Databehandleravtale
Sentralbanksjefens ansvarsområde
Databehandleravtale
mellom Norges Bank
heretter «Behandlingsansvarlig»
og [BEDRIFT]
heretter «Databehandler»
1
1 Avtalens formål
Databehandleren vil yte Behandlingsansvarlig tjenester etter avtale inngått [dato], [(tittel)], mellom Databehandleren som leverandør og Behandlingsansvarlig som kunde (heretter "Hovedavtalen"). Gjennomføring av tjenestene etter Hovedavtalen innebærer at Databehandler vil behandle personopplysninger på vegne av Behandlingsansvarlig.
Denne databehandleravtalen ("Avtalen") regulerer hvordan personopplysningene skal behandles. Avtalen skal sikre at personopplysningene behandles i samsvar med kravene i
• Lov og forskrifter om behandling av personopplysninger
• EUs personvernforordning (EU 2016/679 – GDPR) (Samlet benevnt som «Personvernregelverket»)
Ved eventuell motstrid mellom Hovedavtalen og Avtalen, hva gjelder behandling av personopplysninger, skal Avtalen ha forrang. Vedlegg 5 går foran alle andre dokumenter når det gjelder erstatning for skade for brudd på Personvernregelverket.
Avtalen har følgende vedlegg:
Vedlegg 1: Behandlingens formål og underdatabehandlere
Vedlegg 2: Partenes kontaktpunkter
Vedlegg 3: Skjematisk oversikt over dataflyt Vedlegg 4: Beskyttelsesnivå for personopplysninger Vedlegg 5: Supplerende beskyttelsestiltak
Databehandlers tjenester er beskrevet i Hovedavtalen.
2 Garanti
Gjennom Avtalen garanterer Databehandler at det skal gjennomføres egnede tekniske og organisatoriske tiltak som sikrer at Personopplysningsregelverket etterleves.
3 Behandlingsansvarliges plikter
Den Behandlingsansvarlige er ansvarlig for å sikre at all behandling av personopplysninger er forankret i et lovlig behandlingsgrunnlag og for å fastsette formålet og metoden for Databehandlerens behandling av personopplysninger i henhold til Avtalen.
Den Behandlingsansvarlige skal behandle personopplysninger i tråd med det til enhver tid gjeldende Personvernregelverket.
4 Databehandlers plikter
4.1 Rutiner og instrukser
Databehandler skal kun behandle personopplysningene på den måten som er beskrevet i Avtalen. Databehandler skal følge de rutiner og instrukser for behandlingen som Behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler kan ikke behandle personopplysningene på annen måte enn det som er nødvendig for å levere tjenestene etter Hovedavtalen, med mindre annet fremgår av Behandlingsansvarliges dokumenterte instrukser.
Dersom det innføres en endring i Personvernregelverket, som det er rimelig å anta at vil ha negativ virkning på Databehandlers evne til å etterleve reglene eller Avtalen, skal Databehandler uten ugrunnet opphold varsle Behandlingsansvarlig om slik endring så snart Databehandler blir oppmerksom på endringen. Det samme gjelder dersom Databehandler sannsynligvis vil bli ute av stand til å overholde forpliktelsene i Avtalen. Denne informasjonsplikten begrenser imidlertid ikke det selvstendige ansvaret Databehandler har til å overholde Personvernlovgivningen.
Databehandler skal yte rimelig bistand til Behandlingsansvarlig, for å sikre at Behandlingsansvarlig oppfyller kravene i Personvernregelverket. Databehandler skal umiddelbart varsle Behandlingsansvarlig dersom Databehandler mener Behandlingsansvarliges instrukser er i strid med Personvernregelverket.
Endring av lokasjonen hvor personopplysninger oppbevares skal godkjennes skriftlig av Behandlingsansvarlig før iverksettelse.
Databehandler skal uten unødig opphold besvare henvendelser fra Behandlingsansvarlig om behandlingen av personopplysningene. Databehandler plikter videre å bistå Behandlingsansvarlig med tilgang til personopplysningene ved behov. Henvendelser til Databehandleren fra andre som gjelder Avtalen, herunder eventuelle henvendelser fra registrerte vedrørende innsyn, retting, sletting og øvrige rettigheter skal videreformidles til Behandlingsansvarlig så raskt som mulig.
Databehandleren skal sikre at personopplysninger som behandles for Behandlingsansvarlig holdes logisk adskilt fra egne og andres opplysninger.
Databehandler skal ha dokumentert internkontroll for sin behandling av personopplysninger og plikter å fremlegge dokumentasjonen på dette for Behandlingsansvarlig.
4.2 Tilgang og innsyn
Databehandler skal ha oversikt over hvilke av sine ansatte og eventuelle oppdragstagere som gis tilgang til informasjonssystemet eller til områder og utstyr som inneholder personopplysninger. Tilganger skal begrenses til ansatte som har tjenstlig behov for informasjonen. Enhver bruk av informasjonssystemet skal loggføres.
Databehandler plikter å gi Behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon. Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles av Databehandler og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
Databehandleren plikter å bistå Behandlingsansvarlige med eventuelle innsynskrav og andre krav fra registrerte knyttet til håndtering av personopplysninger.
4.3 Taushetsplikt
Databehandler og dens ansatte, herunder konsulenter og andre som er engasjert av Databehandleren har taushetsplikt om forhold vedkommende blir kjent med under Avtaleforholdet. Informasjonen skal behandles fortrolig.
Databehandleren plikter å påse at samtlige personer som har tilgang til personopplysningene, er kjent med Personvernregelverket og forpliktelsene som følger av Avtalen, herunder også taushetsplikten.
Denne bestemmelsen gjelder også etter Avtalens opphør.
4.4 Overføring av Personopplysninger utenfor EØS
Databehandler skal ikke overføre personopplysninger ut av EØS-området uten skriftlig forhåndsgodkjennelse fra behandlingsansvarlig. Overføring inkluderer aksessering (fjerntilgang) fra land utenfor EØS. Hvis overføring skal skje plikter databehandler å sikre at det foreligger gyldig overføringsgrunnlag samt dokumentasjon som påviser at vilkårene for å benytte overføringsgrunnlaget er oppfylt, herunder tiltak som skal sikre tilfredsstillende beskyttelsesnivå for personopplysningene i tredjelandet. Dette skal forelegges Behandlingsansvarlig for vurdering før eventuell godkjennelse gis. Nærmere informasjon om vurderinger og beskyttelsestiltak skal tas inn i vedlegg 4.
I forbindelse med overføring av Personopplysninger utenfor EØS (“Tredjeland”), skal Databehandleren, når den Behandlingsansvarlige anser det som hensiktsmessig, samarbeide med den Behandlingsansvarlige for å inngå dataoverføringsavtaler basert på EU Standard Contractual Clauses (SCC) / EUs standard personvernbestemmelser for overføring av Personopplysninger til Databehandlere etablert i Tredjeland, eller etter avtaler som erstatter eller utgjør et alternativ til overføringsgrunnlagene som er godkjent av EU-kommisjonen.
Videre skal Databehandleren inngå de skriftlige avtaler og erklæringer som er nødvendige (iht. Behandlingsansvarliges vurdering) for å overholde Personvernlovgivningen som omhandler grenseoverskridende overføring av Personopplysninger, enten til eller fra Databehandleren.
5 Bruk av underleverandør
Databehandler skal ikke tjenesteutsette noe av Behandlingen han har fått i oppdrag av den Behandlingsansvarlige å utføre, til noen andre virksomheter uten uttrykkelig, skriftlig forhåndsgodkjennelse fra den Behandlingsansvarlige. Ved enhver Behandling av Personopplysninger utført av underleverandør skal underleverandøren være underlagt de samme forpliktelser og begrensninger Databehandler har i henhold til Avtalen.
Databehandler er ansvarlig for underleverandørens utførelse av tjenester og plikter etter Avtalen, på samme måte som om Databehandleren selv stod for utførelsen, herunder for regelverksbrudd eller brudd på Avtalen.
Databehandler skal føre oversikt over underleverandører som benyttes etter Avtalen. Oversikt over underleverandører inntas i Vedlegg 1 til Avtalen.
6 Informasjonssikkerhet
Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter gjeldende personvernregelverk.
Databehandler skal iverksette tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av Avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Databehandler skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak.
All forsendelse av personopplysninger mellom partene skal, enten det skjer i form av datafiler eller på annen måte, være tilstrekkelig sikret mot innsyn fra uvedkommende. Det samme gjelder avtalt forsendelse eller tilgjengeliggjøring for tredjepart.
Databehandler skal etablere kontinuitets- og beredskapsplaner for effektiv håndtering av sikkerhetshendelser.
Databehandler skal gi egne ansatte tilstrekkelig informasjon om og opplæring i informasjonssikkerhet slik at sikkerheten til personopplysninger som behandles på vegne av Behandlingsansvarlig blir ivaretatt.
7 Avvik
Brudd på personopplysningssikkerheten og andre sikkerhetsbrudd, skal behandles som et
«Avvik». Dette omfatter bruk av personopplysningene eller informasjonssystemet som er i strid med etablerte rutiner, Avtalen eller Personvernregelverket.
Databehandler skal ha rutiner og systematiske prosesser for å følge opp Avvik.
Dersom avvik blir oppdaget, eller dersom det er grunn til å tro at det foreligger Xxxxx, skal Databehandler umiddelbart, uten ugrunnet opphold og aldri senere enn 24 timer etter Avviket inntraff, varsle Behandlingsansvarlig om Avviket.
Slikt varsel skal beskrive Avviket, oppsummere konsekvensene av Avviket, herunder omfang og hvilke personopplysninger som er berørt, og utbedringstiltakene Databehandleren har iverksatt.
Databehandleren skal straks iverksette nødvendige og anbefalte utbedringstiltak og skal samarbeide helt og fullt med Behandlingsansvarlig og gjøre alle rimelige og lovlige anstrengelser for å forhindre, minimere eller rette opp Avviket, inkludert:
a) etterforske Avviket og gjennomføre analyser for å finne årsaken til sikkerhetsbrudd;
b) avhjelpe effektene av Avviket; og
c) gi Behandlingsansvarlig rimelig trygghet for at det er lite sannsynlig at slikt Xxxxx vil skje igjen.
Databehandleren skal ha på plass rutiner og systematiske prosesser for å følge opp Avvik, dvs. å gjenopprette normal tilstand, fjerne årsaken til Avviket og forhindre gjentakelse.
Databehandleren skal så snart som mulig gi den Behandlingsansvarlige skriftlig rapport. Rapporten skal inneholde informasjon om hvilke tiltak Databehandleren har implementert for å gjenopprette normale forhold, fjerne årsaken til Avviket og forhindre gjentakelse.
Databehandleren skal gi den Behandlingsansvarlige all informasjon som er nødvendig for at den Behandlingsansvarlige skal kunne overholde gjeldende Personvernlovgivning, og gjøre den Behandlingsansvarlige i stand til å besvare spørsmål fra tilsynsmyndigheter.
Innhold i mapper, kommunikasjon, varsler, pressemeldinger eller rapporter relatert til Avviket må godkjennes av Behandlingsansvarlig før de publiseres eller kommuniseres.
8 Ansvar
Partenes erstatningsansvar for skade som rammer den registrerte eller andre fysiske personer og som skyldes overtredelse av Personvernregelverket, følger bestemmelsene i personvernforordningen artikkel 82. Erstatningsbegrensninger som er inntatt i Hovedavtalen kommer ikke til anvendelse for ansvar som følger av personvernforordningen artikkel 82.
Partene er hver for seg ansvarlige for overtredelsesgebyr ilagt i henhold til personvernforordningens art. 83.
9 Sikkerhetsrevisjoner
Sikkerhetsrevisjoner av systemer og Databehandlers plikter etter Avtalen skal gjennomføres av Databehandler på skriftlig forespørsel fra Behandlingsansvarlig. Ordinære sikkerhetsrevisjoner etter Avtalen kan kun gjennomføres én gang per kalenderår. Behandlingsansvarlige kan utføre ytterligere sikkerhetsrevisjoner ved hendelser, eller mistanke om hendelser som innebærer sikkerhetsbrudd.
Databehandleren plikter å gjøre tilgjengelig all informasjon som er nødvendig for å påvise at bestemmelsene i Avtalen er overholdt.
Databehandler skal tillate Behandlingsansvarlig og Behandlingsansvarliges interne og eksterne revisorer å observere Databehandlerens gjennomføring av Avtalen. Dette gjelder også alle øvrige forhold som Behandlingsansvarlig og/eller Behandlingsansvarliges revisorer antar kan ha betydning for gjennomføringen av Databehandlerens forpliktelser, eller som er nødvendig for å kontrollere at arbeidsrutiner og prosedyrer blir utført som spesifisert og i henhold til Avtalens krav.
Databehandler har rett til å be om at det benyttes en annen revisor dersom det kan dokumenteres at det er nødvendig av konkurransemessige hensyn.
Tilsvarende rett til kontroll og innsyn gjelder for Datatilsynet eller annet relevant tilsynsorgan med hjemmel til innsyn i Behandlingsansvarliges virksomhet. Innsyns- og kontrollretten omfatter mulighet for stedlig tilsyn. Databehandler er også forpliktet til å svare på direkte spørsmål og å utlevere dokumentasjon.
10 Avtalens varighet
11 Meddelelser og meldinger
12 Varsling, suspensjon og opphør
Databehandleren skal varsle den Behandlingsansvarlige uten ugrunnet opphold hvis Databehandler sannsynligvis vil bli ute av stand til å overholde forpliktelsene sine under denne Databehandleravtalen.
Ved slik varsling, eller ved brudd på Avtalen, skal den Behandlingsansvarlige ha rett til å, etter eget skjønn, enten suspendere Databehandlerens rett til å behandle Personopplysninger under denne Databehandleravtalen med øyeblikkelig virkning inntil Databehandler er i stand til å bevise tilfredsstillende overholdelse, eller til å heve denne Databehandleravtalen med (10) virkedagers skriftlig varsel.
13 Ved opphør
Ved opphør av Avtalen plikter Databehandler å slette og tilbakelevere alle personopplysninger etter den til enhver tid beste praksis, herunder kopier av disse, som er behandlet på vegne av den Behandlingsansvarlige og som omfattes av Avtalen.
Databehandler plikter å slette eller forsvarlig destruere alle dokumenter, data, lagringsmedier mv., som inneholder (kopier av) opplysninger eller data som omfattes av Avtalen og som Databehandleren med hjemmel i lov er pålagt å oppbevare. Dette gjelder også for eventuelle sikkerhetskopier.
Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til Avtalen innen rimelig tid etter Avtalens opphør.
14 Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar Oslo tingrett som verneting [dersom ikke annet følger av Hovedavtalen]. Dette gjelder også etter opphør av Avtalen.
***
Denne Avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt.
Behandlingsansvarlig | Databehandler | |
[Sted / dato] | [Sted / dato] | |
[Navn] | [Navn] | |
[Stilling] | [Stilling] |
VEDLEGG 1
Behandlingens formål og underdatabehandlere
Gi en kort beskrivelse av databehandlers behandling av personopplysninger
Behandlingsformål | |||
☐ | HR- og personalbehandling | ☐ | Kontroll |
☐ | Drift av banken | ☐ | Beskyttelse av verdier og sikkerhetstiltak |
☐ | Etterlevelse av lovkrav og beskyttelse av rettslige interesser | ☐ | Forskning og analyse |
☐ | Annet formål (spesifiser): | ||
Registrerte | |||
☐ | Ansatte i Norges Bank | ☐ | Ansattes nærstående |
☐ | Leietakere | ☐ | Beskyttelse av verdier og sikkerhetstiltak |
☐ | Besøkende | ☐ | Publikum |
☐ | Xxxxx xxxxxxxxxxx (spesifiser): | ||
Personopplysninger | |||
☐ | Navn | ☐ | Kontaktinformasjon |
☐ | Fødselsdato | ☐ | Fødselsnummer |
☐ | Opplysninger om ansettelsesforhold | ☐ | Opplysninger om formuesforhold |
☐ | Rekruttering- og ansettelsesdokumenter | ☐ | Kopi av ID-papirer |
☐ | Tilstedeværelse og fravær | ☐ | Adgangs- og tilgangslogging |
☐ | Mobilbruk | ☐ | System- og internettbruk |
☐ | Reiseopplysninger | ☐ | Foto / video |
☐ | Mikrodata | ||
☐ | Annet (spesifiser): | ||
Sensitive personopplysninger | |||
☐ | Rasemessig eller etnisk bakgrunn | ☐ | Politisk, filosofisk eller religiøs oppfatning |
☐ | Helseforhold | ☐ | Seksuelle forhold eller orientering |
☐ | Medlemskap i fagforening | ☐ | Genetiske eller biometriske opplysninger |
☐ | Straffbare forhold | ☐ | Ikke relevant |
☐ | Adekvansbeslutning: [fyll inn land] |
☐ | EU-kommisjonens Standardavtaler / Standard contractual clauses (SCC) |
☐ | Bindende virksomhetsregler (BCR) |
☐ | Annet: [Beskriv nærmere her: f.eks. flere overføringsgrunnlag, GDPR art. 49, mv.] |
☐ | Ikke relevant |
Overføringsgrunnlag (hvis overføring til/tilgang fra land utenfor EØS)
Dersom det overføres personopplysninger utenfor EØS skal vedlegg 4 fylles ut (Overføring gjelder også fjerntilgang fra utenfor EØS).
Underdatabehandlere
Org. navn | |
Adresse | |
Land | |
Org. nr. | |
Grunnlag | [ved overføring til/tilgang fra land utenfor EØS; overføringsgrunnlag etter GDPR kap. V] |
Behandling | [hvilke personopplysninger behandles og formål med behandlingen] |
Org. navn | |
Adresse | |
Land | |
Org. nr. | |
Grunnlag | [ved overføring til/tilgang fra land utenfor EØS; overføringsgrunnlag etter GDPR kap. V] |
Behandling | [hvilke personopplysninger behandles og formål med behandlingen] |
☐ Databehandler benytter ikke underdatabehandlere for behandlingen av personopplysninger
VEDLEGG 2
Kontaktinformasjon
Hos behandlingsansvarlig | Hos databehandler | |
Navn | ||
Stilling | ||
Telefon | ||
E-post | ||
Henvendelser pr. e-post | ||
Skjema oversikt dataflyt
[Eksempelskjema – leverandørens besvarelse tas inn her]
Beskyttelsesnivå for personopplysninger
Sammendrag fra vurdering av beskyttelsesnivå:
[Vedlegget skal fylles ut med opplisting av tiltak som er implementert for å ivareta tilstrekkelig beskyttelsesnivå for personopplysningene, jf. GDPR art. 32.
Hvis personopplysninger behandles utenfor EØS skal det også inntas sammendrag fra landvurdering i Transfer Impact Assessment (TIA). Merk at overføring også gjelder fjerntilgang til/fra utenfor EØS til personopplysninger lagret i EØS, f.eks. for vedlikehold og feilretting).]
Landvurdering:
[fylles kun ut ved overføring av eller fjerntilgang til personopplysninger til tredjeland utenfor EØS]
Beskyttelsestiltak: [Skal alltid fylles ut med detaljer om tiltak etter GDPR art.32, ikke med generiske beskrivelser. Alternativt, ved bruk av overføringsgrunnlag kan det henvises til spesifikt bilag i overføringsgrunnlaget hvor tiltakene er listet opp, eksempelvis nye SCC annex 2]
• Organisatoriske: [leverandørens besvarelse av krav i tilbudet inntas her]
• Kontraktuelle: [leverandørens besvarelse av krav i tilbudet inntas her]
• Tekniske: [leverandørens besvarelse av krav i tilbudet inntas her]
Supplerende beskyttelsestiltak
[Note: Dette vedlegget er et kontraktuelt beskyttelsestiltak og kommer til anvendelse ved overføring til/tilgang fra land utenfor EØS.]
1. Forsvar mot utlevering og tilgjengeliggjøring av data
Dersom Databehandler mottar pålegg fra tredjepart om Tilgjengeliggjøring av data og/eller personopplysninger som er overført i henhold til overføringsgrunnlaget, skal Databehandler:
(a) gjøre alle rimelige anstrengelser for å omdirigere tredjepart til å be om data direkte fra Behandlingsansvarlig;
(b) straks varsle Behandlingsansvarlig, med mindre det er forbudt i henhold til gjeldende lov for den anmodende tredjepart, og, dersom det er forbudt å varsle Behandlingsansvarlig, gjøre all lovlig innsats for å oppnå retten til å frafalle forbudet mot å kommunisere slik at Behandlingsansvar får nødvendig informasjon så raskt som mulig; og
(c) gjøre alle lovlige tiltak for å utfordre pålegg om Tilgjengeliggjøring på basis av manglende juridisk grunnlag i henhold til lovgivningen til den anmodende parten, eller relevante konflikter med lovgivningen i EU eller gjeldende medlemsstats lovgivning.
Det presiseres at lovlige tiltak ikke omfatter handlinger som vil resultere i sivil eller strafferettslig straff, f.eks. forakt for retten, under lovene i den aktuelle jurisdiksjonen.
2. Skadesløsholdelse
I henhold til punkt 3 og 4, skal Databehandler holde Behandlingsansvarlig skadesløs for enhver materiell eller immateriell skade som oppstår for Behandlingsansvarlig og den registrerte, og som forårsakes av Databehandlers Tilgjengeliggjøring av personopplysninger om den registrerte, slik disse er overført i henhold til overføringsgrunnlaget, som svar på et pålegg fra et statlig organ utenfor EU/EØS eller organer innenfor påtale og etterretning (en "Tilgjengeliggjøring").
3. Vilkår for skadesløsholdelse.
Skadesløsholdelse i henhold til punkt 2 er betinget av at Behandlingsansvarlig fastslår at:
(a) Databehandler har gjennomført en Tilgjengeliggjøring;
(b) Tilgjengeliggjøringen var basert på for et offisielt pålegg fra et statlig organ utenfor EU/EØS eller et organ innenfor påtale og etterretning mot Behandlingsansvarlig eller de registrerte; og
(c) Tilgjengeliggjøringen påførte Behandlingsansvarlig materiell eller immaterielt skade, f.eks. i form av krav fra de registrerte eller bøter/gebyrer.
Til tross for det foregående, har Databehandler ingen forpliktelse til å holde den registrerte skadesløs i henhold til punkt 2 dersom Databehandler fastslår at den relevante Tilgjengeliggjøringen ikke brøt forpliktelsene i henhold til GDPR.
4. Skadeomfang.
Skadesløsholdelse i henhold til punkt 2 over er begrenset til materielle og immaterielle skader som angitt i GDPR og personopplysningsloven, og ekskluderer følgeskader og alle andre skader som ikke skyldes Databehandlers brudd på GDPR.
Denne skadesløsholdelsen er ikke underlagt noen ansvarsbegrensning som ellers måtte være avtalt med Databehandler.
5. Varsel om endring.
Databehandler er enig i og garanterer at det ikke er grunn til å tro at lovgivningen som gjelder for den eller dens underbehandlere, inkludert i land som personopplysningene overføres til enten av dem selv eller gjennom en underbehandler, hindrer oppfyllelsen av instruksjonene mottatt fra data eksportøren og dens forpliktelser i henhold til Avtalen, Vedlegget eller overføringsgrunnlaget, og at det i tilfelle en endring i lovgivning som antas å ha negativ innvirkning på garantiene og forpliktelsene som i dette Vedlegget eller overføringsgrunnlaget, vil den straks varsle Behandlingsansvarlig om endringen så snart den er kjent, i hvilket tilfelle Behandlingsansvarlig har rett til å stanse overføringen av data og/eller si opp kontrakten.
6. Opphør.
Dette vedlegget skal automatisk opphøre dersom EU-kommisjonen, en kompetent tilsynsmyndighet i en medlemsstat eller en kompetent domstol i EU eller en medlemsstat godkjenner en annen lovlig overføringsmekanisme som vil være gjeldende for dataoverføringer som dekkes av overføringsgrunnlaget (og dersom slik mekanisme kun gjelder for noen av dataoverføringene, vil dette Vedlegget kun opphøre med hensyn til disse overføringene) og som ikke krever de ekstra beskyttelsestiltakene som er angitt i dette vedlegget. Opphør forutsetter at Partene formelt etablerer en lovlig overføringsmekanisme som dekker behandlingen under Avtalen.
7. Tolkning/Rangordning
Dette vedlegg 5 skal gå foran ved motstrid mellom Avtalen, Hovedavtalen og andre avtaler mellom partene.