. De plaats van arbitrage is [ ]. Het aantal geschillenbeslechters is [ ].”.“In the event of a dispute between the data importer and the data exporter concerning any alleged breach of any provision of these clauses, such dispute shall be finally settled under the rules of arbitration of the International Chamber of Commerce by one or more arbitrators appointed in accordance with the said rules. The place of arbitration shall be [ ]. The number of arbitrators shall be [ ].”
Toewijzing van kosten:Allocation of costs:
„Elke partij vervult haar verplichtingen volgens deze bepalingen op eigen kosten.”.“Each party shall perform its obligations under these clauses at its own cost.”
Extra beëindigingsbepaling:Extra termination clause:
„Indien aan deze bepalingen een einde wordt gesteld, moet de gegevensimporteur alle persoonsgegevens en kopieën van persoonsgegevens die onder deze bepalingen vallen onverwijld aan de gegevensexporteur terugbezorgen of, naar keuze van de gegevensexporteur, zelf alle persoonsgegevens vernietigen en deze vernietiging voor de gegevensexporteur staven, tenzij de nationale wetgeving of de lokale regelgeving van de gegevensimporteur deze verbiedt persoonsgegevens geheel of gedeeltelijk te vernietigen of terug te bezorgen; in dit geval worden de gegevens vertrouwelijk bewaard en niet actief verwerkt voor enigerlei doel. De gegevensimporteur stemt er op verzoek van de gegevensexporteur mee in de gegevensexporteur of een door deze gekozen inspecteur tegen wie de gegevensinporteur geen redelijke bezwaren maakt, toegang te verlenen tot zijn vestiging om na te gaan of dit is gebeurd; zulks met een redelijke aankondiging vooraf en tijdens gewone kantooruren.”“In the event of termination of these clauses, the data importer must return all personal data and all copies of the personal data subject to these clauses to the data exporter forthwith or, at the data exporter’s choice, will destroy all copies of the same and certify to the data exporter that it has done so, unless the data importer is prevented by its national law or local regulator from destroying or returning all or part of such data, in which event the data will be kept confidential and will not be actively processed for any purpose. The data importer agrees that, if so requested by the data exporter, it will allow the data exporter, or an inspection agent selected by the data exporter and not reasonably objected to by the data importer, access to its establishment to verify that this has been done, with reasonable notice and during business hours.”
”.’.
(1)  Met „relevante bepalingen” wordt bedoeld: de bepalingen van een toestemming of besluit behalve de bepalingen inzake handhaving van een toestemming of besluit (die geregeld worden door deze bepalingen).(1)  “Relevant provisions” means those provisions of any authorisation or decision except for the enforcement provisions of any authorisation or decision (which shall be governed by these clauses).
(2)  De bepalingen van bijlage A.5 m.b.t. recht van toegang, rectificatie, uitwissing en verzet moeten in dit geval echter worden toegepast; zij hebben voorrang op alle eventuele vergelijkbare bepalingen van het gekozen besluit van de Commissie.(2)  However, the provisions of Annex A.5 concerning rights of access, rectification, deletion and objection must be applied when this option is chosen and take precedence over any comparable provisions of the Commission Decision selected.