EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02001D0497-20050401
Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC (notified under document number C(2001) 1539) (Text with EEA relevance) (2001/497/EC)
Consolidated text: Kommissionens beslutning af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF (meddelt under nummer K(2001) 1539) (EØS-relevant tekst) (2001/497/EF)
Kommissionens beslutning af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF (meddelt under nummer K(2001) 1539) (EØS-relevant tekst) (2001/497/EF)
- Date of document:
- 01/04/2005
- Date of effect:
- 01/04/2005
- Author:
- Not available
- Form:
- Konsolideret tekst
- Additional information:
- LASTMODIN 32004D0915
- Link
- Link
- Link
- Select all documents mentioning this document
- Consolidation: basic act:
- 32001D0497
2001D0497 — DA — 01.04.2005 — 001.001
Dette dokument er et dokumentationsredskab, og institutionerne påtager sig intet ansvar herfor
|
KOMMISSIONENS BESLUTNING af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF (meddelt under nummer K(2001) 1539) (EØS-relevant tekst) (EFT L 181, 4.7.2001, p.19) |
Ændret ved:
|
|
|
Tidende |
||
|
No |
page |
date |
||
|
L 385 |
74 |
29.12.2004 |
||
KOMMISSIONENS BESLUTNING
af 15. juni 2001
om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF
(meddelt under nummer K(2001) 1539)
(EØS-relevant tekst)
(2001/497/EF)
KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HAR —
under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab,
under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger ( 1 ), særlig artikel 26, stk. 4, og
ud fra følgende betragtninger:|
(1) |
Medlemsstaterne skal i henhold til direktiv 95/46/EF sørge for, at der kun overføres personoplysninger til tredjelande, der sikrer et tilstrækkeligt databeskyttelsesniveau, og at medlemsstaternes lovbestemmelser, der er i overensstemmelse med direktivets øvrige bestemmelser, ikke overtrædes forud for overførslen. |
|
(2) |
Ifølge artikel 26, stk. 2, i direktiv 95/46/EF kan medlemsstaterne imidlertid under forudsætning af visse garantier give tilladelse til en overførsel eller en type overførsel af personoplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau. Sådanne garantier kan især sikres gennem passende kontraktbestemmelser. |
|
(3) |
Vurderingen af beskyttelsesniveauet bør i henhold til direktiv 95/46/EF ske på grundlag af samtlige de forhold, der har indflydelse på en overførsel eller en type overførsel af oplysninger. Den ved direktivet nedsatte gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger ( 2 ) har udgivet retningslinjer for, hvorledes denne vurdering skal foretages ( 3 ). |
|
(4) |
Artikel 26, stk. 2, i direktiv 95/46/EF, som giver organisationer, der ønsker at overføre oplysninger til tredjelande, større fleksibilitet, og artikel 26, stk. 4, om standardkontraktbestemmelserne, er af stor betydning med henblik på at opretholde den nødvendige strøm af personoplysninger mellem Fællesskabet og tredjelandene uden på unødig vis at belaste de økonomiske aktører. Disse artikler er specielt vigtige i betragtning af, at Kommissionen på kort eller selv mellemlang sigt må formodes kun at konstatere et tilstrækkeligt beskyttelsesniveau i henhold til artikel 25, stk. 6, for et begrænset antal lande. |
|
(5) |
Disse standardkontraktbestemmelser udgør kun én ud af flere muligheder i henhold til direktiv 95/46/EF i forbindelse med artikel 25 og 26, stk. 1 og 2, for på lovlig vis at overføre personoplysninger til et tredjeland. Det vil være lettere for organisationer at overføre personoplysninger til tredjelande ved at indføje standardkontraktbestemmelserne i en kontrakt. Standardkontraktbestemmelserne vedrører kun databeskyttelse. Dataeksportøren og dataimportøren kan frit tilføje enhver anden kommerciel bestemmelse, f.eks. bestemmelser om gensidig assistance i tilfælde af tvister med en registreret eller en tilsynsmyndighed, som de anser for at være af betydning for kontrakten, så længe den pågældende bestemmelse ikke er i strid med standardkontraktbestemmelserne. |
|
(6) |
Denne beslutning bør ikke berøre nationale tilladelser, som medlemsstaterne måtte give i henhold til nationale bestemmelser til gennemførelse af artikel 26, stk. 2, i direktiv 95/46/EF. Omstændighederne i forbindelse med specifikke overførsler kan kræve, at de registeransvarlige yder andre garantier i overensstemmelse med artikel 26, stk. 2. Under alle omstændigheder har denne beslutning kun den virkning, at medlemsstaterne ikke må nægte at anerkende, at de heri beskrevne kontraktbestemmelser giver tilstrækkelige garantier, og den har derfor ingen indvirkning på andre kontraktbestemmelser. |
|
(7) |
Anvendelsesområdet for denne beslutning er begrænset til at fastslå, at bestemmelserne i bilaget kan anvendes af en registeransvarlig, der er etableret i Fællesskabet, med henblik på at frembyde tilstrækkelige garantier i overensstemmelse med artikel 26, stk. 2, i direktiv 95/46/EF. En overførsel af personoplysninger til tredjelande udgør en databehandlingsproces i en medlemsstat, hvis lovlighed er underlagt national ret. Medlemsstaternes tilsynsmyndigheder bør som led i deres hverv og udøvelsen af deres beføjelser i medfør af artikel 28 i direktiv 95/46/EF fortsat være kompetente til at foretage en vurdering af, hvorvidt dataeksportøren har overholdt national lovgivning til gennemførelse af bestemmelserne i direktiv 95/46/EF, og især enhver specifik regel med hensyn til den i nævnte direktiv fastsatte oplysningspligt. |
|
(8) |
Denne beslutning finder ikke anvendelse på overførsel af personoplysninger fra registeransvarlige, der er etableret i Fællesskabet, til modtagere, som er etableret uden for Fællesskabets område, og som blot foretager behandling af disse oplysninger. Sådanne overførsler kræver ikke samme sikkerhedsforanstaltninger, fordi databehandleren udelukkende handler på vegne af den registeransvarlige. Kommissionen har til hensigt at behandle denne form for overførsel i en efterfølgende beslutning. |
|
(9) |
Det bør fastsættes, hvilke minimumsoplysninger parterne skal specificere i kontrakten om overførsel. Medlemsstaterne bør bevare retten til nærmere at specificere, hvilke oplysninger parterne skal give. Denne beslutning bør revideres på grundlag de erfaringer, der gøres med den. |
|
(10) |
Kommissionen vil også på et senere tidspunkt overveje, om standardkontraktbestemmelser, som fremlægges af erhvervsdrivende organisationer eller andre interesserede parter, frembyder tilstrækkelige garantier i henhold til direktiv 95/46/EF. |
|
(11) |
Selv om det står parterne frit for at aftale de væsentlige databeskyttelsesregler, som dataimportøren skal overholde, bør visse databeskyttelsesprincipper finde anvendelse under alle omstændigheder. |
|
(12) |
Oplysninger bør kun behandles og efterfølgende anvendes eller videregives til specifikke formål og bør ikke opbevares længere end nødvendigt. |
|
(13) |
I overensstemmelse med artikel 12 i direktiv 95/46/EF bør de registrerede have ret til indsigt i de oplysninger, som vedrører dem, og i givet fald ret til berigtigelse, sletning eller blokering af visse oplysninger. |
|
(14) |
Yderligere overførsel af personoplysninger til en anden registeransvarlig, der er etableret i et tredjeland, bør kun være tilladt på visse betingelser, navnlig for at sikre at de registrerede modtager korrekt information og får lejlighed til at gøre indsigelse eller i visse tilfælde at undlade at give samtykke. |
|
(15) |
Tilsynsmyndighederne bør ved siden af deres opgave med at vurdere, om overførsler til tredjelande er i overensstemmelse med national ret, også spille en central rolle i denne kontraktbaserede mekanisme ved at sikre, at personoplysninger beskyttes på tilstrækkelig vis efter overførslen. Medlemsstaternes tilsynsmyndigheder bør under særlige omstændigheder bevare retten til at forbyde eller suspendere en overførsel eller en type overførsel af personoplysninger, der foregår på grundlag af standardkontraktbestemmelser, i de særlige tilfælde, hvor det er konstateret, at en overførsel på grundlag af kontraktbestemmelser kan forventes at have en betydelig negativ effekt på de garantier, hvormed den registrerede sikres en passende beskyttelse. |
|
(16) |
Standardkontraktbestemmelserne bør ikke alene kunne håndhæves af de organisationer, der er parter i kontrakten, men også af de registrerede, og dette især, når de registrerede lider skade som følge af en overtrædelse af kontrakten. |
|
(17) |
Den lovgivning, der gælder for kontrakten, bør være lovgivningen i den medlemsstat, hvori dataeksportøren er etableret, hvilket giver en tredjepart, som er omfattet af et tredjepartsløfte, mulighed for at håndhæve kontrakten. De registrerede bør, såfremt de ønsker det, og det er tilladt i henhold til national ret, kunne lade sig repræsentere af foreninger eller andre organer. |
|
(18) |
For at mindske de praktiske problemer, der kan opstå for registrerede, når de forsøger at udøve deres rettigheder i henhold til disse standardkontraktbestemmelser, bør dataeksportøren og dataimportøren hæfte solidarisk for skader som følge af enhver overtrædelse af disse bestemmelser, der er omfattet af tredjepartsløftet. |
|
(19) |
Den registrerede er berettiget til at anlægge sag og modtage erstatning fra dataeksportøren, dataimportøren eller dem begge for enhver skade, der skyldes en handling, der er uforenelig med forpligtelserne i følge standardkontraktbestemmelserne. Begge parter kan fritages fra dette erstatningsansvar, hvis de kan bevise, at ingen af dem er ansvarlig. |
|
(20) |
Den solidariske hæftelse gælder ikke for bestemmelser, som ikke er omfattet af bestemmelsen om tredjepartsløfte, og behøver ikke betyde, at den ene part skal betale skadeserstatning i tilfælde af ulovlig behandling foretaget af den anden part. Selv om der ikke stilles krav om gensidig skadesløsholdelse mellem parterne, for at beskyttelsen af de registrerede kan anses for tilstrækkelig, og denne bestemmelse derfor kan slettes, er den indføjet i standardkontraktbestemmelserne for klarheds skyld og for at undgå, at parterne skal forhandle om skadesløsholdelsesklausuler på individuelt grundlag. |
|
(21) |
Såfremt der opstår en tvist mellem parterne og den registrerede, som ikke afgøres i mindelighed, og såfremt den registrerede påberåber sig tredjepartsløftet, skal parterne indvilge i at give den registrerede valget mellem mægling, voldgift eller retssag. Om den registrerede vil have en egentlig valgmulighed, vil afhænge af, i hvilket omfang der foreligger pålidelige og anerkendte mæglings- og voldgiftssystemer. Mægling foretaget af medlemsstaternes tilsynsmyndigheder bør være en valgmulighed, når de yder en sådan service. |
|
(22) |
Den udtalelse ( 4 ), som gruppen vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, der er nedsat ved artikel 29 i direktiv 95/46/EF, har afgivet om det beskyttelsesniveau, der opnås ved hjælp af de i bilaget anførte standardkontraktbestemmelser, er blevet taget i betragtning ved udarbejdelsen af denne beslutning. |
|
(23) |
De i denne beslutning fastsatte foranstaltninger er i overensstemmelse med udtalelse fra det udvalg, der er nedsat ved artikel 31 i direktiv 95/46/EF — |
VEDTAGET FØLGENDE BESLUTNING:
Artikel 1
Standardkontraktbestemmelserne i bilaget til denne beslutning anses for at frembyde de tilstrækkelige garantier for beskyttelse af privatlivets fred, personers grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder, der kræves i henhold til artikel 26, stk. 2, i direktiv 95/46/EF.
Registeransvarlige kan vælge mellem standardkontrakt I eller II i bilaget. De må dog ikke ændre disse bestemmelser eller kombinere bestemte bestemmelser eller de to kontrakter.
Artikel 2
Denne beslutning vedrører udelukkende tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af de standardkontraktbestemmelser for overførsel af personoplysninger, der er anført i bilaget. Den har ingen indvirkning på anvendelsen af andre nationale bestemmelser til gennemførelse af direktiv 95/46/EF, som vedrører behandling af personoplysninger i medlemsstaterne.
Denne beslutning finder ikke anvendelse på overførsel af personoplysninger fra registeransvarlige, der er etableret i Fællesskabet, til modtagere, som er etableret uden for Fællesskabets område, og som blot foretager behandling af disse oplysninger.
Artikel 3
I denne beslutning:
a) finder definitionerne i direktiv 95/46/EF anvendelse
b) forstås ved »særlige kategorier af oplysninger« de oplysninger, der er omhandlet i artikel 8 i nævnte direktiv
c) forstås ved »tilsynsmyndighed« den myndighed, der er omhandlet i artikel 28 i nævnte direktiv
d) forstås ved »dataeksportør« den registeransvarlige, der overfører personoplysningerne
e) forstås ved »dataimportør« den registeransvarlige, som indvilliger i at modtage personoplysninger fra dataeksportøren med henblik på videre behandling i overensstemmelse med bestemmelserne i denne beslutning.
Artikel 4
1. De kompetente myndigheder i medlemsstaterne kan, uden at dette berører deres beføjelse til at træffe foranstaltninger for at sikre overholdelse af nationale bestemmelser, der vedtages i overensstemmelse med bestemmelserne i kapitel II, III, V og VI i direktiv 95/46/EF, gøre brug af deres beføjelser med henblik på at forbyde eller suspendere datastrømmen til tredjelande for at beskytte fysiske personer med hensyn til behandling af deres personoplysninger:
a) når det er fastslået, at den lovgivning, som dataimportøren er underlagt, pålægger dataimportøren krav om at fravige de relevante databeskyttelsesregler, som er mere vidtgående end de restriktioner, der er nødvendige i et demokratisk samfund som fastsat i artikel 13 i direktiv 95/46/EF, hvis disse krav kan formodes at have en betydelig negativ virkning på den sikkerhed, der opnås ved hjælp af standardkontraktbestemmelserne
b) når en kompetent myndighed har fastslået, at dataimportøren ikke har overholdt kontraktbestemmelserne, eller
c) når der er stor sandsynlighed for, at standardkontraktbestemmelserne i bilaget ikke overholdes eller ikke vil blive overholdt, og at en fortsat overførsel vil kunne skabe en overhængende risiko for alvorlig skade for de registrerede.
2. Når den registeransvarlige yder tilstrækkelige garantier på grundlag af standardkontrakt II i bilaget, kan de kompetente databeskyttelsesmyndigheder i forbindelse med stk. 1 gøre brug af deres beføjelser til at forbyde eller suspendere datastrømmen:
a) når dataimportøren nægter at samarbejde efter bedste evne med databeskyttelsesmyndighederne eller at opfylde de forpligtelser, der tydeligt fremgår af kontrakten
b) når dataeksportøren nægter på passende vis at gennemtvinge kontrakten over for dataimportøren inden for den normale frist på en måned, efter at dataeksportøren har modtaget en meddelelse fra den kompetente databeskyttelsesmyndighed.
Dataimportøren vil i forbindelse med første afsnit ikke blive anset for at nægte at samarbejde efter bedste evne eller at gennemtvinge kontrakten, når et sådant samarbejde eller en sådan gennemtvingelse er i strid med de obligatoriske krav i den nationale lovgivning, som dataimportøren er underlagt, og som ikke er mere vidtgående end, hvad der er nødvendigt i et demokratisk samfund på basis af en af de grunde, der er nævnt i artikel 13, stk. 1, i direktiv 95/46/EF, særlig sanktioner i henhold til international og/eller national lovgivning, oplysningspligt i skattesager eller oplysningspligt til bekæmpelse af hvidvaskning af penge.
Samarbejde skal i forbindelse med første afsnit, litra a), forstås således, at det især omfatter, at dataimportøren giver adgang til sine databehandlingsfaciliteter med henblik på kontrol eller retter sig efter en anbefaling fra databeskyttelsesmyndigheden i Fællesskabet.
3. Forbud eller suspension i henhold til stk. 1 og 2 ophæves straks, når grundene til forbuddet eller suspenderingen ikke længere eksisterer.
4. Når medlemsstaterne vedtager foranstaltninger i overensstemmelse med stk. 1, 2 og 3, underretter de straks Kommissionen, som underretter de øvrige medlemsstater.
Artikel 5
►M1 Kommissionen evaluerer gennemførelsen af denne beslutning på grundlag af alle tilgængelige oplysninger tre år efter, at medlemsstaterne har fået meddelt beslutningen og enhver ændring heraf. ◄ Den forelægger en rapport vedrørende resultaterne for det ved artikel 31 i direktiv 95/46/EF nedsatte udvalg. Rapporten skal omfatte ethvert forhold, der kan påvirke vurderingen af tilstrækkeligheden af standardkontraktbestemmelserne i bilaget samt ethvert forhold, hvoraf det fremgår, at denne beslutning anvendes på en diskriminerende måde.
Artikel 6
Denne beslutning finder anvendelse fra den 3. september 2001.
Artikel 7
Denne beslutning er rettet til medlemsstaterne.
BILAG
STANDARDKONTRAKT I
Tillæg 1
til standardkontraktbestemmelserne
Tillæg 2
til standardkontraktbestemmelserne
Obligatorisk databeskyttelse, jf. standardkontraktbestemmelse 5, litra b), første afsnit
Disse databeskyttelsesprincipper skal læses og fortolkes på baggrund af bestemmelserne (principper og relevante undtagelser) i direktiv 95/46/EF.
De finder anvendelse på de obligatoriske krav i den nationale lovgivning, der gælder for dataimportøren, og som ikke er mere vidtgående end, hvad der er nødvendige i et demokratisk samfund på basis af en af de grunde, der er nævnt i artikel 13, stk. 1, i direktiv 95/46/EF, det vil sige, hvis de udgør en nødvendig foranstaltning af hensyn til statens sikkerhed, forsvaret, den offentlige sikkerhed, forebyggelse, efterforskning, afsløring og retsforfølgelse i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv, statens væsentlige økonomiske eller finansielle interesser, eller beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.
1. Formålsafgrænsning: Oplysningerne må kun behandles og efterfølgende anvendes eller videregives til de specifikke formål i tillæg 1 til standardkontraktbestemmelserne. Oplysningerne må ikke opbevares længere end nødvendigt af hensyn til formålene med overførslen.
2. Datakvalitet og dataproportionalitet: Oplysningerne skal være nøjagtige og om nødvendigt ajourførte. Oplysningerne skal være fyldestgørende og relevante og må ikke være overdrevne i forhold til formålene med overførslen og den efterfølgende behandling.
3. Gennemsigtighed: Registrerede skal have oplysning om formålet med behandlingen og om den registeransvarliges identitet i tredjelandet samt yderligere oplysninger, hvis dette er nødvendigt for at sikre en rimelig behandling, medmindre sådanne oplysninger allerede er givet af dataeksportøren.
4. Sikkerhed og fortrolighed: Den registeransvarlige skal træffe tekniske og organisatoriske sikkerhedsforanstaltninger, som svarer til de risici, såsom ikke-autoriseret indsigt, behandlingen indebærer. Personer, der handler under den registeransvarliges ansvar, herunder databehandlere, må kun behandle oplysningerne, hvis dette sker efter instruks fra den registeransvarlige.
5. Ret til indsigt, berigtigelse, sletning og blokering: Som fastsat i artikel 12 i direktiv 95/46/EF skal de registrerede have ret til indsigt i de oplysninger, som vedrører dem, og som behandles, og i givet fald ret til berigtigelse, sletning eller blokering af oplysninger, hvis behandlingen ikke er i overensstemmelse med principperne i dette tillæg, især hvis der er tale om ufuldstændige eller unøjagtige oplysninger. De registrerede skal også, såfremt der foreligger vægtige legitime grunde, der vedrører deres særlige situation, have mulighed for at gøre indsigelse mod, at de oplysninger, som vedrører dem, gøres til genstand for behandling.
6. Begrænsning af videre overførsel: Yderligere overførsel af personoplysninger fra dataimportøren til en anden registeransvarlig, der er etableret i et tredjeland, der ikke garanterer et tilstrækkeligt beskyttelsesniveau, eller som ikke er omfattet af en kommissionsbeslutning vedtaget i henhold til artikel 25, stk. 6, i direktiv 95/46/EF (videre overførsel), må kun finde sted, hvis en af følgende betingelser er opfyldt:
a) De registrerede skal have givet deres udtrykkelige samtykke til videre overførsel, såfremt det drejer sig om særlige kategorier af oplysninger, eller de skal have haft mulighed for at gøre indsigelse herimod i andre tilfælde.
De registrerede skal mindst forsynes med følgende oplysninger på et sprog, de forstår:
— oplysning om formålene med den videre overførsel
— oplysning til identifikation af den i Fællesskabet etablerede dataeksportør
— oplysning om kategorier af yderligere modtagere af oplysninger og om bestemmelseslandene samt
— oplysning om, at oplysningerne efter den videre overførsel kan blive behandlet af en registeransvarlig, der er etableret i et land, hvor der ikke er en tilstrækkelig beskyttelse af fysiske personers privatliv. Eller
b) Dataeksportøren og dataimportøren er enige om, at en anden registeransvarlig tilslutter sig standardkontraktbestemmelserne, og således bliver en ny part i disse bestemmelser og påtager sig samme forpligtelser som dataimportøren.
7. Særlige kategorier af oplysninger: Når der behandles oplysninger om racemæssig eller etnisk oprindelse, politisk, religiøs eler filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, helbredsforhold og seksuelle forhold og oplysninger om lovovertrædelser, domme i straffesager eller sikkerhedsforanstaltninger, skal der iværksættes en supplerende beskyttelse i henhold til direktiv 95/46/EF, især passende sikkerhedsforanstaltninger, såsom stærk kryptering i forbindelse med overførsel eller registrering af, hvem der har haft adgang til følsomme oplysninger.
8. Direkte markedsføring: Når der behandles oplysninger med henblik på direkte markedsføring, skal der etableres effektive procedurer, der giver den registrerede mulighed for på et hvilket som helst tidspunkt at fravælge (opt-out) behandlingen af sine oplysninger til dette formål.
9. Edb-baserede individuelle afgørelser: De registrerede er berettigede til ikke at være underlagt en afgørelse, som alene er baseret på edb-behandling, medmindre der træffes andre foranstaltninger til at beskytte den enkeltes legitime interesser som foreskrevet i artikel 15, stk. 2, i direktiv 95/46/EF. Hvis formålet med en overførsel er at træffe en edb-baseret afgørelse som omhandlet i artikel 15 i direktiv 95/46/EF, der har retsvirkninger for den registrerede, eller som berører den registrerede i væsentlig grad, og som alene er truffet på grundlag af edb-behandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold, såsom erhvervsevne, kreditværdighed, pålidelighed, adfærd osv., har den registrerede ret til at kende begrundelsen for afgørelsen.
Tillæg 3
til standardkontraktbestemmelserne
Obligatorisk databeskyttelse, jf. standardkontraktbestemmelse 5, litra b), andet afsnit
1. Formålsafgrænsning: Oplysningerne må kun behandles og efterfølgende anvendes eller videregives til de specifikke formål i tillæg 1 til standardkontraktbestemmelserne. Oplysningerne må ikke opbevares længere end nødvendigt af hensyn til formålene med overførslen.
2. Ret til indsigt, berigtigelse, sletning og blokering: Som fastsat i artikel 12 i direktiv 95/46/EF skal de registrerede have ret til indsigt i de oplysninger, som vedrører dem, og som behandles, og i givet fald ret til berigtiglse, sletning eller blokering af oplysninger, hvis behandlingen ikke er i overensstemmelse med principperne i dette tillæg, især hvis der er tale om ufuldstændige eller unøjagtige oplysninger. De registrerede skal også, såfremt der foreligger vægtige legitime grunde, der vedrører deres særlige situation, have mulighed for at gøre indsigelse mod, at de oplysninger, som vedrører dem, gøres til genstand for behandling.
3. Begrænsning af videre overførsel: Yderligere overførsel af personoplysninger fra dataimportøren til en anden registeransvarlig, der er etableret i et tredjeland, der ikke garanterer et tilstrækkeligt beskyttelsesniveau, eller som ikke er omfattet af en kommissionsbeslutning vedtaget i henhold til artikel 25, stk. 6, i direktiv 95/46/EF (videre overførsel), må kun finde sted, hvis en af følgende betingelser er opfyldt:
a) De registrerede skal have givet deres udtrykkelige samtykke til videre overførsel, såfremt det drejer sig om særlige kategorier af oplysninger, eller de skal have haft mulighed for at gøre indsigelse herimod i andre tilfælde.
De registrerede skal mindst forsynes med følgende oplysninger på et sprog, de forstår:
— oplysning om formålene med den videre overførsel
— oplysning til identifikation af den i Fællesskabet etablerede dataeksportør
— oplysning om kategorier af yderligere modtagere af oplysninger og om bestemmelseslandene samt
— oplysning om, at oplysningerne efter den videre overførsel kan blive behandlet af en registeransvarlig, der er etableret i et land, hvor der ikke er en tilstrækkelig beskyttelse af fysiske personers privatliv. Eller
b) Dataeksportøren og dataimportøren er enige om, at en anden registeransvarlig tilslutter sig standardkontraktbestemmelserne, og således bliver en ny part i disse bestemmelser og påtager sig samme forpligtelser som dataimportøren.
STANDARDKONTRAKT II
Standardkontraktbestemmelser for overførsel af personoplysninger fra Fællesskabet til tredjelande (overførsel mellem registeransvarlige)
Dataoverførselsaftale
Mellem
_ (navn)
_ (adresse og etableringsland)
herefter dataeksportøren)
og
_ (navn)
_ (adresse og etableringsland)
herefter »dataimportøren«,
der hver især er en »part« og sammen udgør »parterne«.
Definitioner
Følgende definitioner gælder for standardkontraktbestemmelserne:
a) »Personoplysninger«, »særlige kategorier af oplysninger/følsomme oplysninger«, »behandle/behandling«, »registeransvarlig«, »behandler«, »registreret« og »tilsynsmyndighed/myndighed« har samme betydning som i direktiv 95/46/EF af 24. oktober 1995 (hvor der ved »myndighed« forstås den kompetente databeskyttelsesmyndighed på det område, hvor dataeksportøren er etableret).
b) Ved »dataeksportør« forstås den registeransvarlige, der overfører personoplysningerne.
c) Ved »dataimportør« forstås den registeransvarlige, som accepterer at modtage personoplysninger fra dataeksportøren med henblik på videre behandling i overensstemmelse med disse standardkontraktbestemmelser, og som ikke er underlagt lovgivningen i et tredjeland, der sikrer et tilstrækkeligt databeskyttelsesniveau.
d) Ved »bestemmelser« forstås disse standardkontraktbestemmelser, der udgør et selvstændigt dokument, som ikke indeholder forretningsbetingelser, idet disse er omfattet af en særskilt forretningsaftale mellem parterne.
Detaljerne om overførslen (og de berørte personoplysninger) er specificeret i bilag B, der er en integrerende del af denne standardkontrakt.
I. Dataeksportørens pligter
a) Dataeksportøren garanterer, at personoplysningerne indsamles, behandles og overføres i overensstemmelse med den for dataeksportøren gældende lovgivning.
b) Dataeksportøren forsøger på passende vis at fastslå, om dataimportøren er i stand til at opfylde sine retlige forpligtelser i henhold til disse standardkontraktbestemmelser.
c) Dataeksportøren giver efter anmodning herom dataimportøren kopier af den relevante databeskyttelseslovgivning eller henvisninger til samme (hvor det er relevant og uden nogen form for juridisk rådgivning) i dataeksportørens etableringsland.
d) Dataeksportøren besvarer forespørgsler fra registrerede og myndigheden vedrørende dataimportørens behandling af personoplysningerne, medmindre parterne har aftalt, at dataimportøren besvarer sådanne forespørgsler, hvor dataeksportøren i så fald fortsat besvarer i det omfang, det er rimeligt og muligt, og med den information, som dataeksportøren med rimelighed må anses at have adgang til, hvis dataimportøren ikke kan eller vil svare. Forespørgsler skal besvares inden for en passende tidsfrist.
e) Dataeksportøren giver efter anmodning herom et eksemplar af standardkontrakten til de registrerede, der er omfattet af tredjemandsløftet i henhold til bestemmelse III, medmindre standardkontrakten indeholder fortrolige oplysninger, hvor dataeksportøren i så fald kan fjerne sådanne oplysninger. Hvis oplysninger fjernes, informerer dataeksportøren de registrerede skriftligt om årsagerne til dette og om deres ret til at gøre myndigheden opmærksom på dette forhold. Dataeksportøren retter sig imidlertid efter myndighedens afgørelse med hensyn til de registreredes ret til indsigt i standardkontrakten in extenso, såfremt de registrerede har accepteret at behandle de fortrolige oplysninger, der er blevet fjernet, fortroligt. Dataeksportøren giver ligeledes et eksemplar af standardkontrakten til myndigheden, såfremt den anmoder herom.
II. Dataimportørens pligter
a) Dataimportøren iværksætter passende tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller uretmæssig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, for således at sikre et passende beskyttelsesniveau i forhold til de risici, behandlingen og arten af de oplysninger, der skal beskyttes, indebærer.
b) Dataimportøren iværksætter procedurer, der sikrer, at enhver tredjemand, som dataimportøren giver adgang til personoplysninger, herunder behandlere, behandler disse personoplysninger sikkert og fortroligt. Personer, der handler under dataimportørens ansvar, herunder behandlere, må kun behandle personoplysningerne efter instruks fra dataimportøren. Denne bestemmelse finder ikke anvendelse på personer, som i medfør af loven eller administrative forskrifter har adgang til personoplysningerne.
c) Dataimportøren garanterer ved kontraktens indgåelse ikke at have kendskab til eventuelle lokale retsforskrifter, der kan have en betydelig negativ indvirkning på den beskyttelse, som standardkontrakten giver, og dataimportøren garanterer at ville informere dataeksportøren (der på behørig vis informerer myndigheden), hvis der opstår kendskab til sådanne retsforskrifter.
d) Dataimportøren garanterer at ville behandle personoplysninger til de formål, der er anført i bilag B, og at have bemyndigelse til at give de garantier og opfylde de tilsagn, der er fastsat i standardkontrakten.
e) Dataimportøren garanterer at ville give dataeksportøren oplysning om en kontaktperson i sin organisation, der har beføjelse til at besvare forespørgsler vedrørende behandlingen af personoplysningerne, og at ville samarbejde efter bedste evne og inden for en passende tidsfrist med dataeksportøren, den registrerede og myndigheden vedrørende sådanne forespørgsler. Hvis dataeksportørens aktiviteter ophører, eller hvis dette aftales parterne imellem, påtager dataimportøren sig ansvaret for at overholde bestemmelse I, litra e).
f) Dataimportøren vil på anmodning fra dataeksportøren give sidstnævnte dokumentation for at være i besiddelse af tilstrækkelige finansielle ressourcer til at overholde forpligtelserne i medfør af bestemmelse III (hvilket kan omfatte passende forsikring).
g) Såfremt dataeksportøren fremsætter berettiget anmodning herom, lader dataimportøren med en rimelig frist og i den normale arbejdstid dataeksportøren (eller uafhængige eller uvildige kontrollører eller inspektører, der udpeges af dataeksportøren, og som dataimportøren ikke har berettigede indsigelser imod) foretage en gennemgang, kontrol og/eller certificering af de databehandlingsfaciliteter, de datafiler og den dokumentation, der er nødvendig til at foretage behandling, med henblik på at fastslå overensstemmelse med de i denne kontrakt fastsatte garantier og tilsagn. En sådan anmodning skal eventuelt tiltrædes eller godkendes af en administrativ myndighed eller tilsynsmyndighed i dataimportørens etableringsland, idet dataimportøren skal forsøge at opnå en sådan godkendelse inden for en rimelig frist.
h) Dataimportøren forpligter sig til at behandle personoplysningerne i overensstemmelse med enten:
i) databeskyttelseslovgivningen i dataeksportørens etableringsland, eller
ii) de relevante bestemmelser ( 5 ) i enhver beslutning, som Kommissionen vedtager i henhold til artikel 25, stk. 6, i direktiv 95/46/EF, når dataimportøren overholder de relevante bestemmelser i en sådan godkendelse eller beslutning og er etableret i et land, der er omfattet af en sådan godkendelse eller beslutning, men ikke er omfattet af en sådan godkendelse eller beslutning for så vidt angår overførsel af personoplysninger ( 6 ), eller
iii) databehandlingsprincipperne i bilag A.
Dataimportøren vælger følgende option:_
Dataimportørens initialer:_
i) Dataimportøren forpligter sig til ikke at videregive eller overføre personoplysninger til en tredjemandsregisteransvarlig, der er etableret uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), medmindre dataimportøren underretter dataeksportøren om overførslen og
i) den tredjemandsregisteransvarlige behandler personoplysningerne i overensstemmelse med en kommissionsbeslutning, hvormed det konstateres, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, eller
ii) den tredjemandsregisteransvarlige underskriver denne kontrakt eller en anden dataoverførselsaftale, der er godkendt af en kompetent myndighed i EU, eller
iii) de registrerede har haft mulighed for at gøre indsigelse efter at være blevet oplyst om formålet med overførslen, om de forskellige kategorier af modtagere og om, at de lande, hvortil oplysningerne eksporteres, kan have forskellige databeskyttelsesniveauer, eller
iv) de registrerede med hensyn til videre overførsel af følsomme oplysninger har givet deres udtrykkelige tilladelse til den videre overførsel.
III. Ansvar og tredjemandsrettigheder
a) Hver part er erstatningsansvarlig over for den anden part for skader, som den forvolder ved enhver overtrædelse af disse bestemmelser. Erstatningsansvaret mellem parterne er begrænset til de faktiske skader. Enhver pønalt begrundet skadeserstatning (dvs. skadeserstatning som straf for upassende adfærd) er udtrykkeligt udelukket. Hver part er erstatningsansvarlig over for de registrerede for skader som følge af enhver overtrædelse af tredjemandsrettighederne i henhold til denne kontrakt. Dette berører ikke dataeksportørens erstatningsansvar i henhold til gældende databeskyttelseslovgivning.
b) Parterne aftaler, at de registrerede for så vidt angår deres egne personoplysninger og i medfør af tredjemandsløftet skal kunne påberåbe sig denne bestemmelse og bestemmelse I, litra b), I, litra d), I, litra e), II, litra a), II, litra c), II, litra d), II, litra e), II, litra h), II, litra i), III, litra a), V, VI, litra d), og VII over for dataimportøren eller dataeksportøren som følge af deres respektive overtrædelse af deres kontraktforpligtelser, og at de med henblik herpå skal godkende, at der vælges værneting i dataeksportørens etableringsland. De registrerede skal i sager, hvor dataimportøren påstås at have tilsidesat sine forpligtelser, først anmode dataeksportøren om at træffe passende foranstaltninger til at gøre deres rettigheder gældende over for dataimportøren. Hvis dataeksportøren ikke træffer sådanne foranstaltninger inden for en passende tidsfrist (som under normale omstændigheder er på en måned), kan de registrerede gøre deres rettigheder gældende direkte over for dataimportøren. De registrerede er berettigede til at anlægge sag direkte mod en dataeksportør, der ikke med passende omhu har bestræbt sig på at fastslå, om dataimportøren er i stand til at opfylde sine retlige forpligtelser i henhold til disse bestemmelser (det påhviler dataeksportøren at godtgøre at have udvist passende omhu).
IV. Lovvalg
Denne standardkontrakt er underlagt lovgivningen i dataeksportørens etableringsland, dog med undtagelse af de love og administrative forskrifter, der vedrører dataimportørens behandling af personoplysningerne i henhold til bestemmelse II, litra h), der udelukkende finder anvendelse, hvis dataimportøren har valgt denne option i denne bestemmelse.
V. Bilæggelse af tvister med registrerede eller myndigheden
a) Parterne underretter hinanden, hvis der er opstået en tvist eller fremsat et krav af en registreret eller myndigheden vedrørende behandlingen af personoplysningerne over for en af parterne eller begge parter, og de samarbejder med henblik på at finde en mindelig løsning inden for en passende tidsfrist.
b) Parterne accepterer at medvirke i en enhver almindelig og ikke-bindende forligsprocedure, som en registreret eller myndigheden iværksætter. Parterne kan vælge at deltage i proceduren uden personligt fremmøde (f.eks. telefonisk eller ved hjælp af andre elektroniske midler). Parterne accepterer ligeledes at ville deltage i enhver anden voldgift eller mægling eller andre tvistbilæggelsesprocedurer, der er udviklet til behandling af tvister vedrørende databeskyttelse.
c) Hver part skal rette sig efter enhver afgørelse fra en kompetent domstol i dataeksportørens etableringsland eller fra myndigheden, hvis den pågældende afgørelse er endelig og ikke kan gøres til genstand for appel.
VI. Ophør
a) Dataeksportøren kan, såfremt dataimportøren ikke overholder sine forpligtelser i henhold til denne standardkontrakt, midlertidigt suspendere overførslen af personoplysninger til dataimportøren, indtil overtrædelsen bringes til ophør eller kontrakten ophører.
b) Hvis:
i) dataeksportøren i henhold til litra a) midlertidigt har suspenderet overførslen af personoplysninger til dataimportøren i mere end en måned
ii) dataimportøren ved at overholde denne standardkontrakt overtræder lovbestemmelser eller administrative forskrifter i importlandet
iii) dataimportøren på alvorlig eller vedvarende vis tilsidesætter de garantier eller forpligtelser, der er fastsat i denne standardkontrakt
iv) det i en endelig afgørelse, der ikke kan gøres til genstand for appel, fra en kompetent domstol i dataeksportørens etableringsland eller fra myndigheden fastslås, at dataimportøren eller dataeksportøren har overtrådt standardkontrakten, eller
v) der indgives begæring om forvaltning eller likvidation af dataimportøren, enten personligt eller erhvervsmæssigt, og denne begæring ikke afvises inden for den normale frist for afvisning af sådanne begæringer i henhold til gældende lov, der afgives en erklæring om tvangslikvidation, der indsættes en bobestyrer over bestemte aktiver hos dataimportøren, der udpeges en kurator, hvis dataimportøren er en fysisk person, der indgås en frivillig gældsordning, eller der opstår lignende forhold i en hvilken som helst jurisdiktion
har dataeksportøren – uden at dette berører dataeksportørens andre rettigheder over for dataimportøren – ret til at bringe denne standardkontrakt til ophør, idet myndigheden i så fald skal underrettes på behørig vis. Dataimportøren kan i de i punkt i), ii) eller iv) beskrevne situationer ligeledes bringe denne standardkontrakt til ophør.
c) Hver part kan bringe denne standardkontrakt til ophør, hvis i) der i en beslutning fra Kommissionen konstateres et tilstrækkeligt databeskyttelsesniveau i henhold til artikel 25, stk. 6, i direktiv 95/46/EF (eller enhver retsakt, der træder i stedet herfor) for det land (eller den sektor), hvortil oplysningerne overføres og behandles af dataimportøren, eller ii) direktiv 95/46/EF (eller enhver retsakt, der træder i stedet herfor) finder direkte anvendelse i dette land.
d) Parterne er enige om, at de ved denne standardkontrakts ophør på ethvert tidspunkt, under enhver omstændighed og af enhver årsag (undtagen ophør i medfør af bestemmelse VI, litra c)), ikke fritages fra denne standardkontrakts forpligtelser og/eller betingelser med hensyn til behandlingen af de overførte oplysninger.
VII. Ændring af bestemmelserne
Parterne kan ikke ændre disse bestemmelser, undtagen for at ajourføre oplysninger i bilag B, idet de i så fald skal underrette myndigheden på behørig vis. Dette forhindrer ikke parterne i om nødvendigt at tilføje supplerende forretningsbestemmelser.
VIII. Beskrivelse af overførslen
De nærmere detaljer om overførslen og personoplysningerne er specificeret i bilag B. Parterne aftaler, at bilag B kan indeholde fortrolige forretningsoplysninger, som de ikke videregiver til tredjemand, medmindre det kræves i henhold til lovgivningen eller som svar til en kompetent myndighed eller en offentlig myndighed, eller som krævet i henhold til bestemmelse I, litra e). Parterne kan udarbejde supplerende bilag for at dække supplerende overførsler, idet disse skal forelægges myndigheden på behørig vis. Alternativt kan bilag B formuleres således, at det dækker flere overførsler.
Dato: _
_
_
FOR DATAIMPORTØREN
FOR DATAEKSPORTØREN
…
…
…
…
…
…
BILAG A
DATABEHANDLINGSPRINCIPPER
1. Formålsafgrænsning: Personoplysninger må kun behandles og efterfølgende anvendes eller videregives til de specifikke formål, der er beskrevet i bilag B, eller som efterfølgende godkendes af den registrerede.
2. Datakvalitet og dataproportionalitet: Personoplysninger skal være nøjagtige og i givet fald ajourførte. Personoplysninger skal være fyldestgørende, relevante og ikke omfatte mere, end hvad formålet, hvortil de overføres og efterfølgende behandles, tilsiger.
3. Gennemsigtighed: Registrerede skal have de oplysninger, der er nødvendige for at sikre en rimelig behandling (f.eks. om formålet med behandlingen og om overførslen), medmindre sådanne oplysninger allerede er givet af dataeksportøren.
4. Sikkerhed og fortrolighed: Den registeransvarlige skal træffe tekniske og organisatoriske sikkerhedsforanstaltninger, som svarer til de risici, behandlingen indebærer, f.eks. mod hændelig eller uretmæssig tilintetgørelse eller hændeligt tab, ændring, ubeføjet udbredelse eller ikke-autoriseret adgang. Personer, der handler under den registeransvarliges ansvar, herunder databehandlere, må kun behandle oplysninger, hvis dette sker efter instruks fra den registeransvarlige.
5. Ret til indsigt, berigtigelse, sletning og indsigelse: Som fastsat i artikel 12 i direktiv 95/46/EF skal de registrerede enten direkte eller gennem tredjemand have adgang til deres egne personoplysninger, som et foretagende er i besiddelse af, medmindre der er tale om et klart misbrug af denne rettighed i form af alt for hyppige, talrige, gentagne eller systematiske forespørgsler, eller medmindre der i henhold til lovgivningen i dataeksportørens etableringsland ikke skal gives adgang til sådanne oplysninger. Hvis myndigheden på forhånd har givet tilladelse hertil, skal der heller ikke gives adgang, når dette kan være til alvorlig skade for dataimportøren eller et andet foretagende, der samarbejder med dataimportøren, og deres interesser ikke skal tilsidesættes til fordel for beskyttelsen af den registreredes grundlæggende rettigheder og frihedsrettigheder. Det er ikke nødvendigt at oplyse kilderne til de pågældende personoplysninger, når dette ikke med rimelighed lader sig gøre eller vil medføre en krænkelse af andre personers rettigheder. Registrerede skal kunne opnå, at deres personoplysninger berigtiges, ændres eller slettes, når de er ukorrekte eller behandles i strid med disse principper. Hvis der er tungtvejende grunde til at antage, at en anmodning ikke er retmæssig, kan det berørte foretagende kræve yderligere dokumentation, inden der foretages berigtigelse, ændring eller sletning. Det er ikke nødvendigt at underrette tredjemand, hvortil oplysningerne er blevet videregivet, om en eventuel berigtigelse, ændring eller sletning, når dette medfører en uforholdsmæssig stor byrde. De registrerede skal også, såfremt der foreligger vægtige legitime grunde, der vedrører deres særlige situation, have mulighed for at gøre indsigelse mod, at de oplysninger, som vedrører dem, gøres til genstand for behandling. Bevisbyrden for ethvert afslag påhviler dataimportøren, og den registrerede kan til enhver tid anfægte et afslag over for myndigheden.
6. Følsomme oplysninger: Dataimportøren skal træffe de supplerende foranstaltninger (f.eks. vedrørende sikkerhed), som er nødvendige for at beskytte sådanne følsomme oplysninger i overensstemmelse med sine forpligtelser under bestemmelse II.
7. Oplysninger, der anvendes til direkte markedsføring: Når oplysninger behandles med henblik på direkte markedsføring, skal der forefindes effektive procedurer, der giver den registrerede mulighed for når som helst at fravælge (opt-out) behandlingen af sine oplysninger til dette formål.
8. Edb-baserede afgørelser: I denne forbindelse forstås der ved edb-baseret afgørelse en afgørelse, truffet af dataeksportøren eller dataimportøren, der har retsvirkninger for den registrerede, eller som berører den registrerede i væsentlig grad, og som alene er truffet på grundlag af en edb-behandling af personoplysninger, der er bestemt til at vurdere bestemte personlige forhold vedrørende den registrerede, såsom erhvervsevne, kreditværdighed, pålidelighed, adfærd osv. Dataimportøren træffer udelukkende edb-baserede afgørelser vedrørende registrerede, når:
i) sådanne afgørelser træffes af dataimportøren ved indgåelse eller udførelse af en kontrakt med den registrerede, og
ii) den registrerede har mulighed for at drøfte resultatet af en bestemt edb-baseret afgørelse med en repræsentant for den part, der træffer en sådan afgørelse, eller på anden vis fremsætter bemærkninger over for denne part
eller
b) andet er fastsat i den for dataeksportøren gældende lovgivning.
BILAG B
BESKRIVELSE AF OVERFØRSLEN
(udfyldes af parterne)
VEJLEDENDE FORRETNINGSBETINGELSER (VALGFRI)
Gensidig skadesløsholdelse mellem dataeksportøren og dataimportøren:
Parterne holder hinanden skadesløse for alle omkostninger, gebyrer, erstatningsbeløb, udgifter eller tab, som de påfører hinanden som følge af deres overtrædelse af bestemmelserne i denne standardkontrakt. Enhver skadesløsholdelse er betinget af, a) at den eller de parter, der skal holdes skadesløse (»skadesløsholdte part(-er)«), straks underretter den eller de andre parter (»skadesløsholdende part(-er)«), om ethvert krav, og b) at den eller de skadesløsholdende parter selv har fuld kontrol over, hvorledes sagen i forbindelse med et sådant krav føres, og c) den eller de skadesløsholdte parter på behørig vis samarbejder med og bistår den eller de skadesløsholdende parter med henblik på at føre sagen i forbindelse med kravet..
Bilæggelse af tvister mellem dataeksportøren og dataimportøren (parterne kan naturligvis aftale enhver anden alternativ tvistbilæggelsesordning eller værnetingsklausul):
»Enhver tvist mellem dataimportøren og dataeksportøren vedrørende en påstået overtrædelse af en bestemmelse i denne standardkontrakt skal afgøres endeligt i henhold til det Internationale Handelskammers regler om voldgift af en eller flere voldgiftsmænd, der udpeges i henhold til disse regler. Voldgiften skal finde sted i […]. Antallet af voldgiftsmænd er sat til […].«.
Fordeling af omkostninger:
»Hver part afholder selv omkostningerne i forbindelse med gennemførelsen af denne standardkontrakt.«.
Supplerende bestemmelse om ophør
»Hvis denne standardkontrakt bringes til ophør, skal dataimportøren straks returnere alle personoplysninger og alle kopier af de personoplysninger, der er genstand for denne standardkontrakt, til dataeksportøren, eller dataimportøren skal, såfremt dataeksportøren vælger denne løsning, destruere alle kopier af disse personoplysninger og bekræfte over for dataeksportøren, at dette er gjort, medmindre dataimportøren i henhold til den nationale lovgivning eller en offentlig myndighed er forhindret i at destruere eller returnere samtlige eller en del af oplysningerne, idet disse oplysninger i så fald skal behandles fortroligt og ikke må behandles aktivt til noget formål. Såfremt dataeksportøren fremsætter anmodning herom, skal dataimportøren med en rimelig frist og i den normale arbejdstid give dataeksportøren eller en kontrollør, der udpeges af dataeksportøren, og som dataimportøren ikke har berettigede indsigelser imod, adgang til sine databehandlingsfaciliteter, således at det kan kontrolleres, at dataimportøren har truffet ovenstående foranstaltninger.«
( 1 ) EFT L 281 af 23.11.1995, s. 31.
( 2 ) Gruppens websted findes på følgende adresse:
http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/indez.htm
( 3 ) WP 4 (5020/97): »Udlevering af personoplysninger til tredjelande — hvornår er beskyttelsesniveauet tilstrækkeligt?«, et diskussionsoplæg vedtaget af gruppen den 26. juni 1997.
WP 7 (5057/97): »Vurdering af selvregulering i erhvervslivet: hvornår yder den et meningsfuldt bidrag til databeskyttelsesniveauet i et tredjeland?«, arbejdsdokument vedtaget af gruppen den 14. januar 1998.
WP 9 (5005/98): »Foreløbige synspunkter om brug af kontraktbestemmelser ved videregivelse af personoplysninger til tredjelande«, arbejdsdokument vedtaget af gruppen den 22. april 1998.
WP 12: »Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv«, arbejdsdokument vedtaget af gruppen den 24. juli 1998, tilgængelig på Europa-Kommissionens websted: europa.eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wp12/en
( 4 ) Udtalelse nr. 1/2001, vedtaget af gruppen den 26. januar 2001 (Generaldirektoratet for det Indre Marked 5102/00 WP 38), tilgængelig på Europa-Kommissionens websted »Europa«.
( 5 ) Ved »relevante bestemmelser« forstås bestemmelserne i enhver godkendelse eller beslutning, undtagen bestemmelserne om håndhævelse i sådanne godkendelser eller beslutninger (idet det er nærværende bestemmelser om håndhævelse, der finder anvendelse).
( 6 ) Bestemmelserne i bilag A5 om ret til indsigt, berigtigelse, sletning og indsigelse finder dog anvendelse, når denne option anvendes, og de går forud for lignende bestemmelser i den pågældende beslutning fra Kommissionen.
