BILAGA 1: STANDARDAVTALSKLAUSULER

BILAGA 1: STANDARDAVTALSKLAUSULER

AVSNITT I

Klausul 1

Syfte och tillämpningsområde

a. Syftet med dessa standardavtalsklausuler är att säkerställa överenskommelse med kraven i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om den fria rörligheten av sådana uppgifter (allmänna dataskyddsförordningen) vid överföring av personuppgifter till ett tredjeland.

b. Parterna:

i. fysiska eller juridiska personer, offentliga myndigheter, byråer eller andra organ (nedan kallat "enheter") som överför personuppgifter enligt förteckningen i bilaga I.A (nedan kallat "uppgiftsutförare"), och

ii. enheter i ett tredjeland som tar emot personuppgifter från uppgiftsutföraren, direkt eller indirekt via en annan enhet som också är part i dessa klausuler, enligt förteckningen i bilaga I.A (nedan kallat "uppgiftsinförare")

har samtyckt till dessa standardavtalsklausuler (nedan kallat "klausuler").

c. Dessa klausuler gäller för överföring av personuppgifter enligt vad som anges i bilaga I.B.

d. Det tillägg till dessa klausuler som innehåller de bilagor som det hänvisas till utgör en integrerad del av dessa klausuler.

Klausul 2

Klausulernas verkan och beständighet

a. I dessa klausuler fastställs lämpliga skyddsåtgärder, inklusive verkställbara rättigheter och effektiva rättsmedel för de registrerade i enlighet med artikel 46(1) och artikel 46(2)(c) i förordning (EU) 2016/679 och, när det gäller överföring av personuppgifter från personuppgiftsansvariga till personuppgiftsbiträden och/eller från personuppgiftsbiträde till personuppgiftsbiträde, standardavtalsklausuler i enlighet med artikel 28(7) i förordning (EU) 2016/679, förutsatt att de inte ändras, utom för att välja en eller flera lämpliga moduler eller för att lägga till eller uppdatera information i tillägget. Detta hindrar inte parterna från att inkludera de standardavtalsklausuler som fastställs i dessa klausuler i ett bredare avtal och/eller att lägga till andra klausuler eller ytterligare skyddsåtgärder, förutsatt att de inte direkt eller indirekt står i strid med dessa klausuler eller påverkar de registrerades grundläggande rättigheter eller friheter.

b. Dessa klausuler påverkar inte de skyldigheter som uppgiftsutföraren omfattas av enligt förordning (EU) 2016/679.

Klausul 3

Berättigade tredje parter

a. De registrerade får åberopa och genomdriva dessa klausuler, i egenskap av berättigade tredje parter, gentemot uppgiftsutföraren och/eller uppgiftsinföraren, med följande undantag:

i. Klausul 1, klausul 2, klausul 3, klausul 6, klausul 7;

ii. Klausul 8 – klausul 8.1(b), 8.9(a), (c), (d) och (e);

iii. Klausul 9 – klausul 9(a), (c), (d) och (e);

iv. Klausul 12 – klausul 12(a), (d) och (f);

v. Klausul 13;

vi. Klausul 15.1(c), (d) och (e);

vii. Klausul 16(e);

viii. Klausul 18 – klausul 18(a) och (b);

b. Punkt (a) påverkar inte de registrerades rättigheter enligt förordning (EU) 2016/679.

Klausul 4

Tolkning

a. Om termer som definieras i förordning (EU) 2016/679 används i dessa klausuler ska dessa termer ha samma betydelse som i den förordningen.

b. Dessa klausuler ska läsas och tolkas mot bakgrund av bestämmelserna i förordning (EU) 2016/679.

c. Dessa klausuler ska inte tolkas på ett sätt som strider mot de rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679.

Klausul 5

Hierarki

I händelse av en konflikt mellan dessa klausuler och bestämmelserna i relaterade avtal mellan parterna, som gäller vid den tidpunkt då dessa klausuler avtalas eller därefter ingås, ska dessa klausuler ha företräde.

Klausul 6

Beskrivning av överföringen/överföringarna

Närmare uppgifter om den eller de överföringar, och särskilt de kategorier av personuppgifter som överförs och det eller de ändamål för vilka de överförs, anges i bilaga I.B.

Klausul 7

Dockningsklausul

a. En enhet som inte är part i dessa klausuler får, med parternas samtycke, ansluta sig till dessa klausuler när som helst, antingen som uppgiftsutförare eller som uppgiftsinförare, genom att fylla i tillägget och underteckna bilaga I.A.

b. När den anslutande enheten har fyllt i tillägget och undertecknat bilaga I.A ska den bli part i dessa klausuler och ha samma rättigheter och skyldigheter som en uppgiftsutförare eller uppgiftsinförare i enlighet med dess beteckning i bilaga I.A.

c. Den anslutande enheten ska inte ha några rättigheter eller skyldigheter enligt dessa klausuler från perioden innan enheten blev en part.

AVSNITT II – PARTERNAS SKYLDIGHETER

Klausul 8

Skydd av personuppgifter

Uppgiftsutföraren garanterar att den har gjort rimliga ansträngningar för att fastställa att uppgiftsinföraren, genom att vidta lämpliga tekniska och organisatoriska åtgärder, kan uppfylla sina skyldigheter enligt dessa klausuler.

8.1 Instruktioner

a. Uppgiftsinföraren ska endast behandla personuppgifterna enligt dokumenterade instruktioner från uppgiftsutföraren. Uppgiftsutföraren får ge sådana instruktioner under hela avtalets löptid.

b. Uppgiftsinföraren ska omedelbart underrätta uppgiftsutföraren om den inte kan följa dessa instruktioner.

8.2 Ändamålsbegränsning

Uppgiftsinföraren ska endast behandla personuppgifterna för det eller de särskilda ändamål med överföringen som anges i bilaga I. B, om inte uppgiftsutföraren har gett andra instruktioner.

8.3 Öppenhet

På begäran ska uppgiftsutföraren kostnadsfritt tillhandahålla en kopia av dessa klausuler, inklusive tillägget när det har fyllts i av parterna, till den registrerade. I den utsträckning det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inklusive de åtgärder som beskrivs i bilaga II och personuppgifter, får uppgiftsutföraren redigera delar av texten i tillägget till dessa klausuler innan en kopia delas, men ska tillhandahålla en meningsfull sammanfattning om den registrerade annars inte skulle kunna förstå dess innehåll eller utöva sina rättigheter. På begäran ska parterna tillhandahålla skälen till redigeringen till den registrerade, i möjligaste mån utan att avslöja de redigerade uppgifterna. Denna klausul påverkar inte uppgiftsutförarens skyldigheter enligt artiklarna 13 och 14 i förordning (EU) 2016/679.

8.4 Korrekthet

Om uppgiftsinföraren får kännedom om att de personuppgifter som den har fått är felaktiga eller har blivit inaktuella, ska den utan onödigt dröjsmål underrätta uppgiftsutföraren. I sådant fall ska uppgiftsinföraren samarbeta med uppgiftsutföraren för att radera eller rätta uppgifterna.

8.5 Behandlingens varaktighet och radering eller returnering av uppgifter

Uppgiftsinförarens behandling ska endast äga rum under den tid som anges i bilaga I.B. Efter att tillhandahållandet av behandlingstjänsterna har avslutats ska uppgiftsinföraren, enligt uppgiftsutförarens val, radera alla personuppgifter som behandlats för uppgiftsutförarens räkning och intyga för uppgiftsutföraren att detta har gjorts, eller till uppgiftsutföraren returnera alla personuppgifter som behandlats för uppgiftsutförarens räkning och radera befintliga kopior. Till dess att uppgifterna raderats eller returnerats ska uppgiftsinföraren fortsätta att säkerställa att dessa klausuler efterlevs. Om det finns lokal lagstiftning som är tillämplig för uppgiftsinföraren och som förbjuder att personuppgifterna returneras eller raderas ska uppgiftsinföraren garantera att den kommer att fortsätta säkerställa att dessa klausuler efterlevs och endast kommer att behandla personuppgifterna i den utsträckning och så länge som krävs enligt den lokala lagstiftningen. Detta

påverkar inte klausul 14, särskilt kravet enligt klausul 14(e) på att uppgiftsinföraren ska underrätta uppgiftsutföraren under hela avtalets giltighetstid om den har anledning att tro att den är eller har blivit föremål för lagar eller praxis som inte överensstämmer med kraven i klausul 14(a).

8.6 Säkerhet vid behandling

a. Uppgiftsinföraren, och under överföring även uppgiftsutföraren, ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet, inklusive skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande eller åtkomst till uppgifterna (nedan kallat "personuppgiftsincident"). Vid bedömningen av lämplig säkerhetsnivå ska parterna ta vederbörlig hänsyn till den senaste tekniken, kostnaderna för genomförandet, behandlingens karaktär, omfattning, sammanhang och syfte samt riskerna för den registrerade som är förknippade med behandlingen. Parterna ska särskilt överväga att använda kryptering eller pseudonymisering, även under överföringen, om syftet med behandlingen kan uppfyllas på detta sätt. Vid pseudonymisering ska uppgiftsutföraren om möjligt behålla sin fullständiga kontroll över den ytterligare information som krävs för att knyta personuppgifter till en viss registrerad. För att fullgöra sina skyldigheter enligt denna punkt ska uppgiftsinföraren åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga II. Uppgiftsinföraren ska genomföra regelbundna kontroller för att säkerställa att dessa åtgärder fortsätter att ge en lämplig säkerhetsnivå.

b. Uppgiftsinföraren ska endast ge sin personal tillgång till personuppgifterna i den utsträckning som är absolut nödvändig för att genomföra, förvalta och övervaka avtalet. Den ska säkerställa att personer som är behöriga att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

c. I händelse av personuppgiftsincident som rör personuppgifter som behandlats av uppgiftsinföraren enligt dessa klausuler ska uppgiftsinföraren vidta lämpliga åtgärder för att hantera incidenten, inklusive åtgärder för att mildra dess negativa effekter. Uppgiftsinföraren ska också utan onödigt dröjsmål meddela uppgiftsutföraren efter att ha fått kännedom om incidenten. Ett sådant meddelande ska innehålla uppgifter om en kontaktpunkt där mer information kan erhållas, en beskrivning av incidentens karaktär (inklusive, om möjligt, kategorier och ungefärligt antal registrerade och personuppgiftsregister som berörs), dess sannolika konsekvenser och de åtgärder som vidtagits eller föreslagits för att åtgärda incidenten, inbegripet, i tillämpliga fall, åtgärder för att mildra dess eventuella negativa effekter. Om, och i den mån, det inte är möjligt att tillhandahålla all information vid samma tillfälle ska det initiala meddelandet innehålla den information som då finns tillgänglig och ytterligare information ska, när den blir tillgänglig, därefter tillhandahållas utan onödigt dröjsmål.

d. Uppgiftsinföraren ska samarbeta med och bistå uppgiftsutföraren så att uppgiftsutföraren kan fullgöra sina skyldigheter enligt förordning (EU) 2016/679, särskilt att underrätta den behöriga tillsynsmyndigheten och de berörda registrerade, med beaktande av behandlingens karaktär och den information som uppgiftsinföraren har tillgång till.

8.7 Känsliga uppgifter

Om överföringen omfattar personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening, genetiska uppgifter eller biometriska uppgifter i syfte att unikt identifiera en fysisk person, uppgifter om hälsa eller en

persons sexliv eller sexuella läggning, eller uppgifter om brottmålsdomar och lagöverträdelser (nedan kallat "känsliga uppgifter"), ska uppgiftsinföraren tillämpa de särskilda begränsningar och/eller ytterligare skyddsåtgärder som beskrivs i bilaga I.B.

8.8 Vidare överföringar

Uppgiftsinföraren ska endast lämna ut personuppgifterna till en tredje part enligt dokumenterade instruktioner från uppgiftsutföraren. Dessutom får uppgifterna endast lämnas ut till en tredje part utanför Europeiska unionen (i samma land som uppgiftsinföraren eller i ett annat tredjeland, nedan kallat "vidare överföring") om den tredje parten är eller samtycker till att vara bunden av dessa klausuler i motsvarande modul, eller om:

i. den fortsatta överföringen sker till ett land som omfattas av ett beslut om adekvat skyddsnivå i enlighet med artikel 45 i förordning (EU) 2016/679 som täcker den vidare överföringen;

ii. den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder enligt artikel 46 eller 47 i förordning (EU) 2016/679 med avseende på behandlingen i fråga;

iii. den vidare överföringen är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden; eller

iv. den vidare överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller annan fysisk person.

Vid all vidare överföring måste uppgiftsinföraren efterleva alla andra skyddsåtgärder enligt dessa klausuler, särskilt ändamålsbegränsning.

8.9 Dokumentation och efterlevnad

a. Uppgiftsinföraren ska utan dröjsmål och på lämpligt sätt hantera förfrågningar från uppgiftsutföraren som rör behandlingen enligt dessa klausuler.

b. Parterna ska kunna visa att dessa klausuler efterlevs. Framför allt ska uppgiftsinföraren behålla lämplig dokumentation om den behandling som utförts på uppgiftsutförarens vägnar.

c. Uppgiftsinföraren ska se till att uppgiftsutföraren har tillgång till all information som är nödvändig för att visa att skyldigheterna i dessa klausuler är uppfyllda, och på uppgiftsutförarens begäran, möjliggöra och bidra till revisioner av den behandling som omfattas av dessa klausuler med rimliga intervall eller om det finns tecken på bristande efterlevnad. När beslut fattas om en översyn eller revision får uppgiftsutföraren ta hänsyn till relevanta intyg som innehas av uppgiftsinföraren.

d. Uppgiftsutföraren får välja att genomföra revisionen själv eller anlita en oberoende revisor. Revisionerna får omfatta inspektioner i uppgiftsinförarens lokaler eller fysiska anläggningar och ska, när så är lämpligt, genomföras med rimlig varsel.

e. Parterna ska på begäran göra den information som avses i punkterna (b) och (c), inklusive resultaten av eventuella revisioner, tillgänglig för den behöriga tillsynsmyndigheten.

Klausul 9

Användning av underentreprenörer

a. Uppgiftsinföraren har uppgiftsutförarens generella tillstånd att anlita en eller flera underentreprenörer från en överenskommen förteckning. Uppgiftsinföraren ska skriftligen underrätta uppgiftsutföraren om alla planerade ändringar av förteckningen genom tillägg

eller byte av underentreprenörer minst 15 dagar i förväg, så att uppgiftsutföraren får tillräckligt med tid för att kunna invända mot sådana ändringar innan underentreprenören/underentreprenörerna anlitas. Uppgiftsinföraren ska förse uppgiftsutföraren med den information som krävs för att uppgiftsutföraren ska kunna utöva sin rätt att göra invändningar.

b. Om uppgiftsinföraren anlitar en underentreprenör för att utföra särskilda behandlingar (för uppgiftsutförarens räkning), ska den göra det genom ett skriftligt avtal som i sak innehåller samma skyldigheter avseende dataskydd som de avtal som är bindande för uppgiftsinföraren enligt dessa klausuler, inklusive när det gäller de registrerades rättigheter som berättigade tredje part. Parterna är överens om att uppgiftsinföraren, genom att följa denna klausul, uppfyller sina skyldigheter enligt klausul 8.8. Uppgiftsinföraren ska se till att underentreprenören uppfyller de skyldigheter som uppgiftsinföraren omfattas av enligt dessa klausuler.

c. Uppgiftsinföraren ska på uppgiftsutförarens begäran tillhandahålla en kopia av ett sådant underentreprenörsavtal och eventuella senare ändringar till uppgiftsutföraren. I den utsträckning det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inklusive personuppgifter, får uppgiftsinföraren redigera avtalstexten innan en kopia delas.

d. Uppgiftsinföraren ska förbli fullt ansvarig gentemot uppgiftsutföraren för fullgörandet av underentreprenörens skyldigheter enligt sitt avtal med uppgiftsinföraren. Uppgiftsinföraren ska underrätta uppgiftsutföraren om underentreprenörens underlåtenhet att fullgöra sina skyldigheter enligt det avtalet.

e. Uppgiftsinföraren ska komma överens med underentreprenören om en klausul om tredjepartsberättigande, varigenom uppgiftsutföraren – om uppgiftsinföraren har upphört att existera, faktiskt eller i rättslig mening, eller har hamnat på obestånd – ska ha rätt att säga upp underentreprenörsavtalet och instruera underentreprenören att radera eller returnera personuppgifterna.

Klausul 10

Registrerades rättigheter

a. Uppgiftsinföraren ska utan dröjsmål underrätta uppgiftsutföraren om varje begäran som den har fått från en registrerad. Uppgiftsinföraren ska inte svara på denna begäran själv om den inte har bemyndigats att göra det av uppgiftsutföraren.

b. Uppgiftsinföraren ska bistå uppgiftsutföraren med att fullgöra dennes skyldigheter att svara på de registrerades begäran om utövande av sina rättigheter enligt förordning (EU) 2016/679. I detta avseende ska parterna i bilaga II fastställa lämpliga tekniska och organisatoriska åtgärder, med beaktande av behandlingens karaktär, genom vilka biståndet ska tillhandahållas, samt tillämpningsområdet för och omfattningen av det bistånd som begärs.

c. Vid fullgörandet av sina skyldigheter enligt punkterna (a) och (b) ska uppgiftsinföraren följa uppgiftsutförarens instruktioner.

Klausul 11

Tillgång till prövning

a. Uppgiftsinföraren ska genom ett individuellt meddelande eller på sin webbplats informera de registrerade i ett öppet och lättillgängligt format om en kontaktpunkt som är behörig att hantera klagomål. Uppgiftsinföraren ska utan dröjsmål hantera alla klagomål som den mottar från en registrerad.

b. Om en tvist uppstår mellan en registrerad och en av parterna när det gäller efterlevnaden av dessa klausuler, ska den parten göra sitt bästa för att lösa tvisten på ett skyndsamt sätt. Parterna ska hålla varandra underrättade om sådana tvister och, i förekommande fall, samarbeta för att lösa dem.

c. Om den registrerade åberopar en rättighet som berättigad tredje part enligt klausul 3, ska uppgiftsinföraren godta den registrerades beslut att:

i. lämna in ett klagomål till tillsynsmyndigheten i den medlemsstat där han eller hon är stadigvarande bosatt eller har sin arbetsplats, eller den behöriga tillsynsmyndigheten enligt klausul 13;

ii. hänskjuta tvisten till de behöriga domstolarna i den mening som avses i klausul 18.

d. Parterna godtar att den registrerade får företrädas av ett icke vinstdrivande organ, en organisation eller en sammanslutning enligt de villkor som anges i artikel 80(1) i förordning (EU) 2016/679.

e. Uppgiftsinföraren ska följa ett beslut som är bindande enligt tillämplig lagstiftning i EU eller medlemsstaterna.

f. Uppgiftsinföraren samtycker till att det val som den registrerade gjort inte kommer att påverka hans/hennes materiella och processuella rättigheter att begära prövning i enlighet med gällande lagar.

Klausul 12

Ansvar

a. Varje part ska vara ansvarig gentemot den andra parten/de andra parterna för eventuella skador som den orsakar den andra parten/de andra parterna genom brott mot dessa klausuler.

b. Uppgiftsinföraren ska vara ansvarig gentemot den registrerade, och den registrerade ska ha rätt att få ersättning för varje materiell eller immateriell skada som uppgiftsinföraren eller dess underentreprenör orsakar den registrerade genom att bryta mot rättigheterna för en berättigad tredje part enligt dessa klausuler.

c. Utan att det påverkar punkt (b) ska uppgiftsutföraren vara ansvarig gentemot den registrerade, och den registrerade ska ha rätt att få ersättning för varje materiell eller immateriell skada som uppgiftsutföraren eller uppgiftsinföraren (eller dess underentreprenör) orsakar den registrerade genom att bryta mot rättigheterna för en berättigad tredje part enligt dessa klausuler. Detta påverkar inte uppgiftsutförarens ansvar och, om uppgiftsutföraren är ett personuppgiftsbiträde som agerar för en personuppgiftsansvarigs räkning, den personuppgiftsansvariges ansvar enligt förordning (EU) 2016/679 eller förordning (EU) 2018/1725, enligt vad som är tillämpligt.

d. Parterna är överens om att om uppgiftsutföraren hålls ansvarig enligt punkt (c) för skada som orsakats av uppgiftsinföraren (eller dess underentreprenör), ska den ha rätt att från

uppgiftsinföraren kräva tillbaka den del av ersättningen som motsvarar uppgiftsinförarens ansvar för skadan.

e. Om mer än en part är ansvarig för skada som orsakats den registrerade till följd av brott mot dessa klausuler, ska alla ansvariga parter vara solidariskt ansvariga och den registrerade har rätt att väcka talan i domstol mot var och en av dessa parter.

f. Parterna är överens om att om en part hålls ansvarig enligt punkt (e), ska den ha rätt att från den andra parten/de andra parterna kräva tillbaka den del av ersättningen som motsvarar dess/deras ansvar för skadan.

g. Uppgiftsinföraren får inte åberopa en underentreprenörs agerande för att undvika sitt eget ansvar.

Klausul 13

Tillsyn

a. Den tillsynsmyndighet som ansvarar för att uppgiftsutföraren efterlever förordning (EU) 2016/679 när det gäller uppgiftsöverföringen, enligt bilaga I.C, ska fungera som behörig tillsynsmyndighet.

Om uppgiftsutföraren inte är etablerad i en EU-medlemsstat, men omfattas av det territoriella tillämpningsområdet för förordning (EU) 2016/679 i enlighet med artikel 3(2), och har utsett en företrädare enligt artikel 27(1) i förordning (EU) 2016/679: Tillsynsmyndigheten i den medlemsstat där företrädaren i den mening som avses i artikel 27(1) i förordning (EU) 2016/679 är etablerad, enligt vad som anges i bilaga I.C, ska fungera som behörig tillsynsmyndighet.

Om uppgiftsutföraren inte är etablerad i en EU-medlemsstat, men omfattas av det territoriella tillämpningsområdet för förordning (EU) 2016/679 i enlighet med artikel 3(2), utan att behöva utse en företrädare enligt artikel 27(2) i förordning (EU) 2016/679: Tillsynsmyndigheten i en av de medlemsstater där de registrerade vars personuppgifter överförs enligt dessa klausuler befinner sig i samband med tillhandahållandet av varor eller tjänster till dem, eller vars beteende övervakas, enligt vad som anges i bilaga I.C, ska fungera som behörig tillsynsmyndighet.

b. Uppgiftsinföraren samtycker till att godta den behöriga tillsynsmyndighetens jurisdiktion och samarbeta med den behöriga tillsynsmyndigheten i alla förfaranden som syftar till att säkerställa efterlevnaden av dessa klausuler. Uppgiftsinföraren samtycker särskilt till att svara på förfrågningar, gå med på revisioner och följa de åtgärder som tillsynsmyndigheten har vidtagit, inbegripet korrigerande och kompenserande åtgärder. Den ska ge tillsynsmyndigheten en skriftlig bekräftelse på att nödvändiga åtgärder har vidtagits.

AVSNITT III – LOKALA LAGAR OCH SKYLDIGHETER VID OFFENTLIGA MYNDIGHETERS ÅTKOMST

Klausul 14

Lokala lagar och praxis som påverkar efterlevnaden av klausulerna

a. Parterna garanterar att de inte har någon anledning att tro att de lagar och förfaranden i det mottagande tredjelandet som är tillämpliga på uppgiftsinförarens behandling av personuppgifterna, inklusive eventuella krav på att lämna ut personuppgifter eller åtgärder som tillåter offentliga myndigheters åtkomst, hindrar uppgiftsinföraren från att fullgöra sina skyldigheter enligt dessa klausuler. Detta grundar sig på insikten att lagar och förfaranden som respekterar de grundläggande rättigheterna och friheterna, och inte går utöver vad som är nödvändigt och proportionellt i ett demokratiskt samhälle för att skydda ett av de ändamål som anges i artikel 23(1) i förordning (EU) 2016/679, inte står i strid med dessa klausuler.

b. Parterna intygar att de genom att tillhandahålla garantin i punkt (a) har tagit vederbörlig hänsyn till särskilt följande aspekter:

i. de särskilda omständigheterna för överföringen, inklusive längden på behandlingskedjan, antalet berörda aktörer och de överföringskanaler som använts; avsedda vidare överföringar; typen av mottagare; syftet med behandlingen; kategorierna och formatet på de överförda personuppgifterna; den ekonomiska sektor där överföringen sker; lagringsplatsen för de överförda uppgifterna;

xx. xx xxxxx och praxis i det mottagande tredjelandet – inklusive de som kräver att uppgifter lämnas ut till offentliga myndigheter eller ger sådana myndigheter tillstånd att få åtkomst till dem – som är relevanta mot bakgrund av de särskilda omständigheterna kring överföringen, samt tillämpliga begränsningar och skyddsåtgärder;

iii. alla relevanta avtalsmässiga, tekniska eller organisatoriska skyddsåtgärder som införts för att komplettera skyddsåtgärderna enligt dessa klausuler, inklusive åtgärder som tillämpas under överföring och behandling av personuppgifter i mottagarlandet.

c. Uppgiftsinföraren garanterar att den vid bedömningen enligt punkt (b) har gjort sitt bästa för att förse uppgiftsutföraren med relevant information och samtycker till att fortsätta att samarbeta med uppgiftsutföraren för att säkerställa efterlevnaden av dessa klausuler.

d. Parterna är överens om att dokumentera bedömningen enligt punkt (b) och på begäran göra den tillgänglig för den behöriga tillsynsmyndigheten.

e. Uppgiftsinföraren samtycker till att utan dröjsmål underrätta uppgiftsutföraren om den, efter att ha samtyckt till dessa klausuler och under avtalets löptid, har anledning att tro att den är eller har blivit föremål för lagar eller praxis som inte överensstämmer med kraven i punkt (a), inklusive efter en ändring av lagarna i tredjelandet eller en åtgärd (t.ex. en begäran om utlämnande) som anger att en tillämpning av sådana lagar i praktiken inte överensstämmer med kraven i punkt (a).

f. Efter ett meddelande enligt punkt (e), eller om uppgiftsutföraren på annat sätt har anledning att tro att uppgiftsinföraren inte längre kan fullgöra sina skyldigheter enligt dessa klausuler, ska uppgiftsutföraren utan dröjsmål identifiera lämpliga åtgärder (t.ex. tekniska eller organisatoriska åtgärder för att säkerställa säkerhet och konfidentialitet) som ska antas av uppgiftsutföraren och/eller uppgiftsinföraren för att ta itu med situationen. Uppgiftsutföraren ska avbryta uppgiftsöverföringen om den anser att det inte finns några lämpliga skyddsåtgärder för sådan överföring eller efter att ha instruerats av den behöriga

tillsynsmyndigheten att göra det. I sådant fall ska uppgiftsutföraren ha rätt att säga upp avtalet, i den mån det rör behandling av personuppgifter enligt dessa klausuler. Om avtalet omfattar fler än två parter får uppgiftsutföraren utöva denna rätt till uppsägning endast med den berörda parten, om inte parterna har kommit överens om något annat. Om avtalet sägs upp i enlighet med denna klausul ska klausul 16(d) och (e) tillämpas.

Klausul 15

Uppgiftsinförarens skyldigheter vid offentliga myndigheters åtkomst

15.1 Meddelande

a. Uppgiftsinföraren samtycker till att meddela uppgiftsutföraren och, om möjligt, den registrerade utan dröjsmål (om så behövs med hjälp av uppgiftsutföraren) om den:

i. får en rättsligt bindande begäran från en offentlig myndighet, inklusive rättsliga myndigheter, enligt lagstiftningen i mottagarlandet om utlämnande av personuppgifter som överförts enligt dessa klausuler; ett sådant meddelande ska innehålla information om de personuppgifter som begärs, den begärande myndigheten, den rättsliga grunden för begäran och det svar som lämnats; eller

ii. får kännedom om att offentliga myndigheter haft direkt tillgång till personuppgifter som överförts enligt dessa klausuler i enlighet med lagstiftningen i mottagarlandet; sådant meddelande ska innehålla all information som är tillgänglig för införaren.

b. Om uppgiftsinföraren är förbjuden att meddela uppgiftsutföraren och/eller den registrerade enligt lagstiftningen i mottagarlandet, samtycker uppgiftsinföraren till att göra sitt bästa för att få till ett undantag från förbudet, i syfte att förmedla så mycket information som möjligt, så snart som möjligt. Uppgiftsinföraren samtycker till att dokumentera sina ansträngningar för att kunna visa dem på begäran av uppgiftsutföraren.

c. Om det är tillåtet enligt lagstiftningen i mottagarlandet samtycker uppgiftsinföraren till att regelbundet under avtalets löptid förse uppgiftsutföraren med så mycket relevant information som möjligt om de mottagna begärandena (särskilt antal begäranden, typ av begärda uppgifter, begärande myndighet/myndigheter, huruvida begäranden har bestridits och resultatet av sådana bestridanden osv.).

d. Uppgiftsinföraren samtycker till att bevara informationen enligt punkterna (a) till (c) under avtalets löptid och på begäran göra den tillgänglig för den behöriga tillsynsmyndigheten.

e. Punkterna (a) till (c) påverkar inte uppgiftsinförarens skyldighet enligt klausul 14(e) och klausul 16 att utan dröjsmål informera uppgiftsutföraren om denne inte kan uppfylla dessa klausuler.

15.2 Granskning av laglighet och uppgiftsminimering

a. Uppgiftsinföraren går med på att granska lagligheten av begäran om utlämnande, särskilt om begäran omfattas av de befogenheter som beviljats den begärande offentliga myndigheten, och bestrida begäran om denne, efter noggrann bedömning, drar slutsatsen att det finns rimliga skäl att anse att begäran är olaglig enligt lagstiftningen i mottagarlandet, tillämpliga skyldigheter enligt internationell rätt och principerna om internationell hövlighet. Uppgiftsinföraren ska, enligt samma villkor, fullfölja möjligheterna att överklaga. När uppgiftsinföraren bestrider en begäran ska denne vidta provisoriska åtgärder i syfte att upphäva verkningarna av begäran till dess att den behöriga rättsliga myndigheten har fattat beslut i frågan. Uppgiftsinföraren får inte lämna ut de personuppgifter som begärts förrän

det krävs enligt tillämpliga förfaranderegler. Dessa krav påverkar inte uppgiftsinförarens skyldigheter enligt klausul 14(e).

b. Uppgiftsinföraren samtycker till att dokumentera sin rättsliga bedömning och bestridanden av begäran om utlämnande och, i den utsträckning det är tillåtet enligt lagstiftningen i mottagarlandet, göra dokumentationen tillgänglig för uppgiftsutföraren. Uppgiftsinföraren ska också på begäran göra den tillgänglig för den behöriga tillsynsmyndigheten.

c. Uppgiftsinföraren samtycker till att tillhandahålla den minsta mängd information som är tillåten när denne svarar på en begäran om utlämnande, baserat på en rimlig tolkning av begäran.

AVSNITT IV – SLUTBESTÄMMELSER

Klausul 16

Bristande efterlevnad av klausulerna och uppsägning

a. Uppgiftsinföraren ska utan dröjsmål underrätta uppgiftsutföraren om den av någon anledning inte kan uppfylla dessa klausuler.

b. Om uppgiftsinföraren bryter mot dessa klausuler eller inte kan uppfylla dessa klausuler, ska uppgiftsutföraren avbryta överföringen av personuppgifter till uppgiftsinföraren tills efterlevnaden återigen säkerställts eller avtalet sägs upp. Detta påverkar inte tillämpningen av klausul 14(f).

c. Uppgiftsutföraren ha rätt att säga upp avtalet, i den mån det rör behandling av personuppgifter enligt dessa klausuler om:

i. uppgiftsutföraren har avbrutit överföringen av personuppgifter till uppgiftsinföraren i enlighet med punkt (b) och efterlevnaden av dessa klausuler inte har återupprättats inom rimlig tid, och under alla omständigheter inom en månad efter avbrytandet;

ii. uppgiftsinföraren gör sig skyldig till allvarliga eller upprepade brott mot dessa klausuler; eller

iii. uppgiftsinföraren underlåter att följa ett bindande beslut av en behörig domstol eller tillsynsmyndighet om sina skyldigheter enligt dessa klausuler.

I dessa fall ska den underrätta den behöriga tillsynsmyndigheten om sådan bristande efterlevnad. Om avtalet omfattar fler än två parter får uppgiftsutföraren utöva denna rätt till uppsägning endast med den berörda parten, om inte parterna har kommit överens om något annat.

d. Personuppgifter som har överförts före avtalets uppsägning enligt punkt (c) ska efter uppgiftsutförarens val omedelbart returneras till uppgiftsutföraren eller raderas i sin helhet. Detsamma ska gälla för kopior av uppgifterna. Uppgiftsinföraren ska till uppgiftsutföraren intyga att uppgifterna har raderats. Till dess att uppgifterna raderats eller returnerats ska uppgiftsinföraren fortsätta att säkerställa att dessa klausuler efterlevs. Om det finns lokal lagstiftning som är tillämplig för uppgiftsinföraren och som förbjuder att de överförda personuppgifterna returneras eller raderas ska uppgiftsinföraren garantera att den kommer att fortsätta att säkerställa att dessa klausuler efterlevs och endast kommer att behandla uppgifterna i den utsträckning och så länge som krävs enligt den lokala lagstiftningen.

e. Xxxxxx parten får återkalla sin överenskommelse om att vara bunden av dessa klausuler om

(i) Europeiska kommissionen antar ett beslut enligt artikel 45(3) i förordning (EU) 2016/679 som omfattar den överföring av personuppgifter som dessa klausuler gäller för; eller (ii) förordning (EU) 2016/679 blir en del av den rättsliga ramen i det land till vilket personuppgifterna överförs. Detta påverkar inte andra skyldigheter som gäller för behandlingen i fråga enligt förordning (EU) 2016/679.

Klausul 17

Tillämplig lag

Dessa klausuler ska regleras av lagen i en av EU:s medlemsstater, under förutsättning att sådan lag omfattar rättigheter för berättigad tredje part. Parterna är överens om att detta ska vara lagen i Förbundsrepubliken Tyskland.

Klausul 18

Val av forum och jurisdiktion

a. Varje tvist som uppstår till följd av dessa klausuler ska lösas av domstolarna i en EU- medlemsstat.

b. Parterna är överens om att dessa ska vara domstolarna i Berlin, Förbundsrepubliken Tyskland.

c. En registrerad får också inleda rättsliga förfaranden mot uppgiftsutföraren och/eller uppgiftsinföraren vid domstolarna i den medlemsstat där han eller hon har sin stadigvarande vistelseort.

d. Parterna är överens om att underkasta sig sådana domstolars jurisdiktion.