Bilaga om databehandling

Datahanteringsbilaga

 

Denna Bilaga utgör en integrerad del av Avtalet och ingås av:

 

  1. (i) Kunden ("Dataexportör")
  2. (ii) IQUALIF ("Dataimportör")

 

Var och en är en "Part" och gemensamt "Parter".

 

Inledning

NÄR dataimportören tillhandahåller professionella mjukvarutjänster, dator- och relaterade tjänster (såsom webbläsare med avancerade sökfunktioner);

NÄR enligt Avtalet har dataimportören gått med på att tillhandahålla dataexportören de tjänster som anges i Avtalet ("Tjänster");

NÄR, genom att tillhandahålla Tjänsterna, tar emot eller drar nytta av tillgång till dataexportörens information eller information från andra personer med en (potentiell) relation till dataexportören, kan sådan information kvalificeras som personuppgifter i enlighet med förordning (EU) 2016/679 av Europaparlamentet och rådets den 27 april 2016 om skydd av fysiska personer beträffande behandling av personuppgifter och om den fria rörligheten för sådana data ("GDPR") och andra tillämpliga dataskyddslagar.

NÄR denna Bilaga innehåller villkor och bestämmelser som gäller för insamling, behandling och användning av sådana personuppgifter av dataimportören i dess egenskap av behörig databehandlare för dataexportören, för att säkerställa att Parterna följer tillämplig dataskyddslagstiftning.

 

FÖLJANDE, och för att möjliggöra för Parterna att fortsätta sin relation lagligt, har Parterna ingått denna Bilaga enligt följande:

Del 1

 

1. Struktur av dokumentet och definitioner

1.1 Struktur

Denna Bilaga består av olika delar enligt följande:

 

Del 1: 

Innehåller allmänna bestämmelser, t.ex. angående de definitioner som används i denna Bilaga, efterlevnad av lokala lagar, tidpunkter och uppsägning

 
Del 2:

Innehåller själva den oförändrade standardavtalsklausurdokumentet

 
Bilaga 1.1 till Del 2:

Innehåller detaljer om de behandlingsåtgärder som tillhandahålls av dataimportören till dataexportören som den behöriga databehandlaren (inklusive behandlingen, art och syfte med behandlingen, typen av personuppgifter och kategorier av dataskyddsobjekt) enligt denna Bilaga

 
Bilaga 2 till Del 2:

Innehåller en beskrivning av dataimportörens tekniska och organisatoriska säkerhetsåtgärder, som tillämpas i samband med alla behandlingsaktiviteter som beskrivs i Bilaga 1.1 till Del 2

 
Del 3:

Innehåller Parternas underskrifter för att vara bundna av denna Bilaga och identifierar varje Dataimportör

 

 

1.2 Terminologi och definitioner

För syftet med denna Bilaga gäller den terminologi och de definitioner som används av GDPR (I själva dokumentet i Del 2, där definierade termer inte är versaliserade). 

 

"Medlemsstat"

betyder ett land som tillhör Europeiska unionen eller Europeiska ekonomiska området

 
"Särskilda kategorier av (person)uppgifter"

avser personuppgifter som avslöjar ras- eller etnisk tillhörighet, politiska åsikter, religiösa eller filosofiska övertygelser, fackföreningsmedlemskap, samt genetiska data, biometriska data, om de behandlas för att unikt identifiera en person, hälsouppgifter, data om en persons sexliv eller sexuella läggning

 
"Standardavtalsklausuler"

betyder standardavtalsklausuler för överföring av personuppgifter av behandlingsagenter etablerade i tredje länder, enligt Kommissionens beslut 2010/87/EU av den 5 februari 2010, som ändrats av Kommissionens genomförandebeslut (EU) 2016/2297 av den 16 december 2016

 
"Databehandlare"

betyder vilken som helst behandlingsagent, belägen inom eller utanför EU/EEA, som samtycker till att ta emot personuppgifter från Dataimportören eller annan databehandlare av Dataimportören, för enbart syfte att utföra behandlingsaktiviteter som ska utföras av Dataexportören efter överföringen i enlighet med Dataexportörens instruktioner, villkoren i denna Bilaga och Avtalet med Dataimportören

 

 

 

2. Dataexportörens skyldigheter

2.1 Dataexportören har en skyldighet att säkerställa efterlevnad av alla tillämpliga skyldigheter enligt GDPR och annan tillämplig dataskyddslagstiftning som gäller för Dataexportören och att visa sådan efterlevnad enligt krav i artikel 5 (2) i GDPR. Dataexportören garanterar att Dataimportören har inhämtat det föregående samtycket från dataskyddsobjekten i enlighet med artikel 6 (a) i GDPR och har uppfyllt sin skyldighet att informera dataskyddsobjekten enligt artiklarna 13 och 14 i GDPR.

2.2 Dataexportören ska tillhandahålla Dataimportören de respektive filerna av behandlingsaktiviteter i enlighet med artikel 30 (1) i GDPR relaterade till Tjänsterna under denna Bilaga, i den utsträckning det är nödvändigt för att Dataimportören ska kunna följa skyldigheten enligt artikel 30 (2) i GDPR.

2.3 Dataexportören ska utse en dataskyddsombud eller representant i den utsträckning som krävs av tillämplig dataskyddslagstiftning. Dataexportören är skyldig att tillhandahålla kontaktuppgifterna för dataskyddsagenten eller -representanten, om sådan finns, till Dataimportören.

2.4. Dataexportören bekräftar före slutförandet av behandlingen, genom att godkänna denna Bilaga, att Dataimportörens tekniska och organisatoriska säkerhetsåtgärder, som anges i Bilaga 2 till Del 2, är lämpliga och tillräckliga för att skydda den registrerades rättigheter och bekräftar att Dataimportören tillhandahåller tillräckliga skyddsåtgärder i detta avseende.

 

3. Efterlevnad av lokal lagstiftning

För att uppfylla kraven för implementering av behandlingsagenter enligt artikel 28 i GDPR gäller följande ändringar:

 

3.1 Instruktioner

  1. (i) Dataexportören instruerar Dataimportören att endast behandla personuppgifter på uppdrag av Dataexportören. Dataexportörens instruktioner ges i denna Bilaga och i Avtalet. Dataexportören är skyldig att säkerställa att alla instruktioner som ges till Dataimportören följer tillämplig dataskyddslagstiftning. Dataimportören får endast behandla personuppgifter i enlighet med instruktionerna från Dataexportören, såvida inte annat krävs av Europeiska unionen eller medlemsstatens lag (i det senare fallet gäller Del 1 klausul 3.2 (iv) (c)).
  2. (ii) Alla andra instruktioner som går utöver instruktionerna i denna Bilaga eller i Avtalet ska inkluderas i denna Bilaga och i Avtalet. Om genomförandet av denna ytterligare instruktion innebär kostnader för Dataimportören, ska Dataimportören informera Dataexportören om sådana kostnader och ge en förklaring innan instruktionen genomförs. Endast efter att Dataexportören har bekräftat godkännande av dessa kostnader för att genomföra instruktionen, ska Dataimportören genomföra denna ytterligare instruktion. Dataexportören ska ge ytterligare instruktioner skriftligen, såvida inte brådskande eller andra särskilda omständigheter kräver annan form (t.ex. muntlig, elektronisk). Instruktioner i annan form än skriftlig ska bekräftas skriftligen och utan dröjsmål av Dataexportören.
  3. 1. Såvida inte Dataexportören själv kan utföra rättning, radering eller begränsning av personuppgifter, kan instruktionerna även avse rättning, radering och/eller begränsning av personuppgifter enligt Del 1 klausul 3.3.
  4. 2. Dataimportören ska omedelbart informera Dataexportören om, enligt dess mening, en instruktion bryter mot GDPR eller annan tillämplig dataskyddslagstiftning i Europeiska unionen eller en medlemsstat ("Tvistig instruktion"). Om Dataimportören anser att en instruktion bryter mot GDPR eller annan tillämplig dataskyddslagstiftning, är Dataimportören inte skyldig att följa den Tvistiga instruktionen. Om Dataexportören bekräftar den Tvistiga instruktionen efter att ha mottagit information från Dataimportören och erkänner sitt ansvar för den Tvistiga instruktionen, ska Dataimportören genomföra den Tvistiga instruktionen, såvida inte instruktionen gäller (i) genomförande av tekniska och organisatoriska åtgärder, (ii) dataskyddsobjektens rättigheter eller (iii) engagemang av databehandlare. I fall (i) till (iii) kan Dataimportören kontakta en behörig tillsynsmyndighet för att få den tvistiga instruktionen juridiskt utvärderad av sådan myndighet. Om tillsynsmyndigheten förklarar den ifrågasatta instruktionen laglig, ska Dataimportören genomföra den ifrågasatta instruktionen. Del 1 klausul 3.1 (ii) förblir tillämplig.

 

3.2 Dataimportörens skyldigheter

  1. (i) Dataimportören ska säkerställa att personer som är behöriga att behandla personuppgifter för Dataexportörens räkning, särskilt anställda hos Dataimportören och anställda hos eventuella underleverantörer, har åtagit sig att observera sekretess eller är föremål för en lämplig lagstadgad sekretessplikt, och att sådana personer som har tillgång till personuppgifter behandlar dem i enlighet med Dataexportörens instruktioner.
  2. (ii) Dataimportören ska implementera de tekniska och organisatoriska säkerhetsåtgärder som anges i Bilaga 2 till Del 2 innan behandling av personuppgifterna påbörjas för Dataexportörens räkning. Dataimportören får ändra de tekniska och organisatoriska säkerhetsåtgärderna när som helst, så länge de inte ger mindre skydd än de som anges i Bilaga 2 till Del 2.
  3. (iii) Dataimportören ska tillhandahålla Dataexportören, på begäran, information som visar att denne följer sina skyldigheter enligt denna Bilaga. Parterna är överens om att denna informationsskyldighet är uppfylld genom att tillhandahålla Dataexportören en revisionsrapport (som täcker säkerhet, systemtillgänglighet och konfidentialitet) ("Revisionsrapport"). Om ytterligare revisionsaktiviteter är lagligen krav, kan Dataexportören begära att inspektioner utförs av Dataexportören eller annan revisor utsedd av Dataexportören, under förutsättning att sådan revisor undertecknar en sekretessavtal med Dataimportören till en skälig nivå ("Revision"). Denna Revision är villkorad av: (i) föregående formellt skriftligt godkännande av Dataimportören; och (ii) att Dataexportören står för alla kostnader för platsrevisionen för Dataexportören och Dataimportören. Dataexportören ska skapa en revisionsrapport som sammanfattar resultaten och observationerna från platsrevisionen ("Platsrevisionsrapport"). Platsrevisionsrapporter och revisionsrapporter är konfidentiell information tillhörande Dataimportören och får inte lämnas ut till tredje part, såvida inte tillämplig dataskyddslagstiftning eller samtycke från Dataimportören kräver annat ("Revision").
  4. (iv) Dataimportören är skyldig att utan oskäligt dröjsmål informera Dataexportören:
    1. a. om någon laglig begäran om utlämnande av personuppgifter från en brottsbekämpande myndighet, såvida inte annat är förbjudet, t.ex. för att skydda sekretessen för en brottsutredning
    2. b. om någon klagomål eller begäran som direkt mottagits från en dataskyddsobjekt (t.ex. angående tillgång, rättelse, radering, begränsning av behandling, dataportabilitet, invändning mot databehandling, automatiserat beslutsfattande) utan att svara på den begäran, såvida Dataimportören inte är behörig att göra det
    3. c. om Dataimportören eller databehandlaren är skyldig enligt lag i Europeiska unionen eller den medlemsstat som Dataimportören eller databehandlaren lyder under att behandla personuppgifterna utöver Dataexportörens instruktioner, innan sådan behandling utförs utöver instruktionerna, såvida inte lagar i EU eller medlemsstaten förbjuder sådan behandling av vitala allmänna intressen, i vilket fall meddelandet till Dataexportören ska specificera det lagliga kravet enligt den lagen.
    4. d. om Dataimportören upptäcker ett intrång i personuppgifter, enbart på grund av sig själv eller underleverantör, som skulle påverka Dataexportörens personuppgifter omfattade av detta avtal, i vilket fall Dataimportören ska bistå Dataexportören i dess skyldighet att, i enlighet med tillämplig dataskyddslagstiftning, informera dataskyddsobjekten och, där så är tillämpligt, tillsynsmyndigheter genom att tillhandahålla den information som finns tillgänglig, i enlighet med artikel 33 (3) i GDPR.
    5. (v) På begäran av Dataexportören ska Dataimportören bistå Dataexportören i dess skyldighet att genomföra en dataskyddsbedömning enligt artikel 35 i GDPR och en förhandskonsultation enligt artikel 36 i GDPR angående de tjänster som tillhandahålls av Dataimportören till Dataexportören under denna Bilaga, genom att tillhandahålla nödvändig information och hjälp till Dataexportören. Dataimportören är endast skyldig att ge sådan hjälp om Dataexportören inte kan uppfylla sin skyldighet på annat sätt. Dataimportören ska informera Dataexportören om kostnaden för sådan hjälp. Så snart Dataexportören har bekräftat att den kan bära dessa kostnader, ska Dataimportören tillhandahålla denna hjälp.
    6. (vi) Vid slutet av tjänsteleveransen kan Dataexportören begära att personuppgifterna som behandlats av Dataimportören enligt denna Bilaga returneras inom en månad efter tjänsternas slut. Såvida inte lagstiftningen i medlemsstaten eller EU kräver att Dataimportören lagrar eller behåller sådan personuppgift, ska Dataimportören radera all sådan personlig eller icke-personlig data efter en månad, oavsett om de har returnerats till Dataexportören på begäran eller inte.

 

3.3 Rättigheter för berörda personer

  1.  
    1. (i) Dataexportören hanterar och svarar på förfrågningar från dataskyddsobjekt. Dataimportören är inte skyldig att svara direkt till dataskyddsobjekten.
    2. (ii) Om Dataexportören kräver Dataimportörens hjälp vid behandling och svar på dataskyddsobjektets förfrågningar, ska Dataexportören utfärda en ytterligare instruktion i enlighet med klausul 3.1 (ii) i Del 1. Dataimportören ska bistå Dataexportören med följande lämpliga och tekniska organisatoriska åtgärder för att svara på förfrågningar om utövande av dataskyddsobjektens rättigheter enligt kapitel III i GDPR:
    3. a. Angående informationsförfrågningar ska Dataimportören endast tillhandahålla Dataexportören den information som krävs enligt artikel 13 och 14 i GDPR, som den kan ha tillgång till, om Dataexportören inte kan hitta den själv.
    4. b. Angående tillgångsbegäran (artikel 15 i GDPR) ska Dataimportören endast tillhandahålla Dataexportören den information som ska tillhandahållas dataskyddsobjektet för den aktuella begäran, som den kan ha tillgång till, om den inte kan hitta den själv.
    5. c. Angående begäran om rättelse (artikel 16 i GDPR), radering (artikel 17 i GDPR), begränsning av behandling (artikel 18 i GDPR) eller dataportabilitet (artikel 20 i GDPR), och endast om Dataexportören inte själv kan rätta eller radera, begränsa eller överföra personuppgifterna till annan tredje part, ska Dataimportören erbjuda Dataexportören möjligheten att rätta eller radera, begränsa eller överföra de berörda personuppgifterna till annan tredje part, eller om detta inte är möjligt, ge hjälp för att rätta eller radera, begränsa eller överföra till annan tredje part de berörda personuppgifterna.
    6. d. Angående meddelande om rättelse, radering eller begränsning av behandling (artikel 19 i GDPR), ska Dataimportören hjälpa Dataexportören genom att meddela alla mottagare av personuppgifter som engagerats av Dataimportören som behandlare, om Dataexportören så begär, och om Dataexportören inte kan åtgärda situationen på egen hand.
    7. e. Angående den invändningsrätt som utövas av en dataskyddsobjekt (artikel 21 och 22 i GDPR), ska Dataexportören avgöra om invändningen är berättigad och hur den ska hanteras.
    8. (iii) Dataimportörens hjälpplikter är begränsade till personuppgifter som behandlas inom dess infrastruktur (t.ex. databaser, system, applikationer som ägs eller tillhandahålls av Dataimportören).
    9. (iv) Dataexportören ska avgöra om en dataskyddsobjekt kan utöva de rättigheter som anges i klausul 3.1 i denna Del 1 och ska informera Dataimportören om i vilken utsträckning den hjälp som anges i klausulerna 3.3 (ii), (iii) är nödvändig.
    10. (v) Om Dataexportören begär ytterligare eller ändrade tekniska och organisatoriska åtgärder för att tillgodose dataskyddsobjektens rättigheter som går utöver hjälpen som tillhandahålls av Dataimportören enligt underklausul 3.3 (ii), (iii) i Del 1, ska Dataimportören informera Dataexportören om kostnaderna för att genomföra sådana ytterligare eller ändrade tekniska och organisatoriska åtgärder. Så snart Dataexportören har bekräftat att den kan bära dessa kostnader, ska Dataimportören genomföra sådana ytterligare eller ändrade tekniska och organisatoriska åtgärder för att hjälpa Dataexportören att svara på dataskyddsobjektens förfrågningar.
    11. (vi) Utan att begränsa omfattningen av klausul 3.3 (v) i Del 1, ska Dataexportören vara skyldig att ersätta Dataimportören för dess skäliga kostnader som uppstår vid svar på dataskyddsobjektens förfrågningar.

 

3.4 Underbehandling

  1.  
    1. (i) Dataexportören godkänner att Dataimportören använder underleverantörer för tillhandahållande av tjänster enligt denna Bilaga. Dataimportören ska noggrant välja sådana databehandlare. Dataexportören godkänner de databehandlare som anges i Bilaga 1.1 i slutet av Del 2.
    2. (ii) Dataimportören ska överföra sina skyldigheter enligt denna Bilaga till databehandlaren/-erna i den utsträckning som är tillämpligt för de underlevererade tjänsterna.
    3. (iii) Dataimportören får avskeda, ersätta eller utse en annan lämplig och pålitlig databehandlare/-are efter eget gottfinnande. Om så begärs skriftligen av Dataexportören, ska Dataimportören följa nedanstående procedur:
  2.  
    1. a. Dataimportören ska informera Dataexportören före eventuella förändringar i listan över databehandlare som hänvisas till i klausul 3.4 (i) i Del 1. Om Dataexportören inte invänder inom trettio dagar efter att ha mottagit meddelande från Dataimportören, ska de tillagda databehandlarna anses vara godkända.
    2. b. Om Dataexportören har ett legitimt skäl att invända mot en tillagd databehandlare, ska denne skriftligen meddela Dataimportören inom trettio dagar efter mottagandet av meddelandet och innan tjänsten hos Dataimportören sätts i drift. Om Dataexportören invänder mot användningen av en tillagd databehandlare, kan Dataimportören avvisa invändningen genom ett av följande alternativ (valfritt): (A) att avboka sina planer att använda en ytterligare databehandlare beträffande Dataexportörens personuppgifter; (B) att vidta de korrigerande åtgärder som begärs av Dataexportören i dess invändning (avvisa invändningen) och använda den tillagda databehandlaren beträffande Dataexportörens personuppgifter; (C) att upphöra med att tillhandahålla eller att Dataexportören går med på att inte använda (tillfälligt eller permanent) en viss aspekt av tjänsten som skulle involvera användning av Dataexportörens ytterligare databehandlare av Dataexportörens personuppgifter.
  3.  
    1. (iv) Om databehandlaren är belägen utanför EU-EEA i ett land som inte erkänns erbjuda en tillräcklig nivå av dataskydd enligt ett beslut av Europeiska kommissionen, ska Dataimportören vidta åtgärder för att säkerställa en tillräcklig nivå av dataskydd i enlighet med GDPR (sådana åtgärder kan inkludera - bland annat - användning av databehandlingsavtal baserade på EU-modellklausuler, överföring till självcertifierade databehandlare inom ramen för EU-US Privacy Shield eller liknande program).

 

3.5 Utgångsdatum

Upphörandet av denna Bilaga är identiskt med utgångsdatumet för motsvarande Avtal. Förutom vad som anges i denna Bilaga gäller samma rättigheter och skyldigheter avseende uppsägning som i Avtalet.

 

4. Ansvarsbegränsning

4.1 Varje part hanterar sina skyldigheter enligt denna Bilaga och tillämplig dataskyddslagstiftning.

4.2 Eventuellt ansvar för brott mot skyldigheterna enligt denna Bilaga eller tillämplig dataskyddslagstiftning ska vara föremål för och styras av ansvarsbestämmelserna i, eller tillämpliga på, Avtalet, såvida inte annat anges i denna Bilaga. Om ansvar regleras av ansvarsbestämmelserna i eller tillämpliga på Avtalet, ska för att beräkna ansvarsgränser eller tillämpa andra begränsningar av ansvar, ansvar som uppstår enligt denna Bilaga anses uppstå under Avtalet.

 

5. Allmänna bestämmelser

5.1 Om det finns några inkonsekvenser eller avvikelser mellan Del 1 och Del 2 i denna Bilaga, ska Del 2 ha företräde. Även i sådant fall ska Del 1, som helt enkelt går utöver Del 2 (dvs. villkoren i standardklausulerna) utan att motsäga den, förbli giltig.

5.2 Om det uppstår någon tvist mellan bestämmelserna i denna Bilaga och andra avtal som binder parterna, ska denna Bilaga ha företräde vad gäller parternas skyldigheter enligt dataskyddslagstiftningen. Vid tvist om huruvida klausuler i andra avtal gäller parternas dataskyddsskyldigheter, ska denna Bilaga ha företräde.

5.3 Om någon bestämmelse i denna Bilaga är ogiltig eller inte kan verkställas, ska återstoden av denna Bilaga förbli i full kraft och verkan. Den ogiltiga eller icke verkställbara bestämmelsen ska (i) ändras för att säkerställa dess giltighet och verkställbarhet, så långt som möjligt i enlighet med parternas avsikt, eller - om detta inte är möjligt - (ii) tolkas som om den ogiltiga eller icke verkställbara delen aldrig funnits i avtalet. Detta gäller även om det finns ett bortfall i denna Bilaga.

5.5 I den utsträckning det är nödvändigt kan Parterna begära ändringar av Del 1, klausul 3 (Efterlevnad av lokal lagstiftning) eller andra delar av Bilagan för att följa tolkningar, direktiv eller order från behöriga myndigheter inom unionen eller medlemsstaterna, nationella verkställighetsbestämmelser eller andra rättsliga utvecklingar rörande GDPR eller andra villkor för delegation till involverade enheter, särskilt beträffande användning av standardavtalsklausuler i GDPR. Villkoren i standardavtalsklausulerna får inte ändras eller ersättas om inte Europeiska kommissionen uttryckligen godkänner det (t.ex. genom nya adekvata klausuler och dataskyddsstandarder).

5.6 Varje hänvisning i denna Bilaga till "Klausuler" ska förstås som hänvisning till alla bestämmelser i denna Bilaga, såvida annat inte anges.

5.7 Val av lag i Del 2, klausul 9 gäller för hela Avtalet.

 

6. Personuppgifter som överförs och behandlas av parterna för personliga ändamål (överföring från personuppgiftsansvarig till personuppgiftsansvarig)

6.1 Parterna är fullt medvetna om att vissa personuppgifter kommer att överföras från Dataexportören till Dataimportören och vice versa, och att sådan data behandlas av varje Part för dess egna ändamål. Gällande sådan personuppgifter påverkar det inte andra bestämmelser i denna Bilaga (förutom denna klausul 6).

6.2 Dataexportören får överföra personuppgifter relaterade till personalen hos Dataimportören till Dataimportören, inklusive information om säkerhetsincidenter eller andra dokument eller filer som skapats eller upprättats av Dataexportören i samband med de tjänster som tillhandahålls av Dataimportörens personal. Dataimportören får behandla sådan personuppgifter för sina egna ändamål, särskilt i sina professionella relationer med Dataimportörens personal, för kvalitetskontroll och utbildning eller för affärsändamål.

6.3. Dataimportören får överföra personuppgifter till Dataexportören, inklusive namn och kontaktuppgifter för Dataimportörens personal. Dataexportören får behandla sådan personuppgifter för sina egna ändamål.

6.4 Båda parter ska följa tillämplig dataskyddslagstiftning, inklusive GDPR, vid insamling, behandling och användning av sådan personuppgifter som mottagits från den andra parten enligt klausul 1 i Del 1. Särskilt ska båda Parter vidta adekvata säkerhetsåtgärder, som ger ett liknande skydd som de säkerhetsåtgärder som anges i Bilaga 2 till Del 2. All tillgång till sådan personuppgifter ska begränsas till behovet av att känna till dem.

6.5 Båda Parter ska radera sådan personuppgifter så snart målen har uppnåtts.

Del 2

 

EUROPEISKA KOMMISSIONENS BESLUT

den 5 februari 2010

om standardavtalsklausuler för överföring av personuppgifter till databehandlare etablerade i tredjeland enligt direktiv 95/46/EG av Europaparlamentet och rådet

 

 

 

Klausul 1

Definitioner

Inom ramen för klausulerna gäller:

a) 'personuppgifter', 'särskilda kategorier av data', 'behandling', 'personuppgiftsansvarig', 'databehandlare', 'dataskyddsobjekt' och 'tillsynsmyndighet' samma betydelse som i direktiv 95/46/EG av den 24 oktober 1995 om skydd av fysiska personer beträffande behandling av personuppgifter och om den fria rörligheten för sådana data (1);

b) 'Dataexportör' är den personuppgiftsansvarige som överför personuppgifter;

c) 'Dataimportör' är databehandlaren som samtycker till att ta emot personuppgifter från Dataexportören avsedda att behandlas för Dataexportörens räkning efter överföringen i enlighet med dess instruktioner och under villkoren i dessa klausuler och som inte är föremål för mekanismen i ett tredjeland som garanterar tillräckligt skydd enligt artikel 25(1) i direktiv 95/46/EG; (d) 'Databehandlare' betyder den databehandlare som engageras av Dataimportören eller av annan databehandlare av Dataimportören som samtycker till att ta emot personuppgifter från Dataimportören eller annan databehandlare av Dataimportören enbart för behandlingsaktiviteter som ska utföras för Dataexportören efter överföringen i enlighet med instruktionerna från Dataexportören, under villkoren i dessa klausuler och under villkoren i det skriftliga underleverantörsavtalet.

e) 'Tillämplig dataskyddslagstiftning' betyder lagstiftningen som skyddar de grundläggande rättigheterna och friheterna för individer, inklusive rätten till integritet beträffande behandling av personuppgifter, och som gäller för en personuppgiftsansvarig i den medlemsstat där Dataexportören är etablerad;

f) 'Tekniska och organisatoriska åtgärder för säkerhet' betyder åtgärder avsedda att skydda personuppgifter mot oavsiktlig eller olaglig förstöring eller oavsiktlig förlust, förändring, obehörigt avslöjande eller åtkomst, särskilt när behandlingen innebär överföring av data över nätverk, och mot alla andra olagliga former av behandling.

Klausul 2

Detaljer om överföringen

Detaljerna om överföringen, inklusive, där så är lämpligt, särskilda kategorier av personuppgifter, anges i Bilaga 1, som utgör en integrerad del av dessa klausuler.

Klausul 3

Bestämmelse om tredje parts berättigade

1. Dataskyddsobjektet kan utöva rättigheter mot Dataexportören enligt denna Klausul, Klausul 4(b) till (i), Klausul 5(a) till (e) och (g) till (j), Klausul 6 (1) och (2), Klausul 7, Klausul 8(2) och Klausuler 9 till 12 som tredje parts berättigad.

2. Dataskyddsobjektet kan utöva denna Klausul, Klausul 5 (a) till (e) och (g), Klausul 6, Klausul 7, Klausul 8 (2) och Klausuler 9 till 12 mot Dataimportören där Dataexportören har försvunnit fysiskt eller upphört att existera i lag, såvida inte alla dess lagliga skyldigheter har överförts, genom avtal eller lagens kraft, till den efterföljande enheten, till vilken rättigheterna och skyldigheterna för Dataexportören därför återgår, och mot vilken dataskyddsobjektet därför kan utöva de nämnda klausulerna.

Dataskyddsobjektet kan utöva denna Klausul, Klausul 5 (a) till (e) och (g), Klausul 6, Klausul 7, Klausul 8 (2) och Klausuler 9 till 12 mot databehandlaren, men endast i fall där Dataexportören och Dataimportören har försvunnit fysiskt, upphört att existera i lag eller blivit insolventa, såvida inte alla lagliga skyldigheter för Dataexportören och Dataimportören har överförts, genom avtal eller lagens kraft, till den rättsliga efterträdaren, till vilken rättigheterna och skyldigheterna för Dataexportören därför är tilldelade, och mot vilken dataskyddsobjektet därför kan utöva sådana klausuler. Sådan ansvarsskyldighet för databehandlaren ska begränsas till dess egna behandlingsaktiviteter enligt dessa klausuler.

4. Parterna motsätter sig inte att dataskyddsobjektet företräds av en förening eller annan organisation om denne så önskar och om nationell lagstiftning tillåter det.

Klausul 4

Skyldigheter för Dataexportören

Dataexportören accepterar och garanterar följande:

a) behandlingen, inklusive den faktiska överföringen av personuppgifter, har utförts och kommer fortsätta att utföras i enlighet med relevanta bestämmelser i tillämplig dataskyddslagstiftning (och, där så är tillämpligt, har anmälts till de behöriga myndigheterna i den medlemsstat där Dataexportören är etablerad) och inte bryter mot relevanta bestämmelser i den staten;

b) de har instruerat, och kommer att instruera under hela behandlingstiden, Dataimportören att behandla de överförda personuppgifterna enbart för Dataexportörens räkning och i enlighet med tillämplig dataskyddslagstiftning och dessa klausuler;

c) Dataimportören ska tillhandahålla tillräckliga skyddsåtgärder beträffande de tekniska och organisatoriska säkerhetsåtgärder som anges i Bilaga 2 till detta avtal;

d) efter utvärdering av kraven i tillämplig dataskyddslagstiftning är säkerhetsåtgärderna tillräckliga för att skydda personuppgifter mot oavsiktlig eller olaglig förstöring eller oavsiktlig förlust, förändring, obehörigt avslöjande eller åtkomst, särskilt när behandlingen innebär överföring av data över ett nätverk, och mot alla andra olagliga former av behandling, samt att de ger en nivå av säkerhet som är lämplig med hänsyn till de risker som behandlingen innebär och datans natur, med beaktande av teknologinivån och kostnaderna för genomförande;

e) de ska säkerställa efterlevnad av säkerhetsåtgärder;

f) om överföringen gäller särskilda kategorier av data, har dataskyddsobjektet informerats eller kommer att informeras före överföringen om att hans eller hennes data kan överföras till ett tredjeland som inte erbjuder ett tillräckligt skydd enligt direktiv 95/46/EG;

g) de ska vidarebefordra eventuella meddelanden från Dataimportören eller databehandlaren enligt klausul 5 (b) och 8 (3) till dataskyddsmyndigheten om de beslutar att fortsätta överföringen eller att häva sin suspension;

h) de ska tillhandahålla dataskyddsmyndigheten, om så begärs, en kopia av dessa klausuler, förutom Bilaga 2, samt en sammanfattning av säkerhetsåtgärderna, och en kopia av eventuella ytterligare underleverantörsavtal som ingåtts enligt dessa klausuler, såvida inte klausulerna eller avtalet innehåller kommersiell information, i vilket fall de kan dra tillbaka sådan information;

i) vid underleverantörsbehandling av personuppgifter ska behandlingen utföras i enlighet med klausul 11 av en databehandlare som ger minst samma skydd av personuppgifter och dataskyddsobjektets rättigheter som Dataimportören enligt dessa klausuler; och

j) de ska säkerställa efterlevnad av klausul 4 (a) till (i).

Klausul 5

Skyldigheter för Dataimportören

Dataimportören accepterar och garanterar följande:

a) de ska endast behandla personuppgifter på uppdrag av Dataexportören och enligt dess instruktioner och dessa klausuler; om de av någon anledning inte kan följa detta, ska de omedelbart informera Dataexportören, varpå Dataexportören kan suspendera överföringen eller avsluta avtalet;

b) de har ingen anledning att tro att tillämplig lag hindrar dem från att följa instruktionerna från Dataexportören och de skyldigheter som åligger dem enligt avtalet, och om sådan lag ändras på ett sätt som kan ha en väsentlig negativ effekt på garantier och skyldigheter enligt klausulerna, ska de omedelbart underrätta Dataexportören om förändringen, varpå Dataexportören kan suspendera överföringen eller avsluta avtalet; (c) de har implementerat de tekniska och organisatoriska säkerhetsåtgärder som anges i Bilaga 2 innan behandling av de överförda personuppgifterna påbörjas;

d) de ska omedelbart underrätta Dataexportören:

  • i) om någon bindande begäran om utlämnande av personuppgifter från en brottsbekämpande myndighet, såvida inte annat är specificerat, t.ex. ett brottsförbud för att bevara sekretessen för en polisutredning;
  • ii) om någon oavsiktlig eller obehörig åtkomst; och
  • iii) om någon begäran som direkt mottagits från de berörda personerna utan att svara på den, såvida de inte är behöriga att göra det; administratörer

e) de ska hantera alla förfrågningar från Dataexportören angående dess behandling av de överförda personuppgifterna snabbt och korrekt, och agera i enlighet med den tillsynsmyndighets åsikt beträffande behandlingen av de överförda uppgifterna;

f) på begäran av Dataexportören ska de låta genomföra en revision av sina databehandlingsanläggningar för att granska behandlingsaktiviteterna som omfattas av dessa klausuler, utförd av Dataexportören eller en oberoende tillsynsmyndighet, under förutsättning att sådan myndighet undertecknar ett sekretessavtal med Dataimportören till en skälig nivå ("Revision").

g) de ska tillhandahålla dataskyddsobjektet, om denne så begär, en kopia av dessa klausuler eller av något annat underleverantörsavtal för databehandling, såvida inte klausulerna eller avtalet innehåller kommersiell information, i vilket fall sådan information kan tas bort, förutom Bilaga 2, som ska ersättas av en sammanfattning av säkerhetsåtgärderna, eftersom dataskyddsobjektet inte kan få en kopia från Dataexportören;

h) vid konfidentiell underleverantörsbehandling av databehandling ska denne säkerställa att han informerar Dataexportören i förväg och inhämtar dess skriftliga samtycke;

i) de ska se till att behandlingsaktiviteterna följer klausul 11;

j) de ska skyndsamt skicka en kopia av varje underleverantörsavtal för databehandling som ingås enligt dessa klausuler till Dataexportören.

Klausul 6

Ansvar

1. Parterna är överens om att varje dataskyddsobjekt som har lidit skada till följd av ett brott mot skyldigheterna i klausul 3 eller klausul 11 av en part eller av en databehandlare kan få ersättning från Dataexportören för den lidna skadan.

2. Om ett dataskyddsobjekt förhindras att väcka talan om skadestånd enligt punkt 1 mot Dataexportören för underlåtenhet av Dataimportören eller dess databehandlare att följa någon av dess skyldigheter enligt klausul 3 eller klausul 11, eftersom Dataexportören har försvunnit fysiskt, upphört att existera i lag eller blivit insolvent, samtycker Dataimportören till att dataskyddsobjektet kan göra en anmälan mot denne som om denne vore Dataexportören, såvida inte alla lagliga skyldigheter för Dataexportören har överförts, genom avtal eller lagens kraft, till den efterföljande enheten, mot vilken dataskyddsobjektet därför kan utöva sina rättigheter. Dataimportören får inte åberopa ett brott mot dess skyldigheter av en databehandlare för att undvika sitt eget ansvar.

3. Om ett dataskyddsobjekt förhindras att väcka talan enligt punkterna 1 och 2 mot Dataexportören eller Dataimportören för brott av databehandlaren mot dess skyldigheter enligt klausul 3 eller klausul 11, eftersom Dataexportören och Dataimportören har försvunnit fysiskt, upphört att existera i lag eller blivit insolventa, samtycker databehandlaren till att dataskyddsobjektet kan göra en anmälan mot denne beträffande sina egna behandlingsaktiviteter i enlighet med dessa klausuler, som om denne vore Dataexportören eller Dataimportören, såvida inte alla lagliga skyldigheter för Dataexportören eller Dataimportören har överförts, genom avtal eller lagens kraft, till den rättsliga efterträdaren, mot vilken dataskyddsobjektet därför kan utöva sina rättigheter. Databehandlarens ansvar ska begränsas till dess egna behandlingsaktiviteter enligt dessa klausuler.