a) »Personoplysninger«, »særlige kategorier af oplysninger«, »behandle/behandling«, »registeransvarlig«, »registerfører«, »den registrerede« og »tilsynsmyndighed« har samme betydning som i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger ( 1 )

b) »dataeksportør« betyder den registeransvarlige, der videregiver personoplysningerne

c) »dataimportør« betyder den registerfører, som indvilliger i at modtage personoplysninger fra dataeksportøren med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser og standardbestemmelserne, og som ikke er underlagt et tredjelands system, der sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 1, i direktiv 95/46/EF

d) »underkontraheret registerfører« betyder enhver registerfører, der efter aftale med dataimportøren eller af en af dataimportørens øvrige underkontraherede registerførere indvilliger i fra dataimportøren eller en af dataimportørens øvrige underkontraherede registerførere at modtage personoplysninger udelukkende med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser, standardbestemmelserne og den skriftlige udliciteringskontrakt

e) »den gældende databeskyttelseslovgivning« betyder den lovgivning, der beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, især deres ret til beskyttelse af privatlivets fred, med hensyn til behandling af personoplysninger, og som gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret

f) »tekniske og organisatoriske sikkerhedsforanstaltninger« betyder de foranstaltninger, der har til formål at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især hvor behandlingen omfatter videregivelse af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

1. Den registrerede kan som begunstiget tredjemand håndhæve denne standardbestemmelse, standardbestemmelse 4, litra b)-i), standardbestemmelse 5, litra a)-e) og g)-j), standardbestemmelse 6, stk. 1 og 2, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataeksportøren.

2. Den registrerede kan håndhæve denne standardbestemmelse, standardbestemmelse 5, litra a)-e) og g), standardbestemmelse 6, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataimportøren i tilfælde, hvor dataeksportøren faktisk eller retligt set er ophørt med at eksistere, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning og som følge heraf overtager dataeksportørens rettigheder og forpligtelser, idet den registrerede i så fald kan håndhæve dem over for en sådan retssuccessor.

3. Den registrerede kan håndhæve denne standardbestemmelse, standardbestemmelse 5, litra a)-e) og g), standardbestemmelse 6, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for den underkontraherede registerfører i tilfælde, hvor både dataeksportøren og dataimportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning og som følge heraf overtager dataeksportørens rettigheder og forpligtelser, idet den registrerede i så fald kan håndhæve dem over for en sådan retssuccessor. Den underkontraherede registerførers erstatningsansvar er begrænset til hans egen behandling i henhold til standardbestemmelserne.

4. Parterne gør ingen indsigelse mod, at de registrerede, såfremt de udtrykkeligt ytrer ønske herom, og det er tilladt i henhold til national ret, lader sig repræsentere af en forening eller andre organer.

a) at hans behandling af personoplysningerne, herunder selve videregivelsen, har været, og fortsat vil være i overensstemmelse med de relevante bestemmelser i den gældende databeskyttelseslovgivning (og i givet fald er blevet anmeldt til de kompetente myndigheder i den medlemsstat, hvor dataeksportøren er etableret), og at behandlingen ikke er i strid med denne stats relevante bestemmelser

b) at han har instrueret og under behandlingen af personoplysninger vil instruere dataimportøren om kun at behandle de videregivne personoplysninger på dataeksportørens vegne og i overensstemmelse med den gældende databeskyttelseslovgivning og standardbestemmelserne

c) at dataimportøren vil stille tilstrækkelige garantier med hensyn til de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nærmere angivet i tillæg 2 til denne kontrakt

d) at sikkerhedsforanstaltningerne, efter at være blevet vurderet i forhold til kravene i den gældende databeskyttelseslovgivning, er tilstrækkelige til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især når behandlingen omfatter dataoverførsel i et net, samt mod enhver anden form for ulovlig behandling, og at disse foranstaltninger giver et passende databeskyttelsesniveau i forhold til de risici, der er forbundet med behandlingen og arten af de oplysninger, der skal beskyttes, under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse

e) at han vil sikre, at disse sikkerhedsforanstaltninger overholdes

f) at de registrerede i tilfælde af, at videregivelsen omfatter særlige kategorier af oplysninger, er blevet informeret eller inden eller snarest muligt efter videregivelsen vil blive informeret om, at deres oplysninger kan blive videregivet til et tredjeland, der ikke sikrer et tilstrækkeligt databeskyttelsesniveau som omhandlet i direktiv 95/46/EF

g) at han vil sende meddelelser, som han modtager fra dataimportøren eller en eventuel underkontraheret registerfører i henhold til standardbestemmelse 5, litra b) og 8, stk. 3, videre til databeskyttelsesmyndigheden, hvis han beslutter at fortsætte videregivelsen eller at ophæve suspensionen

h) at han efter anmodning vil stille følgende til rådighed for de registrerede: et eksemplar af standardbestemmelserne, bortset fra tillæg 2, og en kortfattet beskrivelse af sikkerhedsforanstaltningerne samt et eksemplar af enhver kontrakt om udlicitering, der skal ske i henhold til standardbestemmelserne, medmindre standardbestemmelserne eller kontrakten indeholder kommercielle oplysninger, som han i så fald kan udelade

i) at behandlingen i tilfælde af udlicitering gennemføres i henhold til standardbestemmelse 11 af en underkontraheret registerfører, der frembyder mindst samme beskyttelsesniveau for den registreredes personoplysninger og rettigheder som dataimportøren i henhold til standardbestemmelserne, og

j) at han vil sikre, at standardbestemmelse 4, litra a)-i), overholdes.

a) at han udelukkende vil behandle personoplysningerne på dataeksportørens vegne og i overensstemmelse med dennes instrukser og standardbestemmelserne; såfremt han af en hvilken som helst grund ikke er i stand til at sikre en sådan overensstemmelse, indvilliger han i straks at underrette dataeksportøren herom, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten

b) at han ikke har grund til at tro, at han ifølge den lovgivning, han er underlagt, er forhindret i at følge de instrukser, han har modtaget fra dataeksportøren, og overholde sine forpligtelser i henhold til kontrakten, og at han, såfremt denne lovgivning ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der opnås ved hjælp af standardbestemmelserne, straks vil give dataeksportøren meddelelse om ændringen, så snart han får kendskab hertil, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten

c) at han, inden han behandler de videregivne personoplysninger, har iværksat de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nærmere angivet i tillæg 2

d) at han straks vil give dataeksportøren meddelelse om:

i) retshåndhævende myndigheders retligt bindende anmodninger om videregivelse af personoplysninger, medmindre dette på anden måde er forbudt, som for eksempel ved et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager

ii) enhver utilsigtet eller uautoriseret adgang og

iii) anmodninger, der modtages direkte fra de registrerede, og som han ikke har besvaret, medmindre han på anden måde er bemyndiget dertil

e) at han straks og behørigt vil behandle alle dataeksportørens forespørgsler vedrørende sin behandling af de videregivne personoplysninger og følge tilsynsmyndighedens anbefalinger med hensyn til behandling af de videregivne oplysninger

f) at han på dataeksportørens anmodning vil lade sine databehandlingsfaciliteter underkaste inspektion, som omfatter den i standardbestemmelserne omhandlede databehandling, og som foretages af dataeksportøren eller et inspektionsorgan bestående af uafhængige medlemmer med tavshedspligt, der er i besiddelse af de nødvendige faglige kvalifikationer, og som udpeges af dataeksportøren, i givet fald efter aftale med tilsynsmyndigheden

g) at han efter anmodning vil stille et eksemplar af standardbestemmelserne eller eksisterende udliciteringskontrakter til rådighed for den registrerede, medmindre standardbestemmelserne eller kontrakten indeholder kommercielle oplysninger, som han i så fald kan udelade, bortset fra tillæg 2, der erstattes af en kortfattet beskrivelse af sikkerhedsforanstaltningerne i de tilfælde, hvor den registrerede ikke kan få udleveret et eksemplar fra dataeksportøren

h) at han i tilfælde af udlicitering på forhånd har underrettet dataeksportøren og indhentet hans skriftlige samtykke dertil

i) at den underkontraherede registerførers behandling vil ske i henhold til standardbestemmelse 11

j) at han straks vil sende dataeksportøren et eksemplar af de udliciteringsaftaler, som han indgår i henhold til standardbestemmelserne.

1. Parterne er enige om, at registrerede, der har lidt skade som følge af en parts eller en underkontraheret registerførers overtrædelse af de forpligtelser, der er omhandlet i standardbestemmelse 3 eller 11, har ret til erstatning fra dataeksportøren for den lidte skade.

2. Hvis en registreret i tilfælde, hvor dataimportøren eller hans underkontraherede registerfører overtræder sine forpligtelser i henhold til standardbestemmelse 3 eller 11, ikke er i stand til at fremsætte erstatningskrav mod dataeksportøren i henhold til stk. 1, fordi dataeksportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent, accepterer dataimportøren, at den registrerede kan fremsætte krav mod dataimportøren, som om han var dataeksportøren, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens forpligtelser i henhold til kontrakt eller i henhold til lovgivning, idet den registrerede i så fald kan påberåbe sig sine rettigheder over for en sådan retssuccessor.

3. Hvis en registreret i tilfælde, hvor den underkontraherede registerfører overtræder sine forpligtelser i henhold til standardbestemmelse 3 eller 11, ikke er i stand til at fremsætte erstatningskrav mod dataeksportøren eller dataimportøren i henhold til stk. 1 og 2, fordi både dataeksportøren og dataimportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, accepterer den underkontraherede registerfører, at den registrerede kan fremsætte krav mod den underkontraherede registerfører med hensyn til dennes egen behandling i henhold til standardbestemmelserne, som om han var dataeksportøren eller dataimportøren, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens eller dataimportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning, idet den registrerede i så fald kan påberåbe sig sine rettigheder over for en sådan retssuccessor. Den underkontraherede registerførers erstatningsansvar begrænses til hans egen databehandling i henhold til standardbestemmelserne.

1. Hvis den registrerede gør tredjemandsløftet gældende over for dataimportøren og/eller kræver skadeserstatning i henhold til standardbestemmelserne, vil dataimportøren acceptere den registreredes beslutning om:

a) at henvise sagen til mægling foretaget af en uvildig person eller i givet fald af tilsynsmyndigheden

b) at henvise sagen til domstolene i den medlemsstat, hvor dataeksportøren er etableret.

2. Parterne er enige om, at den registreredes valg ikke har nogen indvirkning på den registreredes materielle eller processuelle rettigheder til at søge forholdet afhjulpet i overensstemmelse med andre bestemmelser i national eller international ret.

1. Dataeksportøren accepterer at deponere et eksemplar af denne kontrakt hos tilsynsmyndigheden, hvis denne måtte anmode herom, eller hvis det kræves i henhold til den gældende databeskyttelseslovgivning.

2. Parterne accepterer, at tilsynsmyndigheden har ret til at foretage en inspektion af dataimportøren og en eventuel underkontraheret registerfører med samme formål og på de samme betingelser som en inspektion af dataeksportøren i henhold til den gældende databeskyttelseslovgivning.

3. Dataimportøren underretter straks dataeksportøren om, at han eller en eventuel underkontraheret registerfører er underlagt en lovgivning, der forhindrer en inspektion af ham eller en eventuel underkontraheret registerfører i henhold til stk. 2. I så fald har dataeksportøren ret til at træffe de foranstaltninger, der er fastsat i standardbestemmelse 5, litra b).

1. Dataimportøren udliciterer ikke noget af den databehandling, han foretager på dataeksportørens vegne i henhold til standardbestemmelserne, uden dataeksportørens forudgående skriftlige samtykke. Når dataimportøren med dataeksportørens samtykke, udliciterer sine forpligtelser i henhold til standardbestemmelserne, sker dette udelukkende ved indgåelse af en skriftlig aftale med den underkontraherede registerfører, som herved pålægges de samme forpligtelser, som dem, der påhviler dataimportøren i henhold til standardbestemmelserne ( 3 ). Hvis den underkontraherede registerfører ikke opfylder sine databeskyttelsesforpligtelser i henhold til en sådan skriftlig aftale, er dataimportøren fuldt ansvarlig over for dataeksportøren for, at den underkontraherede registerførers forpligtelser i henhold til en sådan aftale opfyldes.

2. Den forudgående skriftlige kontrakt mellem dataimportøren og den underkontraherede registerfører indeholder også et tredjemandsløfte som fastsat i standardbestemmelse 3 for tilfælde, hvor den registrerede ikke kan fremsætte erstatningskrav som anført i standardbestemmelse 6, stk. 1, mod dataeksportøren eller dataimportøren, fordi de faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, og ingen retssuccessor har påtaget sig alle dataeksportørens eller dataimportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning. Den underkontraherede registerførers erstatningsansvar begrænses til hans egen databehandling i henhold til standardbestemmelserne.

3. Bestemmelserne om databeskyttelsesaspekter ved udlicitering i den kontrakt, der er omhandlet i stk. 1, er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret, nemlig …

4. Dataeksportøren fører en liste over udliciteringsaftaler, der er indgået i henhold til standardbestemmelserne og meddelt af dataimportøren i henhold til standardbestemmelse 5, litra j), og listen ajourføres mindst en gang om året. Listen er tilgængelig for dataeksportørens datatilsynsmyndighed.

1. Parterne er enige om, at dataimportøren og den underkontraherede registerfører, når databehandlingen af personoplysningerne er afsluttet, og afhængigt af dataeksportørens ønske, enten returnerer alle videregivne personoplysninger og eksemplarer heraf til dataeksportøren eller destruerer alle personoplysninger og attesterer dette over for dataeksportøren, medmindre den lovgivning, som dataimportøren er underlagt, forhindrer ham i at returnere eller destruere alle eller en del af de videregivne personoplysninger. Dataimportøren garanterer i så fald, at han vil sikre fortroligheden af de videregivne personoplysninger og ikke aktivt vil foretage yderligere behandling af disse.

2. Dataimportøren og den underkontraherede registerfører garanterer, at de på dataeksportørens og/eller tilsynsmyndighedens anmodning vil lade deres databehandlingsfaciliteter underkaste en inspektion med henblik på kontrol af de foranstaltninger, der er omhandlet i stk. 1.

DATAEKSPORTØR

Navn: …

Den befuldmægtigedes underskrift …

DATAIMPORTØR

Navn: …

Den befuldmægtigedes underskrift …

a) at dataeksportøren straks giver dataimportøren meddelelse om kravet, og

b) at dataimportøren får mulighed for at samarbejde med dataeksportøren ved forsvaret i sagen og afgørelsen af kravet ( 4 ).