STANDARDISERADE AVTALSKLAUSULER

Tillägg nr 2 - Standardavtalsklausuler

STANDARDISERADE AVTALSKLAUSULER

AVSNITT I

Klausul 1
Syfte och räckvidd

(a) Syftet med dessa standardavtalsklausuler är att säkerställa överensstämmelse med kraven i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd av fysiska personer med avseende på behandling av personuppgifter och om fri rörlighet för sådana uppgifter (allmän dataskyddsförordning) för överföring av personuppgifter till ett tredjeland.

(b) Parterna:
i) den eller de fysiska eller juridiska personer, myndigheter, byråer eller andra organ (nedan kallade enheter) som överför personuppgifterna, enligt förteckningen i bilaga I.A (nedan kallade uppgiftsutförare), och

ii) Den enhet/det företag i ett tredjeland som tar emot personuppgifterna från uppgiftsutföraren, direkt eller indirekt via en annan enhet som också är part i dessa klausuler och som förtecknas i bilaga I.A (nedan kallad varje "uppgiftsimportör") har godkänt dessa standardavtalsklausuler (nedan kallade "klausuler").

(c) Dessa klausuler gäller med avseende på överföring av personuppgifter enligt bilaga I.B.

(d) Tillägget till dessa klausuler med de bilagor som det hänvisas till där utgör en integrerad del av dessa klausuler.

Paragraf 2
Klausulernas verkan och oföränderlighet

(a) Dessa klausuler innehåller lämpliga skyddsåtgärder, inklusive verkställbara rättigheter för registrerade personer och effektiva rättsmedel, i enlighet med artikel 46.1 och artikel 46.2 c i förordning (EU) 2016/679 och, när det gäller dataöverföringar från registeransvariga till registerförare och/eller registerförare till registerförare, standardavtalsklausuler i enlighet med artikel 28.7 i förordning (EU) 2016/679, under förutsättning att de inte ändras, förutom för att välja lämplig(a) modul(er) eller för att lägga till eller uppdatera information i tillägget. Detta hindrar inte parterna från att inkludera de standardavtalsklausuler som fastställs i dessa klausuler i ett bredare avtal och/eller att lägga till andra klausuler eller ytterligare skyddsåtgärder, förutsatt att de inte direkt eller indirekt strider mot dessa klausuler eller påverkar de registrerades grundläggande rättigheter eller friheter.

(b) Dessa klausuler påverkar inte de skyldigheter som dataexportören omfattas av i enlighet med förordning (EU) 2016/679.

Paragraf 3
Tredje part som är förmånstagare

(a) De registrerade kan åberopa och tillämpa dessa klausuler, som tredjepartsberättigade, mot dataexportören och/eller dataimportören, med följande undantag:
(i) paragraf 1, paragraf 2, paragraf 3, paragraf 6, paragraf 7;

ii) Klausul 8 - Modul ett: Klausul 8.5 e och 8.9 b; Modul två: Klausul 8.1 b, 8.9 a, c, d och e; Modul tre: Modul tre: Punkt 8.1 a, c och d samt punkt 8.9 a, c, d, e, f och g. Modul fyra: Modul tre: Punkt 8.1 a, c och d samt punkt 8.9 a, c, d, e, f och g: Modul fyra: Paragraf 8.1 b och paragraf 8.3 b;

(iii) Klausul 9 - Modul två: Klausul 9 a, c, d och e; Modul tre: Klausul 9 a, c, d och e;

(iv) Klausul 12 - Modul ett: Klausul 12 a och d; Modul två och tre: Paragraf 12 a, d och f;

(v) Paragraf 13;

(vi) Paragraf 15.1 c, d och e;

(vii) Paragraf 16 e;

(viii) Klausul 18 - Modulerna ett, två och tre: Klausul 18 a och b, modul fyra: Klausul 18.

b) Punkt a påverkar inte de registrerades rättigheter enligt förordning (EU) 2016/679.

Klausul 4
Tolkning

(a) När dessa klausuler använder termer som definieras i förordning (EU) 2016/679 ska dessa termer ha samma betydelse som i den förordningen.

(b) Dessa klausuler ska läsas och tolkas mot bakgrund av bestämmelserna i förordning (EU) 2016/679.

(c) Dessa klausuler ska inte tolkas på ett sätt som strider mot de rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679.

Paragraf 5
Hierarki

I händelse av en motsättning mellan dessa klausuler och bestämmelserna i relaterade avtal mellan parterna, som existerar vid den tidpunkt då dessa klausuler avtalas eller därefter ingås, ska dessa klausuler ha företräde.

Klausul 6
Beskrivning av överföringen/överföringarna

Uppgifter om överföringen/överföringarna, särskilt vilka kategorier av personuppgifter som överförs och för vilka ändamål de överförs, anges i bilaga I.B.

Paragraf 7
Dockningsklausul

(a) En enhet som inte är part i dessa klausuler kan, med parternas samtycke, när som helst ansluta sig till dessa klausuler, antingen som dataexportör eller som dataimportör, genom att fylla i tillägget och underteckna bilaga I.A.

b) När den anslutande enheten har fyllt i tillägget och undertecknat bilaga I.A ska den anslutande enheten bli part i dessa klausuler och ha de rättigheter och skyldigheter som gäller för en dataexportör eller dataimportör i enlighet med dess beteckning i bilaga I.A.

(c) Den anslutande enheten ska inte ha några rättigheter eller skyldigheter enligt dessa klausuler från perioden innan den blir part.

AVSNITT II - PARTERNAS SKYLDIGHETER

Paragraf 8
Skydd av personuppgifter

Dataexportören garanterar att han har gjort rimliga ansträngningar för att fastställa att dataimportören genom lämpliga tekniska och organisatoriska åtgärder kan uppfylla sina skyldigheter enligt dessa klausuler.

8.1 Anvisningar
a) Uppgiftsimportören ska behandla personuppgifterna endast på dokumenterade instruktioner från uppgiftsutföraren. Dataexportören får ge sådana instruktioner under hela avtalets löptid.

b) Dataimportören ska omedelbart informera dataexportören om denne inte kan följa dessa instruktioner.

8.2 Begränsning av syftet
Uppgiftsimportören ska behandla personuppgifterna endast för det eller de specifika ändamålen med överföringen som anges i bilaga I.B, om inte ytterligare instruktioner från uppgiftsutföraren föreligger.

8.3 Öppenhet
På begäran ska uppgiftsutföraren kostnadsfritt tillhandahålla den registrerade en kopia av dessa klausuler, inklusive det tillägg som parterna har fyllt i, till den registrerade. I den mån det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inklusive de åtgärder som beskrivs i bilaga II och personuppgifter, får uppgiftsutföraren redigera en del av texten i tillägget till dessa klausuler innan han/hon delar ut en kopia, men ska tillhandahålla en meningsfull sammanfattning om den registrerade annars inte skulle kunna förstå innehållet eller utöva sina rättigheter. Parterna ska på begäran ge den registrerade skälen till redigeringen, i den mån det är möjligt utan att avslöja den redigerade informationen. Denna klausul påverkar inte uppgiftsutförarens skyldigheter enligt artiklarna 13 och 14 i förordning (EU) 2016/679.

8.4 Noggrannhet
Om uppgiftsimportören får kännedom om att de personuppgifter som den har mottagit är felaktiga eller har blivit inaktuella ska den utan onödigt dröjsmål informera uppgiftsutföraren om detta. I detta fall ska uppgiftsimportören samarbeta med uppgiftsutföraren för att radera eller rätta uppgifterna.

8.5 Behandlingens varaktighet och radering eller återlämnande av uppgifter
Uppgiftsimportörens behandling ska endast äga rum under den tid som anges i bilaga I.B. Efter det att behandlingstjänsterna har upphört ska uppgiftsimportören, på dataexportörens begäran, radera alla personuppgifter som behandlats för dataexportörens räkning och intyga för dataexportören att han eller hon har gjort detta, eller återlämna alla personuppgifter som behandlats för dataexportörens räkning till denne och radera befintliga kopior. Fram till dess att uppgifterna raderas eller återlämnas ska uppgiftsimportören fortsätta att se till att dessa klausuler följs. Om det finns lokala lagar som är tillämpliga på dataimportören och som förbjuder återlämnande eller radering av personuppgifter, garanterar dataimportören att han kommer att fortsätta att se till att dessa klausuler följs och att han endast kommer att behandla dem i den utsträckning och under den tid som krävs enligt den lokala lagstiftningen. Detta påverkar inte tillämpningen av klausul 14, särskilt kravet på att dataimportören enligt klausul 14 e ska underrätta dataexportören under hela avtalets löptid om denne har anledning att tro att denne är eller har blivit föremål för lagar eller praxis som inte överensstämmer med kraven i klausul 14 a.

8.6 Säkerhet för behandlingen
a) Uppgiftsimportören och, under överföringen, även dataexportören ska genomföra lämpliga tekniska och organisatoriska åtgärder för att garantera uppgifternas säkerhet, inklusive skydd mot säkerhetsöverträdelser som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till uppgifterna (nedan kallade personuppgiftsöverträdelser). Vid bedömningen av den lämpliga säkerhetsnivån ska parterna ta vederbörlig hänsyn till den senaste tekniken, kostnaderna för genomförandet, behandlingens art, omfattning, sammanhang och syfte samt de risker som behandlingen innebär för de registrerade. Parterna ska särskilt överväga att använda sig av kryptering eller pseudonymisering, även under överföringen, om syftet med behandlingen kan uppfyllas på detta sätt. Vid pseudonymisering ska tilläggsinformationen för att hänföra personuppgifterna till en specifik registrerad person om möjligt förbli under dataexportörens exklusiva kontroll. För att uppfylla sina skyldigheter enligt denna punkt ska uppgiftsimportören åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga II. Uppgiftsimportören ska genomföra regelbundna kontroller för att se till att dessa åtgärder fortsätter att ge en lämplig säkerhetsnivå.

b) Dataimportören ska ge tillgång till personuppgifterna till medlemmar av sin personal endast i den utsträckning som är strikt nödvändig för genomförandet, förvaltningen och övervakningen av avtalet. Den ska se till att de personer som har befogenhet att behandla personuppgifterna har åtagit sig att iaktta tystnadsplikt eller omfattas av en lämplig lagstadgad tystnadsplikt.

(c) I händelse av en personuppgiftsincident avseende personuppgifter som behandlas av dataimportören enligt dessa klausuler ska dataimportören vidta lämpliga åtgärder för att åtgärda incidenten, inklusive åtgärder för att mildra de negativa effekterna. Uppgiftsimportören ska också underrätta dataexportören utan onödigt dröjsmål efter att ha fått kännedom om överträdelsen. Ett sådant meddelande ska innehålla uppgifter om en kontaktpunkt där mer information kan erhållas, en beskrivning av överträdelsens art (inklusive, om möjligt, kategorier och ungefärligt antal berörda registrerade personer och personuppgiftsregister), dess sannolika konsekvenser och de åtgärder som vidtagits eller föreslagits för att åtgärda överträdelsen, inklusive, i förekommande fall, åtgärder för att mildra dess eventuella negativa effekter. Om, och i den mån, det inte är möjligt att tillhandahålla all information samtidigt, ska den första anmälan innehålla den information som då är tillgänglig och ytterligare information ska tillhandahållas utan onödigt dröjsmål, allteftersom den blir tillgänglig.

d) Dataimportören ska samarbeta med och bistå dataexportören för att göra det möjligt för dataexportören att uppfylla sina skyldigheter enligt förordning (EU) 2016/679, särskilt att underrätta den behöriga tillsynsmyndigheten och de berörda registrerade, med beaktande av behandlingens art och den information som dataimportören har tillgång till.

8.7 Känsliga uppgifter
Om överföringen omfattar personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter eller biometriska uppgifter för att unikt identifiera en fysisk person, uppgifter om hälsa eller en persons sexualliv eller sexuella läggning eller uppgifter om brottmålsdomar och brott (nedan kallade känsliga uppgifter) ska uppgiftsinföraren tillämpa de särskilda begränsningar och/eller ytterligare skyddsåtgärder som beskrivs i bilaga I.B.

8.8 Vidareöverföringar
Uppgiftsimportören ska endast lämna ut personuppgifter till tredje part på dokumenterade instruktioner från uppgiftsutföraren. Dessutom får uppgifterna endast lämnas ut till en tredje part utanför Europeiska unionen (4) (i samma land som uppgiftsimportören eller i ett annat tredje land, nedan kallad "vidareöverföring") om tredje parten är eller samtycker till att vara bunden av dessa klausuler, enligt lämplig modul, eller om:
i) Den vidare överföringen sker till ett land som omfattas av ett beslut om adekvat skyddsnivå enligt artikel 45 i förordning (EU) 2016/679 som omfattar den vidare överföringen;

ii) Tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder i enlighet med artiklarna 46 eller 47 i förordning (EU) 2016/679 med avseende på behandlingen i fråga;

iii) den vidare överföringen är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk i samband med särskilda administrativa, rättsliga eller rättsliga förfaranden, eller

iv) överföringen är nödvändig för att skydda den registrerades eller en annan fysisk persons vitala intressen.

Varje vidareöverföring är beroende av att uppgiftsimportören uppfyller alla andra skyddsåtgärder enligt dessa klausuler, särskilt begränsning av ändamålen.

8.9 Dokumentation och efterlevnad
(a) Uppgiftsimportören ska snabbt och på lämpligt sätt hantera förfrågningar från dataexportören som rör behandlingen enligt dessa klausuler.

(b) Parterna ska kunna visa att de följer dessa klausuler. I synnerhet ska uppgiftsimportören bevara lämplig dokumentation om den behandlingsverksamhet som utförs för uppgiftsutförarens räkning.

c) Uppgiftsimportören ska göra all information som krävs för att visa att uppgiftslämnaren uppfyller de skyldigheter som anges i dessa klausuler tillgänglig för uppgiftslämnaren och på uppgiftslämnarens begäran tillåta och bidra till revisioner av den behandlingsverksamhet som omfattas av dessa klausuler, med rimliga intervaller eller om det finns indikationer på bristande efterlevnad. När uppgiftsutföraren beslutar om en översyn eller revision får han eller hon ta hänsyn till relevanta certifieringar som innehas av uppgiftsimportören.

d) Dataexportören kan välja att genomföra revisionen själv eller ge en oberoende revisor i uppdrag. Revisionen kan omfatta inspektioner i uppgiftsimportörens lokaler eller fysiska anläggningar och ska i förekommande fall genomföras med rimlig varsel.

e) Parterna ska på begäran göra den information som avses i punkterna b och c, inklusive resultaten av eventuella revisioner, tillgänglig för den behöriga tillsynsmyndigheten.

Paragraf 9
Användning av underbiträden

a) Uppgiftsimportören har uppgiftsutförarens allmänna tillstånd för anlitande av underbiträden från en överenskommen förteckning. Uppgiftsimportören ska särskilt skriftligen informera uppgiftsutföraren om eventuella planerade ändringar av förteckningen genom att lägga till eller byta ut underbiträden minst [ange tidsperiod] i förväg, vilket ger uppgiftsutföraren tillräckligt med tid för att kunna invända mot sådana ändringar innan underbiträdet/underbiträdena anlitas. Uppgiftsimportören ska förse uppgiftsutföraren med den information som krävs för att uppgiftsutföraren ska kunna utöva sin rätt att göra invändningar.

b) Om uppgiftsimportören anlitar en underleverantör för att utföra specifik behandlingsverksamhet (för uppgiftsutförarens räkning) ska detta ske genom ett skriftligt avtal som i sak föreskriver samma skyldigheter i fråga om uppgiftsskydd som de som binder uppgiftsimportören enligt dessa klausuler, inklusive när det gäller tredjepartsberättigade rättigheter för registrerade. (8) Parterna är överens om att dataimportören genom att följa denna klausul uppfyller sina skyldigheter enligt klausul 8.8. Dataimportören ska se till att underförädlaren uppfyller de skyldigheter som dataimportören omfattas av enligt dessa klausuler.

c) Dataimportören ska på dataexportörens begäran tillhandahålla dataexportören en kopia av ett sådant avtal om underbiträde och eventuella senare ändringar. I den mån det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inklusive personuppgifter, får dataimportören redigera avtalstexten innan han/hon delar ut en kopia.

d) Uppgiftsimportören ska förbli fullt ansvarig gentemot dataexportören för fullgörandet av underförädlarens skyldigheter enligt dennes avtal med dataimportören. Uppgiftsimportören ska meddela uppgiftsutföraren om underbiträdet inte fullgör sina skyldigheter enligt det avtalet.

e) Uppgiftsimportören ska avtala om en klausul om tredjepartsberättigad med underbiträdet, enligt vilken - i händelse av att uppgiftsimportören faktiskt har försvunnit, upphört att existera rättsligt eller blivit insolvent - uppgiftsutföraren ska ha rätt att säga upp underbiträdesavtalet och att instruera underbiträdet att radera eller återlämna personuppgifterna.

Klausul 10
Den registrerades rättigheter

a) Uppgiftsimportören ska utan dröjsmål underrätta dataexportören om varje begäran som den har fått från en registrerad person. Den får inte själv besvara denna begäran om den inte har fått tillstånd att göra det av uppgiftsutföraren.

b) Uppgiftsimportören ska hjälpa dataexportören att uppfylla sina skyldigheter att svara på de registrerades begäran om utövande av sina rättigheter enligt förordning (EU) 2016/679. I detta avseende ska parterna i bilaga II fastställa lämpliga tekniska och organisatoriska åtgärder, med beaktande av behandlingens art, genom vilka stödet ska tillhandahållas samt omfattningen och omfattningen av det stöd som krävs.

(c) Vid fullgörandet av sina skyldigheter enligt punkterna (a) och (b) ska dataimportören följa instruktionerna från dataexportören.

Paragraf 11
Rättelse

a) Uppgiftsimportören ska på ett öppet och lättillgängligt sätt, genom enskilda meddelanden eller på sin webbplats, informera de registrerade om en kontaktpunkt som är behörig att hantera klagomål. Den ska snabbt behandla alla klagomål som den får från en registrerad person. Uppgiftsimportören samtycker till att de registrerade även kan lämna in ett klagomål till ett oberoende tvistlösningsorgan utan kostnad för den registrerade. Importören ska på det sätt som anges i punkt a informera de registrerade om denna mekanism för prövning och att de inte är skyldiga att använda den eller följa en särskild ordning för att söka prövning.

b) Vid en tvist mellan en registrerad och en av parterna när det gäller efterlevnaden av dessa klausuler ska den parten göra sitt bästa för att lösa frågan i godo i god tid. Parterna ska hålla varandra informerade om sådana tvister och vid behov samarbeta för att lösa dem.

c) Om den registrerade åberopar en tredjepartsrättighet i enlighet med klausul 3 ska dataimportören acceptera den registrerades beslut att:
i) lämna in ett klagomål till tillsynsmyndigheten i den medlemsstat där han eller hon har sin vanliga vistelseort eller arbetsplats, eller till den behöriga tillsynsmyndigheten i enlighet med klausul 13;

ii) hänskjuta tvisten till de behöriga domstolarna i den mening som avses i klausul 18.

d) Parterna godtar att den registrerade kan företrädas av ett organ, en organisation eller en sammanslutning utan vinstsyfte på de villkor som anges i artikel 80.1 i förordning (EU) 2016/679.

e) Uppgiftsimportören ska följa ett beslut som är bindande enligt tillämplig EU- eller medlemsstatslagstiftning.

f) Dataimportören samtycker till att det val som den registrerade gör inte kommer att påverka dennes materiella och processuella rättigheter att söka rättsmedel i enlighet med tillämplig lagstiftning.

Paragraf 12
Ansvar

(a) Varje part är ansvarig gentemot den andra parten/parterna för all skada som den orsakar den andra parten/parterna genom brott mot dessa klausuler.

b) Dataimportören ska vara ansvarig gentemot den registrerade, och den registrerade ska ha rätt till ersättning, för alla materiella eller immateriella skador som dataimportören eller dennes underbiträde orsakar den registrerade genom att bryta mot tredjepartsberättigade rättigheter enligt dessa klausuler.

(c) Utan hinder av punkt (b) ska dataexportören vara ansvarig gentemot den registrerade, och den registrerade ska ha rätt till ersättning, för alla materiella eller immateriella skador som dataexportören eller dataimportören (eller dess underbiträde) orsakar den registrerade genom att bryta mot tredjepartsberättigade rättigheter enligt dessa klausuler. Detta påverkar inte dataexportörens ansvar och, om dataexportören är ett personuppgiftsbiträde som agerar på uppdrag av en registeransvarig, den registeransvariges ansvar enligt förordning (EU) 2016/679 eller förordning (EU) 2018/1725, beroende på vad som är tillämpligt.

d) Parterna är överens om att om dataexportören hålls ansvarig enligt punkt c för skador som orsakats av dataimportören (eller dennes underbiträde) ska denne ha rätt att kräva tillbaka den del av ersättningen från dataimportören som motsvarar dataimportörens ansvar för skadan.

(e) Om mer än en part är ansvarig för en skada som orsakats den registrerade till följd av en överträdelse av dessa klausuler, ska alla ansvariga parter vara solidariskt ansvariga och den registrerade har rätt att väcka talan i domstol mot någon av dessa parter.

(f) Parterna är överens om att om en part hålls ansvarig enligt punkt (e) ska den ha rätt att kräva tillbaka från den andra parten/dem andra parten den del av ersättningen som motsvarar dess/deras ansvar för skadan.

g) Dataimportören får inte åberopa en underförädlares beteende för att undvika sitt eget ansvar.

Klausul 13
Övervakning

a) [Om uppgiftsutföraren är etablerad i en EU-medlemsstat:] Den tillsynsmyndighet som har ansvar för att se till att uppgiftsutföraren följer förordning (EU) 2016/679 när det gäller uppgiftsöverföringen, enligt vad som anges i bilaga I.C, ska agera som behörig tillsynsmyndighet.
[Om uppgiftsutföraren inte är etablerad i en EU-medlemsstat, men omfattas av det territoriella tillämpningsområdet för förordning (EU) 2016/679 i enlighet med artikel 3.2 i den förordningen och har utsett en representant i enlighet med artikel 27.1 i förordning (EU) 2016/679:] Tillsynsmyndigheten i den medlemsstat där företrädaren i den mening som avses i artikel 27.1 i förordning (EU) 2016/679 är etablerad, enligt vad som anges i bilaga I.C, ska agera som behörig tillsynsmyndighet.
[Om uppgiftsutföraren inte är etablerad i en EU-medlemsstat, men omfattas av det territoriella tillämpningsområdet för förordning (EU) 2016/679 i enlighet med artikel 3.2 i den förordningen utan att behöva utse en företrädare enligt artikel 27.2 i förordning (EU) 2016/679:] Tillsynsmyndigheten i en av de medlemsstater där de registrerade vars personuppgifter överförs enligt dessa klausuler i samband med erbjudandet av varor eller tjänster till dem, eller vars beteende övervakas, är belägna, enligt vad som anges i bilaga I.C, ska agera som behörig tillsynsmyndighet.

(b) Dataimportören samtycker till att underkasta sig den behöriga tillsynsmyndighetens jurisdiktion och samarbeta med den i alla förfaranden som syftar till att säkerställa efterlevnad av dessa klausuler. I synnerhet samtycker uppgiftsimportören till att svara på förfrågningar, underkasta sig revisioner och följa de åtgärder som tillsynsmyndigheten antar, inklusive korrigerande och kompenserande åtgärder. Den ska ge tillsynsmyndigheten en skriftlig bekräftelse på att nödvändiga åtgärder har vidtagits.

AVSNITT III - LOKAL LAGSTIFTNING OCH SKYLDIGHETER VID MYNDIGHETERS TILLTRÄDE

Klausul 14
Lokala lagar och praxis som påverkar efterlevnaden av klausulerna.

(a) Parterna garanterar att de inte har någon anledning att tro att de lagar och praxis i det tredje bestämmelselandet som är tillämpliga på dataimportörens behandling av personuppgifter, inklusive eventuella krav på att lämna ut personuppgifter eller åtgärder som tillåter åtkomst för offentliga myndigheter, hindrar dataimportören från att fullgöra sina skyldigheter enligt dessa klausuler. Detta grundar sig på uppfattningen att lagar och praxis som respekterar kärnan i de grundläggande rättigheterna och friheterna och som inte går utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda något av de mål som anges i artikel 23.1 i förordning (EU) 2016/679, inte står i strid med dessa klausuler.

(b) Parterna förklarar att de vid tillhandahållandet av garantin i punkt (a) särskilt har tagit vederbörlig hänsyn till följande faktorer:
i) De särskilda omständigheterna kring överföringen, inklusive längden på behandlingskedjan, antalet inblandade aktörer och de överföringsvägar som används; avsedda vidareöverföringar; typ av mottagare; syftet med behandlingen; kategorierna och formatet för de överförda personuppgifterna; den ekonomiska sektor där överföringen sker; lagringsplatsen för de överförda uppgifterna;

ii) Lagstiftning och praxis i det tredje bestämmelselandet - inklusive de lagar och praxis som kräver att uppgifter ska lämnas ut till offentliga myndigheter eller som tillåter sådana myndigheter att få tillgång till dem - som är relevanta mot bakgrund av de särskilda omständigheterna kring överföringen, samt tillämpliga begränsningar och skyddsåtgärder (12);

iii) Alla relevanta avtalsmässiga, tekniska eller organisatoriska skyddsåtgärder som införts för att komplettera skyddsåtgärderna enligt dessa klausuler, inklusive åtgärder som tillämpas under överföringen och vid behandlingen av personuppgifterna i destinationslandet.

(c) Dataimportören garanterar att den vid genomförandet av bedömningen enligt punkt (b) har gjort sitt bästa för att förse dataexportören med relevant information och samtycker till att den kommer att fortsätta att samarbeta med dataexportören för att säkerställa efterlevnad av dessa klausuler.

d) Parterna är överens om att dokumentera bedömningen enligt punkt b och på begäran göra den tillgänglig för den behöriga tillsynsmyndigheten.

e) Dataimportören samtycker till att omedelbart underrätta dataexportören om denne, efter att ha godkänt dessa klausuler och under avtalets giltighetstid, har anledning att tro att den är eller har blivit föremål för lagar eller praxis som inte överensstämmer med kraven i punkt a, inklusive efter en ändring av lagstiftningen i tredjelandet eller en åtgärd (t.ex. en begäran om utlämnande av uppgifter) som indikerar en tillämpning av sådana lagar i praktiken som inte överensstämmer med kraven i punkt a. [För modul tre: Uppgiftsexportören ska vidarebefordra anmälan till den personuppgiftsansvarige].

f) Efter en anmälan enligt punkt e, eller om dataexportören på annat sätt har anledning att tro att dataimportören inte längre kan uppfylla sina skyldigheter enligt dessa klausuler, ska dataexportören omedelbart identifiera lämpliga åtgärder (t.ex. tekniska eller organisatoriska åtgärder för att säkerställa säkerhet och konfidentialitet) som dataexportören och/eller dataimportören ska vidta för att hantera situationen [för modul tre:, vid behov i samråd med den personuppgiftsansvarige]. Dataexportören ska avbryta dataöverföringen om den anser att inga lämpliga skyddsåtgärder för en sådan överföring kan garanteras, eller om [för modul tre: den registeransvarige eller] den behöriga tillsynsmyndigheten ger instruktioner om att göra detta. I detta fall ska uppgiftsutföraren ha rätt att säga upp avtalet, i den mån det gäller behandlingen av personuppgifter enligt dessa klausuler. Om avtalet omfattar mer än två parter får uppgiftsutföraren utöva denna rätt till uppsägning endast med avseende på den berörda parten, såvida inte parterna har kommit överens om något annat. Om avtalet sägs upp i enlighet med denna klausul ska klausul 16 d och e tillämpas.

Paragraf 15
Uppgiftsimportörens skyldigheter vid tillgång för offentliga myndigheter

15.1 Anmälan
(a) Uppgiftsimportören samtycker till att omedelbart underrätta dataexportören och, om möjligt, den registrerade (om nödvändigt med hjälp av dataexportören) om den:
i) får en rättsligt bindande begäran från en offentlig myndighet, inklusive rättsliga myndigheter, enligt lagstiftningen i destinationslandet om utlämnande av personuppgifter som överförts i enlighet med dessa klausuler; ett sådant meddelande ska innehålla information om de begärda personuppgifterna, den begärande myndigheten, den rättsliga grunden för begäran och det svar som lämnats, eller

ii) får kännedom om att offentliga myndigheter har direkt tillgång till personuppgifter som överförts i enlighet med dessa klausuler i enlighet med bestämmelselandets lagstiftning; en sådan anmälan ska innehålla all information som är tillgänglig för importören.

[För modul tre: För modul tre: Uppgiftsexportören ska vidarebefordra anmälan till den personuppgiftsansvarige.]

b) Om uppgiftsimportören är förbjuden att meddela uppgiftsutföraren och/eller den registrerade enligt lagstiftningen i destinationslandet, samtycker uppgiftsimportören till att göra sitt bästa för att få ett undantag från förbudet, i syfte att meddela så mycket information som möjligt, så snart som möjligt. Uppgiftsimportören samtycker till att dokumentera sina bästa ansträngningar för att kunna visa dem på begäran av uppgiftsutföraren.

c) Om det är tillåtet enligt lagstiftningen i destinationslandet samtycker uppgiftsimportören till att med jämna mellanrum under avtalets löptid förse dataexportören med så mycket relevant information som möjligt om de mottagna förfrågningarna (särskilt antal förfrågningar, typ av begärda uppgifter, begärande myndighet(er), om förfrågningar har ifrågasatts och resultatet av sådana ifrågasättanden, etc.). [För modul tre: Uppgiftsexportören ska vidarebefordra informationen till den personuppgiftsansvarige].

d) Dataimportören samtycker till att bevara informationen enligt punkterna a-c under avtalets löptid och att på begäran göra den tillgänglig för den behöriga tillsynsmyndigheten.

e) Punkterna a-c påverkar inte uppgiftsimportörens skyldighet enligt klausul 14 e och klausul 16 att omedelbart informera dataexportören om denne inte kan följa dessa klausuler.

15.2 Granskning av laglighet och dataminimering
a) Uppgiftsimportören samtycker till att granska lagligheten av begäran om utlämnande, särskilt om den ligger inom ramen för de befogenheter som den begärande offentliga myndigheten har fått, och att bestrida begäran om den efter en noggrann bedömning kommer fram till att det finns rimliga skäl att anse att begäran är olaglig enligt lagstiftningen i bestämmelselandet, tillämpliga förpliktelser enligt internationell rätt och principer om internationell samförstånd. Uppgiftsimportören ska på samma villkor utnyttja möjligheterna att överklaga. När en begäran ifrågasätts ska uppgiftsimportören begära interimistiska åtgärder i syfte att skjuta upp verkningarna av begäran tills den behöriga rättsliga myndigheten har fattat beslut i sak. Den ska inte lämna ut de begärda personuppgifterna förrän den är skyldig att göra det enligt de tillämpliga förfarandereglerna. Dessa krav påverkar inte uppgiftsimportörens skyldigheter enligt klausul 14 e.

b) Dataimportören samtycker till att dokumentera sin rättsliga bedömning och eventuella invändningar mot begäran om utlämnande och, i den mån det är tillåtet enligt lagstiftningen i destinationslandet, göra dokumentationen tillgänglig för dataexportören. Den ska också på begäran göra den tillgänglig för den behöriga tillsynsmyndigheten. [För modul tre: Dataexportören ska göra bedömningen tillgänglig för den registeransvarige].

c) Dataimportören samtycker till att tillhandahålla den minsta mängd information som är tillåten när han svarar på en begäran om utlämnande, baserat på en rimlig tolkning av begäran.

AVSNITT IV - SLUTBESTÄMMELSER

Paragraf 16
Bristande efterlevnad av klausulerna och uppsägning

(a) Dataimportören ska omedelbart informera dataexportören om denne inte kan följa dessa klausuler, oavsett anledning.

(b) Om dataimportören bryter mot dessa klausuler eller inte kan följa dessa klausuler, ska dataexportören avbryta överföringen av personuppgifter till dataimportören tills efterlevnaden återigen är säkerställd eller avtalet har sagts upp. Detta påverkar inte tillämpningen av klausul 14 f.

c) Dataexportören ska ha rätt att säga upp avtalet, i den mån det gäller behandling av personuppgifter enligt dessa klausuler, om:
i) Dataexportören har avbrutit överföringen av personuppgifter till dataimportören i enlighet med punkt b och efterlevnaden av dessa klausuler inte återställs inom en rimlig tid och i alla händelser inom en månad efter avbrottet;

(ii) dataimportören bryter väsentligt eller ihållande mot dessa klausuler, eller

iii) dataimportören underlåter att följa ett bindande beslut av en behörig domstol eller tillsynsmyndighet om sina skyldigheter enligt dessa klausuler.

I dessa fall ska den informera den behöriga tillsynsmyndigheten [för modul tre: och den personuppgiftsansvarige] om sådan bristande efterlevnad. Om avtalet omfattar mer än två parter får uppgiftsutföraren utöva denna rätt till uppsägning endast med avseende på den berörda parten, såvida inte parterna har kommit överens om något annat.

(d) [För modulerna ett, två och tre: Personuppgifter som har överförts före avtalets upphörande i enlighet med punkt c ska, efter dataexportörens val, omedelbart återlämnas till dataexportören eller raderas i sin helhet. Detsamma ska gälla för eventuella kopior av uppgifterna.] [För modul fyra: För modul fyra: Personuppgifter som insamlats av uppgiftsutföraren i EU och som har överförts före avtalets upphörande i enlighet med punkt c ska omedelbart raderas i sin helhet, inklusive eventuella kopior av dem. Dataimportören ska intyga att uppgifterna har raderats till dataexportören. Fram till dess att uppgifterna har raderats eller återlämnats ska dataimportören fortsätta att se till att dessa klausuler följs. Om det finns lokala lagar som är tillämpliga på dataimportören och som förbjuder återlämnande eller radering av de överförda personuppgifterna, garanterar dataimportören att han kommer att fortsätta att se till att dessa klausuler följs och att han endast kommer att behandla uppgifterna i den utsträckning och så länge som krävs enligt den lokala lagstiftningen.

e) Endera parten får återkalla sitt avtal att vara bunden av dessa klausuler om i) Europeiska kommissionen antar ett beslut enligt artikel 45.3 i förordning (EU) 2016/679 som omfattar överföringen av personuppgifter som dessa klausuler gäller, eller ii) förordning (EU) 2016/679 blir en del av det rättsliga ramverket i det land till vilket personuppgifterna överförs. Detta påverkar inte andra skyldigheter som gäller för behandlingen i fråga enligt förordning (EU) 2016/679.

Paragraf 17
Tillämplig lag

Dessa klausuler ska regleras av lagen i en av EU:s medlemsstater, förutsatt att denna lag tillåter tredjepartsrättigheter. Parterna är överens om att detta ska vara Polens lag.

Paragraf 18
Val av forum och jurisdiktion

(a) Alla tvister som uppstår på grund av dessa klausuler ska lösas av domstolarna i en EU-medlemsstat.

(b) Parterna är överens om att detta ska vara domstolarna i Polen.

c) En registrerad person kan också väcka talan mot dataexportören och/eller dataimportören vid domstolarna i den medlemsstat där han eller hon har sin vanliga vistelseort.

(d) Parterna är överens om att underkasta sig sådana domstolars jurisdiktion.

BILAGA
FÖRKLARANDE ANMÄRKNING:

Det måste vara möjligt att tydligt särskilja den information som är tillämplig på varje överföring eller kategori av överföringar och i detta avseende fastställa parternas respektive roll(er) som uppgiftsutförare och/eller uppgiftsimportör(er). Detta kräver inte nödvändigtvis att separata bilagor fylls i och undertecknas för varje överföring/kategori av överföringar och/eller avtalsförhållande, om denna öppenhet kan uppnås genom en enda bilaga. Om det är nödvändigt för att säkerställa tillräcklig tydlighet bör dock separata bilagor användas.

BILAGA I

A. FÖRTECKNING ÖVER PARTERNA

  1. Uppgiftsexportör(er):

Namn: ...
Adress: ...
Kontaktpersonens namn, befattning och kontaktuppgifter: ...
Verksamhet som är relevant för de uppgifter som överförs enligt dessa klausuler: behandling av uppgifter för att genomföra ramavtalet.
Underskrift och datum: ...
Roll: kontrollant

  1. Dataimportör(er):

Namn: Namn: Devskiller sp. z o.o.
Adress: Adress: Al. Lindleya 16, 02-013 Warszawa
Kontaktpersonens namn, befattning och kontaktuppgifter: ...
Verksamhet som är relevant för de uppgifter som överförs enligt dessa klausuler: behandling av uppgifter för att genomföra ramavtalet.
Underskrift och datum: ...
Roll: Behandlare

B. BESKRIVNING AV ÖVERFÖRINGEN
Kategorier av registrerade vars personuppgifter överförs: Personer som har befogenhet att företräda den personuppgiftsansvarige, testdeltagare.
Kategorier av personuppgifter som överförs: förnamn, efternamn, skatteregistreringsnummer, e-post, adress, telefonnummer, företagsnamn, befattning i företaget, IP-nummer, bild.
Känsliga uppgifter som överförts (om tillämpligt) och tillämpade begränsningar eller skyddsåtgärder som fullt ut tar hänsyn till uppgifternas art och de risker som är involverade, t.ex. strikt ändamålsbegränsning, åtkomstbegränsningar (inklusive åtkomst endast för personal som har genomgått specialutbildning), registrering av åtkomst till uppgifterna, begränsningar för vidareöverföring eller ytterligare säkerhetsåtgärder: inte tillämpligt.
Överföringens frekvens (t.ex. om uppgifterna överförs vid enstaka tillfällen eller fortlöpande): fortlöpande.

Behandlingens art:
Ändamål för överföringen och den fortsatta behandlingen av uppgifterna: fullgörande av huvudavtalet.
Den period under vilken personuppgifterna kommer att bevaras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period: huvudavtalets varaktighet, preskriptionstiden för fordringar.
För överföringar till (under)bearbetningsföretag, ange också föremålet för behandlingen, dess art och varaktighet: Huvudavtalets varaktighet, preskriptionstiden för anspråk.

C. BEHÖRIG TILLSYNSMYNDIGHET
Identifiera den eller de behöriga tillsynsmyndigheterna i enlighet med klausul 13:
Det polska personuppgiftsskyddsombudet.

BILAGA II
TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER, INKLUSIVE TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER FÖR ATT GARANTERA UPPGIFTERNAS SÄKERHET.

Åtgärder för pseudonymisering och kryptering av personuppgifter.
Åtgärder för att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster.
Åtgärder för att säkerställa förmågan att återställa tillgängligheten och tillgången till personuppgifter i tid vid fysiska eller tekniska incidenter.
Processer för att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att garantera säkerheten i behandlingen.
Åtgärder för identifiering och auktorisering av användare.
Åtgärder för att skydda uppgifter under överföringen.
Åtgärder för att skydda uppgifter under lagring.
Åtgärder för att garantera fysisk säkerhet på de platser där personuppgifter behandlas.
Åtgärder för att säkerställa loggning av händelser.
Åtgärder för att säkerställa systemkonfiguration, inklusive standardkonfiguration.
Åtgärder för intern styrning och förvaltning av IT och IT-säkerhet.
Åtgärder för certifiering/försäkring av processer och produkter.
Åtgärder för att säkerställa dataminimering.
Åtgärder för att säkerställa uppgifternas kvalitet.
Åtgärder för att säkerställa begränsad lagring av uppgifter.
Åtgärder för att säkerställa ansvarsskyldighet.
Åtgärder för att möjliggöra dataportabilitet och säkerställa radering.

BILAGA III
FÖRTECKNING ÖVER UNDERLEVERANTÖRER.

Enligt bilaga nr 1 till dataskyddsförordningen.

Säkerhetscertifieringar och efterlevnad. Vi ser till att dina data är säkra och skyddade.

[Ebook]
[Ebook]
DevSkillers logotyp TalentBoost logotyp TalentScore-logotyp