UITVOERINGSBESLUIT (EU) 2021/914 VAN DE COMMISSIE

van 4 juni 2021

betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad

(Voor de EER relevante tekst)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (AVG, algemene verordening gegevensbescherming) (1), en met name artikel 28, lid 7, en artikel 46, lid 2, punt c),

Overwegende hetgeen volgt:

(1)

De technologische ontwikkelingen vergemakkelijken de grensoverschrijdende gegevensstromen die nodig zijn voor de uitbreiding van de internationale samenwerking en de internationale handel. Tegelijkertijd is het noodzakelijk ervoor te zorgen dat het beschermingsniveau van natuurlijke personen dat door Verordening (EU) 2016/679 wordt gewaarborgd niet wordt ondermijnd wanneer er persoonsgegevens naar derde landen worden doorgegeven, ook in gevallen van verdere doorgiften (2). De bepalingen inzake gegevensdoorgifte in hoofdstuk V van Verordening (EU) 2016/679 zijn bedoeld om de continuïteit van dat hoge beschermingsniveau te waarborgen wanneer er persoonsgegevens naar een derde land worden doorgegeven (3).

(2)

Overeenkomstig artikel 46, lid 1, van Verordening (EU) 2016/679 mag een doorgifte van persoonsgegevens naar een derde land door een verwerkingsverantwoordelijke of een verwerker bij ontstentenis van een adequaatheidsbesluit van de Commissie uit hoofde van artikel 45, lid 3, alleen plaatsvinden indien zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Die waarborgen kunnen worden geboden door standaardbepalingen inzake gegevensbescherming die door de Commissie overeenkomstig artikel 46, lid 2, punt c), zijn vastgesteld.

(3)

De rol van standaardcontractbepalingen is beperkt tot het garanderen van passende gegevensbeschermingswaarborgen voor internationale doorgiften van gegevens. Het staat de verwerkingsverantwoordelijke of verwerker die de persoonsgegevens naar een derde land doorgeeft (de “gegevensexporteur”) en de verwerkingsverantwoordelijke of verwerker die de persoonsgegevens ontvangt (de “gegevensimporteur”) derhalve vrij om die standaardcontractbepalingen in een breder contract op te nemen en om andere bepalingen of meer waarborgen toe te voegen, op voorwaarde dat deze niet direct of indirect in strijd zijn met de standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of fundamentele vrijheden van de betrokkenen. Verwerkingsverantwoordelijken en verwerkers worden aangemoedigd om door middel van contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardcontractbepalingen (4). Het gebruik van de standaardcontractbepalingen doet geen afbreuk aan eventuele contractuele verplichtingen van de gegevensexporteur en/of de gegevensimporteur om te waarborgen dat toepasselijke voorrechten en immuniteiten in acht worden genomen.

(4)

De gegevensexporteur maakt niet alleen gebruik van standaardcontractbepalingen om overeenkomstig artikel 46, lid 1, van Verordening (EU) 2016/679 passende waarborgen voor doorgiften te bieden, maar moet ook zijn algemene verantwoordelijkheden als verwerkingsverantwoordelijke of verwerker nakomen krachtens Verordening (EU) 2016/679. Die verantwoordelijkheden omvatten een verplichting van de verwerkingsverantwoordelijke om aan de betrokkenen informatie te verstrekken over het feit dat hij voornemens is hun persoonsgegevens door te geven aan een derde land krachtens artikel 13, lid 1, punt f), en artikel 14, lid 1, punt f), van Verordening (EU) 2016/679. In geval van doorgiften krachtens artikel 46 van Verordening (EU) 2016/679 moet dergelijke informatie een verwijzing naar de passende waarborgen bevatten en vermelden hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.

(5)

Beschikking 2001/497/EG (5) en Besluit 2010/87/EU (6) van de Commissie bevatten standaardcontractbepalingen om de doorgifte van persoonsgegevens te vergemakkelijken van een in de Unie gevestigde verwerkingsverantwoordelijke naar een in een derde land gevestigde verwerkingsverantwoordelijke of verwerker die geen passend beschermingsniveau biedt. Die beschikking en dat besluit zijn gebaseerd op Richtlijn 95/46/EG van het Europees Parlement en de Raad (7).

(6)

Op grond van artikel 46, lid 5, van Verordening (EU) 2016/679 blijven Beschikking 2001/497/EG en Besluit 2010/87/EU, geldig totdat zij bij een overeenkomstig artikel 46, lid 2, van die verordening vastgesteld besluit van de Commissie, indien nodig, worden gewijzigd, vervangen of ingetrokken. De standaardcontractbepalingen in de beschikking en het besluit dienden te worden geactualiseerd in het licht van nieuwe vereisten in Verordening (EU) 2016/679. Bovendien hebben zich, sinds de beschikkingen en besluiten werden goedgekeurd, belangrijke ontwikkelingen voorgedaan in de digitale economie, met het wijdverbreide gebruik van nieuwe en complexere verwerkingsactiviteiten waarbij dikwijls diverse gegevensimporteurs en -exporteurs betrokken zijn en er vaak sprake is van lange en ingewikkelde verwerkingsketens en van evoluerende zakelijke relaties. Dit vraagt om een modernisering van de standaardcontractbepalingen om die ontwikkelingen beter te kunnen weerspiegelen, door verdere verwerkings- en doorgiftesituaties te bestrijken en door een flexibelere aanpak te hanteren, bijvoorbeeld wat betreft het aantal partijen dat tot de overeenkomst kan toetreden.

(7)

Een verwerkingsverantwoordelijke of verwerker kan de in bijlage A bij dit besluit genoemde standaardcontractbepalingen gebruiken om passende waarborgen te bieden in de zin van artikel 46, lid 1, van Verordening (EU) 2016/679 voor de doorgifte van persoonsgegevens aan een in een derde land gevestigde verwerkingsverantwoordelijke of verwerker, onverminderd de interpretatie van het begrip internationale doorgifte in Verordening (EU) 2016/679. De standaardcontractbepalingen mogen alleen voor dergelijke doorgiften worden gebruikt voor zover de verwerking door de importeur niet binnen de werkingssfeer van Verordening (EU) 2016/679 valt. Dit geldt ook voor de doorgifte van persoonsgegevens door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, voor zover de verwerking onder Verordening (EU) 2016/679 valt overeenkomstig artikel 3, lid 2, van die verordening, omdat die verwerking verband houdt met het aanbieden van goederen of diensten aan betrokkenen in de Unie of met het controleren van het gedrag van de betrokkenen, voor zover dit in de Unie plaatsvindt.

(8)

Gezien de algemene aanpassing van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (8) moet het mogelijk zijn de standaardcontractbepalingen ook te gebruiken in de context van een in artikel 29, lid 4, van Verordening (EU) 2018/1725 bedoelde overeenkomst voor de doorgifte van persoonsgegevens aan een subverwerker in een derde land door een verwerker die geen instelling of orgaan van de Unie is, maar die onder Verordening (EU) 2016/679 valt en persoonsgegevens verwerkt namens een instelling of orgaan van de Unie overeenkomstig artikel 29 van Verordening (EU) 2018/1725. Indien in de overeenkomst dezelfde verplichtingen inzake gegevensbescherming zijn opgenomen als in de overeenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker overeenkomstig artikel 29, lid 3, van Verordening (EU) 2018/1725, met name door afdoende garanties met betrekking tot technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in die verordening zou voldoen, wordt hiermee naleving van artikel 29, lid 4, van Verordening (EU) 2018/1725 gewaarborgd. Dat is met name het geval wanneer de verwerkingsverantwoordelijke en de verwerker gebruikmaken van de standaardcontractbepalingen in het uitvoeringsbesluit van de Commissie betreffende standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers krachtens artikel 28, lid 7, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad en artikel 29, lid 7, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (9).

(9)

Wanneer de verwerking gegevensdoorgiften betreft van verwerkingsverantwoordelijken die onder Verordening (EU) 2016/679 vallen aan verwerkers buiten het territoriale toepassingsgebied ervan of van verwerkers die onder Verordening (EU) 2016/679 vallen aan subverwerkers buiten het territoriale toepassingsgebied ervan, zouden de in de bijlage bij dit besluit opgenomen standaardcontractbepalingen het ook mogelijk moeten maken om aan de vereisten in artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 te voldoen.

(10)

Met de in de bijlage bij dit besluit opgenomen standaardcontractbepalingen worden algemene bepalingen gecombineerd met een modulaire aanpak, zodat er rekening wordt gehouden met verschillende doorgiftescenario’s en met de complexiteit van moderne verwerkingsketens. Naast de algemene bepalingen dienen verwerkingsverantwoordelijken en verwerkers de module te kiezen die op hun situatie van toepassing is, teneinde hun verplichtingen op grond van de standaardcontractbepalingen te kunnen afstemmen op hun rol en verantwoordelijkheden in verband met de gegevensverwerking in kwestie. Het zou voor meer dan twee partijen mogelijk moeten zijn om zich aan de standaardcontractbepalingen te houden. Bovendien dient het meer verwerkingsverantwoordelijken en verwerkers te worden toegestaan om als gegevensexporteurs of -importeurs toegang te krijgen tot de standaardcontractbepalingen gedurende de levenscyclus van de overeenkomst waarvan ze deel uitmaken.

(11)

Om passende waarborgen te bieden, moeten de standaardcontractbepalingen ervoor zorgen dat voor de op die basis doorgegeven persoonsgegevens een beschermingsniveau wordt geboden dat in wezen hetzelfde is als het niveau dat binnen de Unie wordt gewaarborgd (10). Met het oog op transparantie van de verwerking dienen betrokkenen een kopie van de standaardcontractbepalingen te ontvangen. Ze dienen met name in kennis te worden gesteld van de categorieën verwerkte persoonsgegevens, van het recht om een kopie van de standaardcontractbepalingen te verkrijgen en van eventuele verdere doorgiften. Verdere doorgiften door de gegevensimporteur aan een derde partij in een ander derde land dienen alleen te worden toegestaan indien de derde partij de standaardcontractbepalingen aanvaardt, indien de continuïteit van de bescherming op een andere wijze wordt gewaarborgd of ingeval van specifieke situaties, zoals wanneer er sprake is van de uitdrukkelijke en geïnformeerde toestemming van de betrokkene.

(12)

Betrokkenen moeten, enkele uitzonderingen daargelaten, met name wat betreft bepaalde verplichtingen die uitsluitend betrekking hebben op de relatie tussen de gegevensexporteur en de gegevensimporteur, de mogelijkheid hebben om zich als derde-begunstigden op de standaardcontractbepalingen te beroepen en deze waar nodig te doen gelden. Hoewel de partijen zelf het recht van een van de lidstaten waarbij de standaardcontractbepalingen worden geregeld moeten kunnen kiezen, moet dat recht derhalve in de rechten van derde-begunstigden voorzien. Om individueel verhaal te vergemakkelijken, moeten de standaardcontractbepalingen de gegevensimporteur ertoe verplichten betrokkenen op de hoogte te brengen van een contactpunt en klachten of verzoeken onverwijld af te handelen. Bij een geschil tussen de gegevensimporteur en een betrokkene die zich als een derde-begunstigde op zijn of haar rechten beroept, moet de betrokkene een klacht bij de bevoegde toezichthoudende autoriteit kunnen indienen of het geschil kunnen voorleggen aan de bevoegde rechtbanken in de EU.

(13)

Om te garanderen dat een beslissing daadwerkelijk ten uitvoer wordt gelegd, moet de gegevensimporteur ertoe worden verplicht de bevoegdheid van die autoriteit en die gerechten te aanvaarden en zich te verbinden tot naleving van bindende besluiten krachtens het toepasselijke recht van de lidstaat. De gegevensimporteur moet er in het bijzonder mee instemmen vragen te beantwoorden, zich aan audits te onderwerpen en zich aan de door de toezichthoudende autoriteit vastgestelde maatregelen te houden, waaronder corrigerende en compenserende maatregelen. Daarnaast moet de gegevensimporteur de optie hebben om betrokkenen de mogelijkheid te bieden zich gratis tot een onafhankelijk orgaan voor geschillenbeslechting te wenden. Overeenkomstig artikel 80, lid 1, van Verordening (EU) 2016/679 moeten betrokkenen het recht hebben zich indien gewenst door verenigingen of andere organen te laten vertegenwoordigen in geschillen tegen de gegevensimporteur.

(14)

De standaardcontractbepalingen moeten voorzien in regels betreffende aansprakelijkheid tussen de partijen en met betrekking tot betrokkenen, en regels betreffende schadeloosstelling tussen de partijen. Wanneer de betrokkene materiële of immateriële schade lijdt als gevolg van een inbreuk op de rechten van de derde-begunstigde op grond van de standaardcontractbepalingen, moet hij of zij recht hebben op vergoeding. Dit mag geen afbreuk doen aan de aansprakelijkheid op grond van Verordening (EU) 2016/679.

(15)

Bij een doorgifte aan een gegevensimporteur die optreedt als een verwerker of subverwerker, moet aan specifieke vereisten worden voldaan overeenkomstig artikel 28, lid 3, van Verordening (EU) 2016/679. De standaardcontractbepalingen dienen de gegevensimporteur ertoe te verplichten alle informatie ter beschikking te stellen die nodig is om naleving van de in de bepalingen opgenomen verplichtingen aan te tonen en om audits van zijn verwerkingsactiviteiten door de gegevensexporteur mogelijk te maken en daaraan bij te dragen. Met betrekking tot de indienstneming van een subverwerker door de gegevensimporteur overeenkomstig artikel 28, leden 2 en 4, van Verordening (EU) 2016/679, moet in de standaardcontractbepalingen met name de procedure voor algemene of specifieke toestemming van de gegevensexporteur uiteen worden gezet, en een schriftelijke overeenkomst met de subverwerker worden vereist die hetzelfde beschermingsniveau waarborgt als de bepalingen.

(16)

De standaardcontractbepalingen moeten in verschillende waarborgen voorzien die de specifieke situatie betreffen van een doorgifte van persoonsgegevens door een verwerker in de Unie aan zijn verwerkingsverantwoordelijke in een derde land, die in overeenstemming zijn met de beperkte, op zichzelf staande verplichtingen voor verwerkers krachtens Verordening (EU) 2016/679. In de standaardcontractbepalingen moet in het bijzonder van de verwerker worden geëist dat hij het derde land in kennis stelt indien hij niet in staat is zijn instructies op te volgen, ook als die instructies een inbreuk zouden vormen op de wetgeving inzake gegevensbescherming van de Unie, en van de verwerkingsverantwoordelijke eisen dat hij zich onthoudt van acties die de verwerker zouden verhinderen om zijn verplichtingen op grond van Verordening (EU) 2016/679 na te komen. De modelcontractbepalingen moeten de partijen er tevens toe verplichten elkaar bij te staan bij het beantwoorden van vragen en het afhandelen van verzoeken van betrokkenen op grond van het lokale recht dat op de gegevensimporteur van toepassing is of, voor gegevensverwerking in de Unie, op grond van Verordening (EU) 2016/679. Wanneer de verwerker in de Unie de persoonsgegevens die zijn ontvangen van de verwerkingsverantwoordelijke in het derde land combineert met door de verwerker in de Unie verzamelde persoonsgegevens, moeten bijkomende vereisten om eventuele gevolgen van de wetgeving van het derde land van bestemming voor de naleving door de verwerkingsverantwoordelijke van de bepalingen gelden, met name wat betreft de wijze waarop moet worden omgegaan met bindende verzoeken van overheidsinstanties in het derde land om verstrekking van de doorgegeven persoonsgegevens. Omgekeerd zijn die vereisten niet gerechtvaardigd wanneer de uitbesteding slechts betrekking heeft op de verwerking en teruggave van persoonsgegevens die zijn ontvangen van de verwerkingsverantwoordelijke en die in elk geval onderworpen zijn en blijven aan de jurisdictie van het derde land in kwestie.

(17)

De partijen moeten in staat zijn naleving van de standaardcontractbepalingen aan te tonen. De gegevensimporteur moet er met name toe worden verplicht een correcte documentatie bij te houden voor de verwerkingsactiviteiten die onder zijn verantwoordelijkheid vallen en om de gegevensexporteur onverwijld in kennis te stellen indien hij om welke reden dan ook niet in staat is aan de bepalingen te voldoen. De gegevensexporteur moet de doorgifte op zijn beurt opschorten en, in de meest ernstige gevallen, het recht hebben de overeenkomst te beëindigen, voor zover deze betrekking heeft op de verwerking van persoonsgegevens op grond van de standaardcontractbepalingen, wanneer de gegevensimporteur inbreuk maakt op de bepalingen of niet in staat is eraan te voldoen. Er moeten specifieke regels gelden indien lokale wetgeving van invloed is op de naleving van de bepalingen. Persoonsgegevens die voorafgaand aan de beëindiging van de overeenkomst zijn doorgegeven en eventuele kopieën daarvan moeten, naargelang de wens van de gegevensexporteur, aan de gegevensexporteur worden terugbezorgd of worden vernietigd.

(18)

De standaardcontractbepalingen moeten voorzien in specifieke waarborgen, in het bijzonder in het licht van de rechtspraak van het Hof van Justitie (11). De bedoeling is eventuele effecten van de wetgeving van het derde land van bestemming op de naleving door de gegevensimporteur van de bepalingen aan te pakken, met name wat betreft de wijze waarop moet worden omgegaan met de bindende verzoeken van overheidsinstanties in dat land om verstrekking van de doorgegeven persoonsgegevens.

(19)

De doorgifte en verwerking van persoonsgegevens op grond van standaardcontractbepalingen mogen niet plaatsvinden indien de wetten en praktijken van het derde land van bestemming de gegevensimporteur beletten om aan de bepalingen te voldoen. In deze context mogen wetten en praktijken die de wezenlijke inhoud van de grondrechten en fundamentele vrijheden eerbiedigen en die niet verder gaan dan hetgeen in een democratische samenleving noodzakelijk en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in tegenspraak met de standaardcontractbepalingen worden geacht. De partijen moeten garanderen dat zij, op het moment waarop zij instemmen met de standaardcontractbepalingen, geen reden hebben om aan te nemen dat de wetten en praktijken die op de gegevensimporteur van toepassing zijn niet in overeenstemming zijn met deze vereisten.

(20)

De partijen moeten met name rekening houden met de specifieke omstandigheden van de doorgifte (zoals de inhoud en de duur van de overeenkomst, de aard van de door te geven gegevens, het soort ontvanger, het doel van de verwerking), de wetten en praktijken van het derde land van bestemming die van belang zijn in het licht van de omstandigheden van de doorgifte en eventuele waarborgen die zijn ingesteld als aanvulling op de waarborgen op grond van de standaardcontractbepalingen (met inbegrip van relevante contractuele, technische en organisatorische maatregelen die van toepassing zijn op de toezending en verwerking van persoonsgegevens in het land van bestemming). Wat betreft het effect van die wetten en praktijken op de naleving van de standaardcontractbepalingen kunnen verschillende elementen worden beschouwd als onderdeel van een algemene beoordeling, met inbegrip van betrouwbare informatie over de toepassing van het recht in de praktijk (zoals jurisprudentie en verslagen van onafhankelijke toezichtsinstanties), het bestaan of het ontbreken van verzoeken in dezelfde sector en, onder strikte voorwaarden, de gedocumenteerde praktijkervaring van de gegevensexporteur en/of de gegevensimporteur.

(21)

De gegevensimporteur moet de gegevensexporteur in kennis stellen indien hij, na te hebben ingestemd met de standaardcontractbepalingen, reden heeft om aan te nemen dat hij niet in staat is aan de standaardcontractbepalingen te voldoen. Indien de gegevensexporteur een dergelijke kennisgeving ontvangt of op een andere wijze verneemt dat de gegevensimporteur niet langer in staat is aan de standaardcontractbepalingen te voldoen, moet hij passende maatregelen vaststellen om de situatie aan te pakken, indien nodig in overleg met de bevoegde toezichthoudende autoriteit. Dergelijke maatregelen kunnen aanvullende maatregelen zijn die door de gegevensexporteur en/of gegevensimporteur zijn vastgesteld, zoals technische of organisatorische maatregelen om beveiliging en vertrouwelijkheid te waarborgen. De gegevensexporteur moet ertoe worden verplicht de doorgifte op te schorten indien hij van mening is dat er geen passende waarborgen kunnen worden gegarandeerd of indien de bevoegde toezichthoudende autoriteit daartoe opdracht heeft gegeven.

(22)

Indien mogelijk moet de gegevensimporteur de gegevensexporteur en de betrokkene in kennis stellen als hij een wettelijk bindend verzoek ontvangt van een overheidsinstantie (met inbegrip van gerechtelijke instanties) ontvangt krachtens het recht van het land van bestemming voor de verstrekking van persoonsgegevens die worden doorgegeven overeenkomstig de standaardcontractbepalingen. Hij moet ze eveneens in kennis stellen als hij verneemt dat deze overheidsinstanties directe inzage hebben gekregen in deze persoonsgegevens, overeenkomstig het recht van het derde land van bestemming. Indien de gegevensimporteur, alle mogelijke inspanningen ten spijt, de gegevensexporteur en/of de betrokkene niet van specifieke verzoeken om verstrekking in kennis kan stellen, moet hij de gegevensexporteur zo veel mogelijk relevante informatie over de verzoeken verstrekken. Bovendien moet de gegevensimporteur de gegevensexporteur regelmatig informatie in geaggregeerde vorm doen toekomen. De gegevensimporteur moet er tevens toe worden verplicht alle ontvangen verzoeken om verstrekking en de daarop gegeven antwoorden te documenteren en die informatie op verzoek ter beschikking van de gegevensexporteur of de bevoegde toezichthoudende autoriteit, of beide, te stellen. Indien de gegevensimporteur na een wettigheidstoetsing van een dergelijk verzoek krachtens het recht van het land van bestemming tot de conclusie komt dat er gegronde redenen bestaan om aan te nemen dat het verzoek onrechtmatig is krachtens het recht van het derde land van bestemming, dan moet hij dit betwisten, in voorkomend geval onder andere door de beschikbare beroepsmogelijkheden optimaal te benutten. Indien de gegevensimporteur niet langer in staat is aan de standaardcontractbepalingen te voldoen, moet hij geval de gegevensexporteur daarvan in kennis stellen, ook wanneer dit het gevolg is van een verzoek om verstrekking.

(23)

Aangezien de behoeften van belanghebbenden, de technologie en de verwerkingen kunnen veranderen, moet de Commissie de werking van de standaardcontractbepalingen evalueren in het licht van de opgedane ervaring, in het kader van de periodieke evaluatie van Verordening (EU) 2016/679 zoals bedoeld in artikel 97 van die verordening.

(24)

Beschikking 2001/497/EG en Besluit 2010/87/EU moeten drie maanden na de inwerkingtreding van dit besluit worden ingetrokken. Gegevensexporteurs en gegevensimporteurs kunnen voor de toepassing van artikel 46, lid 1, van Verordening (EU) 2016/679 gedurende die periode echter nog steeds gebruikmaken van de in Beschikking 2001/497/EG en Besluit 2010/87/EU opgenomen standaardcontractbepalingen. Gedurende een bijkomende periode van vijftien maanden moeten gegevensexporteurs en gegevensimporteurs, voor de toepassing van artikel 46, lid 1, van Verordening (EU) 2016/679 de in Beschikking 2001/497/EG en Besluit 2010/87/EU opgenomen standaardcontractbepalingen kunnen blijven gebruiken voor de uitvoering van vóór de datum van intrekking van die besluiten tussen hen gesloten overeenkomsten, mits de verwerkingen die het voorwerp zijn van de overeenkomst ongewijzigd blijven en de toepassing van deze standaardcontractbepalingen garandeert dat de doorgifte van persoonsgegevens onderworpen is aan passende waarborgen in de zin van artikel 46, lid 1, van Verordening (EU) 2016/679. Bij relevante wijzigingen van de overeenkomst moet de gegevensexporteur ertoe verplicht worden om zich op een nieuwe grond te baseren voor gegevensdoorgiften uit hoofde van de overeenkomst, met name door de bestaande standaardcontractbepalingen te vervangen door de in de bijlage bij dit besluit opgenomen standaardcontractbepalingen. Hetzelfde moet gelden voor elke uitbesteding aan een (sub)verwerker van onder de overeenkomst vallende verwerkingsverrichtingen.

(25)

De Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming zijn overeenkomstig artikel 42, leden 1 en 2, van Verordening (EU) 2018/1725 geraadpleegd en hebben op 14 januari 2021 een gezamenlijk advies (12) uitgebracht dat bij de voorbereiding van dit besluit in aanmerking is genomen.

(26)	De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 93 van Verordening (EU) 2016/679 ingestelde comité.

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1

1. De in de bijlage opgenomen standaardcontractbepalingen worden geacht passende waarborgen te bieden in de zin van artikel 46, leden 1 en 2, punt c), van Verordening (EU) 2016/679 voor de doorgifte door een verwerkingsverantwoordelijke of een verwerker van wie de verwerking van persoonsgegevens onder die verordening valt (gegevensexporteur) aan een verwerkingsverantwoordelijke of (sub)verwerker van wie de verwerking van de gegevens niet onder die verordening valt (gegevensimporteur).

2. In de standaardcontractbepalingen worden ook de rechten en verplichtingen van verwerkingsverantwoordelijken en verwerkers vastgesteld met betrekking tot de aangelegenheden in artikel 28, leden 3 en 4, van Verordening (EU) 2016/679, voor wat de doorgifte van persoonsgegevens van een verwerkingsverantwoordelijke aan een verwerker, of van een verwerker aan een subverwerker betreft.

Artikel 2

Indien de bevoegde autoriteiten van de lidstaten bevoegdheden tot het nemen van corrigerende maatregelen overeenkomstig artikel 58 van Verordening (EU) 2016/679 uitoefenen wanneer de gegevensimporteur onder wetten of praktijken in het derde land van bestemming valt of komt te vallen die hem verhinderen aan de in de bijlage opgenomen standaardcontractbepalingen te voldoen, met de opschorting van of een verbod op gegevensdoorgiften naar derde landen tot gevolg, stelt de betrokken lidstaat de Commissie daarvan onverwijld in kennis, waarna de Commissie de andere lidstaten hiervan in kennis stelt.

Artikel 3

De Commissie evalueert de praktische toepassing van de in de bijlage opgenomen standaardcontractbepalingen op basis van alle beschikbare informatie in het kader van de periodieke evaluatie krachtens artikel 97 van Verordening (EU) 2016/679.

Artikel 4

1. Dit besluit treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2. Beschikking 2001/497/EC wordt ingetrokken met ingang vanaf 27 september 2021.

3. Besluit 2010/87/EU wordt ingetrokken met ingang vanaf 27 september 2021.

4. Overeenkomsten die werden gesloten voor 27 september 2021 op basis van Beschikking 2001/497/EG of Besluit 2010/87/EU zullen worden geacht gepaste waarborgen te bieden in de betekenis van artikel 46, lid 1, van Verordening (EU) 2016/679 tot 27 december 2022, mits de verwerkingsverrichtingen die het voorwerp zijn van de overeenkomst onveranderd blijven en de toepassing van die bepalingen garandeert dat de doorgifte van persoonsgegevens onderworpen is aan passende waarborgen.

Gedaan te Brussel, 4 juni 2021.

Voor de Commissie

De voorzitter

Ursula VON DER LEYEN

(1) PB L 119 van 4.5.2016, blz. 1.

(2) Artikel 44 van Verordening (EU) 2016/679.

(3) Zie ook het arrest van het Hof van Justitie van 16 juli 2020, Data Protection Commissioner tegen Facebook Ireland Ltd en Maximillian Schrems (“Schrems II”), ECLI:EU:C:2020:559, punt 93.

(4) Overweging 109 van Verordening (EU) 2016/679.

(5) Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen krachtens Richtlijn 95/46/EG (PB L 181 van 4.7.2001, blz. 19).

(6) Besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad (PB L 39 van 12.2.2010, blz. 5).

(7) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).

(8) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39); zie overweging 5.

(9) C(2021)3701.

(10) Schrems II, punten 96 en 103. Zie ook Verordening (EU) 2016/679, overwegingen 108 en 114.

(11) Schrems II.

(12) Gezamenlijk advies nr. 2/2021 van het EDPB en de EDPS over het uitvoeringsbesluit van de Europese Commissie betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen voor de aangelegenheden in artikel 46, lid 2, punt c), van Verordening (EU) 2016/679.

BIJLAGE

STANDAARDCONTRACTBEPALINGEN

AFDELING I

Bepaling 1

Doel en toepassingsgebied

Deze standaardcontractbepalingen hebben tot doel de naleving van de in Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (AVG, algemene verordening gegevensbescherming) (1) bepaalde vereisten te garanderen voor de doorgifte van persoonsgegevens naar een derde land.

De partijen:

i)	de natuurlijke of rechtspersonen en de overheidsinstellingen, -organen en -instanties (hierna “entiteiten” genoemd) die de in bijlage I.A bedoelde persoonsgegevens doorgeven (“gegevensexporteur”), en

ii)	de entiteiten in een derde land die de persoonsgegevens van de gegevensexporteur ontvangen, direct of indirect via een andere entiteit die ook partij is bij deze bepalingen, zoals opgenomen in bijlage I.A (hierna “gegevensimporteur” genoemd)

zijn deze standaardcontractbepalingen (hierna: “bepalingen” genoemd) overeengekomen.

c)	Deze bepalingen zijn van toepassing op de doorgifte van persoonsgegevens zoals opgenomen in bijlage Annex I.B.

d)	Het aanhangsel bij deze bepalingen dat de daarin genoemde bijlagen bevat, maakt integraal deel uit van deze bepalingen.

Bepaling 2

Effect en onveranderlijkheid van de bepalingen

In deze bepalingen worden passende waarborgen vastgesteld, met inbegrip van afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen, overeenkomstig artikel 46, lid 1, en artikel 46, lid 2, punt c), van Verordening (EU) 2016/679 alsook, met betrekking tot gegevensdoorgiften van verwerkingsverantwoordelijken aan verwerkers en/of van verwerkers aan verwerkers, standaardcontractbepalingen overeenkomstig artikel 28, lid 7, van Verordening (EU) 2016/679, mits deze niet worden gewijzigd, behalve om de geschikte module(s) te selecteren of om informatie in het aanhangsel toe te voegen of te wijzigen. Dit houdt niet in dat de partijen de in deze bepalingen neergelegde standaardcontractbepalingen niet in een bredere overeenkomst mogen opnemen en/of andere bepalingen of extra waarborgen mogen toevoegen, mits deze niet direct of indirect in tegenspraak zijn met deze bepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen.

b)	Deze bepalingen doen geen afbreuk aan de krachtens Verordening (EU) 2016/679 op de gegevensexporteur rustende verplichtingen.

Bepaling 3

Derde-begunstigden

Betrokkenen mogen zich als derde-begunstigden op deze bepalingen beroepen en deze doen gelden tegen de gegevensexporteur en/of de gegevensimporteur, met de volgende uitzonderingen:

i)	Bepaling 1, bepaling 2, bepaling 3, bepaling 6, bepaling 7;

ii)

Bepaling 8 — module een: Bepaling 8.5, punt e) en bepaling 8.9, punt b); Module twee: Bepaling 8.1, punt b), bepaling 8.9, punten a), c), d) en e); Module drie: Bepaling 8.1, punten a), c) en d) en bepaling 8.9, punten a), c), d), e), f) en g); Module vier: Bepaling 8.1, punt b) en bepaling 8.3, punt b);

iii)	Bepaling 9 — module twee: Bepaling 9, punten a), c), d) en e); Module drie: Bepaling 9, punten a), c), d) en e);

iv)	Bepaling 12 — module een: Bepaling 12, punten a) en d); Modulen twee en drie: Bepaling 12, punten a), d) en f);

v)	Bepaling 13;

vi)	Bepaling 15.1, punten c), d) en e);

vii)	Bepaling 16, punt e);

viii)

Bepaling 18 — modulen een, twee en drie: Bepaling 18, punten a) en b); Module vier: Bepaling 18.

b)	Punt a) doet geen afbreuk aan de rechten van betrokkenen krachtens Verordening (EU) 2016/679.

Bepaling 4

Interpretatie

a)	Wanneer in deze bepalingen in Verordening (EU) 2016/679 gedefinieerde termen worden gebruikt, hebben die termen dezelfde betekenis als in die verordening.

b)	Deze bepalingen worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679.

c)	Deze bepalingen worden niet geïnterpreteerd op een wijze die in tegenspraak is met de in Verordening (EU) 2016/679 vastgestelde rechten en verplichtingen.

Bepaling 5

Hiërarchie

In geval van tegenspraak tussen deze bepalingen en de bepalingen van aanverwante overeenkomsten tussen de partijen die bestonden ten tijde van het overeenkomen van deze bepalingen of die daarna werden gesloten, hebben deze bepalingen voorrang.

Bepaling 6

Beschrijving van de doorgifte(n)

De details van de doorgifte(n), en in het bijzonder de categorieën van persoonsgegevens die worden doorgegeven en het doel waarvoor zij worden doorgegeven, worden in bijlage I.B nader gespecificeerd.

Bepaling 7 — Facultatief

Docking-bepaling

a)	Een entiteit die geen partij is bij deze bepalingen mag, met het akkoord van de partijen, te allen tijde tot deze bepalingen toetreden, hetzij als gegevensexporteur, hetzij als gegevensimporteur, door het aanhangsel in te vullen en bijlage I.A te ondertekenen.

b)	Als de toetredende entiteit het aanhangsel heeft ingevuld en bijlage I.A heeft ondertekend, wordt zij een partij bij deze bepalingen en krijgt zij de rechten en verplichtingen van een gegevensexporteur of een gegevensimporteur in overeenstemming met haar benoeming in bijlage I.A.

c)	De toetredende entiteit heeft geen rechten of verplichtingen uit hoofde van deze bepalingen uit de periode voordat zij partij werd.

AFDELING II — VERPLICHTINGEN VAN DE PARTIJEN

Bepaling 8

Waarborgen inzake gegevensbescherming

De gegevensexporteur garandeert dat hij redelijke inspanningen heeft geleverd om te bepalen of de gegevensimporteur, door de uitvoering van passende technische en organisatorische maatregelen, in staat is zijn verplichtingen uit hoofde van deze bepalingen na te komen.

MODULE EEN: Doorgifte tussen twee verwerkingsverantwoordelijken

8.1. Doelbinding

De gegevensimporteur verwerkt de persoonsgegevens alleen voor het specifieke doel van de doorgifte, zoals opgenomen in bijlage I.B. Hij mag de persoonsgegevens alleen voor een ander doeleinde verwerken:

i)	indien hij voorafgaande toestemming van de betrokkene heeft verkregen;

ii)	indien dat noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in de context van bepaalde administratieve, regelgevings- of gerechtelijke procedures, of

iii)	indien dat noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

8.2. Transparantie

Teneinde betrokkenen in staat te stellen hun rechten op een doeltreffende wijze uit te oefenen overeenkomstig bepaling 10, stelt de gegevensimporteur hen rechtstreeks of via de gegevensexporteur in kennis van:

i)	zijn identiteit en contactgegevens;

ii)	de categorieën van verwerkte persoonsgegevens;

iii)	het recht om een kopie van deze bepalingen te verkrijgen;

iv)	wanneer hij voornemens is de persoonsgegevens verder door te geven aan een derde partij, van de ontvanger of categorieën van ontvangers (zo nodig om nuttige informatie te verstrekken), van het doel van een dergelijke verdere doorgifte en van de grond daarvoor overeenkomstig bepaling 8.7.

Punt a) is niet van toepassing wanneer de betrokkene reeds over de informatie beschikt, ook wanneer die informatie al door de gegevensexporteur is verstrekt, of indien het verstrekken van de informatie onmogelijk blijkt te zijn of een onevenredige inspanning van de gegevensimporteur zou vergen. In het laatste geval maakt de gegevensimporteur de informatie, voor zover mogelijk, openbaar.

De partijen maken op verzoek een kopie van deze bepalingen, met inbegrip van het door de partijen ingevulde aanhangsel, dat gratis beschikbaar is voor de betrokkene. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mogen de partijen een gedeelte van de tekst van het aanhangsel redigeren voordat zij een kopie delen. Zij moeten daarbij evenwel een relevante samenvatting verstrekken indien de betrokkene anders de inhoud ervan niet zou kunnen begrijpen of zijn/haar rechten niet zou kunnen uitoefenen. Op verzoek delen de partijen de betrokkene de redenen voor het redigeren mee, voor zover mogelijk zonder de geredigeerde informatie te onthullen.

d)	De punten a) tot en met c) doen geen afbreuk aan de verplichtingen van de gegevensexporteur op grond van de artikelen 13 en 14 van Verordening (EU) 2016/679.

8.3. Nauwkeurigheid en gegevensminimalisering

a)	Elke partij ziet erop toe dat de persoonsgegevens juist en, waar nodig, actueel zijn. De gegevensimporteur neemt alle redelijke maatregelen om ervoor te zorgen dat, met betrekking tot het doel van de verwerking, onjuiste persoonsgegevens onverwijld worden gewist of gerectificeerd.

b)	Indien een van de partijen te weten komt dat de persoonsgegevens die zij heeft doorgegeven of ontvangen onjuist of verouderd zijn, stelt zij de andere partij daarvan onverwijld in kennis.

c)	De gegevensimporteur ziet erop toe dat de persoonsgegevens juist, relevant en beperkt zijn tot wat noodzakelijk is in verband met het doel van de verwerking.

8.4. Opslagbeperking

De gegevensimporteur bewaart de persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor zij worden verwerkt. Om naleving van deze verplichting te waarborgen, neemt hij passende technische of organisatorische maatregelen, zoals het wissen of anonimiseren (2) van de gegevens en alle backups na afloop van de bewaartermijn.

8.5. Beveiliging van de verwerking

De gegevensimporteur en, tijdens de toezending, ook de gegevensexporteur, neemt passende technische en organisatorische maatregelen om de beveiliging van de persoonsgegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking of toegang (“inbreuk in verband met persoonsgegevens”). Bij het beoordelen van het passende beveiligingsniveau houden zij naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, reikwijdte, context en doeleinden van de verwerking, en met de risico’s die de verwerking met zich meebrengt voor de betrokkene. De partijen overwegen met name gebruik te maken van encryptie of pseudonimisering, ook tijdens toezending, waarbij het doel van de verwerking op die manier kan worden verwezenlijkt.

b)	De partijen zijn de in bijlage II bedoelde technische en organisatorische maatregelen overeengekomen. De gegevensimporteur voert regelmatig controles uit om ervoor te zorgen dat deze maatregelen een passend beveiligingsniveau blijven bieden.

c)	De gegevensimporteur waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

Bij een inbreuk in verband met persoonsgegevens die betrekking heeft op persoonsgegevens die op grond van deze bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder maatregelen om mogelijke negatieve gevolgen te beperken.

Bij een inbreuk in verband met persoonsgegevens die waarschijnlijk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt, stelt de gegevensimporteur zowel de gegevensexporteur als de bevoegde toezichthoudende autoriteit krachtens bepaling 13 hiervan onverwijld in kennis. Een dergelijke kennisgeving bevat i) een beschrijving van de aard van de inbreuk (waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie), ii) de waarschijnlijke gevolgen ervan, iii) de maatregelen die zijn voorgesteld of genomen om de inbreuk aan te pakken en iv) de gegevens van een contactpunt bij wie meer informatie kan worden verkregen. Voor zover het voor de gegevensimporteur niet mogelijk is om alle informatie gelijktijdig te verstrekken, mag hij dit zonder onredelijke vertraging in stappen doen.

Bij een inbreuk in verband met persoonsgegevens die waarschijnlijk grote risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt, stelt de gegevensimporteur tevens onverwijld de betrokkenen van de inbreuk in verband met persoonsgegevens en van de aard daarvan in kennis, indien nodig in samenwerking met de gegevensexporteur, samen met de in punt e), ii) tot en met iv), bedoelde informatie, tenzij de gegevensimporteur maatregelen heeft genomen om het risico voor de rechten of vrijheden van natuurlijke personen aanzienlijk te beperken of deze kennisgeving onredelijke inspanningen zou vergen. In het laatste geval doet de gegevensimporteur in plaats daarvan een openbare mededeling of neemt hij een soortgelijke maatregel om het publiek van de inbreuk in verband met persoonsgegevens op de hoogte te brengen.

g)	De gegevensimporteur documenteert alle relevante feiten omtrent de inbreuk in verband met persoonsgegevens, waaronder de effecten daarvan en de genomen corrigerende maatregelen, en houdt daarvan een register bij.

8.6. Gevoelige gegevens

Indien de doorgifte persoonsgegevens betreft waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten (hierna “gevoelige gegevens” genoemd) blijken, past de gegevensimporteur bepaalde beperkingen en/of extra waarborgen toe die aan de specifieke aard van de gegevens en de bijbehorende risico’s zijn aangepast. Dit kunnen onder andere beperkingen zijn die worden opgelegd aan personeel dat toegang heeft tot de persoonsgegevens, of aanvullende beveiligingsmaatregelen (zoals pseudonimisering) en/of aanvullende beperkingen met betrekking tot verdere verstrekking.

8.7. Verdere doorgiften

De gegevensimporteur verstrekt de persoonsgegevens niet aan een derde partij die is gevestigd buiten de Europese Unie (3) (in hetzelfde land als de gegevensimporteur of in een ander derde land; hierna “verdere doorgifte” genoemd), tenzij de derde partij aan deze bepalingen is gebonden of ermee instemt daaraan gebonden te zijn, op grond van de juiste module. Anders mag een verdere doorgifte door de gegevensimporteur alleen plaatsvinden indien:

i)	die naar een land is dat profiteert van een adequaatheidsbesluit overeenkomstig artikel 45 van Verordening (EU) 2016/679 waar de verdere doorgifte onder valt;

ii)	de derde partij anderszins voor passende waarborgen overeenkomstig artikel 46 of 47 van Verordening (EU) 2016/679 zorgt met betrekking tot de verwerking in kwestie;

iii)	de derde partij met de gegevensimporteur een bindend instrument aangaat waarmee hetzelfde gegevensbeschermingsniveau als krachtens deze bepalingen wordt gewaarborgd en de gegevensimporteur een kopie van deze waarborgen aan de gegevensexporteur doet toekomen;

iv)	dat noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in de context van bepaalde administratieve, regelgevings- of gerechtelijke procedures;

v)	dat noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen, of,

vi)

wanneer geen van de andere voorwaarden is vervuld, de gegevensimporteur uitdrukkelijke toestemming heeft verkregen voor een verdere doorgifte in een specifieke situatie van de betrokkene, nadat hij hem/haar in kennis heeft gesteld over het doel ervan, over de identiteit van de ontvanger en over de mogelijke risico’s van een dergelijke doorgifte aan hem/haar als gevolg van het ontbreken van passende waarborgen inzake gegevensbescherming. In dit geval informeert de gegevensimporteur de gegevensexporteur en zendt hij, op verzoek van deze laatste, hem een kopie van de aan de betrokkene verstrekte informatie.

Verdere doorgiften mogen alleen plaatsvinden indien de gegevensimporteur zich aan alle overige waarborgen krachtens deze bepalingen houdt, met name doelbinding.

8.8. Verwerking onder gezag van de gegevensimporteur

De gegevensimporteur ziet erop toe dat eenieder die onder zijn gezag handelt, met inbegrip van verwerkers, de gegevens uitsluitend volgens zijn opdracht verwerkt.

8.9. Documentatie en naleving

a)	Elke partij moet de naleving van zijn verplichtingen op grond van deze bepalingen kunnen aantonen. De gegevensimporteur houdt verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden naar behoren bij.

b)	De gegevensimporteur stelt deze documenten op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

MODULE TWEE: Doorgifte tussen verwerkingsverantwoordelijke en verwerker

8.1. Instructies

a)	De gegevensimporteur verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de gegevensexporteur. De gegevensexporteur mag dergelijke instructies geven gedurende de duur van de overeenkomst.

b)	De gegevensimporteur stelt de gegevensexporteur onmiddellijk in kennis indien hij niet in staat is deze instructies op te volgen.

8.2. Doelbinding

De gegevensimporteur verwerkt de persoonsgegevens alleen voor het specifieke doel van de doorgifte, zoals opgenomen bijlage I.B, tenzij op basis van verdere instructies van de gegevensexporteur.

8.3. Transparantie

De gegevensexporteur maakt op verzoek een kopie van deze bepalingen, met inbegrip van het door de partijen ingevulde aanhangsel, dat gratis beschikbaar is voor de betrokkene. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder de in bijlage II beschreven maatregelen en persoonsgegevens, te beschermen, mag de gegevensexporteur een gedeelte van de tekst van het aanhangsel bij deze bepalingen redigeren voordat hij een kopie deelt, maar hij moet daarbij een relevante samenvatting verstrekken indien de betrokkene anders de inhoud ervan niet zou kunnen begrijpen of zijn/haar rechten niet zou kunnen uitoefenen. Op verzoek delen de partijen de betrokkene de redenen voor het redigeren mee, voor zover mogelijk zonder de geredigeerde informatie te onthullen. Deze bepaling doet geen afbreuk aan de verplichtingen van de gegevensexporteur op grond van de artikelen 13 en 14 van Verordening (EU) 2016/679.

8.4. Nauwkeurigheid

Indien de gegevensimporteur te weten komt dat de persoonsgegevens die hij heeft ontvangen onjuist of verouderd zijn, stelt hij de gegevensexporteur daarvan onverwijld in kennis. In dit geval werkt de gegevensimporteur samen met de gegevensexporteur om de gegevens te wissen of te rectificeren.

8.5. Duur van verwerking en wissing of terugbezorging van gegevens

Verwerking door de gegevensimporteur vindt alleen plaats voor de in bijlage I.B opgegeven duur. Na afloop van de verrichting van de verwerkingsdiensten wist de gegevensimporteur, naargelang de wens van de gegevensexporteur, alle namens de gegevensexporteur verwerkte persoonsgegevens en verzekert hij de gegevensexporteur dat hij dat heeft gedaan, of geeft hij de gegevensexporteur alle namens hem verwerkte persoonsgegevens terug en verwijdert bestaande kopieën. Totdat de gegevens zijn gewist of teruggezonden, blijft de gegevensimporteur ervoor zorgen dat aan deze bepalingen wordt voldaan. In geval van lokaal recht dat op de gegevensimporteur van toepassing is en op basis waarvan teruggave of wissing van de doorgegeven persoonsgegevens verboden is, garandeert de gegevensimporteur dat hij deze bepalingen zal blijven naleven en de persoonsgegevens alleen zal verwerken voor zover en zolang dat naar dat lokaal recht is vereist. Dit doet geen afbreuk aan bepaling 14, met name het vereiste voor de gegevensimporteur krachtens bepaling 14, punt e), om de gegevensexporteur gedurende de hele looptijd van de overeenkomst in kennis te stellen als hij redenen heeft om aan te nemen dat hij onder wetten of praktijken valt of is komen te vallen die niet overeenstemmen met de vereisten uit hoofde van bepaling 14, punt a).

8.6. Beveiliging van de verwerking

De gegevensimporteur en, tijdens de toezending, ook de gegevensexporteur, neemt passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot die gegevens (hierna “inbreuk in verband met persoonsgegevens” genoemd). Bij het beoordelen van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, reikwijdte, context en doeleinden van de verwerking, en met de risico’s die de verwerking met zich meebrengt voor de betrokkenen. De partijen overwegen met name gebruik te maken van encryptie of pseudonimisering, ook tijdens toezending, waarbij het doel van de verwerking op die manier kan worden verwezenlijkt. Bij pseudonimisering blijven de aanvullende gegevens voor het koppelen van de persoonsgegevens aan een bepaalde betrokkene waar mogelijk onder de exclusieve controle van de gegevensexporteur. Bij de naleving van zijn verplichting uit hoofde van dit punt voert de gegevensimporteur ten minste de in bijlage II vastgestelde technische en organisatorische maatregelen uit. De gegevensimporteur voert regelmatig controles uit om ervoor te zorgen dat deze maatregelen een passend beveiligingsniveau blijven bieden.

De gegevensimporteur verleent zijn personeel alleen toegang tot de persoonsgegevens voor zover dit strikt noodzakelijk is voor de uitvoering, het beheer en de follow-up van de overeenkomst. Hij waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

Bij een inbreuk in verband met persoonsgegevens met betrekking tot persoonsgegevens die op grond van deze bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk aan te pakken, waaronder maatregelen om de negatieve gevolgen ervan te beperken. Nadat de gegevensimporteur kennis heeft genomen van de inbreuk, stelt hij ook de gegevensexporteur daarvan onverwijld in kennis. Een dergelijke kennisgeving bevat de gegevens van een contactpunt bij wie meer informatie kan worden verkregen, een beschrijving van de aard van de inbreuk waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie), de waarschijnlijke gevolgen ervan en de maatregelen die zijn voorgesteld of genomen om de inbreuk aan te pakken waaronder, in voorkomend geval, maatregelen om mogelijke negatieve gevolgen te beperken. Wanneer en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, bevat de initiële kennisgeving de op dat moment beschikbare informatie en zal verdere informatie, zodra die beschikbaar is, vervolgens onverwijld worden verstrekt.

Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, werkt de gegevensimporteur samen met en verleent hij bijstand aan de gegevensexporteur om deze in staat te stellen zijn verplichtingen krachtens Verordening (EU) 2016/679 na te komen, met name om de bevoegde toezichthoudende autoriteit en de getroffen betrokkenen in kennis te stellen.

8.7. Gevoelige gegevens

8.8. Verdere doorgiften

De gegevensimporteur verstrekt de persoonsgegevens uitsluitend aan een derde partij na schriftelijke instructies van de gegevensexporteur. Bovendien worden de gegevens alleen aan een derde partij verstrekt die is gevestigd buiten de Europese Unie (4) (in hetzelfde land als de gegevensimporteur of in een ander derde land; hierna “verdere doorgifte” genoemd), indien de derde partij aan deze bepalingen is gebonden of ermee instemt daaraan gebonden te zijn, op grond van de juiste module, of indien:

i)	de verdere doorgifte naar een land is dat profiteert van een adequaatheidsbesluit overeenkomstig artikel 45 van Verordening (EU) 2016/679 waar de verdere doorgifte onder valt;

ii)	de derde partij anderszins voor passende waarborgen overeenkomstig artikel 46 of 47 van Verordening (EU) 2016/679 zorgt met betrekking tot de verwerking in kwestie;

iii)	de verdere doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in de context van bepaalde administratieve, regelgevings- of gerechtelijke procedures, of

iv)	de verdere doorgifte noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

Verdere doorgiften mogen alleen plaatsvinden indien de gegevensimporteur zich aan alle overige waarborgen krachtens deze bepalingen houdt, met name doelbinding.

8.9. Documentatie en naleving

a)	De gegevensimporteur handelt vragen van de gegevensexporteur in verband met de verwerking op grond van deze bepalingen onverwijld en op passende wijze af.

b)	De partijen moeten de naleving van deze bepalingen kunnen aantonen. De gegevensimporteur houdt met name passende documentatie bij over de verwerkingsactiviteiten die onder zijn verantwoordelijkheid namens de gegevensexporteur hebben plaatsgevonden.

Op verzoek van de gegevensexporteur stelt de gegevensimporteur de gegevensexporteur alle informatie ter beschikking die nodig is om naleving van de in deze bepalingen vastgestelde verplichtingen aan te tonen, audits van de onder deze bepalingen vallende verwerkingsactiviteiten mogelijk te maken en eraan bij te dragen, en dit met redelijke tussenpozen of wanneer er aanwijzingen van niet-naleving zijn. Bij het nemen van een besluit over een toetsing of audit kan de gegevensexporteur rekening houden met relevante certificeringen waarover de gegevensimporteur beschikt.

De gegevensexporteur kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke controleur daartoe te machtigen. Audits kunnen inspecties in de bedrijfsruimten of de fysieke voorzieningen van de gegevensimporteur omvatten en worden, in voorkomend geval, uitgevoerd met een redelijke aankondiging vooraf.

e)	De partijen stellen de in de punten b) en c) bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

MODULE DRIE: Doorgifte tussen twee verwerkers

8.1. Instructies

a)	De gegevensexporteur heeft de gegevensimporteur ervan in kennis gesteld dat hij als verwerker optreedt op basis van instructies van zijn verwerkingsverantwoordelijke(n), die de gegevensexporteur voorafgaand aan de verwerking ter beschikking zal stellen van de gegevensimporteur.

De gegevensimporteur verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, zoals door de gegevensexporteur meegedeeld aan de gegevensimporteur, en van eventuele bijkomende schriftelijke instructies van de gegevensexporteur. Dergelijke bijkomende instructies zijn niet in tegenspraak met de instructies van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke of de gegevensexporteur kan gedurende de duur van de overeenkomst verdere schriftelijke instructies met betrekking tot de gegevensverwerking geven.

De gegevensimporteur stelt de gegevensexporteur onmiddellijk in kennis indien hij niet in staat is deze instructies op te volgen. Indien de gegevensimporteur niet in staat is de instructies van de verwerkingsverantwoordelijke te volgen, stelt de gegevensexporteur de verwerkingsverantwoordelijke daarvan onverwijld in kennis.

De gegevensexporteur garandeert dat hij de gegevensimporteur dezelfde verplichtingen inzake gegevensbescherming heeft opgelegd als die welke zijn vastgelegd in de overeenkomst of andere rechtshandeling krachtens Unierecht of lidstatelijk recht tussen de verwerkingsverantwoordelijke en de gegevensexporteur (5).

8.2. Doelbinding

De gegevensimporteur verwerkt de persoonsgegevens alleen voor het specifieke doel van de doorgifte, zoals opgenomen in bijlage I.B, tenzij op basis van verdere instructies van de verwerkingsverantwoordelijke, zoals door de gegevensexporteur meegedeeld aan de gegevensimporteur, of van de gegevensexporteur.

8.3. Transparantie

De gegevensexporteur maakt op verzoek een kopie van deze bepalingen, met inbegrip van het door de partijen ingevulde aanhangsel, dat gratis beschikbaar is voor de betrokkene. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mogen gegevensimporteurs een gedeelte van de tekst van het aanhangsel redigeren voordat zij een kopie delen. Zij moeten daarbij evenwel een relevante samenvatting verstrekken indien de betrokkene anders de inhoud ervan niet zou kunnen begrijpen of zijn/haar rechten niet zou kunnen uitoefenen. Op verzoek delen de partijen de betrokkene de redenen voor het redigeren mee, voor zover mogelijk zonder de geredigeerde informatie te onthullen.

8.4. Nauwkeurigheid

8.5. Duur van verwerking en wissing of terugbezorging van gegevens

Verwerking door de gegevensimporteur vindt alleen plaats voor de in bijlage I.B opgegeven duur. Na afloop van de verrichting van de verwerkingsdiensten wist de gegevensimporteur, naargelang de wens van de gegevensexporteur, alle namens de verwerkingsverantwoordelijke verwerkte persoonsgegevens en verzekert hij de gegevensexporteur ervan dat hij dat heeft gedaan, of hij geeft de gegevensexporteur alle namens hem verwerkte persoonsgegevens terug en verwijdert bestaande kopieën. Totdat de gegevens zijn gewist of teruggezonden, blijft de gegevensimporteur ervoor zorgen dat aan deze bepalingen wordt voldaan. In geval van lokaal recht dat op de gegevensimporteur van toepassing is en op basis waarvan teruggave of wissing van de doorgegeven persoonsgegevens verboden is, garandeert de gegevensimporteur dat hij deze bepalingen zal blijven naleven en de persoonsgegevens alleen zal verwerken voor zover en zolang dat naar dat lokaal recht is vereist. Dit doet geen afbreuk aan bepaling 14, met name het vereiste voor de gegevensimporteur krachtens bepaling 14, punt e), om de gegevensexporteur gedurende de hele looptijd van de overeenkomst in kennis te stellen als hij redenen heeft om aan te nemen dat hij onder wetten of praktijken valt of is komen te vallen die niet overeenstemmen met de vereisten uit hoofde van bepaling 14, punt a).

8.6. Beveiliging van de verwerking

De gegevensimporteur en, tijdens de toezending, ook de gegevensexporteur, neemt passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot die gegevens (hierna “inbreuk in verband met persoonsgegevens” genoemd). Bij het beoordelen van het passende beveiligingsniveau houden zij naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, reikwijdte, context en doeleinden van de verwerking, en met de risico’s die de verwerking met zich meebrengt voor de betrokkene. De partijen overwegen met name gebruik te maken van encryptie of pseudonimisering, ook tijdens toezending, waarbij het doel van de verwerking op die manier kan worden verwezenlijkt. Bij pseudonimisering blijven de aanvullende gegevens voor het koppelen van de persoonsgegevens aan een bepaalde betrokkene waar mogelijk onder de exclusieve controle van de gegevensexporteur of de verwerkingsverantwoordelijke. Bij de naleving van zijn verplichting uit hoofde van dit punt voert de gegevensimporteur ten minste de in bijlage II vastgestelde technische en organisatorische maatregelen uit. De gegevensimporteur voert regelmatig controles uit om ervoor te zorgen dat deze maatregelen een passend beveiligingsniveau blijven bieden.

De gegevensimporteur verleent zijn personeel alleen toegang tot de gegevens voor zover dit strikt noodzakelijk is voor de uitvoering, het beheer en de follow-up van de overeenkomst. Hij waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

Bij een inbreuk in verband met persoonsgegevens met betrekking tot persoonsgegevens die op grond van deze bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk aan te pakken, waaronder maatregelen om de negatieve gevolgen ervan te beperken. Nadat de gegevensimporteur kennis heeft genomen van de inbreuk, stelt hij ook de gegevensexporteur en, in voorkomend geval en voor zover mogelijk, de verwerkingsverantwoordelijke daarvan onverwijld in kennis. Een dergelijke kennisgeving bevat de gegevens van een contactpunt bij wie meer informatie kan worden verkregen, een beschrijving van de aard van de inbreuk (waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie), de waarschijnlijke gevolgen ervan en de maatregelen die zijn voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder maatregelen om mogelijke negatieve gevolgen te beperken. Wanneer en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, bevat de initiële kennisgeving de op dat moment beschikbare informatie en zal verdere informatie, zodra die beschikbaar is, vervolgens onverwijld worden verstrekt.

Rekening houdend met de aard van de verwerking en met de hem ter beschikking staande informatie, werkt de gegevensimporteur samen met en verleent hij bijstand aan de gegevensexporteur om deze in staat te stellen zijn verplichtingen krachtens Verordening (EU) 2016/679 na te komen, met name om zijn verwerkingsverantwoordelijke in kennis te stellen opdat deze op zijn beurt de bevoegde toezichthoudende autoriteit en de getroffen betrokkenen in kennis zou kunnen stellen.

8.7. Gevoelige gegevens

8.8. Verdere doorgiften

De gegevensimporteur verstrekt de persoonsgegevens uitsluitend aan een derde partij op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, zoals door de gegevensexporteur meegedeeld aan de gegevensimporteur. Bovendien worden de gegevens alleen aan een derde partij verstrekt die is gevestigd buiten de Europese Unie (6) (in hetzelfde land als de gegevensimporteur of in een ander derde land; hierna “verdere doorgifte” genoemd), indien de derde partij aan deze bepalingen is gebonden of ermee instemt daaraan gebonden te zijn, op grond van de juiste module, of indien:

i)	de verdere doorgifte naar een land is dat profiteert van een adequaatheidsbesluit overeenkomstig artikel 45 van Verordening (EU) 2016/679 waar de verdere doorgifte onder valt;

ii)	de derde partij anderszins voor passende waarborgen overeenkomstig artikel 46 of 47 van Verordening (EU) 2016/679 zorgt;

iii)	de verdere doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in de context van bepaalde administratieve, regelgevings- of gerechtelijke procedures, of

iv)	de verdere doorgifte noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

Verdere doorgiften mogen alleen plaatsvinden indien de gegevensimporteur zich aan alle overige waarborgen krachtens deze bepalingen houdt, met name doelbinding.

8.9. Documentatie en naleving

a)	De gegevensimporteur handelt vragen van de gegevensexporteur of de verwerkingsverantwoordelijke in verband met de verwerking op grond van deze bepalingen onverwijld en op passende wijze af.

b)	De partijen moeten de naleving van deze bepalingen kunnen aantonen. De gegevensimporteur houdt met name passende documentatie bij over de verwerkingsactiviteiten die onder zijn verantwoordelijkheid namens de verwerkingsverantwoordelijke hebben plaatsgevonden.

c)	De gegevensimporteur stelt alle informatie die nodig is om naleving van de in deze bepalingen vastgestelde verplichtingen aan te tonen ter beschikking van de gegevensexporteur, die de informatie aan de verwerkingsverantwoordelijke doet toekomen.

De gegevensimporteur maakt audits door de gegevensexporteur van de onder deze bepalingen vallende verwerkingsactiviteiten mogelijk en draagt eraan bij, en dit met redelijke tussenpozen of wanneer er aanwijzingen van niet-naleving zijn. Hetzelfde geldt wanneer de gegevensexporteur op basis van instructies van de verwerkingsverantwoordelijke om een audit verzoekt. Bij het nemen van een besluit over een audit, kan de gegevensexporteur rekening houden met relevante certificeringen waarover de gegevensimporteur beschikt.

e)	Wanneer de audit wordt uitgevoerd op basis van instructies van de verwerkingsverantwoordelijke, stelt de gegevensexporteur de resultaten ter beschikking van de verwerkingsverantwoordelijke.

g)	De partijen stellen de in de punten b) en c) bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

MODULE VIER: Doorgifte tussen verwerker en verwerkingsverantwoordelijke

8.1. Instructies

a)	De gegevensexporteur verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de gegevensimporteur die als zijn verwerkingsverantwoordelijke optreedt.

De gegevensexporteur brengt de gegevensimporteur onmiddellijk op de hoogte indien hij niet in staat is die instructies op te volgen, onder meer als die instructies in tegenspraak zijn met Verordening (EU) 2016/679 of andere wetgeving inzake gegevensbescherming van de Unie of de desbetreffende lidstaat.

De gegevensimporteur onthoudt zich van acties die de gegevensexporteur zouden verhinderen om zijn verplichtingen op grond van Verordening (EU) 2016/679 na te komen, ook in het kader van de indienstneming van een andere verwerker of met betrekking tot samenwerking met bevoegde toezichthoudende autoriteiten.

Na afloop van de verrichting van de verwerkingsdiensten wist de gegevensexporteur, naargelang de wens van de gegevensimporteur, alle namens de gegevensimporteur verwerkte persoonsgegevens en verzekert hij de gegevensimporteur ervan dat hij dat heeft gedaan, of geeft hij de gegevensimporteur alle namens hem verwerkte persoonsgegevens terug en verwijdert hij bestaande kopieën.

8.2. Beveiliging van de verwerking

De partijen nemen passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, ook tijdens de toezending en met inbegrip van bescherming tegen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking of toegang (hierna “inbreuk in verband met persoonsgegevens” genoemd). Bij het beoordelen van het passende beveiligingsniveau houden zij naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard van de persoonsgegevens (7), de aard, reikwijdte, context en doeleinden van de verwerking, en met de risico’s die de verwerking met zich meebrengt voor de betrokkenen, en nemen zij in het bijzonder het gebruik van versleuteling of pseudonimisering in overweging, onder andere tijdens de toezending, indien het doel van de verwerking op die manier kan worden verwezenlijkt.

De gegevensexporteur verleent bijstand aan de gegevensimporteur om passende beveiliging van de gegevens overeenkomstig punt a) te waarborgen. Bij een inbreuk in verband met persoonsgegevens met betrekking tot de krachtens deze bepalingen door de gegevensexporteur verwerkte persoonsgegevens, stelt de gegevensexporteur de gegevensimporteur onverwijld in kennis nadat hij er kennis van heeft genomen, en staat hij de gegevensimporteur bij met het aanpakken van de inbreuk.

c)	De gegevensexporteur waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

8.3. Documentatie en naleving

a)	De partijen moeten de naleving van deze bepalingen kunnen aantonen.

b)	De gegevensexporteur stelt de gegevensimporteur alle informatie ter beschikking die nodig is om de naleving van zijn verplichtingen uit hoofde van deze bepalingen aan te tonen en om audits mogelijk te maken en eraan bij te dragen.

Bepaling 9

Gebruik van subverwerkers

MODULE TWEE: Doorgifte tussen verwerkingsverantwoordelijke en verwerker

OPTIE 1: SPECIFIEKE VOORAFGAANDE TOESTEMMING De gegevensimporteur besteedt geen van zijn krachtens deze bepalingen namens de gegevensexporteur uitgevoerde verwerkingsactiviteiten uit aan een subverwerker zonder de voorafgaande specifieke schriftelijke toestemming van de gegevensexporteur. De gegevensimporteur dient het verzoek om specifieke toestemming tenminste [termijn opgeven] voordat de subverwerker in dienst wordt genomen in, samen met de informatie die de gegevensexporteur nodig heeft om een besluit te nemen over de toestemming. De lijst van de reeds door de gegevensexporteur gemachtigde subverwerkers is te vinden in bijlage III. De partijen werken bijlage III bij.

OPTIE 2: ALGEMENE SCHRIFTELIJKE TOESTEMMING De gegevensimporteur heeft algemene toestemming van de gegevensexporteur om subverwerkers van een overeengekomen lijst in dienst te nemen. De gegevensimporteur stelt de gegevensexporteur ten minste [termijn opgeven] van tevoren specifiek schriftelijk in kennis van beoogde veranderingen van die lijst door middel van de toevoeging of vervanging van subverwerkers zodat de gegevensexporteur voldoende tijd krijgt om bezwaar tegen die veranderingen te maken voordat de subverwerker(s) in dienst wordt/worden genomen. De gegevensimporteur verstrekt de gegevensexporteur de informatie die deze nodig heeft om zijn recht om bezwaar te maken uit te oefenen.

Wanneer de gegevensimporteur een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingsactiviteiten (namens de gegevensexporteur), dan doet hij dit door middel van een schriftelijke overeenkomst die, wat de inhoud betreft, voorziet in dezelfde verplichtingen inzake gegevensbescherming als die waaraan de gegevensimporteur krachtens deze bepalingen is gebonden, onder meer wat betreft de rechten ten behoeve van derden voor betrokkenen (8). De partijen komen overeen dat de gegevensimporteur zijn verplichtingen uit hoofde van bepaling 8.8 nakomt door deze bepaling na te leven. De gegevensimporteur zorgt ervoor dat de subverwerker zich houdt aan de verplichtingen waaraan de gegevensimporteur overeenkomstig deze bepalingen is gebonden.

De gegevensimporteur verstrekt op verzoek van de gegevensexporteur een kopie van die overeenkomst met de subverwerker en van eventuele daaropvolgende wijzigingen aan de gegevensexporteur. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mag de gegevensimporteur de tekst van de overeenkomst redigeren voordat hij een kopie deelt.

De gegevensimporteur blijft ten aanzien van de gegevensexporteur volledig verantwoordelijk voor het nakomen van zijn verplichtingen door de subverwerker uit hoofde van zijn overeenkomst met de gegevensimporteur. De gegevensimporteur stelt de gegevensexporteur in kennis van elke niet-nakoming door de subverwerker van zijn verplichtingen uit hoofde van die overeenkomst.

De gegevensimporteur komt een derdenbeding overeen met de subverwerker waarbij de gegevensexporteur, in geval de gegevensimporteur feitelijk is verdwenen, rechtens is opgehouden te bestaan of failliet is gegaan, het recht heeft de overeenkomst met de subverwerker te beëindigen en de subverwerker op te dragen de persoonsgegevens te wissen of terug te geven.

MODULE DRIE: Doorgifte tussen twee verwerkers

OPTIE 1: SPECIFIEKE VOORAFGAANDE TOESTEMMING De gegevensimporteur besteedt zijn krachtens deze bepalingen namens de gegevensexporteur uitgevoerde verwerkingsactiviteiten niet uit aan een subverwerker zonder de voorafgaande specifieke schriftelijke toestemming van de verwerkingsverantwoordelijke. De gegevensimporteur dient het verzoek om specifieke toestemming tenminste [termijn opgeven] voordat de subverwerker in dienst wordt genomen in, samen met de informatie die de verwerkingsverantwoordelijke nodig heeft om een besluit te nemen over de toestemming. De gegevensimporteur brengt de gegevensexporteur op de hoogte van een dergelijke indienstneming. De lijst van de reeds door de verwerkingsverantwoordelijke gemachtigde subverwerkers is te vinden in bijlage III. De partijen werken bijlage III bij.

OPTIE 2: ALGEMENE SCHRIFTELIJKE TOESTEMMING De gegevensimporteur heeft algemene toestemming van de verwerkingsverantwoordelijke om subverwerkers van een overeengekomen lijst in dienst te nemen. De gegevensimporteur stelt de verwerkingsverantwoordelijke ten minste [termijn opgeven] van tevoren specifiek schriftelijk in kennis van beoogde veranderingen van die lijst door middel van de toevoeging of vervanging van subverwerkers en geeft de verwerkingsverantwoordelijke daarbij voldoende tijd om bezwaar tegen die veranderingen te maken voordat de subverwerker in dienst wordt genomen. De gegevensimporteur verstrekt de verwerkingsverantwoordelijke de informatie die deze nodig heeft om zijn recht om bezwaar te maken uit te oefenen. De gegevensimporteur brengt de gegevensexporteur op de hoogte van de indienstneming van de subverwerker.

Wanneer de gegevensimporteur een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingsactiviteiten (namens de verwerkingsverantwoordelijke), dan doet hij dit door middel van een schriftelijke overeenkomst die, wat de inhoud betreft, voorziet in dezelfde verplichtingen inzake gegevensbescherming als die waaraan de gegevensimporteur krachtens deze bepalingen is gebonden, onder meer wat betreft de rechten ten behoeve van derden voor betrokkenen (9). De partijen komen overeen dat de gegevensimporteur zijn verplichtingen uit hoofde van bepaling 8.8 nakomt door deze bepaling na te leven. De gegevensimporteur zorgt ervoor dat de subverwerker zich houdt aan de verplichtingen waaraan de gegevensimporteur overeenkomstig deze bepalingen is gebonden.

De gegevensimporteur verstrekt op verzoek van de gegevensexporteur of van de verwerkingsverantwoordelijke een kopie van die overeenkomst met de subverwerker en van eventuele daaropvolgende wijzigingen. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mag de gegevensimporteur de tekst van de overeenkomst redigeren voordat hij een kopie deelt.

Bepaling 10

De rechten van betrokkenen

MODULE EEN: Doorgifte tussen twee verwerkingsverantwoordelijken

De gegevensimporteur handelt, in voorkomend geval met behulp van de gegevensexporteur, onverwijld en uiterlijk binnen één maand na ontvangst van de vraag of het verzoek, vragen en verzoeken af die hij van een betrokkene ontvangt in verband met de verwerking van zijn/haar persoonsgegevens en met de uitoefening van zijn/haar rechten uit hoofde van deze bepalingen. (10) De gegevensimporteur neemt passende maatregelen om de afhandeling van die vragen en verzoeken en de uitoefening van de rechten van betrokkenen te vergemakkelijken. De informatie die aan de betrokkene wordt verstrekt, is in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal opgesteld.

Op verzoek van de betrokkene zal de gegevensimporteur met name kosteloos:

de betrokkene de bevestiging geven dat zijn/haar persoonsgegevens al dan niet worden verwerkt en, wanneer dat het geval is, een kopie van zijn/haar gegevens en van de in bijlage I opgenomen informatie verstrekken; indien persoonsgegevens verder zijn of zullen worden doorgegeven, informatie verstrekken over ontvangers of categorieën van ontvangers (indien nodig om nuttige informatie te verstrekken) aan wie de persoonsgegevens verder zijn of zullen worden doorgegeven, over het doel van dergelijke verdere doorgiften en over de grond daarvoor overeenkomstig bepaling 8.7; en informatie verstrekken over het recht een klacht in te dienen bij een toezichthoudende autoriteit overeenkomstig bepaling 12, punt c), i);

ii)	onjuiste of onvolledige gegevens van de betrokkene rectificeren;

iii)	persoonsgegevens van de betrokkene wissen als die gegevens worden of zijn verwerkt in strijd met enige van deze bepalingen ter waarborging van rechten ten behoeve van derden, of wanneer de betrokkene de toestemming intrekt waarop de verwerking is gebaseerd.

c)	Wanneer de gegevensimporteur de persoonsgegevens verwerkt ten behoeve van direct marketing, stopt hij met de verwerking voor dat doeleinde indien de betrokkene er bezwaar tegen maakt.

De gegevensimporteur neemt geen besluit dat uitsluitend op een geautomatiseerde verwerking van de doorgegeven persoonsgegevens berust (hierna “geautomatiseerd besluit” genoemd), waaraan rechtsgevolgen voor de betrokkene zouden zijn verbonden of die hem/haar eveneens verregaand zou treffen, tenzij met uitdrukkelijke toestemming van de betrokkene of als dat is toestaan krachtens de wetgeving van het land van bestemming, mits in dergelijke wetgeving passende maatregelen zijn vastgelegd om de rechten en legitieme belangen van betrokkenen te waarborgen. In dit geval zal de gegevensimporteur, in voorkomend geval in samenwerking met de gegevensexporteur:

i)	de betrokkene informeren over het beoogde geautomatiseerde besluit, de verwachte gevolgen en de gedachte erachter, en

ii)	passende waarborgen bieden, ten minste door de betrokkene in staat te stellen het besluit te betwisten, zijn/haar standpunt kenbaar te maken en toetsing door een mens te verkrijgen.

Wanneer verzoeken van een betrokkene buitensporig zijn, met name vanwege het herhaalde karakter ervan, mag de gegevensimporteur ofwel een redelijke vergoeding in rekening brengen met het oog op de administratieve kosten van het inwilligen van het verzoek, ofwel weigeren om op het verzoek in te gaan.

De gegevensimporteur mag een verzoek van een betrokkene weigeren als die weigering is toegestaan uit hoofde van de wetgeving van het land van bestemming en in een democratische samenleving noodzakelijk en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te beschermen.

g)	Als de gegevensimporteur voornemens is een verzoek van een betrokkene te weigeren, stelt hij de betrokkene in kennis van de redenen voor die weigering en van de mogelijkheid om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit en/of beroep in rechte in te stellen.

MODULE TWEE: Doorgifte tussen verwerkingsverantwoordelijke en verwerker

a)	De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van alle verzoeken die hij van een betrokkene heeft ontvangen. Hij reageert zelf niet op dat verzoek, tenzij dit door de gegevensexporteur is toegestaan.

De gegevensimporteur verleent de gegevensexporteur bijstand bij het nakomen van zijn verplichtingen om te reageren op de verzoeken van betrokkenen voor de uitoefening van hun rechten uit hoofde van Verordening (EU) 2016/679. In dit verband stellen de partijen in bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking op basis waarvan de bijstand wordt verleend, alsook de reikwijdte en de omvang van de vereiste bijstand.

c)	Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b), houdt de gegevensimporteur zich aan de instructies van de gegevensexporteur.

MODULE DRIE: Doorgifte tussen twee verwerkers

a)	De gegevensimporteur stelt de gegevensexporteur, en in voorkomend geval de verwerkingsverantwoordelijke, onverwijld in kennis van de verzoeken die hij van een betrokkene heeft ontvangen, zonder op die verzoeken te reageren, tenzij dat hem door de verwerkingsverantwoordelijke is toegestaan.

De gegevensimporteur verleent de verwerkingsverantwoordelijke, in voorkomend geval in samenwerking met de gegevensexporteur, bijstand bij het nakomen van zijn verplichtingen om te reageren op de verzoeken van betrokkenen voor de uitoefening van hun rechten uit hoofde van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, voor zover van toepassing. In dit verband stellen de partijen in bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking op basis waarvan de bijstand wordt verleend, alsook de reikwijdte en de omvang van de vereiste bijstand.

c)	Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b), houdt de gegevensimporteur zich aan de instructies van de verwerkingsverantwoordelijke, zoals meegedeeld door de gegevensexporteur.

MODULE VIER: Doorgifte tussen verwerker en verwerkingsverantwoordelijke

De partijen staan elkaar bij met het beantwoorden van vragen en het afhandelen van verzoeken van betrokkenen op grond van het lokale recht dat op de gegevensimporteur van toepassing is of, voor gegevensverwerking door de gegevensexporteur in de Europese Unie, op grond van Verordening (EU) 2016/679.

Bepaling 11

Verhaal

De gegevensimporteur brengt betrokkenen via een individuele mededeling of op zijn website, in een transparant en gemakkelijk toegankelijk formaat, op de hoogte van een contactpunt dat gemachtigd is om klachten af te handelen. Hij handelt klachten die hij van een betrokkene ontvangt onverwijld af.

[OPTIE: De gegevensimporteur stemt ermee in dat betrokkenen klachten ook bij een onafhankelijk orgaan voor geschillenbeslechting mogen indienen (11), zonder kosten voor de betrokkene. Hij brengt de betrokkenen, op de in punt a) genoemde wijze, op de hoogte van een dergelijk verhaalmechanisme en laat hen weten dat zij niet verplicht zijn daarvan gebruik te maken, of om een bepaalde volgorde aan te houden om verhaal te halen.]

MODULE EEN: Doorgifte tussen twee verwerkingsverantwoordelijken

MODULE TWEE: Doorgifte tussen verwerkingsverantwoordelijke en verwerker

MODULE DRIE: Doorgifte tussen twee verwerkers

Bij een geschil tussen een betrokkene en een van de partijen met betrekking tot de naleving van deze bepalingen, doet die partij al het mogelijke om de kwestie tijdig in der minne te schikken. De partijen houden elkaar op de hoogte van dergelijke geschillen en werken, in voorkomend geval, samen om ze te beslechten.

Wanneer de betrokkene zich overeenkomstig bepaling 3 op een recht ten behoeve van derden beroept, aanvaardt de gegevensimporteur het besluit van de betrokkene om:

i)	een klacht in te dienen bij de toezichthoudende autoriteit in de lidstaat waar hij/zij gewoonlijk verblijft of werkt, of de bevoegde toezichthoudende autoriteit krachtens bepaling 13;

ii)	het geschil voor te leggen aan de bevoegde gerechten in de zin van bepaling 18.

d)	De partijen aanvaarden dat de betrokkene vertegenwoordigd kan worden door een orgaan, organisatie of vereniging zonder winstoogmerk onder de in artikel 80, lid 1, van Verordening (EU) 2016/679 vermelde voorwaarden.

e)	De gegevensimporteur schikt zich naar een besluit dat uit hoofde van het toepasselijke recht van de Europese Unie/de lidstaat bindend is.

f)	De gegevensimporteur stemt ermee in dat de keuze van de betrokkene geen afbreuk doet aan zijn/haar materiële en formele rechten om overeenkomstig de geldende wetgeving verhaal te zoeken.

Bepaling 12

Aansprakelijkheid

MODULE EEN: Doorgifte tussen twee verwerkingsverantwoordelijken

MODULE VIER: Doorgifte tussen verwerker en verwerkingsverantwoordelijke

a)	Elke partij is ten aanzien van de andere partij(en) aansprakelijk voor schade die hij de andere partij(en) berokkent door inbreuken op deze bepalingen.

Elke partij is ten aanzien van de betrokkene aansprakelijk, en de betrokkene heeft het recht een vergoeding te verkrijgen, voor materiële of immateriële schade die de partij aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze bepalingen te schenden. Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensexporteur op grond van Verordening (EU) 2016/679.

Wanneer meerdere partijen verantwoordelijk zijn voor schade die als gevolg van schendingen van deze bepalingen aan de betrokkene is berokkend, zijn alle verantwoordelijke partijen hoofdelijk aansprakelijk en heeft de betrokkene het recht om voor de rechter een procedure tegen deze partijen in te stellen.

d)	De partijen komen overeen dat als een van de partijen op grond van punt c) aansprakelijk wordt gesteld, deze partij het recht heeft om op de andere partij(en) het deel van de schadevergoeding te verhalen dat overeenkomt met zijn/hun deel van de aansprakelijkheid voor de schade.

e)	De gegevensimporteur mag zich niet op het gedrag van een verwerker of subverwerker beroepen om zich aan zijn eigen aansprakelijkheid te onttrekken.

MODULE TWEE: Doorgifte tussen verwerkingsverantwoordelijke en verwerker

MODULE DRIE: Doorgifte tussen twee verwerkers

a)	Elke partij is ten aanzien van de andere partij(en) aansprakelijk voor schade die hij de andere partij(en) berokkent door inbreuken op deze bepalingen.

De gegevensimporteur is ten aanzien van de betrokkene aansprakelijk en de betrokkene heeft het recht een vergoeding te verkrijgen voor materiële of immateriële schade die de gegevensimporteur of zijn subverwerker aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze bepalingen te schenden.

Niettegenstaande punt b) is de gegevensexporteur ten aanzien van de betrokkene aansprakelijk en heeft de betrokkene het recht een vergoeding te verkrijgen voor materiële of immateriële schade die de gegevensexporteur of de gegevensimporteur (of zijn subverwerker) aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze bepalingen te schenden. Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensexporteur en, wanneer de gegevensexporteur een verwerker is die namens een verwerkingsverantwoordelijke optreedt, aan de aansprakelijkheid van de verwerkingsverantwoordelijke uit hoofde van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, indien van toepassing.

De partijen komen overeen dat als de gegevensexporteur op grond van punt c) aansprakelijk wordt gesteld voor door de gegevensimporteur (of zijn subverwerker) berokkende schade, hij het recht heeft om op de gegevensimporteur het deel van de schadevergoeding te verhalen dat overeenkomt met de aansprakelijkheid van de gegevensimporteur voor de schade.

f)	De partijen komen overeen dat als een van de partijen op grond van punt e) aansprakelijk wordt gesteld, deze partij het recht heeft om op de andere partij(en) het deel van de schadevergoeding te verhalen dat overeenkomt met zijn/hun deel van de aansprakelijkheid voor de schade.

g)	De gegevensimporteur mag zich niet op het gedrag van een subverwerker beroepen om zich aan zijn eigen aansprakelijkheid te onttrekken.

Bepaling 13

Toezicht

MODULE EEN: Doorgifte tussen twee verwerkingsverantwoordelijken

MODULE TWEE: Doorgifte tussen verwerkingsverantwoordelijke en verwerker

MODULE DRIE: Doorgifte tussen twee verwerkers

[Wanneer de gegevensexporteur in een EU-lidstaat is gevestigd:] De toezichthoudende autoriteit die erop toeziet dat de gegevensexporteur Verordening (EU) 2016/679 naleeft met betrekking tot de gegevensdoorgifte, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.

[Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2, van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt en een vertegenwoordiger heeft aangewezen overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679:] De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.

[Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2, van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt, zonder echter een vertegenwoordiger te hebben aangewezen overeenkomstig artikel 27, lid 2, van Verordening (EU) 2016/679:] De toezichthoudende autoriteit van een van de lidstaten waar de betrokkenen wier persoonsgegevens krachtens deze bepalingen worden verwerkt in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gecontroleerd, zijn gevestigd, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.

De gegevensimporteur stemt ermee in zich te onderwerpen aan de jurisdictie van en samen te werken met de bevoegde toezichthoudende autoriteit in procedures gericht op het waarborgen van de naleving van deze bepalingen. De gegevensimporteur stemt er in het bijzonder mee in vragen te beantwoorden, zich aan audits te onderwerpen en zich aan de door de toezichthoudende autoriteit vastgestelde maatregelen te houden, waaronder corrigerende en compenserende maatregelen. Hij geeft de toezichthoudende autoriteit schriftelijke bevestiging dat de noodzakelijke maatregelen zijn genomen.

AFDELING III — LOKALE WETTEN EN VERPLICHTINGEN IN GEVAL VAN TOEGANG DOOR OVERHEIDSINSTANTIES

Bepaling 14

Lokale wetten en praktijken met gevolgen voor de naleving van de bepalingen

MODULE EEN: Doorgifte tussen twee verwerkingsverantwoordelijken

MODULE TWEE: Doorgifte tussen verwerkingsverantwoordelijke en verwerker

MODULE DRIE: Doorgifte tussen twee verwerkers

MODULE VIER: Doorgifte tussen verwerker en verwerkingsverantwoordelijke (als de verwerker in de Europese Unie de persoonsgegevens die zijn ontvangen van de verwerkingsverantwoordelijke in het derde land combineert met door de verwerker in de Europese Unie verzamelde persoonsgegevens)

De partijen garanderen dat zij geen reden hebben om aan te nemen dat de wetten en praktijken in het derde land van bestemming die van toepassing zijn op de verwerking van de persoonsgegevens door de gegevensimporteur, met inbegrip van vereisten om persoonsgegevens te verstrekken of maatregelen die toegang door overheidsinstanties toestaan, de gegevensimporteur verhinderen zijn verplichtingen uit hoofde van deze bepalingen na te komen. Hierbij wordt ervan uitgegaan dat wetten en praktijken waarmee de wezenlijke inhoud van de grondrechten en fundamentele vrijheden wordt geëerbiedigd en die niet verder gaan dan hetgeen in een democratische samenleving noodzakelijk en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in tegenspraak zijn met deze bepalingen.

De partijen verklaren dat zij bij het bieden van de in punt a) bedoelde garantie met name de volgende elementen naar behoren in aanmerking hebben genomen:

de specifieke omstandigheden van de doorgifte, waaronder de lengte van de verwerkingsketen, het aantal betrokken actoren en de kanalen die voor de toezending zijn gebruikt; voorgenomen verdere doorgiften; het soort ontvanger; het doel van de verwerking; de categorieën en het formaat van de doorgegeven persoonsgegevens; de economische sector waarin de doorgifte plaatsvindt; de opslagplaats van de doorgegeven gegevens;

ii)

de wetten en praktijken van het derde land van bestemming — waaronder de wetten en praktijken die vereisen om gegevens aan overheidsinstanties te verstrekken of toegang door dergelijke instanties toestaan — die van belang zijn in het licht van de specifieke omstandigheden van de doorgifte, en de toepasselijke beperkingen en waarborgen (12);

iii)	alle relevante contractuele, technische of organisatorische waarborgen die zijn ingesteld in aanvulling op de waarborgen uit hoofde van deze bepalingen, waaronder maatregelen die worden toegepast tijdens de toezending en op de verwerking van de persoonsgegevens in het land van bestemming.

De gegevensimporteur garandeert dat hij bij het uitvoeren van de beoordeling op grond van punt b) al het mogelijke heeft gedaan om de gegevensexporteur van relevante informatie te voorzien en stemt ermee in dat hij met de gegevensexporteur zal blijven samenwerken om naleving van deze bepalingen te waarborgen.

d)	De partijen komen overeen om de beoordeling uit hoofde van punt b) te documenteren en op verzoek ter beschikking te stellen van de bevoegde toezichthoudende autoriteit.

De gegevensimporteur stemt ermee in de gegevensexporteur onverwijld in kennis te stellen indien hij, na deze bepalingen te zijn overeengekomen en voor de duur van de overeenkomst, redenen heeft om aan te nemen dat hij onder wetten of praktijken valt of is komen te vallen die niet overeenstemmen met de vereisten uit hoofde van punt a), onder meer ingevolge een wijziging van de wetten in het derde land of een maatregel (zoals een verzoek om verstrekking) die duidt op een toepassing van die wetten in de praktijk die niet overeenstemt met de vereisten in punt a). [Voor module drie: De gegevensexporteur zendt de kennisgeving door aan de verwerkingsverantwoordelijke.]

Ingevolge een kennisgeving overeenkomstig punt e), of als de gegevensexporteur anderszins redenen heeft om aan te nemen dat de gegevensimporteur zijn verplichtingen uit hoofde van deze bepalingen niet langer kan nakomen, stelt de gegevensexporteur onverwijld passende maatregelen (bv. technische of organisatorische maatregelen om betrouwbaarheid en vertrouwelijkheid te waarborgen) vast die de gegevensexporteur en/of de gegevensimporteur moeten uitvoeren om de situatie aan te pakken, [voor module drie:, in voorkomend geval in overleg met de verwerkingsverantwoordelijke]. De gegevensexporteur schort de gegevensdoorgifte op als hij van mening is dat er geen passende waarborgen voor die doorgifte kunnen worden gegarandeerd, of op basis van instructies van [voor module drie: de verwerkingsverantwoordelijke of] de bevoegde toezichthoudende autoriteit hiertoe. In dit geval heeft de gegevensexporteur het recht om de overeenkomst te beëindigen, voor zover die betrekking heeft op de verwerking van persoonsgegevens uit hoofde van deze bepalingen. Indien er meer dan twee partijen bij de overeenkomst zijn betrokken, mag de gegevensexporteur zijn recht om de overeenkomst te beëindigen alleen uitoefenen met betrekking tot de betrokken partij, tenzij anderszins door de partijen is overeengekomen. Indien de overeenkomst overeenkomstig deze bepaling wordt beëindigd, is bepaling 16, punten d) en e), van toepassing.

Bepaling 15

Verplichtingen van de gegevensimporteur in geval van toegang door overheidsinstanties

MODULE EEN: Doorgifte tussen twee verwerkingsverantwoordelijken

MODULE TWEE: Doorgifte tussen verwerkingsverantwoordelijke en verwerker

MODULE DRIE: Doorgifte tussen twee verwerkers

15.1. Kennisgeving

De gegevensimporteur stemt er mee in de gegevensexporteur en, voor zover mogelijk, de betrokkene onverwijld in kennis te stellen (indien nodig met behulp van de gegevensexporteur) indien hij:

van een overheidsinstantie, met inbegrip van rechterlijke instanties, een juridisch bindend verzoek om verstrekking van overeenkomstig deze bepalingen doorgegeven persoonsgegevens ontvangt krachtens het recht van het land van bestemming; een dergelijke kennisgeving omvat informatie over de gevraagde persoonsgegevens, de verzoekende autoriteit, de rechtsgrondslag voor het verzoek en het gegeven antwoord, of

ii)	kennis heeft genomen van rechtstreekse toegang door overheidsinstanties tot de krachtens deze bepalingen doorgegeven persoonsgegevens in overeenstemming met de wetgeving van het land van bestemming; een dergelijke kennisgeving omvat alle informatie waarover de gegevensimporteur beschikt.

[Voor module drie: De gegevensexporteur zendt de kennisgeving door aan de verwerkingsverantwoordelijke.]

Indien het de gegevensimporteur uit hoofde van de wetgeving van het land van bestemming verboden is om de gegevensexporteur en/of de betrokkene in kennis te stellen, stemt de gegevensimporteur ermee in al het mogelijke te doen om van het verbod te worden ontheven, teneinde zo spoedig mogelijk zo veel mogelijk informatie mee te delen. De gegevensimporteur stemt ermee in deze inspanningen te documenteren om ze op verzoek van de gegevensexporteur te kunnen aantonen.

Indien toegestaan uit hoofde van de wetgeving van het land van bestemming, stemt de gegevensimporteur ermee in de gegevensexporteur, met regelmatige tussenpozen gedurende de duur van de overeenkomst, met zo veel mogelijk relevante informatie over de ontvangen verzoeken (met name het aantal verzoeken, het soort gevraagde gegevens, de verzoekende autoriteit(en), of er verzoeken zijn betwist en wat de uitkomst daarvan was enz.) te doen toekomen. [Voor module drie: De gegevensexporteur zendt de informatie door aan de verwerkingsverantwoordelijke.]

d)	De gegevensimporteur stemt ermee in de informatie overeenkomstig de punten a) tot en met c) te bewaren voor de duur van de overeenkomst en die op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit te stellen.

e)	De punten a) tot en met c) doen geen afbreuk aan de verplichting van de gegevensimporteur overeenkomstig bepaling 14, punt e), en bepaling 16 om de gegevensexporteur onverwijld in kennis te stellen wanneer hij niet in staat is deze bepalingen na te leven.

15.2. Wettigheidstoetsing en gegevensminimalisering

De gegevensimporteur stemt ermee in de wettigheid van het verzoek om verstrekking te toetsen, met name of die binnen de aan de verzoekende overheidsinstantie toegekende bevoegdheden blijft, en het verzoek te betwisten indien hij na een zorgvuldige beoordeling tot de conclusie komt dat er redelijke gronden zijn om aan te nemen dat het verzoek onwettig is krachtens de wetgeving van het land van bestemming, toepasselijke verplichtingen uit hoofde van het internationaal recht en beginselen van internationale courtoisie. Onder deze omstandigheden benut de gegevensimporteur de beroepsmogelijkheden. Bij het betwisten van een verzoek neemt de gegevensimporteur voorlopige maatregelen om de effecten van het verzoek op te schorten totdat de bevoegde rechterlijke instantie over de gegrondheid ervan heeft beslist. Hij verstrekt de gevraagde persoonsgegevens pas wanneer hij dat volgens de toepasselijke procedurevoorschriften moet doen. Deze vereisten doen geen afbreuk aan de verplichtingen van de gegevensimporteur krachtens bepaling 14, punt e).

De gegevensimporteur stemt ermee in zijn juridische beoordeling en eventuele betwistingen van het verzoek om verstrekking te documenteren en, voor zover dit is toegestaan krachtens de wetgeving van het land van bestemming, de documentatie ter beschikking te stellen van de gegevensexporteur. Hij stelt deze documenten op verzoek ook ter beschikking van de bevoegde toezichthoudende autoriteit. [Voor module drie: De gegevensexporteur stelt de beoordeling ter beschikking van de verwerkingsverantwoordelijke.]

c)	De gegevensimporteur stemt ermee in de toegestane minimale hoeveelheid informatie te verstrekken bij het beantwoorden van een verzoek om verstrekking, op basis van een redelijke interpretatie van het verzoek.

AFDELING IV — SLOTBEPALINGEN

Bepaling 16

Niet-naleving van de bepalingen en beëindiging

a)	De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis indien hij om wat voor reden dan ook niet in staat is deze bepalingen na te leven.

Indien de gegevensimporteur inbreuk maakt op deze bepalingen of niet in staat is deze bepalingen na te leven, schort de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur op totdat de naleving weer wordt gewaarborgd of totdat de overeenkomst wordt beëindigd. Dit doet geen afbreuk aan bepaling 14, punt f).

De gegevensexporteur heeft het recht de overeenkomst te beëindigen, voor zover die betrekking heeft op de verwerking van persoonsgegevens uit hoofde van deze bepalingen, wanneer:

i)	de gegevensexporteur de doorgifte van persoonsgegevens naar de gegevensimporteur overeenkomstig punt b) heeft opgeschort en de bepalingen niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting weer worden nageleefd;

ii)	de gegevensimporteur in belangrijke en voortdurende mate inbreuk maakt op deze bepalingen, of

iii)	de gegevensimporteur zich niet aan een bindend besluit van een bevoegd gerecht of een bevoegde autoriteit met betrekking tot zijn verplichtingen uit hoofde van deze bepalingen houdt.

In deze gevallen stelt hij de bevoegde toezichthoudende autoriteit [voor module drie: en de verwerkingsverantwoordelijke] in kennis van die niet-naleving. Wanneer meer dan twee partijen bij de overeenkomst zijn betrokken, mag de gegevensexporteur zijn recht om de overeenkomst te beëindigen alleen uitoefenen met betrekking tot de betrokken partij, tenzij anderszins door de partijen is overeengekomen.

[Voor de modulen een, twee en drie: Persoonsgegevens die voorafgaand aan de beëindiging van de overeenkomst zijn doorgegeven overeenkomstig punt c) worden, naargelang de wens van de gegevensexporteur, onmiddellijk volledig aan de gegevensexporteur terugbezorgd of gewist. Hetzelfde geldt voor eventuele kopieën van de gegevens.] [Voor module vier: Door de gegevensexporteur in de Europese Unie verzamelde persoonsgegevens die voordat de overeenkomst werd beëindigd waren doorgegeven overeenkomstig punt c) worden onmiddellijk volledig gewist, met inbegrip van eventuele kopieën daarvan.] De gegevensimporteur verzekert de gegevensexporteur ervan dat de gegevens zijn gewist. Totdat de gegevens zijn gewist of teruggezonden, blijft de gegevensimporteur ervoor zorgen dat aan deze bepalingen wordt voldaan. In geval van lokaal recht dat op de gegevensimporteur van toepassing is en op basis waarvan teruggave of wissing van de doorgegeven persoonsgegevens verboden is, garandeert de gegevensimporteur dat hij deze bepalingen zal blijven naleven en de gegevens alleen zal verwerken voor zover en zolang dat naar dat lokaal recht is vereist.

Elk van de partijen kan haar toestemming om aan deze bepalingen gebonden te zijn, intrekken wanneer i) de Europese Commissie een besluit overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 neemt dat betrekking heeft op de doorgifte van persoonsgegevens waarop deze bepalingen van toepassing zijn; of ii) Verordening (EU) 2016/679 onderdeel wordt van het rechtskader van het land waarnaar de persoonsgegevens worden doorgegeven. Dit doet geen afbreuk aan andere verplichtingen die van toepassing zijn op de desbetreffende verwerking op grond van Verordening (EU) 2016/679.

Bepaling 17

Toepasselijk recht

MODULE EEN: Doorgifte tussen twee verwerkingsverantwoordelijken

MODULE TWEE: Doorgifte tussen verwerkingsverantwoordelijke en verwerker

MODULE DRIE: Doorgifte tussen twee verwerkers

[OPTIE 1: Deze bepalingen worden geregeld door het recht van een van de EU-lidstaten, mits dat recht voorziet in rechten ten behoeve van derden. De partijen komen overeen dat dit het recht van _______ (lidstaat opgeven) is.]

[OPTIE 2 (voor de modulen twee en drie): Deze bepalingen worden geregeld door het recht van de EU-lidstaat waar de gegevensexporteur is gevestigd. Wanneer dat recht niet in rechten ten behoeve van derden voorziet, worden deze bepalingen geregeld door het recht van een andere EU-lidstaat dat wel in rechten ten behoeve van derden voorziet. De partijen komen overeen dat dit het recht van _______ (lidstaat opgeven) is.]

MODULE VIER: Doorgifte tussen verwerker en verwerkingsverantwoordelijke

Deze bepalingen worden geregeld door het recht van een land dat rechten ten behoeve van derden toestaat. De partijen komen overeen dat dit het recht van _______ (land opgeven) is.

Bepaling 18

Forum- en jurisdictiekeuze

MODULE EEN: Doorgifte tussen twee verwerkingsverantwoordelijken

MODULE TWEE: Doorgifte tussen verwerkingsverantwoordelijke en verwerker

MODULE DRIE: Doorgifte tussen twee verwerkers

a)	Uit deze bepalingen voortvloeiende geschillen worden beslecht door de gerechten van een EU-lidstaat.

b)	De partijen komen overeen dat dit de gerechten van _______ (lidstaat opgeven) zijn.

c)	Een betrokkene kan ook gerechtelijke procedures aanhangig maken tegen de gegevensexporteur en/of de gegevensimporteur bij de gerechten van de lidstaat waar hij/zij gewoonlijk verblijft.

d)	De partijen komen overeen zich aan de jurisdictie van die gerechten te onderwerpen.

MODULE VIER: Doorgifte tussen verwerker en verwerkingsverantwoordelijke

Uit deze bepalingen voortvloeiende geschillen worden beslecht door de gerechten van _____ (land opgeven).

(1) Wanneer de gegevensexporteur een onder Verordening (EU) 2016/679 vallende verwerker is die namens een instelling of orgaan van de Unie optreedt als verwerkingsverantwoordelijke, garandeert de toepassing van deze bepalingen bij het in dienst nemen van een andere verwerker (subverwerker) die niet onder Verordening (EU) 2016/679 valt ook de naleving van artikel 29, lid 4, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39), voor zover deze bepalingen en de verplichtingen inzake gegevensbescherming zoals opgenomen in de overeenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker overeenkomstig artikel 29, lid 3, van Verordening (EU) 2018/1725 op één lijn zijn gebracht. Dat is met name het geval wanneer de verwerkingsverantwoordelijke en de verwerker zich baseren op de in Besluit 2021/915 opgenomen standaardcontractbepalingen.

(2) Dit vereist dat de gegevens op dusdanige wijze anoniem moeten worden gemaakt dat de persoon door niemand meer geïdentificeerd kan worden, overeenkomstig overweging 26 van Verordening (EU) 2016/679, en dat dit proces onomkeerbaar is.

(3) De Overeenkomst betreffende de Europese Economische Ruimte (EER-overeenkomst) voorziet in de uitbreiding van de interne markt van de Europese Unie met de drie EER-staten IJsland, Liechtenstein en Noorwegen. De Uniewetgeving inzake gegevensbescherming, waaronder Verordening (EU) 2016/679, valt onder de EER-overeenkomst en is in bijlage XI daarbij opgenomen. Derhalve wordt een verstrekking door de gegevensimporteur aan een in de EER gevestigde derde partij voor de toepassing van deze bepalingen niet als een verdere doorgifte aangemerkt.

(4) De Overeenkomst betreffende de Europese Economische Ruimte (EER-overeenkomst) voorziet in de uitbreiding van de interne markt van de Europese Unie met de drie EER-staten IJsland, Liechtenstein en Noorwegen. De Uniewetgeving inzake gegevensbescherming, waaronder Verordening (EU) 2016/679, valt onder de EER-overeenkomst en is in bijlage XI daarbij opgenomen. Derhalve wordt een verstrekking door de gegevensimporteur aan een in de EER gevestigde derde partij voor de toepassing van deze bepalingen niet als een verdere doorgifte aangemerkt.

(5) Zie artikel 28, lid 4, van Verordening (EU) 2016/679 en, wanneer de verwerkingsverantwoordelijke een instelling of orgaan van de Europese Unie is, artikel 29, lid 4, van Verordening (EU) 2018/1725.

(6) De Overeenkomst betreffende de Europese Economische Ruimte (EER-overeenkomst) voorziet in de uitbreiding van de interne markt van de Europese Unie met de drie EER-staten IJsland, Liechtenstein en Noorwegen. De Uniewetgeving inzake gegevensbescherming, waaronder Verordening (EU) 2016/679, valt onder de EER-overeenkomst en is in bijlage XI daarbij opgenomen. Derhalve wordt een verstrekking door de gegevensimporteur aan een in de EER gevestigde derde partij voor de toepassing van deze bepalingen niet als een verdere doorgifte aangemerkt.

(7) Hieronder valt ook de vraag of de doorgifte en verdere verwerking persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten omvatten.

(8) Aan dit vereiste kan worden voldaan door toetreding van de subverwerker tot deze bepalingen overeenkomstig de gepaste module, in overeenstemming met bepaling 7.

(9) Aan dit vereiste kan worden voldaan door toetreding van de subverwerker tot deze bepalingen overeenkomstig de gepaste module, in overeenstemming met bepaling 7.

(10) Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met maximaal twee maanden worden verlengd. De gegevensimporteur stelt de betrokkene naar behoren en onverwijld in kennis van een dergelijke verlenging.

(11) De gegevensimporteur mag alleen onafhankelijke geschillenbeslechting via een arbitragecommissie aanbieden als hij gevestigd is in een land dat het Verdrag van New York over de erkenning en tenuitvoerlegging van buitenlandse scheidsrechterlijke uitspraken heeft geratificeerd.

(12) Met betrekking tot het effect van dergelijke wetten en praktijken op de naleving van de bepalingen, kunnen verschillende elementen worden beschouwd als onderdeel van een algemene beoordeling. Het kan hierbij gaan om relevante en gedocumenteerde praktijkervaring met eerdere gevallen van verzoeken om verstrekking van overheidsinstanties, of het ontbreken van dergelijke verzoeken, gedurende een voldoende representatief tijdsbestek. Dit heeft met name betrekking op interne registers of andere documenten die doorlopend en met de nodige zorgvuldigheid zijn opgesteld en op seniormanagementniveau zijn gecertificeerd, mits deze informatie rechtmatig met derde partijen kan worden gedeeld. Indien van deze praktijkervaring wordt uitgegaan om te concluderen dat de gegevensimporteur niet gehinderd zal worden om deze bepalingen na te leven, moet die ervaring worden ondersteund door andere relevante objectieve elementen en dienen de partijen zorgvuldig na te gaan of deze elementen wat de betrouwbaarheid en representativiteit ervan betreft samen voldoende gewicht in de schaal leggen om deze conclusie te ondersteunen. De partijen moeten er met name rekening mee houden of hun praktijkervaring wordt bevestigd en niet wordt tegengesproken door openbaar beschikbare of anderszins toegankelijke betrouwbare informatie over het bestaan of het ontbreken van verzoeken binnen dezelfde sector en/of de toepassing van het recht in de praktijk, zoals jurisprudentie en verslagen van onafhankelijke toezichthoudende organen.