STANDARDKONTRAKTKLAUSULER

Tillæg nr. 2 - Standardkontraktklausuler

STANDARDKONTRAKTKLAUSULER

AFSNIT I

Klausul 1
Formål og anvendelsesområde

(a) Formålet med disse standardkontraktbestemmelser er at sikre overholdelse af kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) for overførsel af personoplysninger til et tredjeland.

(b) Parterne:
(i) den eller de fysiske eller juridiske personer, offentlige myndigheder, agenturer eller andre organer (i det følgende benævnt "enhed(er)"), der videregiver personoplysningerne, som er opført i bilag I.A (i det følgende benævnt "dataeksportører"), og

(ii) den eller de enheder i et tredjeland, der modtager personoplysningerne fra dataeksportøren, direkte eller indirekte via en anden enhed, der også er part i disse klausuler, som anført i bilag I.A (i det følgende benævnt "dataimportør"), har accepteret disse standardkontraktbestemmelser (i det følgende benævnt "klausuler").

(c) Disse klausuler finder anvendelse med hensyn til overførsel af personoplysninger som specificeret i bilag I.B.

(d) Tillægget til disse klausuler med de bilag, der er nævnt heri, udgør en integrerende del af disse klausuler.

Klausul 2
Klausulernes virkning og uforanderlighed

(a) Disse klausuler fastsætter passende garantier, herunder håndhævelige rettigheder for registrerede og effektive retsmidler, i henhold til artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i forordning (EU) 2016/679 og, med hensyn til dataoverførsler fra registeransvarlige til registerførere og/eller registerførere til registerførere, standardkontraktklausuler i henhold til artikel 28, stk. 7, i forordning (EU) 2016/679, forudsat at de ikke ændres, undtagen for at vælge det/de relevante modul(er) eller for at tilføje eller opdatere oplysninger i tillægget. Dette forhindrer ikke parterne i at medtage de standardkontraktbestemmelser, der er fastsat i disse klausuler, i en bredere kontrakt og/eller at tilføje andre klausuler eller yderligere garantier, forudsat at de ikke direkte eller indirekte er i modstrid med disse klausuler eller skader de registreredes grundlæggende rettigheder eller frihedsrettigheder.

(b) Disse klausuler berører ikke de forpligtelser, som dataeksportøren er underlagt i henhold til forordning (EU) 2016/679.

Klausul 3
Tredjepartsmodtagere

(a) De registrerede kan påberåbe sig og håndhæve disse klausuler som tredjepartsmodtagere over for dataeksportøren og/eller dataimportøren med følgende undtagelser:
(i) punkt 1, punkt 2, punkt 3, punkt 6 og punkt 7;

(ii) Paragraf 8 - Modul 1: Paragraf 8.5, litra e), og paragraf 8.9, litra b); Modul 2: Paragraf 8.1, litra b), 8.9, litra a), c), d) og e); Modul 3: Modul fire: punkt 8.1, litra b), og punkt 8.3, litra b);

(iii) Paragraf 9 - Modul to: Paragraf 9(a), (c), (d) og (e); Modul tre: Klausul 9(a), (c), (d) og (e);

(iv) Klausul 12 - Modul 1: Klausul 12(a) og (d); Modul 2 og 3: Klausul 12(a), (d) og (f);

(v) Paragraf 13;

(vi) punkt 15.1, litra c), d) og e);

(vii) Paragraf 16, litra e);

(viii) Paragraf 18 - Modul et, to og tre: Klausul 18, litra a) og b); modul fire: Bestemmelse 18.

(b) Litra a) berører ikke registreredes rettigheder i henhold til forordning (EU) 2016/679.

Klausul 4
Fortolkning

(a) Når der i disse klausuler anvendes udtryk, der er defineret i forordning (EU) 2016/679, har disse udtryk samme betydning som i denne forordning.

(b) Disse klausuler skal læses og fortolkes i lyset af bestemmelserne i forordning (EU) 2016/679.

(c) Disse klausuler må ikke fortolkes på en måde, der er i strid med rettigheder og forpligtelser, der er fastsat i forordning (EU) 2016/679.

Paragraf 5
Hierarki

I tilfælde af modstrid mellem disse klausuler og bestemmelserne i relaterede aftaler mellem parterne, der eksisterer på det tidspunkt, hvor disse klausuler aftales, eller som indgås efterfølgende, har disse klausuler forrang.

Paragraf 6
Beskrivelse af overførslen/overførslerne

Nærmere oplysninger om overførslen/overførslerne og navnlig de kategorier af personoplysninger, der overføres, og formålet/formålene med overførslen, er anført i bilag I.B.

Paragraf 7
Dockingklausul

(a) En enhed, der ikke er part i disse klausuler, kan med parternes samtykke til enhver tid tiltræde disse klausuler, enten som dataeksportør eller dataimportør, ved at udfylde tillægget og underskrive bilag I.A.

(b) Når den tiltrædende enhed har udfyldt tillægget og underskrevet bilag I.A, bliver den tiltrædende enhed part i disse klausuler og har de rettigheder og forpligtelser, som en dataeksportør eller dataimportør har i overensstemmelse med sin betegnelse i bilag I.A.

(c) Den tiltrædende enhed har ingen rettigheder eller forpligtelser i henhold til disse klausuler fra perioden før den bliver part.

AFSNIT II - PARTERNES FORPLIGTELSER

Paragraf 8
Databeskyttelsesgarantier

Dataeksportøren garanterer, at han har gjort en rimelig indsats for at fastslå, at dataimportøren ved hjælp af passende tekniske og organisatoriske foranstaltninger er i stand til at opfylde sine forpligtelser i henhold til disse klausuler.

8.1 Instruktioner
(a) Dataimportøren må kun behandle personoplysningerne efter dokumenterede instrukser fra dataeksportøren. Dataeksportøren kan give sådanne instrukser i hele kontraktens løbetid.

(b) Dataimportøren underretter straks dataeksportøren, hvis han ikke er i stand til at følge disse instrukser.

8.2 Formålsbegrænsning
Dataimportøren behandler kun personoplysningerne til de(t) specifikke formål med overførslen, jf. bilag I.B, medmindre dataeksportøren har givet yderligere instrukser.

8.3 Gennemsigtighed
Dataeksportøren skal efter anmodning stille en kopi af disse klausuler, herunder tillægget som udfyldt af parterne, gratis til rådighed for den registrerede. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder de foranstaltninger, der er beskrevet i bilag II, og personoplysninger, kan dataeksportøren redigere en del af teksten i tillægget til disse klausuler, inden han/hun udleverer en kopi, men skal give et meningsfuldt resumé, hvis den registrerede ellers ikke ville være i stand til at forstå indholdet eller udøve sine rettigheder. Parterne skal efter anmodning give den registrerede en begrundelse for redigeringen, så vidt muligt uden at afsløre de redigerede oplysninger. Denne klausul berører ikke dataeksportørens forpligtelser i henhold til artikel 13 og 14 i forordning (EU) 2016/679.

8.4 Nøjagtighed
Hvis dataimportøren bliver opmærksom på, at de personoplysninger, som den har modtaget, er unøjagtige eller forældede, underretter den dataeksportøren herom uden unødig forsinkelse. I så fald samarbejder dataimportøren med dataeksportøren om at slette eller berigtige oplysningerne.

8.5 Behandlingens varighed og sletning eller returnering af data
Datainsportens behandling finder kun sted i det tidsrum, der er angivet i bilag I.B. Efter afslutningen af behandlingstjenesterne skal datainsporten efter dataeksportørens valg slette alle personoplysninger, der er behandlet på dataeksportørens vegne, og attestere over for dataeksportøren, at dette er sket, eller returnere alle personoplysninger, der er behandlet på dennes vegne, til dataeksportøren og slette eksisterende kopier. Indtil oplysningerne er slettet eller returneret, skal dataimportøren fortsat sikre, at disse bestemmelser overholdes. I tilfælde af lokal lovgivning, der gælder for dataimportøren, og som forbyder returnering eller sletning af personoplysningerne, garanterer dataimportøren, at han fortsat vil sikre overholdelse af disse klausuler og kun vil behandle dem i det omfang og så længe, som den lokale lovgivning kræver det. Dette berører ikke bestemmelserne i klausul 14, navnlig kravet om, at dataimportøren i henhold til klausul 14, litra e), skal underrette dataeksportøren i hele kontraktens løbetid, hvis han har grund til at tro, at han er eller er blevet underlagt love eller praksis, der ikke er i overensstemmelse med kravene i klausul 14, litra a).

8.6 Behandlingssikkerhed
(a)Dataimportøren og, under videregivelsen, også dataeksportøren skal gennemføre passende tekniske og organisatoriske foranstaltninger for at garantere datasikkerheden, herunder beskyttelse mod brud på sikkerheden, der fører til utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til disse data (i det følgende benævnt "brud på persondatasikkerheden"). Ved vurderingen af det passende sikkerhedsniveau tager parterne behørigt hensyn til det aktuelle tekniske niveau, omkostningerne ved gennemførelsen, arten, omfanget, sammenhængen og formålet/formålene med behandlingen samt de risici, som behandlingen indebærer for de registrerede. Parterne skal navnlig overveje at anvende kryptering eller pseudonymisering, herunder under videregivelse, når formålet med behandlingen kan opfyldes på denne måde. I tilfælde af pseudonymisering skal de supplerende oplysninger, der gør det muligt at henføre personoplysningerne til en bestemt registreret, så vidt muligt forblive under dataeksportørens enekontrol. Ved opfyldelsen af sine forpligtelser i henhold til dette stykke skal dataimportøren som et minimum gennemføre de tekniske og organisatoriske foranstaltninger, der er anført i bilag II. Dataimportøren foretager regelmæssig kontrol for at sikre, at disse foranstaltninger fortsat giver et passende sikkerhedsniveau.

(b) Dataimportøren giver kun adgang til personoplysningerne til medlemmer af sit personale i det omfang, det er strengt nødvendigt for gennemførelsen, forvaltningen og overvågningen af kontrakten. Den sikrer, at de personer, der er bemyndiget til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

(c) I tilfælde af et brud på persondatasikkerheden vedrørende personoplysninger, der behandles af dataimportøren i henhold til disse klausuler, skal dataimportøren træffe passende foranstaltninger til at afhjælpe bruddet, herunder foranstaltninger til at afbøde dets negative virkninger. Dataimportøren skal også underrette dataeksportøren uden unødig forsinkelse efter at have fået kendskab til bruddet. En sådan underretning skal indeholde oplysninger om et kontaktpunkt, hvor der kan indhentes yderligere oplysninger, en beskrivelse af overtrædelsens art (herunder om muligt kategorier og det omtrentlige antal berørte registrerede personer og personoplysninger), dens sandsynlige konsekvenser og de foranstaltninger, der er truffet eller foreslået for at afhjælpe overtrædelsen, herunder om nødvendigt foranstaltninger til at afbøde dens eventuelle negative virkninger. Hvis og i det omfang det ikke er muligt at give alle oplysninger på samme tid, skal den første meddelelse indeholde de oplysninger, der er tilgængelige på det pågældende tidspunkt, og yderligere oplysninger skal, efterhånden som de bliver tilgængelige, gives uden unødig forsinkelse.

(d) Dataimportøren samarbejder med og bistår dataeksportøren for at sætte dataeksportøren i stand til at opfylde sine forpligtelser i henhold til forordning (EU) 2016/679, navnlig med hensyn til at underrette den kompetente tilsynsmyndighed og de berørte registrerede personer, under hensyntagen til arten af behandlingen og de oplysninger, som dataimportøren har til rådighed.

8.7 Følsomme data
Hvis videregivelsen omfatter personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data eller biometriske data med henblik på entydig identifikation af en fysisk person, oplysninger om helbred eller en persons seksuelle forhold eller seksuelle orientering eller oplysninger om straffedomme og lovovertrædelser (i det følgende benævnt "følsomme oplysninger"), skal dataimportøren anvende de specifikke begrænsninger og/eller yderligere garantier, der er beskrevet i bilag I.B.

8.8 Videregående overførsler
Dataimportøren må kun videregive personoplysningerne til en tredjepart efter dokumenterede instrukser fra dataeksportøren. Desuden må oplysningerne kun videregives til en tredjepart uden for Den Europæiske Union (4) (i samme land som dataimportøren eller i et andet tredjeland, i det følgende benævnt "videreoverførsel"), hvis tredjeparten er eller accepterer at være bundet af disse klausuler, under det relevante modul, eller hvis:
(i) den videre overførsel er til et land, der er omfattet af en afgørelse om tilstrækkelighed i henhold til artikel 45 i forordning (EU) 2016/679, der dækker den videre overførsel;

(ii) tredjeparten på anden måde sikrer passende garantier i henhold til artikel 46 eller 47 i forordning (EU) 2016/679 med hensyn til den pågældende behandling;

(iii) den videre overførsel er nødvendig for at fastslå, udøve eller forsvare retskrav i forbindelse med specifikke administrative, lovgivningsmæssige eller retlige procedurer, eller

(iv) den videre overførsel er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

Enhver videreoverførsel er betinget af, at dataimportøren overholder alle de øvrige garantier i henhold til disse klausuler, navnlig formålsbegrænsning.

8.9 Dokumentation og overholdelse
(a) Dataimportøren skal straks og på passende vis behandle forespørgsler fra dataeksportøren, der vedrører behandlingen i henhold til disse klausuler, på passende vis.

(b) Parterne skal kunne påvise, at disse klausuler overholdes. Navnlig skal dataimportøren opbevare passende dokumentation om de behandlingsaktiviteter, der udføres på vegne af dataeksportøren.

(c) Dataimportøren skal stille alle de oplysninger til rådighed for dataeksportøren, der er nødvendige for at påvise overholdelse af forpligtelserne i disse klausuler, og på dataeksportørens anmodning tillade og bidrage til revisioner af de behandlingsaktiviteter, der er omfattet af disse klausuler, med rimelige mellemrum eller hvis der er tegn på manglende overholdelse. Når dataeksportøren træffer beslutning om en gennemgang eller revision, kan han tage hensyn til relevante certificeringer, som dataimportøren er i besiddelse af.

(d) Dataeksportøren kan vælge at foretage revisionen selv eller give en uafhængig revisor mandat til at foretage revisionen. Revisionen kan omfatte inspektioner i dataimportørens lokaler eller fysiske faciliteter og skal, hvor det er hensigtsmæssigt, gennemføres med rimeligt varsel.

(e) Parterne stiller de i litra b) og c) omhandlede oplysninger, herunder resultaterne af eventuelle revisioner, til rådighed for den kompetente tilsynsmyndighed efter anmodning.

Paragraf 9
Brug af underdatabehandlere

(a) Dataimportøren har dataeksportørens generelle tilladelse til at ansætte underdatabehandler(e) fra en aftalt liste. Dataimportøren underretter specifikt og skriftligt dataeksportøren om enhver påtænkt ændring af denne liste ved tilføjelse eller udskiftning af underdatabehandlere mindst [Angiv tidsperiode] på forhånd, således at dataeksportøren får tilstrækkelig tid til at kunne gøre indsigelse mod sådanne ændringer, inden underdatabehandleren/underdatabehandlerne ansættes. Dataimportøren giver dataeksportøren de oplysninger, der er nødvendige for at gøre det muligt for dataeksportøren at udøve sin ret til at gøre indsigelse.

(b) Hvis dataimportøren engagerer en underdatabehandler til at udføre specifikke behandlingsaktiviteter (på vegne af dataeksportøren), skal det ske ved hjælp af en skriftlig kontrakt, der i alt væsentligt indeholder de samme databeskyttelsesforpligtelser som dem, der binder dataimportøren i henhold til disse klausuler, herunder med hensyn til tredjepartsrettigheder for registrerede. (8) Parterne er enige om, at dataimportøren ved at overholde denne klausul opfylder sine forpligtelser i henhold til klausul 8.8 ved at overholde denne klausul. Dataimportøren skal sikre, at underdatabehandleren overholder de forpligtelser, som dataimportøren er underlagt i henhold til disse klausuler.

(c) Dataimportøren skal på dataeksportørens anmodning give dataeksportøren en kopi af en sådan aftale om underdatabehandler og eventuelle senere ændringer. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan dataimportøren redigere teksten til aftalen, inden han udleverer en kopi.

(d) Dataimportøren forbliver fuldt ud ansvarlig over for dataeksportøren for opfyldelsen af underdatabehandlerens forpligtelser i henhold til dennes kontrakt med dataimportøren. Dataimportøren underretter dataeksportøren om enhver manglende opfyldelse af underdatabehandlerens forpligtelser i henhold til denne kontrakt.

(e) Dataimportøren skal aftale en klausul om tredjemandsbegunstigelse med underdatabehandleren, hvorefter dataeksportøren - i tilfælde af at dataimportøren rent faktisk er forsvundet, er ophørt med at eksistere retligt eller er blevet insolvent - har ret til at opsige underdatabehandlerkontrakten og pålægge underdatabehandleren at slette eller returnere personoplysningerne.

Klausul 10
Den registreredes rettigheder

(a) Dataimportøren skal straks underrette dataeksportøren om enhver anmodning, som den har modtaget fra en registreret person. Den må ikke selv besvare denne anmodning, medmindre den er blevet bemyndiget hertil af dataeksportøren.

(b) Dataimportøren bistår dataeksportøren med at opfylde sine forpligtelser til at reagere på de registreredes anmodninger om udøvelse af deres rettigheder i henhold til forordning (EU) 2016/679. I den forbindelse fastsætter parterne i bilag II de passende tekniske og organisatoriske foranstaltninger, under hensyntagen til behandlingens art, hvormed bistanden skal ydes, samt omfanget og rækkevidden af den nødvendige bistand.

(c) Ved opfyldelsen af sine forpligtelser i henhold til litra a) og b) skal dataimportøren overholde instrukserne fra dataeksportøren.

Paragraf 11
Afhjælpning

(a) Dataimportøren informerer de registrerede i et gennemsigtigt og lettilgængeligt format, gennem individuelle meddelelser eller på sit websted, om et kontaktpunkt, der er bemyndiget til at behandle klager. Den behandler omgående alle klager, som den modtager fra en registreret. Dataimportøren accepterer, at de registrerede også kan indgive en klage til et uafhængigt organ til bilæggelse af tvister uden omkostninger for den registrerede. Den underretter de registrerede på den i litra a) nævnte måde om denne klageordning og om, at de ikke er forpligtet til at benytte den eller følge en bestemt rækkefølge for at søge klage.

(b) I tilfælde af en tvist mellem en registreret og en af parterne om overholdelse af disse klausuler skal den pågældende part gøre sit bedste for at løse problemet i mindelighed i tide. Parterne holder hinanden underrettet om sådanne tvister og samarbejder om nødvendigt om at løse dem.

(c) Hvis den registrerede påberåber sig en tredjepartsret i henhold til paragraf 3, skal dataimportøren acceptere den registreredes beslutning om at:
(i) indgive en klage til tilsynsmyndigheden i den medlemsstat, hvor han/hun har sit sædvanlige opholdssted eller arbejdssted, eller til den kompetente tilsynsmyndighed i henhold til punkt 13;

(ii) indbringe tvisten for de kompetente domstole i henhold til punkt 18.

(d) Parterne accepterer, at den registrerede kan lade sig repræsentere af et organ, en organisation eller en forening uden gevinst for øje på de betingelser, der er fastsat i artikel 80, stk. 1, i forordning (EU) 2016/679.

(e) Dataimportøren skal overholde en afgørelse, der er bindende i henhold til den gældende EU-lovgivning eller medlemsstatens lovgivning.

(f) Dataimportøren accepterer, at den registreredes valg ikke berører vedkommendes materielle og processuelle rettigheder til at søge retsmidler i overensstemmelse med gældende lovgivning.

Paragraf 12
Ansvar

(a) Hver part er ansvarlig over for den/de anden part(er) for enhver skade, som den/de anden part(er) påføres af den/de anden part(er) ved overtrædelse af disse klausuler.

(b) Dataimportøren er ansvarlig over for den registrerede, og den registrerede er berettiget til at modtage erstatning for enhver materiel eller ikke-økonomisk skade, som dataimportøren eller dennes underdatabehandler påfører den registrerede ved at krænke tredjepartsrettighederne i henhold til disse klausuler.

(c) Uanset litra b) er dataeksportøren ansvarlig over for den registrerede, og den registrerede er berettiget til at modtage erstatning for enhver materiel eller ikke-økonomisk skade, som dataeksportøren eller dataimportøren (eller dennes underdatabehandler) påfører den registrerede ved at overtræde tredjepartsrettighederne i henhold til disse klausuler. Dette berører ikke dataeksportørens ansvar og, hvis dataeksportøren er en databehandler, der handler på vegne af en dataansvarlig, den dataansvarliges ansvar i henhold til forordning (EU) 2016/679 eller forordning (EU) 2018/1725, alt efter hvad der er relevant.

(d) Parterne er enige om, at hvis dataeksportøren i henhold til litra c) holdes ansvarlig for skader forårsaget af dataimportøren (eller dennes underdatabehandler), har denne ret til at kræve den del af erstatningen tilbage fra dataimportøren, der svarer til dataimportørens ansvar for skaden.

(e) Hvis mere end én part er ansvarlig for en skade, der er forvoldt den registrerede som følge af en overtrædelse af disse klausuler, er alle ansvarlige parter solidarisk ansvarlige, og den registrerede har ret til at anlægge sag ved retten mod enhver af disse parter.

(f) Parterne er enige om, at hvis en part holdes ansvarlig i henhold til litra e), har den ret til at kræve den del af erstatningen, der svarer til dens/deres ansvar for skaden, tilbagebetalt af den anden part/dem anden part/dem anden part.

(g) Dataimportøren kan ikke påberåbe sig en underdatabehandlers adfærd for at undgå sit eget ansvar.

Paragraf 13
Tilsyn

(a) [Hvis dataeksportøren er etableret i en EU-medlemsstat:] Den tilsynsmyndighed, der har ansvaret for at sikre, at dataeksportøren overholder forordning (EU) 2016/679 med hensyn til dataoverførslen, som angivet i bilag I.C, skal fungere som kompetent tilsynsmyndighed.
[Hvis dataeksportøren ikke er etableret i en EU-medlemsstat, men falder inden for det territoriale anvendelsesområde for forordning (EU) 2016/679 i overensstemmelse med forordningens artikel 3, stk. 2, og har udpeget en repræsentant i henhold til artikel 27, stk. 1, i forordning (EU) 2016/679:] Tilsynsmyndigheden i den medlemsstat, hvor repræsentanten i henhold til artikel 27, stk. 1, i forordning (EU) 2016/679 er etableret, som angivet i bilag I.C, fungerer som kompetent tilsynsmyndighed.
[Hvis dataeksportøren ikke er etableret i en EU-medlemsstat, men falder inden for det territoriale anvendelsesområde for forordning (EU) 2016/679 i overensstemmelse med forordningens artikel 3, stk. 2, uden at skulle udpege en repræsentant i henhold til artikel 27, stk. 2, i forordning (EU) 2016/679:] Tilsynsmyndigheden i en af de medlemsstater, hvor de registrerede, hvis personoplysninger overføres i henhold til disse klausuler i forbindelse med udbud af varer eller tjenesteydelser til dem, eller hvis adfærd overvåges, befinder sig, som angivet i bilag I.C, skal fungere som kompetent tilsynsmyndighed.

(b) Dataimportøren accepterer at underkaste sig den kompetente tilsynsmyndigheds jurisdiktion og samarbejde med den kompetente tilsynsmyndighed i alle procedurer, der har til formål at sikre overholdelse af disse klausuler. Navnlig accepterer dataimportøren at besvare forespørgsler, underkaste sig revisioner og overholde de foranstaltninger, der vedtages af tilsynsmyndigheden, herunder afhjælpende og kompenserende foranstaltninger. Den skal give tilsynsmyndigheden en skriftlig bekræftelse på, at de nødvendige foranstaltninger er blevet truffet.

AFSNIT III - LOKAL LOVGIVNING OG FORPLIGTELSER I TILFÆLDE AF OFFENTLIGE MYNDIGHEDERS ADGANG

Paragraf 14
Lokal lovgivning og praksis, der påvirker overholdelsen af klausulerne

(a) Parterne garanterer, at de ikke har nogen grund til at tro, at de love og den praksis i bestemmelsestredjelandet, der gælder for dataimportørens behandling af personoplysningerne, herunder eventuelle krav om offentliggørelse af personoplysninger eller foranstaltninger, der tillader offentlige myndigheder adgang, forhindrer dataimportøren i at opfylde sine forpligtelser i henhold til disse klausuler. Dette er baseret på forståelsen af, at love og praksis, der respekterer essensen af de grundlæggende rettigheder og frihedsrettigheder og ikke går ud over, hvad der er nødvendigt og proportionalt i et demokratisk samfund for at sikre et af de mål, der er anført i artikel 23, stk. 1, i forordning (EU) 2016/679, ikke er i strid med disse klausuler.

(b) Parterne erklærer, at de ved afgivelsen af garantien i litra a) har taget behørigt hensyn til navnlig følgende elementer:
(i) de specifikke omstændigheder ved overførslen, herunder længden af behandlingskæden, antallet af involverede aktører og de anvendte transmissionskanaler; planlagte videreoverførsler; typen af modtager; formålet med behandlingen; kategorierne og formatet af de overførte personoplysninger; den økonomiske sektor, hvor overførslen finder sted; opbevaringsstedet for de overførte oplysninger;

(ii) love og praksis i bestemmelsestredjelandet - herunder love og praksis, der kræver videregivelse af oplysninger til offentlige myndigheder eller tillader sådanne myndigheder adgang - som er relevante i lyset af de specifikke omstændigheder ved videregivelsen, og de gældende begrænsninger og garantier (12);

(iii) alle relevante kontraktmæssige, tekniske eller organisatoriske sikkerhedsforanstaltninger, der er indført for at supplere de garantier, der er fastsat i disse klausuler, herunder foranstaltninger, der anvendes under overførslen og i forbindelse med behandlingen af personoplysningerne i bestemmelseslandet.

(c) Dataimportøren garanterer, at han ved gennemførelsen af vurderingen i henhold til litra b) har gjort sit bedste for at give dataeksportøren relevante oplysninger og accepterer, at han fortsat vil samarbejde med dataeksportøren for at sikre overholdelse af disse klausuler.

(d) Parterne er enige om at dokumentere vurderingen i henhold til litra b) og stille den til rådighed for den kompetente tilsynsmyndighed efter anmodning.

(e) Dataimportøren accepterer at underrette dataeksportøren omgående, hvis han efter at have accepteret disse klausuler og i kontraktens løbetid har grund til at tro, at han er eller er blevet underlagt love eller praksis, der ikke er i overensstemmelse med kravene i litra a), herunder efter en ændring i tredjelandets love eller en foranstaltning (f.eks. en anmodning om offentliggørelse), der viser en anvendelse af sådanne love i praksis, som ikke er i overensstemmelse med kravene i litra a). [Til modul tre: Dataeksportøren videresender meddelelsen til den registeransvarlige].

(f) Efter en underretning i henhold til litra e), eller hvis dataeksportøren på anden måde har grund til at tro, at dataimportøren ikke længere kan opfylde sine forpligtelser i henhold til disse bestemmelser, skal dataeksportøren straks identificere passende foranstaltninger (f.eks. tekniske eller organisatoriske foranstaltninger til at sikre sikkerhed og fortrolighed), som dataeksportøren og/eller dataimportøren skal træffe for at afhjælpe situationen [for modul tre: om nødvendigt i samråd med den dataansvarlige]. Dataeksportøren suspenderer dataoverførslen, hvis den mener, at der ikke kan sikres passende garantier for en sådan overførsel, eller hvis [for modul tre: den registeransvarlige eller] den kompetente tilsynsmyndighed giver instruks herom. I dette tilfælde har dataeksportøren ret til at opsige kontrakten, for så vidt som den vedrører behandlingen af personoplysninger i henhold til disse klausuler. Hvis kontrakten omfatter mere end to parter, kan dataeksportøren kun udøve denne ret til opsigelse over for den relevante part, medmindre parterne har aftalt andet. Hvis kontrakten opsiges i henhold til denne bestemmelse, finder bestemmelse 16, litra d) og e), anvendelse.

Paragraf 15
Dataimportørens forpligtelser i tilfælde af adgang for offentlige myndigheder

15.1 Meddelelse
(a) Dataimportøren accepterer at underrette dataeksportøren og om muligt den registrerede omgående (om nødvendigt med hjælp fra dataeksportøren), hvis den:
(i) modtager en retligt bindende anmodning fra en offentlig myndighed, herunder retlige myndigheder, i henhold til lovgivningen i bestemmelseslandet om videregivelse af personoplysninger, der er videregivet i henhold til disse klausuler; en sådan meddelelse skal indeholde oplysninger om de ønskede personoplysninger, den anmodende myndighed, retsgrundlaget for anmodningen og det afgivne svar, eller

(ii) bliver opmærksom på, at offentlige myndigheder får direkte adgang til personoplysninger, der er overført i henhold til disse klausuler i overensstemmelse med lovgivningen i bestemmelseslandet; en sådan underretning skal omfatte alle oplysninger, som importøren har adgang til.

[Til modul tre: Dataeksportøren skal videresende meddelelsen til den dataansvarlige.]

(b) Hvis dataimportøren i henhold til lovgivningen i bestemmelseslandet ikke må underrette dataeksportøren og/eller den registrerede person, accepterer dataimportøren at gøre sit bedste for at opnå en ophævelse af forbuddet med henblik på at meddele så mange oplysninger som muligt så hurtigt som muligt. Dataimportøren accepterer at dokumentere sine bedste bestræbelser for at kunne dokumentere dem på anmodning fra dataeksportøren.

c) Hvis det er tilladt i henhold til lovgivningen i bestemmelseslandet, accepterer dataimportøren at give dataeksportøren med regelmæssige mellemrum i kontraktens løbetid så mange relevante oplysninger som muligt om de modtagne anmodninger (navnlig antal anmodninger, type af oplysninger, der anmodes om, anmodende myndighed(er), om anmodninger er blevet anfægtet og resultatet af sådanne anfægtelser osv. [Til modul tre: Dataeksportøren videresender oplysningerne til den registeransvarlige].

(d) Dataimportøren accepterer at opbevare oplysningerne i henhold til litra a)-c) i kontraktens løbetid og på anmodning stille dem til rådighed for den kompetente tilsynsmyndighed.

(e) Stk. a)-c) berører ikke dataimportørens forpligtelse i henhold til klausul 14(e) og klausul 16 til straks at underrette dataeksportøren, hvis denne ikke er i stand til at overholde disse klausuler.

15.2 Gennemgang af lovlighed og dataminimering
(a) Dataimportøren accepterer at gennemgå lovligheden af anmodningen om videregivelse, navnlig om den fortsat ligger inden for de beføjelser, der er tildelt den anmodende offentlige myndighed, og at anfægte anmodningen, hvis den efter en omhyggelig vurdering konkluderer, at der er rimelig grund til at antage, at anmodningen er ulovlig i henhold til lovgivningen i bestemmelseslandet, gældende forpligtelser i henhold til international ret og principperne om international komité. Dataimportøren skal på samme betingelser benytte sig af mulighederne for at klage. Når dataimportøren anfægter en anmodning, skal han søge om foreløbige foranstaltninger med henblik på at suspendere virkningerne af anmodningen, indtil den kompetente retslige myndighed har truffet afgørelse om dens berettigelse. Den må ikke videregive de ønskede personoplysninger, før den er forpligtet hertil i henhold til de gældende procedureregler. Disse krav berører ikke dataimportørens forpligtelser i henhold til artikel 14, litra e).

(b) Dataimportøren accepterer at dokumentere sin juridiske vurdering og enhver anfægtelse af anmodningen om offentliggørelse og, i det omfang det er tilladt i henhold til lovgivningen i bestemmelseslandet, at stille dokumentationen til rådighed for dataeksportøren. Den skal også stille den til rådighed for den kompetente tilsynsmyndighed på anmodning. [Til modul tre: Dataeksportøren skal stille vurderingen til rådighed for den registeransvarlige].

(c) Dataimportøren accepterer at give den mindste mængde oplysninger, der er tilladt, når han besvarer en anmodning om offentliggørelse, baseret på en rimelig fortolkning af anmodningen.

AFSNIT IV - AFSLUTTENDE BESTEMMELSER

Paragraf 16
Manglende overholdelse af klausulerne og opsigelse

(a) Dataimportøren skal straks informere dataeksportøren, hvis den ikke er i stand til at overholde disse klausuler, uanset årsagen.

(b) I tilfælde af at dataimportøren overtræder disse klausuler eller ikke er i stand til at overholde disse klausuler, skal dataeksportøren suspendere overførslen af personoplysninger til dataimportøren, indtil overholdelsen igen er sikret, eller kontrakten er opsagt. Dette berører ikke bestemmelserne i artikel 14, litra f).

(c) Dataeksportøren har ret til at opsige kontrakten, for så vidt angår behandlingen af personoplysninger i henhold til disse klausuler, hvis:
(i) dataeksportøren har suspenderet overførslen af personoplysninger til dataimportøren i henhold til litra b), og overholdelsen af disse klausuler ikke er genoprettet inden for en rimelig tid og under alle omstændigheder inden for en måned efter suspensionen;

(ii) dataimportøren er i væsentlig eller vedvarende overtrædelse af disse klausuler, eller

(iii) dataimportøren undlader at overholde en bindende afgørelse truffet af en kompetent domstol eller tilsynsmyndighed vedrørende sine forpligtelser i henhold til disse klausuler.

I disse tilfælde underretter den den kompetente tilsynsmyndighed [for modul tre: og den dataansvarlige] om en sådan manglende overholdelse. Hvis kontrakten omfatter mere end to parter, kan dataeksportøren kun udøve denne ret til opsigelse over for den relevante part, medmindre parterne har aftalt andet.

(d) [For modul et, to og tre: Personoplysninger, der er blevet overført før kontraktens ophør i henhold til litra c), skal efter dataeksportørens valg straks returneres til dataeksportøren eller slettes i deres helhed. Det samme gælder for eventuelle kopier af oplysningerne]. [For modul fire: Personoplysninger, der er indsamlet af dataeksportøren i EU, og som er blevet overført før kontraktens ophør i henhold til litra c), slettes straks i deres helhed, herunder eventuelle kopier heraf.] Dataimportøren bekræfter sletningen af dataene over for dataeksportøren. Indtil oplysningerne er slettet eller returneret, skal dataimportøren fortsat sikre, at disse klausuler overholdes. I tilfælde af lokal lovgivning, der gælder for dataimportøren, og som forbyder returnering eller sletning af de overførte personoplysninger, garanterer dataimportøren, at han fortsat vil sikre overholdelse af disse klausuler og kun vil behandle oplysningerne i det omfang og så længe som krævet i henhold til den pågældende lokale lovgivning.

(e) Hver part kan tilbagekalde sin aftale om at være bundet af disse klausuler, hvis (i) Europa-Kommissionen vedtager en afgørelse i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679, der dækker overførsel af personoplysninger, som disse klausuler finder anvendelse på, eller (ii) forordning (EU) 2016/679 bliver en del af de retlige rammer i det land, hvortil personoplysningerne overføres. Dette berører ikke andre forpligtelser, der gælder for den pågældende behandling i henhold til forordning (EU) 2016/679.

Paragraf 17
Gældende ret

Disse klausuler er underlagt loven i en af EU's medlemsstater, forudsat at denne lov giver mulighed for rettigheder for tredjepart. Parterne er enige om, at dette skal være Polens lovgivning.

Paragraf 18
Valg af værneting og jurisdiktion

(a) Enhver tvist, der opstår i forbindelse med disse klausuler, skal afgøres af domstolene i en EU-medlemsstat.

(b) Parterne er enige om, at det er de polske domstole, der skal være disse domstole.

(c) En registreret kan også anlægge sag mod dataeksportøren og/eller dataimportøren ved domstolene i den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted.

(d) Parterne er enige om at underkaste sig sådanne domstoles kompetence.

BILAG
FORKLARENDE NOTE:

Det skal være muligt klart at skelne mellem de oplysninger, der gælder for hver enkelt overførsel eller kategori af overførsler, og i den forbindelse skal det være muligt at fastlægge parternes respektive roller som dataeksportør(er) og/eller dataimportør(er). Dette kræver ikke nødvendigvis, at der udfyldes og underskrives særskilte bilag for hver overførsel/overførselskategori af overførsler og/eller kontraktforhold, hvis denne gennemsigtighed kan opnås ved hjælp af ét bilag. Hvis det er nødvendigt for at sikre tilstrækkelig klarhed, bør der dog anvendes separate bilag.

BILAG I

A. LISTE OVER PARTER

  1. Dataeksportør(er):

Navn: ...
Adresse: ...
Kontaktpersonens navn, stilling og kontaktoplysninger: ...
Aktiviteter, der er relevante for de data, der overføres i henhold til disse klausuler: databehandling til opfyldelse af rammeaftalen
Underskrift og dato: ...
Rolle: kontrollør

  1. Dataimportør(er):

Navn: Navn: Devskiller sp. z o.o.
Adresse: Al. Lindleya 16, 02-013 Warszawa
Kontaktpersonens navn, stilling og kontaktoplysninger: ...
Aktiviteter, der er relevante for de data, der overføres i henhold til disse klausuler: databehandling til opfyldelse af rammeaftalen
Underskrift og dato: ...
Rolle: forarbejdningsvirksomhed

B. BESKRIVELSE AF OVERFØRSLEN
Kategorier af registrerede, hvis personoplysninger overføres: personer, der er bemyndiget til at repræsentere den dataansvarlige, testdeltagere
Kategorier af overførte personoplysninger: fornavn, efternavn, skatteidentifikationsnummer, e-mail, adresse, telefonnummer, firmanavn, stilling i virksomheden, IP-nummer, billede.
Overførte følsomme oplysninger (hvis relevant) og anvendte begrænsninger eller sikkerhedsforanstaltninger, der fuldt ud tager hensyn til oplysningernes art og de involverede risici, som f.eks. streng formålsbegrænsning, adgangsbegrænsninger (herunder adgang kun for personale, der har fulgt en specialuddannelse), registrering af adgangen til oplysningerne, begrænsninger for videreoverførsler eller yderligere sikkerhedsforanstaltninger: ikke relevant
Overførselshyppigheden (f.eks. om dataene overføres en gang for alle eller løbende): løbende

Arten af behandlingen:
Formål med dataoverførslen og den videre behandling: opfyldelse af hovedaftalen
Den periode, i hvilken personoplysningerne vil blive opbevaret, eller, hvis dette ikke er muligt, de kriterier, der anvendes til at fastsætte denne periode: hovedaftalens varighed, forældelsesfristen for krav
For overførsler til (under)databehandlere skal du også angive behandlingsgenstanden, arten og varigheden af behandlingen: hovedaftalens varighed og forældelsesfristen for krav.

C. KOMPETENT TILSYNSMYNDIGHED
Identificere den/de kompetente tilsynsmyndighed(er) i overensstemmelse med punkt 13:
Den polske databeskyttelsesrådgiver for personoplysninger.

BILAG II
TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER, HERUNDER TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER TIL SIKRING AF OPLYSNINGERNES SIKKERHED

Foranstaltninger til pseudonymisering og kryptering af personoplysninger.
Foranstaltninger til sikring af fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester.
Foranstaltninger til sikring af evnen til at genoprette tilgængeligheden af og adgangen til personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse.
Processer til regelmæssig afprøvning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger for at garantere behandlingssikkerheden.
Foranstaltninger til brugeridentifikation og -godkendelse.
Foranstaltninger til beskyttelse af data under fremsendelsen.
Foranstaltninger til beskyttelse af data under opbevaring.
Foranstaltninger til sikring af den fysiske sikkerhed på de steder, hvor personoplysninger behandles.
Foranstaltninger til sikring af logning af begivenheder.
Foranstaltninger til sikring af systemkonfiguration, herunder standardkonfiguration.
Foranstaltninger til intern it- og it-sikkerhedsstyring og -forvaltning.
Foranstaltninger til certificering/sikring af processer og produkter.
Foranstaltninger til sikring af dataminimering.
Foranstaltninger til sikring af datakvalitet.
Foranstaltninger til sikring af begrænset opbevaring af data.
Foranstaltninger til sikring af ansvarlighed.
Foranstaltninger til at muliggøre dataportabilitet og sikre sletning.

BILAG III
LISTE OVER UNDERDATABEHANDLERE

I henhold til tillæg nr. 1 til DPA.

Sikkerhedscertificeringer og overholdelse. Vi sørger for, at dine data er sikre og beskyttede.

DevSkiller-logo TalentBoost-logo TalentScore-logo