a) definitionerna i direktiv 95/46/EG skall följas,

b) med särskilda kategorier av uppgifter avses sådana uppgifter som anges i artikel 8 i det direktivet,

c) med tillsynsmyndighet avses sådan myndighet som anges i artikel 28 i det direktivet,

d) med uppgiftsutförare avses den registeransvarige som överför personupgifterna,

e) med uppgiftsutförare avses den registeransvarige som går med på att från uppgiftsutföraren ta emot personuppgifter för vidare behandling i enlighet med villkoren i detta beslut.

1.  Ändamålsbegränsning: Uppgifterna får behandlas, användas och överföras endast för de särskilda ändamål som anges i tillägg 1 till standardavtalsklausulerna. Uppgifterna får inte sparas längre än vad som är nödvändigt för de ändamål för vilka de överförs.

2.  Uppgifternas kvalitet och proportionalitet: Uppgifterna skall vara korrekta och i förekommande fall hållas aktuella. Uppgifterna skall vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de överförs och vidarebehandlas.

3.  Informationsplikt: De registrerade skall informeras om behandlingens syfte och identiteten på den registeransvarige i tredje land och om andra omständigheter i den mån det krävs för en korrekt behandling, om inte sådan information redan lämnats av uppgiftsutföraren.

4.  Säkerhet och sekretess: Tekniska och organisatoriska säkerhetsåtgärder skall vidtas av den registeransvarige med hänsyn tagen till de risker, exempelvis obehörig tillgång, som behandlingen innebär. Alla som agerar för den registeransvariges räkning, även registerförare, får behandla uppgifter endast på den registeransvariges uppdrag.

5.  Rätt till tillgång, rättelse, utplåning och invändning: I enlighet med artikel 12 i direktiv 95/46/EG skall den registrerade ha rätt att ta del av alla uppgifter om honom som behandlas, och i förekommande fall ha rätt att göra rättelser, utplåna eller hindra tillgången till uppgifter om behandlingen av dessa uppgifter inte följer principerna i detta tillägg, särskilt av det skälet att uppgifterna är ofullständiga eller felaktiga. Den registrerade skall också ha möjlighet att invända mot att uppgifter om honom behandlas om han har berättigade skäl som rör hans särskilda situation.

6.  Begränsning av vidareöverföring: Ytterligare överföring av personuppgifter från uppgiftsinföraren till en annan registeransvarig som är etablerad i ett tredje land som inte tillhandahåller ett adekvat skydd eller som inte omfattas av ett beslut av kommissionen i enlighet med artikel 25.6 i direktiv 95/46/EG (vidareöverföring) får endast äga rum om något av följande villkor är uppfyllt:

a) De registrerade har gett sitt otvetydiga samtycke till en vidareöverföring om särskilda kategorier av uppgifter berörs, eller har beretts möjlighet att invända mot vidareöverföringen i andra fall.

— ändamålet med den vidareöverföringen,

— identiteten på den i gemenskapen etablerade uppgiftsutföraren,

— vilka kategorier mottagare som skall erhålla uppgifterna och vilka länder som uppgifterna skall vidareöverföras till,

— ett påpekande att uppgifterna efter vidareöverföringen kan behandlas av en registeransvarig som är etablerad i ett land som inte säkerställer en adekvat skyddsnivå för personuppgifter.

b) Uppgiftsutföraren och uppgiftsinföraren överenskommer om att en registeransvarig får ansluta sig till standardavtalsklausulerna varigenom denne blir ny part i dessa klausuler och får samma förpliktelser som uppgiftsinföraren.

7.  Särskilda kategorier av uppgifter: Vid behandling av uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv samt uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder, skall ytterligare skyddsåtgärder vidtas i enlighet med direktiv 95/46/EG, särskilt säkerhetsåtgärder i forn av stark kryptering vid överföring eller registrering av vem som har haft tillgång till känsliga uppgifter.

8.  Direkt marknadsföring: När uppgifter behandlas för direkt marknadsföring skall verkningsfulla rutiner finnas, vilka ger den registrerade möjlighet att när som helst hindra att uppgifter om honom används för detta ändamål.

9.  Databehandlade beslut om enskilda: En registrerad har rätt att inte bli föremål för beslut som enbart grundas på automatisk behandling av uppgifter, om inte andra åtgärder vidtas för att tillvarata den enskildas berättigade intressen i enlighet med artikel 15.2 i direktiv 95/46/EG. Om syftet med överföringen är att ett databehandlat beslut i den bemärkelse som avses i artikel 15 i direktiv 95/46/EG skall fattas, vilket har rättsliga följder för den registrerade eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande, har den enskilda rätt att känna till på vilka grunder beslutet fattas.

1.  Ändamålsbegränsning: Uppgifterna får behandlas, användas och överföras endast för de särskilda ändamål som anges i tillägg 1 till standardavtalsklausulerna. Uppgifterna får inte sparas längre än nödvändigt för de ändamål för vilka de överförs.

2.  Rätt till tillgång, rättelse, utplåning och invändning: I enlighet med artikel 12 i direktiv 95/46/EG skall den registrerade ha rätt att ta del av alla uppgifter om honom som behandlas, och i förekommande fall rätt att göra rättelser, utplåna eller hindra tillgången till uppgifter om behandlingen av dessa uppgifter inte följer principerna i detta tillägg, särskilt av det skälet att uppgifterna är ofullständiga eller felaktiga. Den registrerade skall också ha möjlighet att invända mot att uppgifter om honom behandlas om han har berättigade skäl som rör hans särskilda situation.

3.  Begränsning av vidareöverföring: Ytterligare överföring av personuppgifter från uppgiftsanföraren till en annan registeransvarig som är etablerad i ett tredje land som inte tillhandahåller ett adekvat skydd eller som inte omfattas av ett beslut av kommissionen i enlighet med artikel 25.6 i direktiv 95/46/EG (vidareöverföring) får endast äga rum om något av följande villkor är uppfyllt:

a) De registrerade har gett sitt otvetydiga samtycke till en vidareöverföring om särskilda kategorier av uppgifter berörs, eller har beretts möjlighet att invända mot vidareöverföringen i andra fall.

— Ändamålet med vidareöverföringen.

— Identiteten på den i gemenskapen etablerade uppgiftsutföraren.

— Vilka kategorier mottagare som skall erhålla uppgifterna och vilka länder som uppgifterna skall vidareöverföras till.

— Ett påpekande att uppgifterna efter vidareöverföringen kan behandlas av en registeransvarig som är etablerad i ett land som inte säkerställer en adekvat skyddsnivå för personuppgifter.

b) Uppgiftsutföraren och uppgiftsinföraren överenskommer om att en registeransvarig får ansluta sig till standardavtalsklausulerna varigenom denne blir ny part i dessa klausuler och får samma förpliktelser som uppgiftsinföraren.

a) ”Personuppgifter”, ”särskilda kategorier av uppgifter/känsliga uppgifter”, ”behandla/behandling”, ”registeransvarig”, ”behandlare”, ”den registrerade” och ”tillsynsmyndighet/myndighet” skall ha samma betydelse som i direktiv 95/46/EG av den 24 oktober 1995 (där ”myndighet” skall avse behörig dataskyddsmyndighet inom det territorium där uppgiftsutföraren är etablerad).

b) Med ”uppgiftsutförare” avses den registeransvarige som överför personuppgifter.

c) Med ”uppgiftsinförare” avses den registeransvarige som samtycker till att från uppgiftsutföraren ta emot personuppgifter för vidare behandling i enlighet med dessa klausuler och som inte är underkastad lagstiftningen i tredje land som säkerställer adekvat skydd.

d) Med ”klausuler” avses dessa avtalsklausuler, vilka utgör ett fristående dokument som inte innefattar kommersiella handelsvillkor, vilka parterna fastställer enligt separata handelsavtal.

a) Uppgiftsutföraren skall samla in, behandla och överföra personuppgifter i enlighet med den lagstiftning som gäller för uppgiftsutföraren.

b) Uppgiftsutföraren har gjort rimliga ansträngningar för att se till att uppgiftsinföraren kan uppfylla sina rättsliga skyldigheter enligt dessa klausuler.

c) Uppgiftsutföraren skall vid behov ge uppgiftsinföraren relevant dataskyddslagstiftning eller hänvisningar till den (där det är relevant och utan juridisk rådgivning) i det land där uppgiftsutföraren är etablerad.

d) Uppgiftsutföraren skall svara på förfrågningar från de registrerade och myndigheten om uppgiftsinförarens behandling av personuppgifterna, om inte parterna har avtalat att uppgiftsinföraren skall svara. I så fall skall uppgiftsutföraren fortfarande svara i den omfattning som är rimlig och möjlig och med den information som uppgiftsutföraren rimligen kan ha tillgång till, om uppgiftsinföraren inte kan eller inte vill svara. Förfrågningar skall besvaras inom rimlig tid.

e) Uppgiftsutföraren skall på begäran ge ett exemplar av klausulerna till de registrerade som omfattas av tredjemansberättigande enligt klausul III, om inte klausulerna innehåller konfidentiell information. I så fall kan uppgiftsutföraren stryka sådan information. Om information stryks, skall uppgiftsutföraren informera de registrerade skriftligt om skälen till strykningen och om deras rätt att göra myndigheten uppmärksam på strykningen. Uppgiftsutföraren skall rätta sig efter myndighetens beslut som gäller de registrerades tillgång till den fullständiga klausultexten, så länge de registrerade har accepterat att respektera sekretessen i den strukna sekretessbelagda informationen. Uppgiftsutföraren skall vid behov även tillhandahålla myndigheten ett exemplar av klausulerna.

a) Uppgiftsinföraren skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot oavsiktlig eller olaglig utplåning eller oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten tillgång, och som ger en säkerhetsnivå som är anpassad till den risk som behandlingen och typen av uppgifter som skall skyddas utgör.

b) Uppgiftsinföraren skall ha rutiner som säkerställer att den tredje man som uppgiftsinföraren ger tillgång till personuppgifter, inbegripet behandlare, behandlar dessa på ett säkert sätt och med sekretess. Personer som agerar under uppgiftsinförarens ansvar, inklusive behandlare, skall bara kunna behandla personuppgifterna enligt instruktioner från uppgiftsinföraren. Denna bestämmelse gäller inte de personer som enligt lag eller förordning har tillgång till personuppgifter.

c) Uppgiftsinföraren har ingen anledning att då klausulerna träder i kraft tro att det skulle finnas eventuell lokal lagstiftning som skulle ha en betydande negativ inverkan på de garantier som ges enligt dessa klausuler och uppgiftsinföraren kommer att informera uppgiftsutföraren (som vid behov kommer att vidarebefordra sådan information till myndigheten), om han skulle få kännedom om sådan lagstiftning.

d) Uppgiftsinföraren skall behandla personuppgifter för de ändamål som beskrivs i bilaga B, och skall ha rättslig behörighet att ge de garantier och fullgöra de åtaganden som fastställs i dessa klausuler.

e) Uppgiftsinföraren skall ge uppgiftsutföraren upplysning om en kontaktperson inom sin organisation som har befogenhet att besvara förfrågningar som rör behandlingen av personuppgifter, och han eller hon skall samarbeta efter bästa förmåga och inom rimlig tid med uppgiftsutföraren, den registrerade och myndigheten när det gäller alla sådana förfrågningar. Om uppgiftsutförarens verksamhet upphör eller om parterna har kommit överens om det, skall upgiftsinföraren ansvara för att bestämmelserna i klausul I e följs.

f) På begäran skall uppgiftsinföraren ge uppgiftsutföraren belägg för att han eller hon har tillräckliga ekonomiska resurser för att fullgöra sina skyldigheter enligt klausul III (vilket kan omfatta lämplig försäkring).

g) Om uppgiftsutföraren lägger fram en rimlig begäran, skall uppgiftsinföraren ställa sin databehandlingsutrustning, datafiler och dokumentation som behövs för att uppgiftsutföraren (eller oberoende eller opartisk inspektör eller revisor som valts ut av uppgiftsutföraren, och som inte av goda skäl har avvisats av uppgiftsinföraren) skall kunna behandla, förnya, kontrollera och/eller certifiera för att säkerställa att garantierna och åtagandena enligt dessa klausuler följs med rimligt varsel och under normal arbetstid. Begäran skall underkastas nödvändigt samtycke eller godkännande från en lagstiftande myndighet eller tillsynsmyndighet i uppgiftsinförarens land, vars samtycke eller godkännande uppgiftsinföraren skall försöka erhålla i god tid.

h) Uppgiftsinföraren skall behandla personuppgifter i enlighet med

i) lagstiftningen om dataskydd i det land där uppgiftsutföraren är etablerad, eller

ii) relevanta bestämmelser ( 1 ) i varje beslut som kommissionen fattar i enlighet med artikel 25.6 i direktiv 95/46/EG, om uppgiftsinföraren uppfyller de relevanta bestämmelserna i ett sådant godkännande eller beslut och är etablerad i ett land som omfattas av ett sådant godkännande eller beslut, men inte omfattas av ett sådant godkännande eller beslut när det gäller överföring av personuppgifter, ( 2 ) eller

iii) databehandlingsprinciperna i bilaga A.

i) Uppgiftsinföraren förpliktar sig att inte utlämna eller överföra personuppgifter till tredje man som är registeransvarig utanför Europeiska ekonomiska samarbetsområdet (EES), om inte uppgiftsinföraren meddelar uppgiftsutföraren om överföringen och

i) den registeransvarige som är tredje man behandlar personuppgifterna i enlighet med kommissionens beslut där det konstateras att ett tredjeland säkerställer ett adekvat skydd, eller

ii) att den registeransvarige som är tredje man undertecknar dessa klausuler eller annat avtal om uppgiftsöverföring som godkänds av behörig myndighet inom EU, eller

iii) de registrerade har fått möjlighet att göra en invändning, efter att ha fått information om syftet med överföringen, mottagarkategorier och det faktum att de länder till vilka uppgifter förs ut kan ha olika typer av dataskydd, eller

iv) de registrerade har med hänsyn till vidare överföringar av känsliga uppgifter gett sitt uttryckliga samtycke till vidare överföring.

a) Varje part är skadeståndsskyldig gentemot den andra parten för skador som den orsakat vid överträdelse av dessa klausuler. Skadeståndsansvaret mellan parterna är begränsat till faktiska skador. Skadestånd i bestraffningssyfte (dvs. skadestånd som är avsett att straffa en part för opassande uppförande) är uttryckligen uteslutet. Varje part är skadeståndsansvarig gentemot de registrerade för de skador den åsamkat genom varje överträdelse av tredjemansrättigheterna enligt dessa klausuler. Detta påverkar inte uppgiftsutförarens skadeståndsskyldighet enligt gällande dataskyddslagstiftning.

b) Parterna samtycker till att den registrerade skall ha rätt att som tredjemansberättigande åberopa denna klausul och klausulerna I b, I d, I e, II a, II c, II d, II e, II h, II i, III a, V, VI d och VII mot uppgiftsinföraren eller uppgiftsutföraren för deras respektive brott mot skyldigheterna enligt avtalet med hänsyn, med hänsyn till hans personuppgifter, och välja domstol för detta ändamål i uppgiftsutförarens etableringsland. När det gäller uppgiftsinförarens påstådda överträdelser, måste den registrerade först begära att uppgiftsutföraren vidtar lämplig åtgärd för att hävda sina rättigheter gentemot uppgiftsinföraren. Om uppgiftsutföraren inte vidtar sådan åtgärd inom rimlig tid (vilket under normala förhållanden skulle vara en månad), får den registrerade vända sig direkt till uppgiftsinföraren. Den registrerade är behörig att vända sig direkt till den uppgiftsutförare, som inte har gjort tillräckliga ansträngningar för att fastställa att uppgiftsinföraren kan uppfylla sina rättsliga skyldigheter i enlighet med dessa klausuler (uppgiftsutföraren har bevisbördan för att styrka att han/hon har gjort rimliga ansträngningar).

a) Parterna skall underrätta varandra i händelse av att en registrerad eller en myndighet inleder ett tvisteförfarande eller framställer krav när det gäller behandlingen av personuppgifter mot endera parten eller mot båda parter, och de skall samarbeta i syfte att finna lösningar i godo inom rimlig tid.

b) Parterna skall samtycka till att medverka i allmän och icke-bindande medling, som inleds av den registrerade eller av myndigheten. Om de deltar i förfarandet, kan parterna välja att göra det på distans (t.ex. per telefon eller andra elektroniska medel). Parterna kan även samtycka till att beakta deltagande i varje annan form av skiljeförfarande, medling eller annat tvistlösningsförfarande som utvecklats för tvister som rör dataskydd.

c) Varje part skall rätta sig efter beslut från behörig domstol i det land där uppgiftsutföraren är etablerad eller från myndigheten om beslutet är slutligt och inte längre kan överklagas.

a) I händelse av att uppgiftsinföraren inte uppfyller sina skyldigheter enligt dessa klausuler, kan uppgiftsutföraren tillfälligt avbryta överföringen av personuppgifter till uppgiftsinföraren tills överträdelsen har upphört eller avtalet har avslutats.

b) I händelse av att

i) överföringen av personuppgifter till uppgiftsinföraren tillfälligt har avbrutits av uppgiftsutföraren under längre tid än en månad enligt punkt a,

ii) uppgiftsinföraren genom att följa dessa klausuler skulle överträda lagar och föreskrifter i införsellandet,

iii) uppgiftsinföraren allvarligt och kontinuerligt bryter mot de garantier eller åtaganden som fastställs i dessa klausuler,

iv) att det i ett slutligt beslut som man inte längre kan överklaga vid behörig domstol i uppgiftsutförarens etableringsland eller från myndigheten konstateras att uppgiftsinföraren eller uppgiftsutföraren har brutit mot klausulerna, eller

v) en begäran om förvaltning eller likvidation för uppgiftsinföraren lämnas in, antingen personligt eller yrkesmässigt, och denna begäran inte avvisas inom normal frist för sådant avvisande enligt gällande lag, en förklaring om tvångslikvidation avges, en konkursförvaltare utses för tillgångarna, om uppgiftsinföraren är en fysisk person eller ett ackordsförfarande inleds eller liknande inträffar,

c) Endera parten kan avsluta dessa klausuler om i) ett beslut från kommissionen enligt artikel 25.6 i direktiv 95/46/EG (eller annan rättsakt som har företräde) utfärdas när det gäller det land (eller bransch i landet) till vilket uppgifter har överförts och behandlats av uppgiftsinföraren, eller ii) om direktiv 95/46/EG (eller annan rättsakt som har företräde) skall tillämpas direkt i ett sådant land.

d) Parterna är eniga om att de när dessa klausuler upphör att gälla vid vilken tidpunkt som helst, under vilka omständigheter som helst och oavsett skäl (utom när det gäller upphörande enligt klausul VI c) inte är befriade från sina skyldigheter och/eller villkoren enligt klausulerna när det gäller behandlingen av de överförda personuppgifterna.

1. Ändamålsbegränsning: Personuppgifter får behandlas och därefter användas eller överföras endast för de ändamål som beskrivs i bilaga B eller som därefter godkänns av den registrerade.

2. Uppgifternas kvalitet och proportionalitet: Personuppgifterna måste vara korrekta och i förekommande fall hållas aktuella. Personuppgifterna måste vara adekvata och relevanta. De får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de överförs och vidarebehandlas.

3. Öppenhet: De registrerade skall informeras om behandlingens syfte (t.ex. information om syftet med behandlingen och om överföringen), om sådan information inte redan har getts av uppgiftsutföraren.

4. Säkerhet och sekretess: Tekniska och organisatoriska säkerhetsåtgärder skall vidtas av den registeransvarige med hänsyn till de risker, såsom obehörig tillgång eller olaglig utplåning eller oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten tillgång, som behandlingen utgör. Alla som agerar för den registeransvariges räkning, även registerförare, får behandla uppgifter endast på den registeransvariges uppdrag.

5. Rätt till tillgång, rättelse, utplåning och invändning: I enlighet med artikel 12 i direktiv 95/46/EG, måste alla registrerade, antingen direkt eller via tredje man, få personlig information om uppgifter som rör honom eller henne som en organisation har, utom när det gäller förfrågningar som uppenbart utgör ett missbruk och som grundas på orimliga intervaller eller antal, är av repetitiv eller systematisk art och som man inte behöver garantera tillträde till enligt lag i uppgiftsutförarens land. Under förutsättning att myndigheten i förväg gett sitt godkännande, behöver tillgång inte heller garanteras i det fall det allvarligt skulle kunna skada uppgiftsinförarens intressen eller andra organisationers agerande gentemot uppgiftsinföraren och sådana intressen inte har företräde framför de registrerades intressen av grundläggande rättigheter och friheter. Man behöver inte ange källan till personuppgifter, om det inte är möjligt utan stora ansträngningar eller om det skulle medföra kränkning av andra personers rättigheter. De registrerade måste kunna få personliga uppgifter om sig själva rättade, ändrade eller strukna, om de är felaktiga eller behandlade mot dessa principer. Om det finns vägande skäl att tvivla på det berättigade i förfrågan, får organisationen kräva ytterligare dokumentation innan den rättar, ändrar eller utplånar information. Meddelande om rättelse, ändring eller utplåning till tredje man vars uppgifter har utlämnats behöver inte ges om det innebär ett oproportionerligt arbete. De registrerade måste även kunna göra invändningar till den som behandlar de personuppgifter som rör henne eller honom, om det föreligger vägande legitima skäl som rör hennes eller hans personliga situation. Uppgiftsinföraren har bevisbördan för varje avslag och den registrerade kan alltid bestrida ett avslag hos myndigheten.

6. Känsliga uppgifter: Uppgiftsinföraren skall vidta kompletterande åtgärder (t.ex. när det gäller säkerhet) som är nödvändiga för att skydda sådana känsliga uppgifter i enlighet med skyldigheterna enligt klausul II.

7. Uppgifter som används i marknadssyfte: Om uppgifter behandlas för direkt marknadsföring, bör de registrerade genom effektiva förfaranden när som helst ha möjlighet att hindra att hans eller hennes uppgifter används för sådana ändamål.

8. Databehandlade beslut: Med ”databehandlade beslut” avses ett beslut som fattas av uppgiftsutföraren eller uppgiftsinföraren som har rättslig effekt för den registrerade eller på ett betydande sätt påverkar den registrerade och som endast grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom eller henne, t.ex. arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. Uppgiftsinföraren får inte fatta några databehandlade beslut som rör den registrerade, utom om

a)

 

b) annat fastställs i den lagstiftning som gäller för uppgiftsutföraren.