a)

Het doel van deze standaardcontractbepalingen (hierna “de bepalingen” genoemd) is te zorgen voor de naleving van [toepasselijke optie kiezen: OPTIE 1: artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)]/[OPTIE 2: Artikel 29, leden 3 en 4, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG].

b)

De in bijlage I vermelde verwerkingsverantwoordelijken en verwerkers hebben met deze bepalingen ingestemd teneinde te zorgen voor de naleving van artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 en/of artikel 29, leden 3 en 4, van Verordening (EU) 2018/1725.

c)

Deze bepalingen zijn van toepassing op de verwerking van persoonsgegevens als gespecificeerd in bijlage II.

d)

De bijlagen I tot en met IV maken integrerend deel uit van de bepalingen.

e)

Deze bepalingen laten de verplichtingen die op de verwerkingsverantwoordelijke rusten krachtens Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 onverlet.

f)

Deze bepalingen waarborgen op zichzelf niet de naleving van verplichtingen in verband met internationale doorgiften overeenkomstig hoofdstuk V van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725.

a)

De partijen verbinden zich ertoe de bepalingen niet te wijzigen, tenzij om informatie aan de bijlagen toe te voegen of de daarin vervatte informatie bij te werken.

b)

Dit belet de partijen niet om de in deze bepalingen neergelegde standaardcontractbepalingen op te nemen in een bredere overeenkomst, of om andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet direct of indirect in strijd zijn met de bepalingen of afbreuk doen aan de grondrechten of fundamentele vrijheden van betrokkenen.

a)

Wanneer in deze bepalingen de termen worden gebruikt die zijn gedefinieerd in Verordening (EU) 2016/679 respectievelijk Verordening (EU) 2018/1725, hebben die termen dezelfde betekenis als in die verordening.

b)

Deze bepalingen moeten worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679 respectievelijk Verordening (EU) 2018/1725.

c)

Deze bepalingen mogen niet worden geïnterpreteerd op een wijze die indruist tegen de rechten en verplichtingen waarin Verordening (EU) 2016/679/Verordening (EU) 2018/1725 voorziet of op een wijze die afbreuk doet aan de grondrechten of fundamentele vrijheden van de betrokkenen.

a)

Elke entiteit die geen partij deze bepalingen is, kan, met instemming van alle partijen, te allen tijde tot deze bepalingen toetreden als verwerkingsverantwoordelijke of verwerker door de bijlagen in te vullen en bijlage I te ondertekenen.

b)

Wanneer de in punt a) bedoelde bijlagen zijn ingevuld en ondertekend, wordt de toetredende partij als een partij bij deze bepalingen behandeld en heeft zij de rechten en verplichtingen van een verwerkingsverantwoordelijke of verwerker, al naar gelang zij in bijlage I is aangeduid.

c)

Voor de toetredende entiteit vloeien uit deze bepalingen geen rechten of verplichtingen voort met betrekking tot de periode voordat zij partij werd.

a)

De verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij de wetgeving dit om gewichtige redenen van algemeen belang verbiedt. De verwerkingsverantwoordelijke kan ook tijdens de verwerking van persoonsgegevens steeds verdere instructies geven. Deze instructies worden altijd schriftelijk vastgelegd.

b)

De verwerker stelt de verwerkingsverantwoordelijke onmiddellijk in kennis als de instructies van de verwerkingsverantwoordelijke naar het oordeel van de verwerker inbreuk maken op Verordening (EU) 2016/679/Verordening (EU) 2018/1725 of de toepasselijke gegevensbeschermingsbepalingen van de Unie of de lidstaten.

a)

De verwerker treft ten minste de in bijlage III gespecificeerde technische en organisatorische maatregelen om de beveiliging van de persoonsgegevens te waarborgen. Dit houdt onder meer in dat de gegevens worden beschermd tegen een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot de gegevens, hetzij per ongeluk hetzij onrechtmatig (inbreuk in verband met persoonsgegevens). Bij de beoordeling van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, de reikwijdte, de context en de doeleinden van de verwerking en de risico’s voor de betrokkenen.

b)

De verwerker verleent zijn personeel slechts toegang tot de persoonsgegevens die worden verwerkt voor zover dat strikt noodzakelijk is voor de uitvoering, het beheer en de monitoring van de overeenkomst. De verwerker waarborgt dat de tot het verwerken van de ontvangen persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

a)

De partijen kunnen aantonen dat aan deze bepalingen is voldaan.

b)

De verwerker behandelt verzoeken van de verwerkingsverantwoordelijke inzake de verwerking van gegevens overeenkomstig deze bepalingen onverwijld en adequaat.

c)

De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat is voldaan aan de in deze bepalingen vastgestelde verplichtingen die rechtstreeks voortvloeien uit Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725. Op verzoek van de verwerkingsverantwoordelijke staat de verwerker ook regelmatig, of indien er aanwijzingen van niet-naleving zijn, audits toe van de onder deze bepalingen vallende verwerkingsactiviteiten en draagt de verwerker aan die audits bij. Bij het nemen van een beslissing over een toetsing of audit kan de verwerkingsverantwoordelijke rekening houden met relevante certificeringen van de verwerker.

d)

De verwerkingsverantwoordelijke kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke auditor daartoe opdracht te geven. De audits kunnen ook inspecties in de bedrijfsruimten of fysieke faciliteiten van de verwerker omvatten en worden, in voorkomend geval, tijdig aangekondigd.

e)

De partijen stellen de in deze bepaling bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit/autoriteiten.

a)

OPTIE 1: VOORAFGAANDE SPECIFIEKE TOESTEMMING: De verwerker mag geen van de verwerkingen die hij overeenkomstig deze bepalingen namens de verwerkingsverantwoordelijke verricht, zonder voorafgaande specifieke schriftelijke toestemming van de verwerkingsverantwoordelijke uitbesteden aan een subverwerker. De verwerker dient het verzoek om specifieke toestemming ten minste [SPECIFY TIME PERIOD] vóór de aanstelling van de betrokken subverwerker in, samen met de informatie die nodig is om de verwerkingsverantwoordelijke in staat te stellen een besluit te nemen over de toestemming. De lijst van door de verwerkingsverantwoordelijke erkende subverwerkers is opgenomen in bijlage IV. De partijen zorgen ervoor dat bijlage IV steeds is bijgewerkt.

OPTIE 2: ALGEMENE SCHRIFTELIJKE TOESTEMMING: De verwerker heeft de algemene toestemming van de verwerkingsverantwoordelijke om subverwerkers in dienst te nemen die op een overeengekomen lijst staan. De verwerker stelt de verwerkingsverantwoordelijke ten minste [SPECIFY TIME PERIOD] van tevoren specifiek schriftelijk in kennis van voorgenomen wijzigingen van die lijst door toevoeging of vervanging van subverwerkers, zodat de verwerkingsverantwoordelijke voldoende tijd heeft om vóór de indienstneming van de betrokken subverwerker(s) bezwaar te kunnen maken tegen dergelijke wijzigingen. De verwerker verstrekt de verwerkingsverantwoordelijke de informatie die nodig is om deze laatste in staat te stellen zijn recht van bezwaar uit te oefenen.

b)

Wanneer de verwerker een subverwerker in dienst neemt voor de uitvoering van specifieke verwerkingen (namens de verwerkingsverantwoordelijke), doet hij dit door middel van een overeenkomst die de subverwerker in wezen dezelfde verplichtingen inzake gegevensbescherming oplegt als die welke op grond van deze bepalingen aan de verwerker worden opgelegd. De verwerker zorgt ervoor dat de subverwerker voldoet aan de verplichtingen die krachtens deze bepalingen en Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 op de verwerker rusten.

c)

Op verzoek van de verwerkingsverantwoordelijke verstrekt de verwerker de verwerkingsverantwoordelijke een kopie van een dergelijke subverwerkingsovereenkomst en van alle latere wijzigingen daarvan. Voor zover nodig ter bescherming van bedrijfsgeheimen of andere vertrouwelijke informatie, met inbegrip van persoonsgegevens, kan de verwerker de tekst van de overeenkomst bewerken alvorens de kopie te delen.

d)

De verwerker blijft ten opzichte van de verwerkingsverantwoordelijke volledig verantwoordelijk voor de uitvoering van de verplichtingen van de subverwerker overeenkomstig zijn overeenkomst met de verwerker. De verwerker stelt de verwerkingsverantwoordelijke in kennis van elk verzuim van de subverwerker om zijn contractuele verplichtingen na te komen.

e)

De verwerker komt met de subverwerker een derdenbeding overeen waarbij — ingeval de verwerker feitelijk is verdwenen, rechtens is opgehouden te bestaan of insolvent is geworden — de verwerkingsverantwoordelijke het recht heeft de overeenkomst met de subverwerker te beëindigen en de subverwerker te gelasten de persoonsgegevens te wissen of terug te geven.

a)

Doorgifte van gegevens aan een derde land of een internationale organisatie door de verwerker geschiedt uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke of om te voldoen aan een specifieke eis uit hoofde van het Unierecht of het lidstatelijke recht waaraan de verwerker is onderworpen, en vindt plaats in overeenstemming met hoofdstuk V van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725.

b)

De verwerkingsverantwoordelijke stemt ermee in dat wanneer de verwerker overeenkomstig bepaling 7.7 een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingen (namens de verwerkingsverantwoordelijke) en die verwerkingen een doorgifte van persoonsgegevens in de zin van hoofdstuk V van Verordening (EU) 2016/679 inhouden, de verwerker en de subverwerker de naleving van hoofdstuk V van Verordening (EU) 2016/679 kunnen waarborgen door gebruik te maken van standaardcontractbepalingen die door de Commissie zijn vastgesteld overeenkomstig artikel 46, lid 2, van Verordening (EU) 2016/679, mits aan de voorwaarden voor het gebruik van die standaardcontractbepalingen is voldaan.

a)

De verwerker stelt de verwerkingsverantwoordelijke onverwijld in kennis van elk verzoek dat hij van de betrokkene heeft ontvangen. De verwerker antwoordt niet zelf op het verzoek, tenzij de verwerkingsverantwoordelijke daartoe toestemming heeft gegeven.

b)

De verwerker staat de verwerkingsverantwoordelijke bij bij het vervullen van zijn verplichtingen om te reageren op verzoeken van betrokkenen tot uitoefening van hun rechten, en houdt daarbij rekening met de aard van de verwerking. Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b) volgt de verwerker de instructies van de verwerkingsverantwoordelijke.

c)

De verwerker heeft niet alleen de verplichting de verwerkingsverantwoordelijke bij te staan overeenkomstig bepaling 8, punt b), maar staat de verwerkingsverantwoordelijke ook bij bij het waarborgen van de naleving van de volgende verplichtingen, waarbij rekening wordt gehouden met de aard van de gegevensverwerking en de informatie waarover de verwerker beschikt:

d)

De partijen stellen in bijlage III de passende technische en organisatorische maatregelen vast op grond waarvan de verwerker de verwerkingsverantwoordelijke bij de toepassing van deze bepaling moet bijstaan, alsmede de omvang en de omvang van de vereiste bijstand.

a)

bij het zonder onnodige vertraging melden van de inbreuk in verband met persoonsgegevens aan de bevoegde toezichthoudende autoriteit/autoriteiten nadat de verwerkingsverantwoordelijke er kennis van heeft gekregen, indien relevant /(tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen);

b)

bij het verkrijgen van onderstaande informatie die overeenkomstig [OPTIE 1] artikel 33, lid 3, van Verordening (EU) 2016/679/ [OPTIE 2] artikel 34, lid 3, van Verordening (EU) 2018/1725 in de kennisgeving van de verwerkingsverantwoordelijke moet worden vermeld en ten minste omvat:

c)

bij het naleven, overeenkomstig [OPTIE 1] artikel 34 van Verordening (EU) 2016/679/[OPTIE 2] artikel 35 van Verordening (EU) 2018/1725, van de verplichting om de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee te delen, wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

a)

een beschrijving van de aard van de inbreuk (waar mogelijk onder vermelding van de categorieën betrokkenen en gegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en gegevensregisters in kwestie);

b)

de gegevens van een contactpunt waar meer informatie over de inbreuk in verband met persoonsgegevens kan worden verkregen;

c)

de waarschijnlijke gevolgen van de inbreuk en de maatregelen die zijn genomen of worden voorgesteld om deze aan te pakken, onder meer om de mogelijke negatieve gevolgen ervan te beperken.

a)

Onverminderd eventuele bepalingen van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 kan de verwerkingsverantwoordelijke, ingeval de verwerker zijn verplichtingen uit hoofde van deze bepalingen niet nakomt, de verwerker opdracht geven de verwerking van persoonsgegevens op te schorten totdat deze aan deze bepalingen voldoet of de overeenkomst wordt beëindigd. Wanneer de verwerker om welke reden dan ook niet aan deze bepalingen kan voldoen, stelt hij de verwerkingsverantwoordelijke daarvan onverwijld in kennis.

b)

De verwerkingsverantwoordelijke heeft het recht de overeenkomst te beëindigen voor zover deze de verwerking van persoonsgegevens overeenkomstig deze bepalingen betreft, indien:

c)

De verwerker heeft het recht de overeenkomst op te zeggen voor zover het daarbij gaat om de verwerking van persoonsgegevens krachtens deze bepalingen, indien de verwerkingsverantwoordelijke, nadat de verwerker hem er overeenkomstig bepaling 7.1, punt b), van in kennis heeft gesteld dat zijn instructies inbreuk maken op de toepasselijke wettelijke vereisten, aandringt op naleving van de instructies.

d)

Na de beëindiging van de overeenkomst wist de verwerker, naar keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens die namens de verwerkingsverantwoordelijke zijn verwerkt en bevestigt hij tegenover de verwerkingsverantwoordelijke dat hij dit heeft gedaan, of zendt hij alle persoonsgegevens terug aan de verwerkingsverantwoordelijke en verwijdert hij bestaande kopieën, tenzij het Unierecht of het lidstatelijke recht de opslag van de persoonsgegevens voorschrijft. Totdat de gegevens zijn gewist of teruggeven, blijft de verwerker ervoor zorgen dat deze bepalingen worden nageleefd.

1.

Naam: …

Adres: …

Naam, functie en contactgegevens van de contactpersoon: …

Ondertekening en toetredingsdatum: …

2.

1.

Naam: …

Adres: …

Naam, functie en contactgegevens van de contactpersoon: …

Ondertekening en toetredingsdatum: …

2.

maatregelen inzake pseudonimisering en versleuteling van persoonsgegevens;

maatregelen die op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten garanderen;

maatregelen die het vermogen garanderen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

processen voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking;

maatregelen voor de identificatie en autorisatie van gebruikers;

maatregelen ter bescherming van gegevens tijdens de doorgifte;

maatregelen voor de bescherming van gegevens tijdens de opslag;

maatregelen ter waarborging van de fysieke beveiliging van de locaties waar persoonsgegevens worden verwerkt;

maatregelen om ervoor te zorgen dat incidenten worden geregistreerd;

maatregelen om de systeemconfiguratie, met inbegrip van de standaardinstelling, te waarborgen;

maatregelen voor interne governance en beheer op het gebied van IT en IT-beveiliging;

maatregelen voor certificering/waarborging van processen en producten;

maatregelen om gegevensminimalisering te waarborgen;

maatregelen om de kwaliteit van de gegevens te waarborgen;

maatregelen om te zorgen voor beperkte bewaring van gegevens;

maatregelen ter waarborging van de verantwoordingsplicht;

maatregelen om gegevensoverdraagbaarheid mogelijk te maken en voor wissing te zorgen.

1.

Naam: …

Adres: …

Naam, functie en contactgegevens van de contactpersoon: …

Beschrijving van de verwerking (met inbegrip van een duidelijke afbakening van de verantwoordelijkheden ingeval er toestemming is voor uitbesteding aan meerdere subverwerkers): …

2.

…

a)

Deze standaardcontractbepalingen hebben tot doel de naleving van de in Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (AVG, algemene verordening gegevensbescherming) (1) bepaalde vereisten te garanderen voor de doorgifte van persoonsgegevens naar een derde land.

b)

De partijen:

zijn deze standaardcontractbepalingen (hierna: “bepalingen” genoemd) overeengekomen.

c)

Deze bepalingen zijn van toepassing op de doorgifte van persoonsgegevens zoals opgenomen in bijlage Annex I.B.

d)

Het aanhangsel bij deze bepalingen dat de daarin genoemde bijlagen bevat, maakt integraal deel uit van deze bepalingen.

a)

In deze bepalingen worden passende waarborgen vastgesteld, met inbegrip van afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen, overeenkomstig artikel 46, lid 1, en artikel 46, lid 2, punt c), van Verordening (EU) 2016/679 alsook, met betrekking tot gegevensdoorgiften van verwerkingsverantwoordelijken aan verwerkers en/of van verwerkers aan verwerkers, standaardcontractbepalingen overeenkomstig artikel 28, lid 7, van Verordening (EU) 2016/679, mits deze niet worden gewijzigd, behalve om de geschikte module(s) te selecteren of om informatie in het aanhangsel toe te voegen of te wijzigen. Dit houdt niet in dat de partijen de in deze bepalingen neergelegde standaardcontractbepalingen niet in een bredere overeenkomst mogen opnemen en/of andere bepalingen of extra waarborgen mogen toevoegen, mits deze niet direct of indirect in tegenspraak zijn met deze bepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen.

b)

Deze bepalingen doen geen afbreuk aan de krachtens Verordening (EU) 2016/679 op de gegevensexporteur rustende verplichtingen.

a)

Betrokkenen mogen zich als derde-begunstigden op deze bepalingen beroepen en deze doen gelden tegen de gegevensexporteur en/of de gegevensimporteur, met de volgende uitzonderingen:

b)

Punt a) doet geen afbreuk aan de rechten van betrokkenen krachtens Verordening (EU) 2016/679.

a)

Wanneer in deze bepalingen in Verordening (EU) 2016/679 gedefinieerde termen worden gebruikt, hebben die termen dezelfde betekenis als in die verordening.

b)

Deze bepalingen worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679.

c)

Deze bepalingen worden niet geïnterpreteerd op een wijze die in tegenspraak is met de in Verordening (EU) 2016/679 vastgestelde rechten en verplichtingen.

a)

Een entiteit die geen partij is bij deze bepalingen mag, met het akkoord van de partijen, te allen tijde tot deze bepalingen toetreden, hetzij als gegevensexporteur, hetzij als gegevensimporteur, door het aanhangsel in te vullen en bijlage I.A te ondertekenen.

b)

Als de toetredende entiteit het aanhangsel heeft ingevuld en bijlage I.A heeft ondertekend, wordt zij een partij bij deze bepalingen en krijgt zij de rechten en verplichtingen van een gegevensexporteur of een gegevensimporteur in overeenstemming met haar benoeming in bijlage I.A.

c)

De toetredende entiteit heeft geen rechten of verplichtingen uit hoofde van deze bepalingen uit de periode voordat zij partij werd.

i)

indien hij voorafgaande toestemming van de betrokkene heeft verkregen;

ii)

indien dat noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in de context van bepaalde administratieve, regelgevings- of gerechtelijke procedures, of

iii)

indien dat noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

a)

Teneinde betrokkenen in staat te stellen hun rechten op een doeltreffende wijze uit te oefenen overeenkomstig bepaling 10, stelt de gegevensimporteur hen rechtstreeks of via de gegevensexporteur in kennis van:

b)

Punt a) is niet van toepassing wanneer de betrokkene reeds over de informatie beschikt, ook wanneer die informatie al door de gegevensexporteur is verstrekt, of indien het verstrekken van de informatie onmogelijk blijkt te zijn of een onevenredige inspanning van de gegevensimporteur zou vergen. In het laatste geval maakt de gegevensimporteur de informatie, voor zover mogelijk, openbaar.

c)

De partijen maken op verzoek een kopie van deze bepalingen, met inbegrip van het door de partijen ingevulde aanhangsel, dat gratis beschikbaar is voor de betrokkene. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mogen de partijen een gedeelte van de tekst van het aanhangsel redigeren voordat zij een kopie delen. Zij moeten daarbij evenwel een relevante samenvatting verstrekken indien de betrokkene anders de inhoud ervan niet zou kunnen begrijpen of zijn/haar rechten niet zou kunnen uitoefenen. Op verzoek delen de partijen de betrokkene de redenen voor het redigeren mee, voor zover mogelijk zonder de geredigeerde informatie te onthullen.

d)

De punten a) tot en met c) doen geen afbreuk aan de verplichtingen van de gegevensexporteur op grond van de artikelen 13 en 14 van Verordening (EU) 2016/679.

a)

Elke partij ziet erop toe dat de persoonsgegevens juist en, waar nodig, actueel zijn. De gegevensimporteur neemt alle redelijke maatregelen om ervoor te zorgen dat, met betrekking tot het doel van de verwerking, onjuiste persoonsgegevens onverwijld worden gewist of gerectificeerd.

b)

Indien een van de partijen te weten komt dat de persoonsgegevens die zij heeft doorgegeven of ontvangen onjuist of verouderd zijn, stelt zij de andere partij daarvan onverwijld in kennis.

c)

De gegevensimporteur ziet erop toe dat de persoonsgegevens juist, relevant en beperkt zijn tot wat noodzakelijk is in verband met het doel van de verwerking.

a)

De gegevensimporteur en, tijdens de toezending, ook de gegevensexporteur, neemt passende technische en organisatorische maatregelen om de beveiliging van de persoonsgegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking of toegang (“inbreuk in verband met persoonsgegevens”). Bij het beoordelen van het passende beveiligingsniveau houden zij naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, reikwijdte, context en doeleinden van de verwerking, en met de risico’s die de verwerking met zich meebrengt voor de betrokkene. De partijen overwegen met name gebruik te maken van encryptie of pseudonimisering, ook tijdens toezending, waarbij het doel van de verwerking op die manier kan worden verwezenlijkt.

b)

De partijen zijn de in bijlage II bedoelde technische en organisatorische maatregelen overeengekomen. De gegevensimporteur voert regelmatig controles uit om ervoor te zorgen dat deze maatregelen een passend beveiligingsniveau blijven bieden.

c)

De gegevensimporteur waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

d)

Bij een inbreuk in verband met persoonsgegevens die betrekking heeft op persoonsgegevens die op grond van deze bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder maatregelen om mogelijke negatieve gevolgen te beperken.

e)

Bij een inbreuk in verband met persoonsgegevens die waarschijnlijk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt, stelt de gegevensimporteur zowel de gegevensexporteur als de bevoegde toezichthoudende autoriteit krachtens bepaling 13 hiervan onverwijld in kennis. Een dergelijke kennisgeving bevat i) een beschrijving van de aard van de inbreuk (waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie), ii) de waarschijnlijke gevolgen ervan, iii) de maatregelen die zijn voorgesteld of genomen om de inbreuk aan te pakken en iv) de gegevens van een contactpunt bij wie meer informatie kan worden verkregen. Voor zover het voor de gegevensimporteur niet mogelijk is om alle informatie gelijktijdig te verstrekken, mag hij dit zonder onredelijke vertraging in stappen doen.

f)

Bij een inbreuk in verband met persoonsgegevens die waarschijnlijk grote risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt, stelt de gegevensimporteur tevens onverwijld de betrokkenen van de inbreuk in verband met persoonsgegevens en van de aard daarvan in kennis, indien nodig in samenwerking met de gegevensexporteur, samen met de in punt e), ii) tot en met iv), bedoelde informatie, tenzij de gegevensimporteur maatregelen heeft genomen om het risico voor de rechten of vrijheden van natuurlijke personen aanzienlijk te beperken of deze kennisgeving onredelijke inspanningen zou vergen. In het laatste geval doet de gegevensimporteur in plaats daarvan een openbare mededeling of neemt hij een soortgelijke maatregel om het publiek van de inbreuk in verband met persoonsgegevens op de hoogte te brengen.

g)

De gegevensimporteur documenteert alle relevante feiten omtrent de inbreuk in verband met persoonsgegevens, waaronder de effecten daarvan en de genomen corrigerende maatregelen, en houdt daarvan een register bij.

i)

die naar een land is dat profiteert van een adequaatheidsbesluit overeenkomstig artikel 45 van Verordening (EU) 2016/679 waar de verdere doorgifte onder valt;

ii)

de derde partij anderszins voor passende waarborgen overeenkomstig artikel 46 of 47 van Verordening (EU) 2016/679 zorgt met betrekking tot de verwerking in kwestie;

iii)

de derde partij met de gegevensimporteur een bindend instrument aangaat waarmee hetzelfde gegevensbeschermingsniveau als krachtens deze bepalingen wordt gewaarborgd en de gegevensimporteur een kopie van deze waarborgen aan de gegevensexporteur doet toekomen;

iv)

dat noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in de context van bepaalde administratieve, regelgevings- of gerechtelijke procedures;

v)

dat noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen, of,

vi)

wanneer geen van de andere voorwaarden is vervuld, de gegevensimporteur uitdrukkelijke toestemming heeft verkregen voor een verdere doorgifte in een specifieke situatie van de betrokkene, nadat hij hem/haar in kennis heeft gesteld over het doel ervan, over de identiteit van de ontvanger en over de mogelijke risico’s van een dergelijke doorgifte aan hem/haar als gevolg van het ontbreken van passende waarborgen inzake gegevensbescherming. In dit geval informeert de gegevensimporteur de gegevensexporteur en zendt hij, op verzoek van deze laatste, hem een kopie van de aan de betrokkene verstrekte informatie.

a)

Elke partij moet de naleving van zijn verplichtingen op grond van deze bepalingen kunnen aantonen. De gegevensimporteur houdt verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden naar behoren bij.

b)

De gegevensimporteur stelt deze documenten op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

a)

De gegevensimporteur verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de gegevensexporteur. De gegevensexporteur mag dergelijke instructies geven gedurende de duur van de overeenkomst.

b)

De gegevensimporteur stelt de gegevensexporteur onmiddellijk in kennis indien hij niet in staat is deze instructies op te volgen.

a)

De gegevensimporteur en, tijdens de toezending, ook de gegevensexporteur, neemt passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot die gegevens (hierna “inbreuk in verband met persoonsgegevens” genoemd). Bij het beoordelen van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, reikwijdte, context en doeleinden van de verwerking, en met de risico’s die de verwerking met zich meebrengt voor de betrokkenen. De partijen overwegen met name gebruik te maken van encryptie of pseudonimisering, ook tijdens toezending, waarbij het doel van de verwerking op die manier kan worden verwezenlijkt. Bij pseudonimisering blijven de aanvullende gegevens voor het koppelen van de persoonsgegevens aan een bepaalde betrokkene waar mogelijk onder de exclusieve controle van de gegevensexporteur. Bij de naleving van zijn verplichting uit hoofde van dit punt voert de gegevensimporteur ten minste de in bijlage II vastgestelde technische en organisatorische maatregelen uit. De gegevensimporteur voert regelmatig controles uit om ervoor te zorgen dat deze maatregelen een passend beveiligingsniveau blijven bieden.

b)

De gegevensimporteur verleent zijn personeel alleen toegang tot de persoonsgegevens voor zover dit strikt noodzakelijk is voor de uitvoering, het beheer en de follow-up van de overeenkomst. Hij waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

c)

Bij een inbreuk in verband met persoonsgegevens met betrekking tot persoonsgegevens die op grond van deze bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk aan te pakken, waaronder maatregelen om de negatieve gevolgen ervan te beperken. Nadat de gegevensimporteur kennis heeft genomen van de inbreuk, stelt hij ook de gegevensexporteur daarvan onverwijld in kennis. Een dergelijke kennisgeving bevat de gegevens van een contactpunt bij wie meer informatie kan worden verkregen, een beschrijving van de aard van de inbreuk waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie), de waarschijnlijke gevolgen ervan en de maatregelen die zijn voorgesteld of genomen om de inbreuk aan te pakken waaronder, in voorkomend geval, maatregelen om mogelijke negatieve gevolgen te beperken. Wanneer en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, bevat de initiële kennisgeving de op dat moment beschikbare informatie en zal verdere informatie, zodra die beschikbaar is, vervolgens onverwijld worden verstrekt.

d)

Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, werkt de gegevensimporteur samen met en verleent hij bijstand aan de gegevensexporteur om deze in staat te stellen zijn verplichtingen krachtens Verordening (EU) 2016/679 na te komen, met name om de bevoegde toezichthoudende autoriteit en de getroffen betrokkenen in kennis te stellen.

i)

de verdere doorgifte naar een land is dat profiteert van een adequaatheidsbesluit overeenkomstig artikel 45 van Verordening (EU) 2016/679 waar de verdere doorgifte onder valt;

ii)

de derde partij anderszins voor passende waarborgen overeenkomstig artikel 46 of 47 van Verordening (EU) 2016/679 zorgt met betrekking tot de verwerking in kwestie;

iii)

de verdere doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in de context van bepaalde administratieve, regelgevings- of gerechtelijke procedures, of

iv)

de verdere doorgifte noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

a)

De gegevensimporteur handelt vragen van de gegevensexporteur in verband met de verwerking op grond van deze bepalingen onverwijld en op passende wijze af.

b)

De partijen moeten de naleving van deze bepalingen kunnen aantonen. De gegevensimporteur houdt met name passende documentatie bij over de verwerkingsactiviteiten die onder zijn verantwoordelijkheid namens de gegevensexporteur hebben plaatsgevonden.

c)

Op verzoek van de gegevensexporteur stelt de gegevensimporteur de gegevensexporteur alle informatie ter beschikking die nodig is om naleving van de in deze bepalingen vastgestelde verplichtingen aan te tonen, audits van de onder deze bepalingen vallende verwerkingsactiviteiten mogelijk te maken en eraan bij te dragen, en dit met redelijke tussenpozen of wanneer er aanwijzingen van niet-naleving zijn. Bij het nemen van een besluit over een toetsing of audit kan de gegevensexporteur rekening houden met relevante certificeringen waarover de gegevensimporteur beschikt.

d)

De gegevensexporteur kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke controleur daartoe te machtigen. Audits kunnen inspecties in de bedrijfsruimten of de fysieke voorzieningen van de gegevensimporteur omvatten en worden, in voorkomend geval, uitgevoerd met een redelijke aankondiging vooraf.

e)

De partijen stellen de in de punten b) en c) bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

a)

De gegevensexporteur heeft de gegevensimporteur ervan in kennis gesteld dat hij als verwerker optreedt op basis van instructies van zijn verwerkingsverantwoordelijke(n), die de gegevensexporteur voorafgaand aan de verwerking ter beschikking zal stellen van de gegevensimporteur.

b)

De gegevensimporteur verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, zoals door de gegevensexporteur meegedeeld aan de gegevensimporteur, en van eventuele bijkomende schriftelijke instructies van de gegevensexporteur. Dergelijke bijkomende instructies zijn niet in tegenspraak met de instructies van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke of de gegevensexporteur kan gedurende de duur van de overeenkomst verdere schriftelijke instructies met betrekking tot de gegevensverwerking geven.

c)

De gegevensimporteur stelt de gegevensexporteur onmiddellijk in kennis indien hij niet in staat is deze instructies op te volgen. Indien de gegevensimporteur niet in staat is de instructies van de verwerkingsverantwoordelijke te volgen, stelt de gegevensexporteur de verwerkingsverantwoordelijke daarvan onverwijld in kennis.

d)

De gegevensexporteur garandeert dat hij de gegevensimporteur dezelfde verplichtingen inzake gegevensbescherming heeft opgelegd als die welke zijn vastgelegd in de overeenkomst of andere rechtshandeling krachtens Unierecht of lidstatelijk recht tussen de verwerkingsverantwoordelijke en de gegevensexporteur (5).

a)

De gegevensimporteur en, tijdens de toezending, ook de gegevensexporteur, neemt passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot die gegevens (hierna “inbreuk in verband met persoonsgegevens” genoemd). Bij het beoordelen van het passende beveiligingsniveau houden zij naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, reikwijdte, context en doeleinden van de verwerking, en met de risico’s die de verwerking met zich meebrengt voor de betrokkene. De partijen overwegen met name gebruik te maken van encryptie of pseudonimisering, ook tijdens toezending, waarbij het doel van de verwerking op die manier kan worden verwezenlijkt. Bij pseudonimisering blijven de aanvullende gegevens voor het koppelen van de persoonsgegevens aan een bepaalde betrokkene waar mogelijk onder de exclusieve controle van de gegevensexporteur of de verwerkingsverantwoordelijke. Bij de naleving van zijn verplichting uit hoofde van dit punt voert de gegevensimporteur ten minste de in bijlage II vastgestelde technische en organisatorische maatregelen uit. De gegevensimporteur voert regelmatig controles uit om ervoor te zorgen dat deze maatregelen een passend beveiligingsniveau blijven bieden.

b)

De gegevensimporteur verleent zijn personeel alleen toegang tot de gegevens voor zover dit strikt noodzakelijk is voor de uitvoering, het beheer en de follow-up van de overeenkomst. Hij waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

c)

Bij een inbreuk in verband met persoonsgegevens met betrekking tot persoonsgegevens die op grond van deze bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk aan te pakken, waaronder maatregelen om de negatieve gevolgen ervan te beperken. Nadat de gegevensimporteur kennis heeft genomen van de inbreuk, stelt hij ook de gegevensexporteur en, in voorkomend geval en voor zover mogelijk, de verwerkingsverantwoordelijke daarvan onverwijld in kennis. Een dergelijke kennisgeving bevat de gegevens van een contactpunt bij wie meer informatie kan worden verkregen, een beschrijving van de aard van de inbreuk (waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie), de waarschijnlijke gevolgen ervan en de maatregelen die zijn voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder maatregelen om mogelijke negatieve gevolgen te beperken. Wanneer en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, bevat de initiële kennisgeving de op dat moment beschikbare informatie en zal verdere informatie, zodra die beschikbaar is, vervolgens onverwijld worden verstrekt.

d)

Rekening houdend met de aard van de verwerking en met de hem ter beschikking staande informatie, werkt de gegevensimporteur samen met en verleent hij bijstand aan de gegevensexporteur om deze in staat te stellen zijn verplichtingen krachtens Verordening (EU) 2016/679 na te komen, met name om zijn verwerkingsverantwoordelijke in kennis te stellen opdat deze op zijn beurt de bevoegde toezichthoudende autoriteit en de getroffen betrokkenen in kennis zou kunnen stellen.

i)

de verdere doorgifte naar een land is dat profiteert van een adequaatheidsbesluit overeenkomstig artikel 45 van Verordening (EU) 2016/679 waar de verdere doorgifte onder valt;

ii)

de derde partij anderszins voor passende waarborgen overeenkomstig artikel 46 of 47 van Verordening (EU) 2016/679 zorgt;

iii)

de verdere doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in de context van bepaalde administratieve, regelgevings- of gerechtelijke procedures, of

iv)

de verdere doorgifte noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

a)

De gegevensimporteur handelt vragen van de gegevensexporteur of de verwerkingsverantwoordelijke in verband met de verwerking op grond van deze bepalingen onverwijld en op passende wijze af.

b)

De partijen moeten de naleving van deze bepalingen kunnen aantonen. De gegevensimporteur houdt met name passende documentatie bij over de verwerkingsactiviteiten die onder zijn verantwoordelijkheid namens de verwerkingsverantwoordelijke hebben plaatsgevonden.

c)

De gegevensimporteur stelt alle informatie die nodig is om naleving van de in deze bepalingen vastgestelde verplichtingen aan te tonen ter beschikking van de gegevensexporteur, die de informatie aan de verwerkingsverantwoordelijke doet toekomen.

d)

De gegevensimporteur maakt audits door de gegevensexporteur van de onder deze bepalingen vallende verwerkingsactiviteiten mogelijk en draagt eraan bij, en dit met redelijke tussenpozen of wanneer er aanwijzingen van niet-naleving zijn. Hetzelfde geldt wanneer de gegevensexporteur op basis van instructies van de verwerkingsverantwoordelijke om een audit verzoekt. Bij het nemen van een besluit over een audit, kan de gegevensexporteur rekening houden met relevante certificeringen waarover de gegevensimporteur beschikt.

e)

Wanneer de audit wordt uitgevoerd op basis van instructies van de verwerkingsverantwoordelijke, stelt de gegevensexporteur de resultaten ter beschikking van de verwerkingsverantwoordelijke.

f)

De gegevensexporteur kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke controleur daartoe te machtigen. Audits kunnen inspecties in de bedrijfsruimten of de fysieke voorzieningen van de gegevensimporteur omvatten en worden, in voorkomend geval, uitgevoerd met een redelijke aankondiging vooraf.

g)

De partijen stellen de in de punten b) en c) bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

a)

De gegevensexporteur verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de gegevensimporteur die als zijn verwerkingsverantwoordelijke optreedt.

b)

De gegevensexporteur brengt de gegevensimporteur onmiddellijk op de hoogte indien hij niet in staat is die instructies op te volgen, onder meer als die instructies in tegenspraak zijn met Verordening (EU) 2016/679 of andere wetgeving inzake gegevensbescherming van de Unie of de desbetreffende lidstaat.

c)

De gegevensimporteur onthoudt zich van acties die de gegevensexporteur zouden verhinderen om zijn verplichtingen op grond van Verordening (EU) 2016/679 na te komen, ook in het kader van de indienstneming van een andere verwerker of met betrekking tot samenwerking met bevoegde toezichthoudende autoriteiten.

d)

Na afloop van de verrichting van de verwerkingsdiensten wist de gegevensexporteur, naargelang de wens van de gegevensimporteur, alle namens de gegevensimporteur verwerkte persoonsgegevens en verzekert hij de gegevensimporteur ervan dat hij dat heeft gedaan, of geeft hij de gegevensimporteur alle namens hem verwerkte persoonsgegevens terug en verwijdert hij bestaande kopieën.

a)

De partijen nemen passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, ook tijdens de toezending en met inbegrip van bescherming tegen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking of toegang (hierna “inbreuk in verband met persoonsgegevens” genoemd). Bij het beoordelen van het passende beveiligingsniveau houden zij naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard van de persoonsgegevens (7), de aard, reikwijdte, context en doeleinden van de verwerking, en met de risico’s die de verwerking met zich meebrengt voor de betrokkenen, en nemen zij in het bijzonder het gebruik van versleuteling of pseudonimisering in overweging, onder andere tijdens de toezending, indien het doel van de verwerking op die manier kan worden verwezenlijkt.

b)

De gegevensexporteur verleent bijstand aan de gegevensimporteur om passende beveiliging van de gegevens overeenkomstig punt a) te waarborgen. Bij een inbreuk in verband met persoonsgegevens met betrekking tot de krachtens deze bepalingen door de gegevensexporteur verwerkte persoonsgegevens, stelt de gegevensexporteur de gegevensimporteur onverwijld in kennis nadat hij er kennis van heeft genomen, en staat hij de gegevensimporteur bij met het aanpakken van de inbreuk.

c)

De gegevensexporteur waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

a)

De partijen moeten de naleving van deze bepalingen kunnen aantonen.

b)

De gegevensexporteur stelt de gegevensimporteur alle informatie ter beschikking die nodig is om de naleving van zijn verplichtingen uit hoofde van deze bepalingen aan te tonen en om audits mogelijk te maken en eraan bij te dragen.

a)

OPTIE 1: SPECIFIEKE VOORAFGAANDE TOESTEMMING De gegevensimporteur besteedt geen van zijn krachtens deze bepalingen namens de gegevensexporteur uitgevoerde verwerkingsactiviteiten uit aan een subverwerker zonder de voorafgaande specifieke schriftelijke toestemming van de gegevensexporteur. De gegevensimporteur dient het verzoek om specifieke toestemming tenminste [termijn opgeven] voordat de subverwerker in dienst wordt genomen in, samen met de informatie die de gegevensexporteur nodig heeft om een besluit te nemen over de toestemming. De lijst van de reeds door de gegevensexporteur gemachtigde subverwerkers is te vinden in bijlage III. De partijen werken bijlage III bij.

OPTIE 2: ALGEMENE SCHRIFTELIJKE TOESTEMMING De gegevensimporteur heeft algemene toestemming van de gegevensexporteur om subverwerkers van een overeengekomen lijst in dienst te nemen. De gegevensimporteur stelt de gegevensexporteur ten minste [termijn opgeven] van tevoren specifiek schriftelijk in kennis van beoogde veranderingen van die lijst door middel van de toevoeging of vervanging van subverwerkers zodat de gegevensexporteur voldoende tijd krijgt om bezwaar tegen die veranderingen te maken voordat de subverwerker(s) in dienst wordt/worden genomen. De gegevensimporteur verstrekt de gegevensexporteur de informatie die deze nodig heeft om zijn recht om bezwaar te maken uit te oefenen.

b)

Wanneer de gegevensimporteur een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingsactiviteiten (namens de gegevensexporteur), dan doet hij dit door middel van een schriftelijke overeenkomst die, wat de inhoud betreft, voorziet in dezelfde verplichtingen inzake gegevensbescherming als die waaraan de gegevensimporteur krachtens deze bepalingen is gebonden, onder meer wat betreft de rechten ten behoeve van derden voor betrokkenen (8). De partijen komen overeen dat de gegevensimporteur zijn verplichtingen uit hoofde van bepaling 8.8 nakomt door deze bepaling na te leven. De gegevensimporteur zorgt ervoor dat de subverwerker zich houdt aan de verplichtingen waaraan de gegevensimporteur overeenkomstig deze bepalingen is gebonden.

c)

De gegevensimporteur verstrekt op verzoek van de gegevensexporteur een kopie van die overeenkomst met de subverwerker en van eventuele daaropvolgende wijzigingen aan de gegevensexporteur. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mag de gegevensimporteur de tekst van de overeenkomst redigeren voordat hij een kopie deelt.

d)

De gegevensimporteur blijft ten aanzien van de gegevensexporteur volledig verantwoordelijk voor het nakomen van zijn verplichtingen door de subverwerker uit hoofde van zijn overeenkomst met de gegevensimporteur. De gegevensimporteur stelt de gegevensexporteur in kennis van elke niet-nakoming door de subverwerker van zijn verplichtingen uit hoofde van die overeenkomst.

e)

De gegevensimporteur komt een derdenbeding overeen met de subverwerker waarbij de gegevensexporteur, in geval de gegevensimporteur feitelijk is verdwenen, rechtens is opgehouden te bestaan of failliet is gegaan, het recht heeft de overeenkomst met de subverwerker te beëindigen en de subverwerker op te dragen de persoonsgegevens te wissen of terug te geven.

a)

OPTIE 1: SPECIFIEKE VOORAFGAANDE TOESTEMMING De gegevensimporteur besteedt zijn krachtens deze bepalingen namens de gegevensexporteur uitgevoerde verwerkingsactiviteiten niet uit aan een subverwerker zonder de voorafgaande specifieke schriftelijke toestemming van de verwerkingsverantwoordelijke. De gegevensimporteur dient het verzoek om specifieke toestemming tenminste [termijn opgeven] voordat de subverwerker in dienst wordt genomen in, samen met de informatie die de verwerkingsverantwoordelijke nodig heeft om een besluit te nemen over de toestemming. De gegevensimporteur brengt de gegevensexporteur op de hoogte van een dergelijke indienstneming. De lijst van de reeds door de verwerkingsverantwoordelijke gemachtigde subverwerkers is te vinden in bijlage III. De partijen werken bijlage III bij.

OPTIE 2: ALGEMENE SCHRIFTELIJKE TOESTEMMING De gegevensimporteur heeft algemene toestemming van de verwerkingsverantwoordelijke om subverwerkers van een overeengekomen lijst in dienst te nemen. De gegevensimporteur stelt de verwerkingsverantwoordelijke ten minste [termijn opgeven] van tevoren specifiek schriftelijk in kennis van beoogde veranderingen van die lijst door middel van de toevoeging of vervanging van subverwerkers en geeft de verwerkingsverantwoordelijke daarbij voldoende tijd om bezwaar tegen die veranderingen te maken voordat de subverwerker in dienst wordt genomen. De gegevensimporteur verstrekt de verwerkingsverantwoordelijke de informatie die deze nodig heeft om zijn recht om bezwaar te maken uit te oefenen. De gegevensimporteur brengt de gegevensexporteur op de hoogte van de indienstneming van de subverwerker.

b)

Wanneer de gegevensimporteur een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingsactiviteiten (namens de verwerkingsverantwoordelijke), dan doet hij dit door middel van een schriftelijke overeenkomst die, wat de inhoud betreft, voorziet in dezelfde verplichtingen inzake gegevensbescherming als die waaraan de gegevensimporteur krachtens deze bepalingen is gebonden, onder meer wat betreft de rechten ten behoeve van derden voor betrokkenen (9). De partijen komen overeen dat de gegevensimporteur zijn verplichtingen uit hoofde van bepaling 8.8 nakomt door deze bepaling na te leven. De gegevensimporteur zorgt ervoor dat de subverwerker zich houdt aan de verplichtingen waaraan de gegevensimporteur overeenkomstig deze bepalingen is gebonden.

c)

De gegevensimporteur verstrekt op verzoek van de gegevensexporteur of van de verwerkingsverantwoordelijke een kopie van die overeenkomst met de subverwerker en van eventuele daaropvolgende wijzigingen. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mag de gegevensimporteur de tekst van de overeenkomst redigeren voordat hij een kopie deelt.

d)

De gegevensimporteur blijft ten aanzien van de gegevensexporteur volledig verantwoordelijk voor het nakomen van zijn verplichtingen door de subverwerker uit hoofde van zijn overeenkomst met de gegevensimporteur. De gegevensimporteur stelt de gegevensexporteur in kennis van elke niet-nakoming door de subverwerker van zijn verplichtingen uit hoofde van die overeenkomst.

e)

De gegevensimporteur komt een derdenbeding overeen met de subverwerker waarbij de gegevensexporteur, in geval de gegevensimporteur feitelijk is verdwenen, rechtens is opgehouden te bestaan of failliet is gegaan, het recht heeft de overeenkomst met de subverwerker te beëindigen en de subverwerker op te dragen de persoonsgegevens te wissen of terug te geven.

a)

De gegevensimporteur handelt, in voorkomend geval met behulp van de gegevensexporteur, onverwijld en uiterlijk binnen één maand na ontvangst van de vraag of het verzoek, vragen en verzoeken af die hij van een betrokkene ontvangt in verband met de verwerking van zijn/haar persoonsgegevens en met de uitoefening van zijn/haar rechten uit hoofde van deze bepalingen. (10) De gegevensimporteur neemt passende maatregelen om de afhandeling van die vragen en verzoeken en de uitoefening van de rechten van betrokkenen te vergemakkelijken. De informatie die aan de betrokkene wordt verstrekt, is in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal opgesteld.

b)

Op verzoek van de betrokkene zal de gegevensimporteur met name kosteloos:

c)

Wanneer de gegevensimporteur de persoonsgegevens verwerkt ten behoeve van direct marketing, stopt hij met de verwerking voor dat doeleinde indien de betrokkene er bezwaar tegen maakt.

d)

De gegevensimporteur neemt geen besluit dat uitsluitend op een geautomatiseerde verwerking van de doorgegeven persoonsgegevens berust (hierna “geautomatiseerd besluit” genoemd), waaraan rechtsgevolgen voor de betrokkene zouden zijn verbonden of die hem/haar eveneens verregaand zou treffen, tenzij met uitdrukkelijke toestemming van de betrokkene of als dat is toestaan krachtens de wetgeving van het land van bestemming, mits in dergelijke wetgeving passende maatregelen zijn vastgelegd om de rechten en legitieme belangen van betrokkenen te waarborgen. In dit geval zal de gegevensimporteur, in voorkomend geval in samenwerking met de gegevensexporteur:

e)

Wanneer verzoeken van een betrokkene buitensporig zijn, met name vanwege het herhaalde karakter ervan, mag de gegevensimporteur ofwel een redelijke vergoeding in rekening brengen met het oog op de administratieve kosten van het inwilligen van het verzoek, ofwel weigeren om op het verzoek in te gaan.

f)

De gegevensimporteur mag een verzoek van een betrokkene weigeren als die weigering is toegestaan uit hoofde van de wetgeving van het land van bestemming en in een democratische samenleving noodzakelijk en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te beschermen.

g)

Als de gegevensimporteur voornemens is een verzoek van een betrokkene te weigeren, stelt hij de betrokkene in kennis van de redenen voor die weigering en van de mogelijkheid om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit en/of beroep in rechte in te stellen.

a)

De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van alle verzoeken die hij van een betrokkene heeft ontvangen. Hij reageert zelf niet op dat verzoek, tenzij dit door de gegevensexporteur is toegestaan.

b)

De gegevensimporteur verleent de gegevensexporteur bijstand bij het nakomen van zijn verplichtingen om te reageren op de verzoeken van betrokkenen voor de uitoefening van hun rechten uit hoofde van Verordening (EU) 2016/679. In dit verband stellen de partijen in bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking op basis waarvan de bijstand wordt verleend, alsook de reikwijdte en de omvang van de vereiste bijstand.

c)

Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b), houdt de gegevensimporteur zich aan de instructies van de gegevensexporteur.

a)

De gegevensimporteur stelt de gegevensexporteur, en in voorkomend geval de verwerkingsverantwoordelijke, onverwijld in kennis van de verzoeken die hij van een betrokkene heeft ontvangen, zonder op die verzoeken te reageren, tenzij dat hem door de verwerkingsverantwoordelijke is toegestaan.

b)

De gegevensimporteur verleent de verwerkingsverantwoordelijke, in voorkomend geval in samenwerking met de gegevensexporteur, bijstand bij het nakomen van zijn verplichtingen om te reageren op de verzoeken van betrokkenen voor de uitoefening van hun rechten uit hoofde van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, voor zover van toepassing. In dit verband stellen de partijen in bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking op basis waarvan de bijstand wordt verleend, alsook de reikwijdte en de omvang van de vereiste bijstand.

c)

Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b), houdt de gegevensimporteur zich aan de instructies van de verwerkingsverantwoordelijke, zoals meegedeeld door de gegevensexporteur.

a)

De gegevensimporteur brengt betrokkenen via een individuele mededeling of op zijn website, in een transparant en gemakkelijk toegankelijk formaat, op de hoogte van een contactpunt dat gemachtigd is om klachten af te handelen. Hij handelt klachten die hij van een betrokkene ontvangt onverwijld af.

[OPTIE: De gegevensimporteur stemt ermee in dat betrokkenen klachten ook bij een onafhankelijk orgaan voor geschillenbeslechting mogen indienen (11), zonder kosten voor de betrokkene. Hij brengt de betrokkenen, op de in punt a) genoemde wijze, op de hoogte van een dergelijk verhaalmechanisme en laat hen weten dat zij niet verplicht zijn daarvan gebruik te maken, of om een bepaalde volgorde aan te houden om verhaal te halen.]

b)

Bij een geschil tussen een betrokkene en een van de partijen met betrekking tot de naleving van deze bepalingen, doet die partij al het mogelijke om de kwestie tijdig in der minne te schikken. De partijen houden elkaar op de hoogte van dergelijke geschillen en werken, in voorkomend geval, samen om ze te beslechten.

c)

Wanneer de betrokkene zich overeenkomstig bepaling 3 op een recht ten behoeve van derden beroept, aanvaardt de gegevensimporteur het besluit van de betrokkene om:

d)

De partijen aanvaarden dat de betrokkene vertegenwoordigd kan worden door een orgaan, organisatie of vereniging zonder winstoogmerk onder de in artikel 80, lid 1, van Verordening (EU) 2016/679 vermelde voorwaarden.

e)

De gegevensimporteur schikt zich naar een besluit dat uit hoofde van het toepasselijke recht van de Europese Unie/de lidstaat bindend is.

f)

De gegevensimporteur stemt ermee in dat de keuze van de betrokkene geen afbreuk doet aan zijn/haar materiële en formele rechten om overeenkomstig de geldende wetgeving verhaal te zoeken.

a)

Elke partij is ten aanzien van de andere partij(en) aansprakelijk voor schade die hij de andere partij(en) berokkent door inbreuken op deze bepalingen.

b)

Elke partij is ten aanzien van de betrokkene aansprakelijk, en de betrokkene heeft het recht een vergoeding te verkrijgen, voor materiële of immateriële schade die de partij aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze bepalingen te schenden. Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensexporteur op grond van Verordening (EU) 2016/679.

c)

Wanneer meerdere partijen verantwoordelijk zijn voor schade die als gevolg van schendingen van deze bepalingen aan de betrokkene is berokkend, zijn alle verantwoordelijke partijen hoofdelijk aansprakelijk en heeft de betrokkene het recht om voor de rechter een procedure tegen deze partijen in te stellen.

d)

De partijen komen overeen dat als een van de partijen op grond van punt c) aansprakelijk wordt gesteld, deze partij het recht heeft om op de andere partij(en) het deel van de schadevergoeding te verhalen dat overeenkomt met zijn/hun deel van de aansprakelijkheid voor de schade.

e)

De gegevensimporteur mag zich niet op het gedrag van een verwerker of subverwerker beroepen om zich aan zijn eigen aansprakelijkheid te onttrekken.

a)

Elke partij is ten aanzien van de andere partij(en) aansprakelijk voor schade die hij de andere partij(en) berokkent door inbreuken op deze bepalingen.

b)

De gegevensimporteur is ten aanzien van de betrokkene aansprakelijk en de betrokkene heeft het recht een vergoeding te verkrijgen voor materiële of immateriële schade die de gegevensimporteur of zijn subverwerker aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze bepalingen te schenden.

c)

Niettegenstaande punt b) is de gegevensexporteur ten aanzien van de betrokkene aansprakelijk en heeft de betrokkene het recht een vergoeding te verkrijgen voor materiële of immateriële schade die de gegevensexporteur of de gegevensimporteur (of zijn subverwerker) aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze bepalingen te schenden. Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensexporteur en, wanneer de gegevensexporteur een verwerker is die namens een verwerkingsverantwoordelijke optreedt, aan de aansprakelijkheid van de verwerkingsverantwoordelijke uit hoofde van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, indien van toepassing.

d)

De partijen komen overeen dat als de gegevensexporteur op grond van punt c) aansprakelijk wordt gesteld voor door de gegevensimporteur (of zijn subverwerker) berokkende schade, hij het recht heeft om op de gegevensimporteur het deel van de schadevergoeding te verhalen dat overeenkomt met de aansprakelijkheid van de gegevensimporteur voor de schade.

e)

Wanneer meerdere partijen verantwoordelijk zijn voor schade die als gevolg van schendingen van deze bepalingen aan de betrokkene is berokkend, zijn alle verantwoordelijke partijen hoofdelijk aansprakelijk en heeft de betrokkene het recht om voor de rechter een procedure tegen deze partijen in te stellen.

f)

De partijen komen overeen dat als een van de partijen op grond van punt e) aansprakelijk wordt gesteld, deze partij het recht heeft om op de andere partij(en) het deel van de schadevergoeding te verhalen dat overeenkomt met zijn/hun deel van de aansprakelijkheid voor de schade.

g)

De gegevensimporteur mag zich niet op het gedrag van een subverwerker beroepen om zich aan zijn eigen aansprakelijkheid te onttrekken.

a)

[Wanneer de gegevensexporteur in een EU-lidstaat is gevestigd:] De toezichthoudende autoriteit die erop toeziet dat de gegevensexporteur Verordening (EU) 2016/679 naleeft met betrekking tot de gegevensdoorgifte, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.

[Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2, van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt en een vertegenwoordiger heeft aangewezen overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679:] De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.

[Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2, van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt, zonder echter een vertegenwoordiger te hebben aangewezen overeenkomstig artikel 27, lid 2, van Verordening (EU) 2016/679:] De toezichthoudende autoriteit van een van de lidstaten waar de betrokkenen wier persoonsgegevens krachtens deze bepalingen worden verwerkt in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gecontroleerd, zijn gevestigd, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.

b)

De gegevensimporteur stemt ermee in zich te onderwerpen aan de jurisdictie van en samen te werken met de bevoegde toezichthoudende autoriteit in procedures gericht op het waarborgen van de naleving van deze bepalingen. De gegevensimporteur stemt er in het bijzonder mee in vragen te beantwoorden, zich aan audits te onderwerpen en zich aan de door de toezichthoudende autoriteit vastgestelde maatregelen te houden, waaronder corrigerende en compenserende maatregelen. Hij geeft de toezichthoudende autoriteit schriftelijke bevestiging dat de noodzakelijke maatregelen zijn genomen.

a)

De partijen garanderen dat zij geen reden hebben om aan te nemen dat de wetten en praktijken in het derde land van bestemming die van toepassing zijn op de verwerking van de persoonsgegevens door de gegevensimporteur, met inbegrip van vereisten om persoonsgegevens te verstrekken of maatregelen die toegang door overheidsinstanties toestaan, de gegevensimporteur verhinderen zijn verplichtingen uit hoofde van deze bepalingen na te komen. Hierbij wordt ervan uitgegaan dat wetten en praktijken waarmee de wezenlijke inhoud van de grondrechten en fundamentele vrijheden wordt geëerbiedigd en die niet verder gaan dan hetgeen in een democratische samenleving noodzakelijk en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in tegenspraak zijn met deze bepalingen.

b)

De partijen verklaren dat zij bij het bieden van de in punt a) bedoelde garantie met name de volgende elementen naar behoren in aanmerking hebben genomen:

c)

De gegevensimporteur garandeert dat hij bij het uitvoeren van de beoordeling op grond van punt b) al het mogelijke heeft gedaan om de gegevensexporteur van relevante informatie te voorzien en stemt ermee in dat hij met de gegevensexporteur zal blijven samenwerken om naleving van deze bepalingen te waarborgen.

d)

De partijen komen overeen om de beoordeling uit hoofde van punt b) te documenteren en op verzoek ter beschikking te stellen van de bevoegde toezichthoudende autoriteit.

e)

De gegevensimporteur stemt ermee in de gegevensexporteur onverwijld in kennis te stellen indien hij, na deze bepalingen te zijn overeengekomen en voor de duur van de overeenkomst, redenen heeft om aan te nemen dat hij onder wetten of praktijken valt of is komen te vallen die niet overeenstemmen met de vereisten uit hoofde van punt a), onder meer ingevolge een wijziging van de wetten in het derde land of een maatregel (zoals een verzoek om verstrekking) die duidt op een toepassing van die wetten in de praktijk die niet overeenstemt met de vereisten in punt a). [Voor module drie: De gegevensexporteur zendt de kennisgeving door aan de verwerkingsverantwoordelijke.]

f)

Ingevolge een kennisgeving overeenkomstig punt e), of als de gegevensexporteur anderszins redenen heeft om aan te nemen dat de gegevensimporteur zijn verplichtingen uit hoofde van deze bepalingen niet langer kan nakomen, stelt de gegevensexporteur onverwijld passende maatregelen (bv. technische of organisatorische maatregelen om betrouwbaarheid en vertrouwelijkheid te waarborgen) vast die de gegevensexporteur en/of de gegevensimporteur moeten uitvoeren om de situatie aan te pakken, [voor module drie:, in voorkomend geval in overleg met de verwerkingsverantwoordelijke]. De gegevensexporteur schort de gegevensdoorgifte op als hij van mening is dat er geen passende waarborgen voor die doorgifte kunnen worden gegarandeerd, of op basis van instructies van [voor module drie: de verwerkingsverantwoordelijke of] de bevoegde toezichthoudende autoriteit hiertoe. In dit geval heeft de gegevensexporteur het recht om de overeenkomst te beëindigen, voor zover die betrekking heeft op de verwerking van persoonsgegevens uit hoofde van deze bepalingen. Indien er meer dan twee partijen bij de overeenkomst zijn betrokken, mag de gegevensexporteur zijn recht om de overeenkomst te beëindigen alleen uitoefenen met betrekking tot de betrokken partij, tenzij anderszins door de partijen is overeengekomen. Indien de overeenkomst overeenkomstig deze bepaling wordt beëindigd, is bepaling 16, punten d) en e), van toepassing.

a)

De gegevensimporteur stemt er mee in de gegevensexporteur en, voor zover mogelijk, de betrokkene onverwijld in kennis te stellen (indien nodig met behulp van de gegevensexporteur) indien hij:

[Voor module drie: De gegevensexporteur zendt de kennisgeving door aan de verwerkingsverantwoordelijke.]

b)

Indien het de gegevensimporteur uit hoofde van de wetgeving van het land van bestemming verboden is om de gegevensexporteur en/of de betrokkene in kennis te stellen, stemt de gegevensimporteur ermee in al het mogelijke te doen om van het verbod te worden ontheven, teneinde zo spoedig mogelijk zo veel mogelijk informatie mee te delen. De gegevensimporteur stemt ermee in deze inspanningen te documenteren om ze op verzoek van de gegevensexporteur te kunnen aantonen.

c)

Indien toegestaan uit hoofde van de wetgeving van het land van bestemming, stemt de gegevensimporteur ermee in de gegevensexporteur, met regelmatige tussenpozen gedurende de duur van de overeenkomst, met zo veel mogelijk relevante informatie over de ontvangen verzoeken (met name het aantal verzoeken, het soort gevraagde gegevens, de verzoekende autoriteit(en), of er verzoeken zijn betwist en wat de uitkomst daarvan was enz.) te doen toekomen. [Voor module drie: De gegevensexporteur zendt de informatie door aan de verwerkingsverantwoordelijke.]

d)

De gegevensimporteur stemt ermee in de informatie overeenkomstig de punten a) tot en met c) te bewaren voor de duur van de overeenkomst en die op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit te stellen.

e)

De punten a) tot en met c) doen geen afbreuk aan de verplichting van de gegevensimporteur overeenkomstig bepaling 14, punt e), en bepaling 16 om de gegevensexporteur onverwijld in kennis te stellen wanneer hij niet in staat is deze bepalingen na te leven.

a)

De gegevensimporteur stemt ermee in de wettigheid van het verzoek om verstrekking te toetsen, met name of die binnen de aan de verzoekende overheidsinstantie toegekende bevoegdheden blijft, en het verzoek te betwisten indien hij na een zorgvuldige beoordeling tot de conclusie komt dat er redelijke gronden zijn om aan te nemen dat het verzoek onwettig is krachtens de wetgeving van het land van bestemming, toepasselijke verplichtingen uit hoofde van het internationaal recht en beginselen van internationale courtoisie. Onder deze omstandigheden benut de gegevensimporteur de beroepsmogelijkheden. Bij het betwisten van een verzoek neemt de gegevensimporteur voorlopige maatregelen om de effecten van het verzoek op te schorten totdat de bevoegde rechterlijke instantie over de gegrondheid ervan heeft beslist. Hij verstrekt de gevraagde persoonsgegevens pas wanneer hij dat volgens de toepasselijke procedurevoorschriften moet doen. Deze vereisten doen geen afbreuk aan de verplichtingen van de gegevensimporteur krachtens bepaling 14, punt e).

b)

De gegevensimporteur stemt ermee in zijn juridische beoordeling en eventuele betwistingen van het verzoek om verstrekking te documenteren en, voor zover dit is toegestaan krachtens de wetgeving van het land van bestemming, de documentatie ter beschikking te stellen van de gegevensexporteur. Hij stelt deze documenten op verzoek ook ter beschikking van de bevoegde toezichthoudende autoriteit. [Voor module drie: De gegevensexporteur stelt de beoordeling ter beschikking van de verwerkingsverantwoordelijke.]

c)

De gegevensimporteur stemt ermee in de toegestane minimale hoeveelheid informatie te verstrekken bij het beantwoorden van een verzoek om verstrekking, op basis van een redelijke interpretatie van het verzoek.

a)

De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis indien hij om wat voor reden dan ook niet in staat is deze bepalingen na te leven.

b)

Indien de gegevensimporteur inbreuk maakt op deze bepalingen of niet in staat is deze bepalingen na te leven, schort de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur op totdat de naleving weer wordt gewaarborgd of totdat de overeenkomst wordt beëindigd. Dit doet geen afbreuk aan bepaling 14, punt f).

c)

De gegevensexporteur heeft het recht de overeenkomst te beëindigen, voor zover die betrekking heeft op de verwerking van persoonsgegevens uit hoofde van deze bepalingen, wanneer:

In deze gevallen stelt hij de bevoegde toezichthoudende autoriteit [voor module drie: en de verwerkingsverantwoordelijke] in kennis van die niet-naleving. Wanneer meer dan twee partijen bij de overeenkomst zijn betrokken, mag de gegevensexporteur zijn recht om de overeenkomst te beëindigen alleen uitoefenen met betrekking tot de betrokken partij, tenzij anderszins door de partijen is overeengekomen.

d)

[Voor de modulen een, twee en drie: Persoonsgegevens die voorafgaand aan de beëindiging van de overeenkomst zijn doorgegeven overeenkomstig punt c) worden, naargelang de wens van de gegevensexporteur, onmiddellijk volledig aan de gegevensexporteur terugbezorgd of gewist. Hetzelfde geldt voor eventuele kopieën van de gegevens.] [Voor module vier: Door de gegevensexporteur in de Europese Unie verzamelde persoonsgegevens die voordat de overeenkomst werd beëindigd waren doorgegeven overeenkomstig punt c) worden onmiddellijk volledig gewist, met inbegrip van eventuele kopieën daarvan.] De gegevensimporteur verzekert de gegevensexporteur ervan dat de gegevens zijn gewist. Totdat de gegevens zijn gewist of teruggezonden, blijft de gegevensimporteur ervoor zorgen dat aan deze bepalingen wordt voldaan. In geval van lokaal recht dat op de gegevensimporteur van toepassing is en op basis waarvan teruggave of wissing van de doorgegeven persoonsgegevens verboden is, garandeert de gegevensimporteur dat hij deze bepalingen zal blijven naleven en de gegevens alleen zal verwerken voor zover en zolang dat naar dat lokaal recht is vereist.

e)

Elk van de partijen kan haar toestemming om aan deze bepalingen gebonden te zijn, intrekken wanneer i) de Europese Commissie een besluit overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 neemt dat betrekking heeft op de doorgifte van persoonsgegevens waarop deze bepalingen van toepassing zijn; of ii) Verordening (EU) 2016/679 onderdeel wordt van het rechtskader van het land waarnaar de persoonsgegevens worden doorgegeven. Dit doet geen afbreuk aan andere verplichtingen die van toepassing zijn op de desbetreffende verwerking op grond van Verordening (EU) 2016/679.

a)

Uit deze bepalingen voortvloeiende geschillen worden beslecht door de gerechten van een EU-lidstaat.

b)

De partijen komen overeen dat dit de gerechten van _______ (lidstaat opgeven) zijn.

c)

Een betrokkene kan ook gerechtelijke procedures aanhangig maken tegen de gegevensexporteur en/of de gegevensimporteur bij de gerechten van de lidstaat waar hij/zij gewoonlijk verblijft.

d)

De partijen komen overeen zich aan de jurisdictie van die gerechten te onderwerpen.

Uit deze bepalingen voortvloeiende geschillen worden beslecht door de gerechten van _____ (land opgeven).

1.

Adres: …

Naam, functie en contactgegevens van de contactpersoon: …

Activiteiten in verband met de overeenkomstig deze bepalingen doorgegeven gegevens: …

Handtekening en datum: …

Rol (verwerkingsverantwoordelijke/verwerker): …

2.

1.

Adres: …

Naam, functie en contactgegevens van de contactpersoon: …

Activiteiten in verband met de overeenkomstig deze bepalingen doorgegeven gegevens: …

Handtekening en datum: …

Rol (verwerkingsverantwoordelijke/verwerker): …

2.

1.

Adres: …

Naam, functie en contactgegevens van de contactpersoon: …

Omschrijving van verwerking (met inbegrip van een duidelijke afbakening van verantwoordelijkheden indien meerdere subverwerkers zijn gemachtigd): …

2.