a)

Syftet med dessa standardavtalsklausuler (klausulerna) är att säkerställa överensstämmelse med [välj relevant alternativ: ALTERNATIV 1: artikel 28.3 och 28.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter]/[ALTERNATIV 2: artikel 29.3 och 29.4 i Europaparlamentets och rådets förordning (EG) nr 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)].

b)

De personuppgiftsansvariga och de personuppgiftsbiträden som anges i bilaga I har kommit överens om att tillämpa dessa klausuler för att säkerställa efterlevnaden av artikel 28.3 och 28.4 i förordning (EU) 2016/679 och/eller artikel 29.3 och 29.4 i förordning (EU) 2018/1725.

c)

Dessa klausuler är tillämpliga på behandling av personuppgifter i enlighet med bilaga II.

d)

Bilagorna I–IV utgör en integrerad del av klausulerna.

e)

Dessa klausuler påverkar inte de skyldigheter som den personuppgiftsansvarige har enligt förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725.

f)

Genom dessa klausuler säkerställs inte i sig att skyldigheterna i samband med internationella överföringar i enlighet med kapitel V i förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725 fullgörs.

a)

Parterna förbinder sig att inte ändra klausulerna, förutom för att lägga till information i bilagorna eller uppdatera informationen i dem.

b)

Detta hindrar inte parterna från att inkludera de standardavtalsklausuler som fastställs i dessa klausuler i ett mer omfattande avtal eller att lägga till andra klausuler eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt strider mot klausulerna eller begränsar de registrerades grundläggande rättigheter eller friheter.

a)

Om de begrepp som definieras i förordning (EU) 2016/679 respektive förordning (EU) 2018/1725 används i dessa klausuler ska dessa begrepp ha samma betydelse som i den förordningen.

b)

Dessa klausuler ska läsas och tolkas mot bakgrund av bestämmelserna i förordning (EU) 2016/679 respektive förordning (EU) 2018/1725.

c)

Dessa klausuler ska inte tolkas så att de strider mot de rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679 respektive förordning (EU) 2018/1725 eller påverkar de registrerades grundläggande rättigheter eller friheter.

a)

Varje enhet som inte är part i dessa klausuler får, med godkännande från samtliga parter, när som helst ansluta sig till dessa klausuler som personuppgiftsansvarig eller personuppgiftsbiträde genom att fylla i bilagorna och underteckna bilaga I.

b)

När de bilagor som avses i led a har fyllts i och undertecknats ska den anslutande enheten behandlas som part i dessa klausuler och ha de rättigheter och skyldigheter som gäller personuppgiftsansvariga eller personuppgiftsbiträden i överensstämmelse med dess intagande i bilaga I.

c)

Den anslutande enheten ska inte ha några rättigheter eller skyldigheter som följer av dessa klausuler innan den blir part.

a)

Personuppgiftsbiträdet får endast behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida detta inte är förbjudet med hänvisning till ett viktigt allmänintresse enligt denna rätt. Den personuppgiftsansvarige får även ge efterföljande instruktioner under hela den tid som personuppgifterna behandlas. Dessa instruktioner ska alltid dokumenteras.

b)

Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om personuppgiftsbiträdet anser att en instruktion från den personuppgiftsansvarige strider mot förordning (EU) 2016/679 eller förordning (EU) 2018/1725 eller mot unionens eller medlemsstaternas tillämpliga dataskyddsbestämmelser.

a)

Personuppgiftsbiträdet ska åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga III för att säkerställa säkerheten för personuppgifterna. Detta omfattar att skydda uppgifterna mot säkerhetsincidenter som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till uppgifterna (personuppgiftsincident). Vid bedömningen av lämplig säkerhetsnivå ska parterna ta vederbörlig hänsyn till den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de registrerade.

b)

Personuppgiftsbiträdet ska bevilja sin personal tillgång till de personuppgifter som behandlas endast i den mån det är absolut nödvändigt för att genomföra, förvalta och övervaka avtalet. Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla de erhållna personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

a)

Parterna ska kunna visa att dessa klausuler följs.

b)

Personuppgiftsbiträdet ska skyndsamt och på lämpligt sätt hantera förfrågningar från den personuppgiftsansvarige om behandlingen av uppgifter i enlighet med dessa klausuler.

c)

Personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till all information som behövs för att påvisa efterlevnad av de skyldigheter som fastställs i dessa klausuler och härrör direkt från förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725. På den personuppgiftsansvariges begäran ska personuppgiftsbiträdet även tillåta och bidra till granskningar av den behandling som omfattas av dessa klausuler, med rimliga intervall eller om det finns tecken på bristande efterlevnad. Vid beslut om översyn eller granskning får den personuppgiftsansvarige ta hänsyn till relevanta certifieringar som personuppgiftsbiträdet innehar.

d)

Den personuppgiftsansvarige kan välja att själv utföra granskningen eller bemyndiga en oberoende revisor. Granskningar får även omfatta inspektioner i personuppgiftsbiträdets lokaler eller fysiska anläggningar och ska vid behov utföras med rimligt varsel.

e)

Parterna ska på begäran göra den information som avses i denna klausul, inklusive resultaten av eventuella granskningar, tillgänglig för den (de) behöriga tillsynsmyndigheten(-erna).

a)

ALTERNATIV 1: SÄRSKILT FÖRHANDSTILLSTÅND: Personuppgiftsbiträdet får inte utan särskilt föregående skriftligt tillstånd från den personuppgiftsansvarige lägga ut någon av de behandlingar som utförs för den personuppgiftsansvariges räkning i enlighet med dessa klausuler på en underleverantör. Personuppgiftsbiträdet ska överlämna begäran om särskilt tillstånd minst [SPECIFICERA TIDSPERIOD] innan den berörda underleverantören anlitas, tillsammans med den information som krävs för att den personuppgiftsansvarige ska kunna besluta om tillståndet. Förteckningen över de underleverantörer som den personuppgiftsansvarige har godkänt återfinns i bilaga IV. Parterna ska hålla bilaga IV uppdaterad.

ALTERNATIV 2: ALLMÄNT SKRIFTLIGT TILLSTÅND: Personuppgiftsbiträdet har erhållit ett allmänt tillstånd från den personuppgiftsansvarige att anlita underleverantörer från en överenskommen förteckning. Personuppgiftsbiträdet ska skriftligen informera den personuppgiftsansvarige om eventuella planerade ändringar av förteckningen genom att underleverantörer läggs till eller ersätts minst [SPECIFICERA TIDSPERIOD] i förväg, så att den personuppgiftsansvarige får tillräckligt med tid för att kunna invända mot sådana ändringar innan den eller de berörda underleverantörerna anlitas. Personuppgiftsbiträdet ska tillhandahålla den personuppgiftsansvarige den information som krävs för att denne ska kunna utöva sin rätt att göra invändningar.

b)

Om personuppgiftsbiträdet anlitar en underleverantör för att utföra en specifik behandling (för den personuppgiftsansvariges räkning) ska personuppgiftsbiträdet göra detta genom ett avtal som i sak ålägger underleverantören samma skyldigheter i fråga om uppgiftsskydd som de som personuppgiftsbiträdet åläggs i enlighet med dessa klausuler. Personuppgiftsbiträdet ska se till att underleverantören uppfyller de skyldigheter som personuppgiftsbiträdet omfattas av enligt dessa klausuler och förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725.

c)

På den personuppgiftsansvariges begäran ska personuppgiftsbiträdet tillhandahålla den personuppgiftsansvarige en kopia av ett sådant underleverantörsavtal och eventuella senare ändringar. I den mån det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inbegripet personuppgifter, får personuppgiftsbiträdet redigera avtalstexten innan kopian delas.

d)

Personuppgiftsbiträdet ska fortsatt vara fullt ut ansvarig gentemot den personuppgiftsansvarige för att underleverantören fullgör sina skyldigheter i enlighet med sitt avtal med personuppgiftsbiträdet. Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige om underleverantören underlåter att uppfylla sina skyldigheter enligt avtalet.

e)

Personuppgiftsbiträdet och underleverantören ska avtala om en klausul om tredjepartsberättigande, enligt vilken den personuppgiftsansvarige – om personuppgiftsbiträdet har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd – ska ha rätt att säga upp underleverantörsavtalet och instruera underleverantören att radera eller återlämna personuppgifterna.

a)

Personuppgiftsbiträdet får endast överföra uppgifter till ett tredjeland eller en internationell organisation på grundval av dokumenterade instruktioner från den personuppgiftsansvarige eller för att uppfylla ett särskilt krav enligt unionsrätten eller en medlemsstats lagstiftning som personuppgiftsbiträdet omfattas av, och överföringen ska genomföras i enlighet med kapitel V i förordning (EU) 2016/679 eller förordning (EU) 2018/1725.

b)

Den personuppgiftsansvarige samtycker till att, om personuppgiftsbiträdet anlitar en underleverantör i enlighet med klausul 7.7 för att utföra specifik behandling (för den personuppgiftsansvariges räkning) och denna behandling omfattar en överföring av personuppgifter i den mening som avses i kapitel V i förordning (EU) 2016/679, personuppgiftsbiträdet och underleverantören kan säkerställa att kapitel V i förordning (EU) 2016/679 efterlevs genom att använda standardavtalsklausuler som antagits av kommissionen i enlighet med artikel 46.2 i förordning (EU) 2016/679, förutsatt att villkoren för att använda dessa standardavtalsklausuler är uppfyllda.

a)

Personuppgiftsbiträdet ska utan dröjsmål underrätta den personuppgiftsansvarige om varje begäran som erhållits från den registrerade. Personuppgiftsbiträdet ska inte själv besvara begäran, såvida inte den personuppgiftsansvarige har godkänt detta.

b)

Personuppgiftsbiträdet ska hjälpa den personuppgiftsansvarige att fullgöra sin skyldighet att besvara framställningar från registrerade för att utöva sina rättigheter, med hänsyn till behandlingens art. Personuppgiftsbiträdet ska följa den personuppgiftsansvariges instruktioner när det fullgör sina skyldigheter i enlighet med leden a och b.

c)

Utöver personuppgiftsbiträdets skyldighet att bistå den personuppgiftsansvarige enligt klausul 8 b ska personuppgiftsbiträdet dessutom bistå den personuppgiftsansvarige med att säkerställa att följande skyldigheter fullgörs, med beaktande av uppgiftsbehandlingens art och den information som personuppgiftsbiträdet har att tillgå:

d)

Parterna ska i bilaga III ange de lämpliga tekniska och organisatoriska åtgärder genom vilka personuppgiftsbiträdet ska bistå den personuppgiftsansvarige vid tillämpningen av denna klausul samt räckvidden och omfattningen av det bistånd som krävs.

a)

anmäla personuppgiftsincidenten till den (de) behöriga tillsynsmyndigheten(-erna), utan onödigt dröjsmål efter det att den personuppgiftsansvarige har fått kännedom om den, i förekommande fall/(med undantag för om det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter),

b)

erhålla följande information som, i enlighet med [ALTERNATIV 1] artikel 33.3 i förordning (EU) 2016/679/[ALTERNATIV 2] artikel 34.3 i förordning (EU) 2018/1725, ska anges i den personuppgiftsansvariges anmälan, och åtminstone ska omfatta

c)

uppfylla, i enlighet med [ALTERNATIV 1] artikel 34 i förordning (EU) 2016/679/[ALTERNATIV 2] artikel 35 i förordning (EU) 2018/1725, skyldigheten att utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten, om den sannolikt kommer att medföra en hög risk för fysiska personers rättigheter och friheter.

a)

en beskrivning av incidentens art (inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade och uppgiftsposter som berörs),

b)

uppgifter från en kontaktpunkt där mer information om personuppgiftsincidenten kan erhållas,

c)

de sannolika konsekvenserna och de åtgärder som vidtagits eller föreslagits för att åtgärda incidenten, inbegripet åtgärder för att mildra dess potentiella negativa effekter.

a)

Utan att det påverkar tillämpningen av bestämmelserna i förordning (EU) 2016/679 och/eller förordning (EU) 2018/1725 får den personuppgiftsansvarige, om personuppgiftsbiträdet inte fullgör sina skyldigheter enligt dessa klausuler, instruera personuppgiftsbiträdet att avbryta behandlingen av personuppgifter till dess att denne uppfyller dessa klausuler eller avtalet sägs upp. Personuppgiftsbiträdet ska omedelbart underrätta den personuppgiftsansvarige om denne av något skäl inte kan följa dessa klausuler.

b)

Den personuppgiftsansvarige ska ha rätt att säga upp avtalet i den mån det avser behandling av personuppgifter i enlighet med dessa klausuler om

c)

Personuppgiftsbiträdet ska ha rätt att säga upp avtalet i den mån det avser behandling av personuppgifter enligt dessa klausuler, om den personuppgiftsansvarige, efter att ha informerats av personuppgiftsbiträdet om att dennes instruktioner strider mot tillämpliga rättsliga krav i enlighet med klausul 7.1 b, insisterar på att instruktionerna följs.

d)

Efter uppsägningen av avtalet ska personuppgiftsbiträdet, beroende på vad den personuppgiftsansvarige väljer, radera alla personuppgifter som behandlats för den personuppgiftsansvariges räkning och intyga för den personuppgiftsansvarige att detta är utfört, eller återlämna alla personuppgifter till den personuppgiftsansvarige och radera befintliga kopior, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt. Till dess att uppgifterna raderas eller återlämnas ska personuppgiftsbiträdet säkerställa efterlevnaden av dessa klausuler.

1.

Namn: …

Adress: …

Kontaktpersonens namn, befattning och kontaktuppgifter: …

Underskrift och anslutningsdatum: …

2.

1.

Namn: …

Adress: …

Kontaktpersonens namn, befattning och kontaktuppgifter: …

Underskrift och anslutningsdatum: …

2.

Åtgärder för pseudonymisering och kryptering av personuppgifter.

Åtgärder för att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna.

Åtgärder för att säkerställa förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident.

Förfaranden för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärderna för att säkerställa behandlingens säkerhet.

Åtgärder för identifiering och godkännande av användare.

Åtgärder för skydd av uppgifter under överföring.

Åtgärder för skydd av uppgifter under lagring.

Åtgärder för att säkerställa fysisk säkerhet på platser där personuppgifter behandlas.

Åtgärder för att säkerställa loggning av händelser.

Åtgärder för att säkerställa systemkonfiguration, inklusive standardkonfiguration.

Åtgärder för intern it och styrning och hantering av it-säkerhet.

Åtgärder för certifiering/säkring av processer och produkter.

Åtgärder för att säkerställa uppgiftsminimering.

Åtgärder för att säkerställa datakvalitet.

Åtgärder för att säkerställa begränsad lagring av uppgifter.

Åtgärder för att säkerställa ansvarsskyldighet.

Åtgärder för att möjliggöra dataportabilitet och säkerställa radering.

1.

Namn: …

Adress: …

Kontaktpersonens namn, befattning och kontaktuppgifter: …

Beskrivning av behandlingen (inklusive en tydlig ansvarsfördelning om flera underleverantörer har godkänts): …

2.

…

a)

Syftet med dessa standardavtalsklausuler är att säkerställa överensstämmelse med kraven i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning) (1) vid överföring av personuppgifter till ett tredjeland.

b)

Parterna:

har kommit överens om dessa standardavtalsklausuler (klausulerna).

c)

Dessa klausuler är tillämpliga med avseende på överföring av personuppgifter enligt vad som anges i bilaga I.B.

d)

Det tillägg till dessa klausuler som innehåller de bilagor som det hänvisas till utgör en integrerad del av dessa klausuler.

a)

Genom dessa klausuler fastställs lämpliga skyddsåtgärder, däribland verkställbara rättigheter och effektiva rättsmedel för de registrerade enligt artikel 46.1 och artikel 46.2 c i förordning (EU) 2016/679 och, när det gäller överföring av personuppgifter från personuppgiftsansvariga till personuppgiftsbiträden och/eller från personuppgiftsbiträden till personuppgiftsbiträden, standardavtalsklausuler enligt artikel 28.7 i förordning (EU) 2016/679, under förutsättning att de inte ändras, förutom för att välja en eller flera lämpliga moduler eller lägga till eller uppdatera informationen i tillägget. Detta hindrar inte parterna från att inbegripa de standardavtalsklausuler som fastställs i dessa klausuler i ett mer övergripande avtal och/eller att lägga till andra klausuler eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med dessa klausuler eller påverkar de registrerades grundläggande rättigheter eller friheter.

b)

Dessa klausuler påverkar inte de skyldigheter som uppgiftsutföraren omfattas av med stöd av förordning (EU) 2016/679.

a)

Registrerade personer får åberopa och verkställa dessa klausuler, i egenskap av berättigade tredje parter, gentemot uppgiftsutföraren och/eller uppgiftsinföraren, med följande undantag:

b)

Led a påverkar inte de registrerades rättigheter enligt förordning (EU) 2016/679.

a)

Om begrepp som definieras i förordning (EU) 2016/679 används i dessa klausuler ska begreppen ha samma betydelse som i den förordningen.

b)

Dessa klausuler ska läsas och tolkas mot bakgrund av bestämmelserna i förordning (EU) 2016/679.

c)

Dessa klausuler ska inte tolkas på ett sätt som står i strid med de rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679.

a)

En enhet som inte är part i dessa klausuler får, efter överenskommelse med parterna, när som helst ansluta sig till dessa klausuler, antingen som uppgiftsutförare eller uppgiftsinförare, genom att fylla i tillägget och underteckna bilaga I.A.

b)

När den anslutande enheten har fyllt i tillägget och undertecknat bilaga I.A ska den bli en part i dessa klausuler och ha samma rättigheter och skyldigheter som en uppgiftsutförare eller uppgiftsinförare i enlighet med dess beteckning i bilaga I.A.

c)

Den anslutande enheten ska inte ha några rättigheter eller skyldigheter enligt dessa klausuler från perioden innan enheten blev en part.

i)

om han eller hon har fått den registrerades förhandssamtycke,

ii)

om det är nödvändigt för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden, eller

iii)

om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

a)

För att se till att de registrerade har möjlighet att utöva sina rättigheter enligt klausul 10 ska uppgiftsinföraren informera dem, antingen direkt eller genom uppgiftsutföraren,

b)

Led a är inte tillämpligt om den registrerade redan har tillgång till denna information, till exempel om informationen redan har tillhandahållits av uppgiftsutföraren, eller om det visar sig vara omöjligt att tillhandahålla informationen eller om det medför en oproportionerlig börda för uppgiftsinföraren. I det sistnämnda fallet ska uppgiftsinföraren, i största möjliga utsträckning, göra informationen allmänt tillgänglig.

c)

På begäran ska parterna tillhandahålla en kopia av dessa klausuler, inklusive tillägget när det har fyllts i av dem, till den registrerade utan kostnad. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive personuppgifter, får parterna redigera delar av texten i tillägget innan en kopia tillhandahålls, men de måste bifoga en meningsfull sammanfattning om den registrerade annars inte skulle kunna förstå dess innehåll eller utöva sina rättigheter. På begäran ska parterna tillhandahålla skälen till redigeringen till den registrerade, i möjligaste mån utan att avslöja de redigerade uppgifterna.

d)

Leden a–c påverkar inte uppgiftsutförarens skyldigheter enligt artiklarna 13 och 14 i förordning (EU) 2016/679.

a)

Varje part ska säkerställa att personuppgifterna är korrekta och, vid behov, uppdaterade. Uppgiftsinföraren ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga, med hänsyn till behandlingens ändamål, raderas eller rättas utan dröjsmål.

b)

Om en av parterna får kännedom om att de personuppgifter som den har överfört eller tagit emot är felaktiga, eller har blivit inaktuella, ska den informera den andra parten utan onödigt dröjsmål.

c)

Uppgiftsinföraren ska säkerställa att personuppgifterna är adekvata, relevanta och begränsade till vad som är nödvändigt med tanke på behandlingens ändamål.

a)

Uppgiftsinföraren, och under överföring även uppgiftsutföraren, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa personuppgifternas säkerhet, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska de ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för den registrerade i samband med behandlingen. Parterna ska i synnerhet överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt.

b)

Parterna har kommit överens om de tekniska och organisatoriska åtgärder som fastställs i bilaga II. Uppgiftsinföraren ska göra regelbundna kontroller för att säkerställa att dessa åtgärder även fortsättningsvis ger en lämplig säkerhetsnivå.

c)

Uppgiftsinföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

d)

I händelse av en personuppgiftsincident som gäller uppgifter som har behandlats av uppgiftsinföraren enligt dessa klausuler ska uppgiftsinföraren vidta lämpliga åtgärder för att hantera personuppgiftsincidenten, däribland åtgärder för att mildra dess möjliga negativa konsekvenser.

e)

I händelse av en personuppgiftsincident som sannolikt kommer att leda till risker för fysiska personers rättigheter och friheter ska uppgiftsinföraren utan onödigt dröjsmål meddela både uppgiftsutföraren och den behöriga tillsynsmyndigheten enligt klausul 13. Meddelandet ska innehålla i) en beskrivning av incidentens karaktär (inbegripet, om möjligt, vilka kategorier och det ungefärliga antalet registrerade och personuppgiftsregister som berörs), ii) dess sannolika konsekvenser, iii) vilka åtgärder som har vidtagits eller föreslagits för att hantera incidenten och iv) uppgifter om en kontaktpunkt som kan lämna mer information. Om det inte är möjligt för uppgiftsinföraren att tillhandahålla all information vid samma tillfälle kan han eller hon göra detta i omgångar utan onödigt dröjsmål.

f)

I händelse av en personuppgiftsincident som sannolikt kommer att leda till stora risker för fysiska personers rättigheter och friheter ska uppgiftsinföraren även, utan onödigt dröjsmål, informera de berörda registrerade om personuppgiftsincidenten och dess karaktär, vid behov i samarbete med uppgiftsutföraren, tillsammans med den information som avses i led e ii–iv, såvida inte uppgiftsinföraren har genomfört åtgärder för att avsevärt minska riskerna för fysiska personers rättigheter eller friheter, eller om detta skulle medföra oproportionerliga ansträngningar. I det sistnämnda fallet ska uppgiftsinföraren i stället utfärda ett offentligt tillkännagivande eller vidta en liknande åtgärd för att informera allmänheten om personuppgiftsincidenten.

g)

Uppgiftsinföraren ska dokumentera alla relevanta omständigheter kring personuppgiftsincidenten, däribland dess konsekvenser och eventuella korrigerande åtgärder som vidtagits, och föra ett register över dokumentationen.

i)

om den sker till ett land som omfattas av ett beslut om adekvat skyddsnivå enligt artikel 45 i förordning (EU) 2016/679 som täcker den vidare överföringen,

ii)

om den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder enligt artikel 46 eller 47 i förordning (EU) 2016/679 med avseende på behandlingen i fråga,

iii)

om den tredje parten ingår ett bindande instrument med uppgiftsinföraren som säkerställer samma nivå av skydd som dessa klausuler, och om uppgiftsinföraren förser uppgiftsutföraren med en kopia av dessa skyddsåtgärder,

iv)

om det är nödvändigt för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden,

v)

om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person, eller

vi)

om inget av de andra villkoren är tillämpligt, om uppgiftsinföraren har fått den registrerades uttryckliga samtycke för vidare överföring i en särskild situation, efter att ha informerat honom/henne om överföringens ändamål, mottagarens identitet och de möjliga riskerna för honom/henne vid en sådan överföring på grund av bristen på lämpliga skyddsåtgärder för personuppgifter. I sådana fall ska uppgiftsinföraren informera uppgiftsutföraren och, på begäran av denne, tillhandahålla en kopia av den information som lämnats till den registrerade.

a)

Varje part ska kunna visa att de fullgör sina skyldigheter enligt dessa klausuler. Framför allt ska uppgiftsinföraren föra lämplig dokumentation över den behandling som utförs inom hans eller hennes ansvarsområde.

b)

Uppgiftsinföraren ska göra denna dokumentation tillgänglig för den behöriga tillsynsmyndigheten på begäran.

a)

Uppgiftsinföraren ska endast behandla personuppgifterna enligt dokumenterade instruktioner från uppgiftsutföraren. Uppgiftsutföraren får ge sådana instruktioner under hela avtalets giltighetstid.

b)

Uppgiftsinföraren ska omedelbart informera uppgiftsutföraren om han eller hon inte kan följa dessa instruktioner.

a)

Uppgiftsinföraren, och under överföring även uppgiftsutföraren, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst till uppgifterna (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska parterna ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för de registrerade i samband med behandlingen. Parterna ska i synnerhet överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt. Vid användning av pseudonymisering ska uppgiftsutföraren om möjligt behålla sin fullständiga kontroll över den ytterligare information som krävs för att knyta personuppgifterna till en viss registrerad. För att fullgöra sina skyldigheter enligt denna punkt ska uppgiftsinföraren åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga II. Uppgiftsinföraren ska göra regelbundna kontroller för att säkerställa att dessa åtgärder även fortsättningsvis ger en lämplig säkerhetsnivå.

b)

Uppgiftsinföraren ska endast ge sin personal tillgång till personuppgifterna i den utsträckning det är absolut nödvändigt för att genomföra, förvalta och övervaka avtalet. Uppgiftsinföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

c)

I händelse av en personuppgiftsincident som gäller uppgifter som har behandlats av uppgiftsinföraren enligt dessa klausuler ska uppgiftsinföraren vidta lämpliga åtgärder för att hantera incidenten, däribland åtgärder för att mildra dess negativa konsekvenser. Uppgiftsinföraren ska även meddela uppgiftsutföraren utan onödigt dröjsmål efter att ha fått kännedom om incidenten. Meddelandet ska innehålla uppgifter om en kontaktpunkt som kan lämna mer information, en beskrivning av incidentens karaktär (inbegripet, om möjligt, vilka kategorier och det ungefärliga antalet registrerade och personuppgiftsregister som berörs), dess sannolika konsekvenser samt vilka åtgärder som har vidtagits eller föreslagits för att hantera incidenten, däribland, i tillämpliga fall, åtgärder för att mildra dess möjliga negativa konsekvenser. Om, och i den mån, det inte är möjligt att tillhandahålla all information vid samma tillfälle ska det inledande meddelandet innehålla den information som då finns tillgänglig, varefter ytterligare information ska tillhandahållas utan onödigt dröjsmål efterhand som den blir tillgänglig.

d)

Uppgiftsinföraren ska samarbeta med och bistå uppgiftsutföraren så att uppgiftsutföraren kan fullgöra sina skyldigheter enligt förordning (EU) 2016/679, framför allt att meddela den behöriga tillsynsmyndigheten och de berörda registrerade, med beaktande av behandlingens karaktär och den information som finns tillgänglig för uppgiftsinföraren.

i)

om den vidare överföringen sker till ett land som omfattas av ett beslut om adekvat skyddsnivå enligt artikel 45 i förordning (EU) 2016/679 som täcker den vidare överföringen,

ii)

om den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder enligt artikel 46 eller 47 i förordning (EU) 2016/679 med avseende på behandlingen i fråga,

iii)

om den vidare överföringen är nödvändig för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden, eller

iv)

om den vidare överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

a)

Uppgiftsinföraren ska skyndsamt och på ett lämpligt sätt hantera förfrågningar från uppgiftsutföraren angående behandlingen enligt dessa klausuler.

b)

Parterna ska kunna visa att de uppfyller kraven i dessa klausuler. Framför allt ska uppgiftsinföraren föra lämplig dokumentation över den behandling som utförts på uppdrag av uppgiftsutföraren.

c)

Uppgiftsinföraren ska se till att uppgiftsutföraren har tillgång till all information som behövs för att visa att de skyldigheter som fastställs i dessa klausuler har fullgjorts och, på uppgiftsutförarens begäran, möjliggöra och bidra till revisioner av den behandling som omfattas av dessa klausuler med rimliga mellanrum eller om det finns indikationer på bristande efterlevnad. När beslut fattas om en granskning eller revision får uppgiftsutföraren ta hänsyn till relevanta intyg som innehas av uppgiftsinföraren.

d)

Uppgiftsutföraren får välja att utföra revisionen själv eller anlita en oberoende revisor. Revisionerna får omfatta inspektioner i uppgiftsinförarens lokaler eller fysiska anläggningar och ska, om så är lämpligt, utföras med rimligt varsel.

e)

Parterna ska se till att den information som avses i leden b och c, inklusive resultaten av eventuella revisioner, finns tillgänglig för den behöriga tillsynsmyndigheten på begäran.

a)

Uppgiftsutföraren har informerat uppgiftsinföraren om att han eller hon agerar i egenskap av personuppgiftsbiträde enligt den eller de personuppgiftsansvarigas instruktioner, vilka uppgiftsutföraren ska göra tillgängliga för uppgiftsinföraren före behandlingen.

b)

Uppgiftsinföraren ska endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, vilka uppgiftsutföraren ska tillhandahålla uppgiftsinföraren, och eventuella ytterligare dokumenterade instruktioner från uppgiftsutföraren. Sådana ytterligare instruktioner får inte stå i strid med den personuppgiftsansvariges instruktioner. Den personuppgiftsansvarige eller uppgiftsutföraren får ge ytterligare dokumenterade instruktioner avseende behandlingen av personuppgifter under hela avtalets giltighetstid.

c)

Uppgiftsinföraren ska omedelbart informera uppgiftsutföraren vid eventuell oförmåga att följa dessa instruktioner. Om uppgiftsinföraren inte kan följa den personuppgiftsansvariges instruktioner ska uppgiftsutföraren omedelbart informera den personuppgiftsansvarige.

d)

Uppgiftsutföraren garanterar att han eller hon har ålagt uppgiftsinföraren samma skyldigheter i fråga om uppgiftsskydd som fastställs i avtalet eller annan rättsakt enligt unionens eller medlemsstaternas lagstiftning mellan den personuppgiftsansvarige och uppgiftsutföraren (5).

a)

Uppgiftsinföraren, och under överföring även uppgiftsutföraren, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst till uppgifterna (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska de ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för den registrerade i samband med behandlingen. Parterna ska i synnerhet överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt. Vid användning av pseudonymisering ska uppgiftsutföraren eller den personuppgiftsansvarige om möjligt behålla sin fullständiga kontroll över den ytterligare information som krävs för att knyta personuppgifterna till en viss registrerad. För att fullgöra sina skyldigheter enligt denna punkt ska uppgiftsinföraren åtminstone genomföra de tekniska och organisatoriska åtgärder som anges i bilaga II. Uppgiftsinföraren ska göra regelbundna kontroller för att säkerställa att dessa åtgärder även fortsättningsvis ger en lämplig säkerhetsnivå.

b)

Uppgiftsinföraren ska endast ge sin personal tillgång till uppgifterna i den utsträckning det är absolut nödvändigt för att genomföra, förvalta och övervaka avtalet. Uppgiftsinföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

c)

I händelse av en personuppgiftsincident som gäller uppgifter som har behandlats av uppgiftsinföraren enligt dessa klausuler ska uppgiftsinföraren vidta lämpliga åtgärder för att hantera incidenten, däribland åtgärder för att mildra dess negativa konsekvenser. Uppgiftsinföraren ska även, utan onödigt dröjsmål, meddela uppgiftsutföraren och, om det är lämpligt och genomförbart, den personuppgiftsansvarige efter att ha fått kännedom om incidenten. Meddelandet ska innehålla uppgifter om en kontaktpunkt som kan lämna mer information, en beskrivning av incidentens karaktär (inbegripet, om möjligt, vilka kategorier och det ungefärliga antalet registrerade och personuppgiftsregister som berörs), dess sannolika konsekvenser samt vilka åtgärder som har vidtagits eller föreslagits för att hantera incidenten, däribland åtgärder för att mildra dess möjliga negativa konsekvenser. Om, och i den mån, det inte är möjligt att tillhandahålla all information vid samma tillfälle ska det inledande meddelandet innehålla den information som då finns tillgänglig, varefter ytterligare information ska tillhandahållas utan onödigt dröjsmål efterhand som den blir tillgänglig.

d)

Uppgiftsinföraren ska samarbeta med och bistå uppgiftsutföraren så att uppgiftsutföraren kan fullgöra sina skyldigheter enligt förordning (EU) 2016/679, framför allt att meddela den personuppgiftsansvarige så att denne i sin tur kan meddela den behöriga tillsynsmyndigheten och de berörda registrerade, med beaktande av behandlingens karaktär och den information som finns tillgänglig för uppgiftsinföraren.

i)

om den vidare överföringen sker till ett land som omfattas av ett beslut om adekvat skyddsnivå enligt artikel 45 i förordning (EU) 2016/679 som täcker den vidare överföringen,

ii)

om den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder enligt artikel 46 eller 47 i förordning (EU) 2016/679,

iii)

om den vidare överföringen är nödvändig för att fastställa, göra gällande eller försvara ett rättsligt anspråk i samband med särskilda administrativa, tillsynsrelaterade eller rättsliga förfaranden, eller

iv)

om den vidare överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

a)

Uppgiftsinföraren ska skyndsamt och på lämpligt sätt hantera förfrågningar från uppgiftsutföraren eller den personuppgiftsansvarige angående behandlingen enligt dessa klausuler.

b)

Parterna ska kunna visa att de uppfyller kraven i dessa klausuler. Framför allt ska uppgiftsinföraren föra lämplig dokumentation över den behandling som utförts på uppdrag av den personuppgiftsansvarige.

c)

Uppgiftsinföraren ska se till att uppgiftsutföraren får tillgång till all information som behövs för att visa att de skyldigheter som fastställs i dessa klausuler har fullgjorts; uppgiftsutföraren ska sedan vidarebefordra denna information till den personuppgiftsansvarige.

d)

Uppgiftsinföraren ska möjliggöra och bidra till uppgiftsutförarens revisioner av den behandling som omfattas av dessa klausuler, med rimliga mellanrum eller om det finns indikationer på bristande efterlevnad. Detsamma ska gälla om uppgiftsutföraren begär en revision enligt instruktioner från den personuppgiftsansvarige. När beslut fattas om en revision får uppgiftsutföraren ta hänsyn till relevanta intyg som innehas av uppgiftsinföraren.

e)

Om revisionen utförs efter den personuppgiftsansvariges instruktioner ska uppgiftsutföraren göra resultaten tillgängliga för den personuppgiftsansvarige.

f)

Uppgiftsutföraren får välja att utföra revisionen själv eller anlita en oberoende revisor. Revisionerna får omfatta inspektioner i uppgiftsinförarens lokaler eller fysiska anläggningar och ska, om så är lämpligt, utföras med rimligt varsel.

g)

Parterna ska se till att den information som avses i leden b och c, inklusive resultaten av eventuella revisioner, finns tillgänglig för den behöriga tillsynsmyndigheten på begäran.

a)

Uppgiftsutföraren ska endast behandla personuppgifterna enligt dokumenterade instruktioner från den uppgiftsinförare som agerar som dess personuppgiftsansvarige.

b)

Uppgiftsutföraren ska omedelbart informera uppgiftsinföraren om han eller hon inte kan följa dessa instruktioner, däribland om instruktionerna bryter mot förordning (EU) 2016/679 eller någon annan dataskyddslagstiftning i unionen eller medlemsstaterna.

c)

Uppgiftsinföraren ska avstå från varje åtgärd som skulle hindra uppgiftsutföraren från att fullgöra sina skyldigheter enligt förordning (EU) 2016/679, däribland vid anlitande av en underentreprenör eller när det gäller samarbete med de behöriga tillsynsmyndigheterna.

d)

När tillhandahållandet av behandlingstjänsterna har avslutats ska uppgiftsutföraren, enligt uppgiftsinförarens val, radera alla personuppgifter som behandlats på uppdrag av uppgiftsinföraren och intyga för uppgiftsinföraren att detta har skett, eller till uppgiftsinföraren återlämna alla personuppgifter som har behandlats på uppdrag av uppgiftsinföraren och radera befintliga kopior.

a)

Parterna ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa uppgifternas säkerhet, även under överföring, däribland genom skydd mot säkerhetsbrott som skulle leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande eller obehörig åtkomst (personuppgiftsincident). Vid bedömning av lämplig säkerhetsnivå ska de ta vederbörlig hänsyn till de senaste rönen, kostnaderna för genomförandet, personuppgifternas karaktär (7), behandlingens karaktär, omfattning, sammanhang och ändamål samt riskerna för de registrerade i samband med behandlingen, och särskilt överväga att använda kryptering eller pseudonymisering, även under överföringen, om ändamålet med behandlingen kan uppfyllas på detta sätt.

b)

Uppgiftsutföraren ska bistå uppgiftsinföraren med att säkerställa en lämplig säkerhetsnivå för uppgifterna i enlighet med led a. I händelse av en personuppgiftsincident som gäller personuppgifter som har behandlats av uppgiftsutföraren enligt dessa klausuler ska uppgiftsutföraren utan onödigt dröjsmål meddela uppgiftsinföraren efter att ha fått kännedom om incidenten och bistå uppgiftsinföraren i hanteringen av densamma.

c)

Uppgiftsutföraren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

a)

Parterna ska kunna visa att de uppfyller kraven i dessa klausuler.

b)

Uppgiftsutföraren ska se till att uppgiftsinföraren får tillgång till all information som behövs för att visa att skyldigheterna enligt dessa klausuler har fullgjorts och för att möjliggöra och bidra till revisioner.

a)

ALTERNATIV 1: SÄRSKILT FÖRHANDSTILLSTÅND Uppgiftsinföraren får inte utkontraktera någon av sina behandlingar som utförs på uppdrag av uppgiftsutföraren enligt dessa klausuler till en underentreprenör utan ett särskilt skriftligt förhandstillstånd från uppgiftsutföraren. Uppgiftsinföraren ska lämna in en ansökan om ett särskilt förhandstillstånd minst [ange tidsperiod] före anlitandet av underentreprenören, tillsammans med den information som krävs för att uppgiftsutföraren ska kunna fatta ett beslut om tillståndet. Förteckningen över underentreprenörer som redan godkänts av uppgiftsutföraren finns i bilaga III. Parterna ska se till att bilaga III är uppdaterad.

ALTERNATIV 2: ALLMÄNT SKRIFTLIGT TILLSTÅND Uppgiftsinföraren har uppgiftsutförarens allmänna tillstånd att anlita en eller flera underentreprenörer i en överenskommen förteckning. Uppgiftsinföraren ska informera uppgiftsutföraren skriftligen om alla planerade ändringar av förteckningen genom tillägg eller ersättning av underentreprenörer minst [ange tidsperiod] i förväg, så att uppgiftsutföraren har tillräckligt med tid för att invända mot sådana ändringar före anlitandet av underentreprenören(-erna). Uppgiftsinföraren ska ge uppgiftsutföraren all information som behövs för att uppgiftsutföraren ska kunna utöva sin rätt att göra invändningar.

b)

Om uppgiftsinföraren anlitar en underentreprenör för att utföra särskilda behandlingar (på uppdrag av uppgiftsutföraren) ska han eller hon göra detta genom ett skriftligt avtal som, i sak, innehåller samma skyldigheter i fråga om dataskydd som de avtal som är bindande för uppgiftsinföraren enligt dessa klausuler, däribland vad gäller de registrerades rättigheter som berättigade tredje parter (8). Parterna är överens om att uppgiftsinföraren, genom att uppfylla kraven i denna klausul, fullgör sina skyldigheter enligt klausul 8.8. Uppgiftsinföraren ska säkerställa att underentreprenören fullgör de skyldigheter som uppgiftsinföraren omfattas av enligt dessa klausuler.

c)

Uppgiftsinföraren ska, på uppgiftsutförarens begäran, tillhandahålla en kopia av avtalet med underentreprenören och eventuella senare ändringar till uppgiftsutföraren. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive personuppgifter, får uppgiftsinföraren redigera texten i avtalet innan en kopia tillhandahålls.

d)

Uppgiftsinföraren ska fortsatt vara fullt ansvarig inför uppgiftsutföraren för fullgörandet av underentreprenörens skyldigheter inom ramen för dennes avtal med uppgiftsinföraren. Uppgiftsinföraren ska meddela uppgiftsutföraren om underentreprenören underlåter att fullgöra sina skyldigheter inom ramen för avtalet.

e)

Uppgiftsinföraren ska komma överens om en klausul om tredjepartsberättigande med underentreprenören, varigenom uppgiftsutföraren – om uppgiftsinföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd – ska ha rätt att säga upp avtalet med underentreprenören och beordra underentreprenören att radera eller återlämna personuppgifterna.

a)

ALTERNATIV 1: SÄRSKILT FÖRHANDSTILLSTÅND Uppgiftsinföraren får inte utkontraktera någon av sina behandlingar som utförs på uppdrag av uppgiftsutföraren enligt dessa klausuler till en underentreprenör utan ett särskilt skriftligt förhandstillstånd från den personuppgiftsansvarige. Uppgiftsinföraren ska lämna in en ansökan om ett särskilt förhandstillstånd minst [ange tidsperiod] före anlitandet av underentreprenören, tillsammans med den information som behövs för att den personuppgiftsansvarige ska kunna fatta ett beslut om tillståndet. Uppgiftsinföraren ska informera uppgiftsutföraren om anlitandet. Förteckningen över underentreprenörer som redan godkänts av den personuppgiftsansvarige finns i bilaga III. Parterna ska se till att bilaga III är uppdaterad.

ALTERNATIV 2: ALLMÄNT SKRIFTLIGT TILLSTÅND Uppgiftsinföraren har den personuppgiftsansvariges allmänna tillstånd att anlita en eller flera underentreprenörer i en överenskommen förteckning. Uppgiftsinföraren ska informera den personuppgiftsansvarige skriftligen om alla planerade ändringar av förteckningen genom tillägg eller ersättning av underentreprenörer minst [ange tidsperiod] i förväg, så att den personuppgiftsansvarige har tillräckligt med tid för att invända mot sådana ändringar före anlitandet av underentreprenören(-erna). Uppgiftsinföraren ska ge den personuppgiftsansvarige all information som behövs för att den personuppgiftsansvarige ska kunna utöva sin rätt att göra invändningar. Uppgiftsinföraren ska informera uppgiftsutföraren om anlitandet av underentreprenören(-erna).

b)

Om uppgiftsinföraren anlitar en underentreprenör för att utföra särskilda behandlingar (på uppdrag av den personuppgiftsansvarige) ska han eller hon göra detta genom ett skriftligt avtal som, i sak, innehåller samma skyldigheter i fråga om dataskydd som de avtal som är bindande för uppgiftsinföraren enligt dessa klausuler, däribland vad gäller de registrerades rättigheter som berättigade tredje parter (9). Parterna är överens om att uppgiftsinföraren, genom att uppfylla kraven i denna klausul, fullgör sina skyldigheter enligt klausul 8.8. Uppgiftsinföraren ska säkerställa att underentreprenören fullgör de skyldigheter som uppgiftsinföraren omfattas av enligt dessa klausuler.

c)

Uppgiftsinföraren ska, på uppgiftsutförarens eller den personuppgiftsansvariges begäran, tillhandahålla en kopia av avtalet med underentreprenören och eventuella senare ändringar. I den mån det är nödvändigt för att skydda affärshemligheter eller andra konfidentiella uppgifter, inklusive personuppgifter, får uppgiftsinföraren redigera texten i avtalet innan en kopia tillhandahålls.

d)

Uppgiftsinföraren ska fortsatt vara fullt ansvarig inför uppgiftsutföraren för fullgörandet av underentreprenörens skyldigheter inom ramen för dennes avtal med uppgiftsinföraren. Uppgiftsinföraren ska meddela uppgiftsutföraren om underentreprenören underlåter att fullgöra sina skyldigheter inom ramen för avtalet.

e)

Uppgiftsinföraren ska komma överens om en klausul om tredjepartsberättigande med underentreprenören, varigenom uppgiftsutföraren – om uppgiftsinföraren har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd – ska ha rätt att säga upp avtalet med underentreprenören och beordra underentreprenören att radera eller återlämna personuppgifterna.

a)

Uppgiftsinföraren ska, i relevanta fall med bistånd från uppgiftsutföraren, hantera eventuella förfrågningar och begäranden från en registrerad avseende behandlingen av hans/hennes personuppgifter och utövandet av hans/hennes rättigheter enligt dessa klausuler utan onödigt dröjsmål och senast inom en månad efter mottagandet av förfrågningen eller begäran. (10) Uppgiftsinföraren ska vidta lämpliga åtgärder för att underlätta sådana förfrågningar och begäranden och utövandet av den registrerades rättigheter. All information till den registrerade ska tillhandahållas i ett begripligt och lättillgängligt format, med ett tydligt och enkelt språk.

b)

Uppgiftsinföraren ska i synnerhet, på begäran av den registrerade, utan kostnad

c)

Om uppgiftsinföraren behandlar personuppgifterna för direkt marknadsföring ska han eller hon upphöra med behandlingen för sådana ändamål om den registrerade motsätter sig det.

d)

Uppgiftsinföraren får inte fatta beslut som endast baseras på automatisk behandling av de överförda personuppgifterna (databehandlat beslut), vilket skulle medföra rättsverkningar för den registrerade eller på liknande sätt avsevärt påverka honom/henne, såvida inte den registrerade har gett sitt uttryckliga samtycke eller om uppgiftsinföraren har tillstånd att göra detta enligt det mottagande landets lagar, förutsatt att de föreskriver lämpliga åtgärder för att skydda den registrerades rättigheter och berättigade intressen. I sådana fall ska uppgiftsinföraren, vid behov i samarbete med uppgiftsutföraren,

e)

Om en registrerad person lämnar in ett överdrivet antal begäranden, i synnerhet om de har en repetitiv karaktär, får uppgiftsinföraren antingen ta ut en rimlig avgift med beaktande av de administrativa kostnaderna för beviljandet av begäran eller vägra att hantera begäran.

f)

Uppgiftsinföraren får avvisa en begäran från en registrerad person om avvisandet är tillåtet enligt det mottagande landets lagstiftning, och om det är nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda ett av de mål som anges i artikel 23.1 i förordning (EU) 2016/679.

g)

Om uppgiftsinföraren har för avsikt att avvisa en begäran från en registrerad ska han eller hon informera den registrerade om skälen till avvisandet och om möjligheten att inge ett klagomål till den behöriga tillsynsmyndigheten och/eller begära rättslig prövning.

a)

Uppgiftsinföraren ska skyndsamt meddela uppgiftsutföraren om varje begäran från en registrerad. Uppgiftsinföraren ska inte själv besvara begäran, såvida inte han eller hon har fått tillstånd att göra detta av uppgiftsutföraren.

b)

Uppgiftsinföraren ska bistå uppgiftsutföraren med att fullgöra dennes skyldigheter att tillgodose de registrerades begäranden om att utöva sina rättigheter enligt förordning (EU) 2016/679. I detta avseende ska parterna fastställa lämpliga tekniska och organisatoriska åtgärder i bilaga II, med beaktande av behandlingens karaktär, genom vilka biståndet ska tillhandahållas, såväl som tillämpningsområdet för och omfattningen av det bistånd som begärs.

c)

När uppgiftsinföraren fullgör sina skyldigheter enligt leden a och b ska han eller hon följa uppgiftsutförarens instruktioner.

a)

Uppgiftsinföraren ska skyndsamt meddela uppgiftsutföraren och, om så är lämpligt, den personuppgiftsansvarige om varje begäran som tas emot från en registrerad, utan att besvara begäran såvida inte han eller hon har den personuppgiftsansvariges tillstånd att göra detta.

b)

Uppgiftsinföraren ska bistå den personuppgiftsansvarige, i tillämpliga fall i samarbete med uppgiftsutföraren, med att fullgöra dennes skyldigheter att tillgodose de registrerades begäranden om att utöva sina rättigheter enligt förordning (EU) 2016/679 eller förordning (EU) 2018/1725, enligt vad som är tillämpligt. I detta avseende ska parterna fastställa lämpliga tekniska och organisatoriska åtgärder i bilaga II, med beaktande av behandlingens karaktär, genom vilka biståndet ska tillhandahållas, såväl som tillämpningsområdet för och omfattningen av det bistånd som begärs.

c)

När uppgiftsinföraren fullgör sina skyldigheter enligt leden a och b ska han eller hon följa den personuppgiftsansvariges instruktioner, vilka meddelas av uppgiftsutföraren.

a)

Uppgiftsinföraren ska informera de registrerade i ett öppet och lättillgängligt format, genom enskilda meddelanden eller på sin webbplats, om en kontaktpunkt som har tillstånd att hantera klagomål. Uppgiftsinföraren ska skyndsamt hantera varje klagomål som tas emot från en registrerad.

[ALTERNATIV: Uppgiftsinföraren samtycker till att registrerade även får inge klagomål till ett oberoende tvistlösningsorgan (11) utan kostnad för den registrerade. Uppgiftsinföraren ska informera de registrerade, på det sätt som anges i led a, om denna mekanism för prövning och om att de inte måste använda den eller följa en viss ordning när de begär prövning.]

b)

Om en tvist uppstår mellan en registrerad och en av parterna när det gäller efterlevnaden av dessa klausuler ska den parten göra sitt yttersta för att lösa tvisten i godo på ett skyndsamt sätt. Parterna ska informera varandra om sådana tvister och, i tillämpliga fall, samarbeta för att lösa dem.

c)

Om den registrerade åberopar en rättighet som berättigad tredje part enligt klausul 3 ska uppgiftsinföraren godta den registrerades beslut att

d)

Parterna godtar att den registrerade får företrädas av ett organ, en organisation eller sammanslutning utan vinstsyfte enligt de villkor som fastställs i artikel 80.1 i förordning (EU) 2016/679.

e)

Uppgiftsinföraren ska följa ett beslut som är bindande enligt tillämplig lagstiftning i EU eller medlemsstaterna.

f)

Uppgiftsinföraren är införstådd med att det val som gjorts av den registrerade inte kommer att påverka hans/hennes materiella och processuella rättigheter att begära prövning i enlighet med tillämplig lagstiftning.

a)

Varje part ska vara ansvarig inför den andra parten eller de andra parterna för eventuella skador den orsakar den andra parten eller de andra parterna genom överträdelse av dessa klausuler.

b)

Varje part ska vara ansvarig inför den registrerade, och den registrerade ska ha rätt till ersättning, för varje materiell eller immateriell skada som parten orsakar den registrerade genom att kränka rättigheterna för en berättigad tredje part enligt dessa klausuler. Detta påverkar inte uppgiftsutförarens ansvarsskyldighet enligt förordning (EU) 2016/679.

c)

Om fler än en part är ansvariga för eventuell skada som orsakats den registrerade till följd av en överträdelse av dessa klausuler ska alla ansvarsskyldiga parter vara solidariskt ansvariga, och den registrerade ska ha rätt att väcka talan i domstol mot var och en av dessa parter.

d)

Parterna är överens om att en part som hålls ansvarig enligt led c ska ha rätt att återkräva från den andra parten eller de andra parterna den del av ersättningen som motsvarar dess/deras ansvarsskyldighet för skadan.

e)

Uppgiftsinföraren får inte åberopa ett personuppgiftsbiträdes eller en underentreprenörs uppförande för att undvika sitt eget ansvar.

a)

Varje part ska vara ansvarig inför den andra parten eller de andra parterna för eventuella skador den orsakar den andra parten eller de andra parterna genom överträdelse av dessa klausuler.

b)

Uppgiftsinföraren ska vara ansvarig inför den registrerade, och den registrerade ska ha rätt till ersättning, för varje materiell eller immateriell skada som uppgiftsinföraren eller dess underentreprenör orsakar den registrerade genom att kränka rättigheterna för en berättigad tredje part enligt dessa klausuler.

c)

Utan att det påverkar led b ska uppgiftsutföraren vara ansvarig inför den registrerade, och den registrerade ska ha rätt till ersättning, för varje materiell eller immateriell skada som uppgiftsutföraren eller uppgiftsinföraren (eller dess underentreprenör) orsakar den registrerade genom att kränka rättigheterna för en berättigad tredje part enligt dessa klausuler. Detta påverkar inte uppgiftsutförarens ansvarsskyldighet eller, om uppgiftsutföraren är ett personuppgiftsbiträde som agerar på uppdrag av en personuppgiftsansvarig, den personuppgiftsansvariges ansvarsskyldighet enligt förordning (EU) 2016/679 eller förordning (EU) 2018/1725, enligt vad som är tillämpligt.

d)

Parterna är överens om att en uppgiftsutförare som enligt led c hålls ansvarig för skada som orsakats av uppgiftsinföraren (eller dess underentreprenör) ska ha rätt att återkräva den del av ersättningen från uppgiftsinföraren som motsvarar dennes ansvarsskyldighet för skadan.

e)

Om fler än en part är ansvariga för eventuell skada som orsakats den registrerade till följd av en överträdelse av dessa klausuler ska alla ansvarsskyldiga parter vara solidariskt ansvariga, och den registrerade ska ha rätt att väcka talan i domstol mot var och en av dessa parter.

f)

Parterna är överens om att en part som hålls ansvarig enligt led e ska ha rätt att återkräva från den andra parten eller de andra parterna den del av ersättningen som motsvarar dess/deras ansvarsskyldighet för skadan.

g)

Uppgiftsinföraren får inte åberopa en underentreprenörs uppförande för att undvika sitt eget ansvar.

a)

[Om uppgiftsutföraren är etablerad i en av EU:s medlemsstater:] Den tillsynsmyndighet som har ansvar för att säkerställa uppgiftsutförarens efterlevnad av förordning (EU) 2016/679 när det gäller överföring av uppgifter, enligt vad som anges i bilaga I.C, ska fungera som behörig tillsynsmyndighet.

[Om uppgiftsutföraren inte är etablerad i en av EU:s medlemsstater, men omfattas av det territoriella tillämpningsområdet för förordning (EU) 2016/679 i enlighet med artikel 3.2 i den förordningen, och har utsett en företrädare enligt artikel 27.1 i förordning (EU) 2016/679:] Tillsynsmyndigheten i den medlemsstat i vilken företrädaren i den mening som avses i artikel 27.1 i förordning (EU) 2016/679 är etablerad, enligt vad som anges i bilaga I.C, ska fungera som behörig tillsynsmyndighet.

[Om uppgiftsutföraren inte är etablerad i en av EU:s medlemsstater, men omfattas av det territoriella tillämpningsområdet för förordning (EU) 2016/679 i enlighet med artikel 3.2 i den förordningen, dock utan att vara skyldig att utse en företrädare enligt artikel 27.2 i förordning (EU) 2016/679:] Tillsynsmyndigheten i en av de medlemsstater i vilken de registrerade vars personuppgifter överförs enligt dessa klausuler befinner sig i samband med utbjudandet av varor eller tjänster till dem, eller i samband med att deras beteende övervakas, enligt vad som anges i bilaga I.C, ska fungera som behörig tillsynsmyndighet.

b)

Uppgiftsinföraren samtycker till att godta den behöriga tillsynsmyndighetens behörighet och samarbeta med den i varje förfarande som syftar till att säkerställa efterlevnaden av dessa klausuler. Uppgiftsinföraren samtycker i synnerhet till att svara på förfrågningar, gå med på revisioner och iaktta de åtgärder som antagits av tillsynsmyndigheten, inbegripet korrigerande och kompenserade åtgärder. Uppgiftsinföraren ska ge tillsynsmyndigheten en skriftlig bekräftelse på att nödvändiga åtgärder har vidtagits.

a)

Parterna garanterar att de inte har någon anledning att misstänka att de lagar och förfaranden i det mottagande tredjelandet som är tillämpliga på uppgiftsinförarens behandling av personuppgifter, däribland eventuella krav på att lämna ut personuppgifter eller åtgärder för att bevilja åtkomst för offentliga myndigheter, hindrar uppgiftsinföraren från att fullgöra sina skyldigheter enligt dessa klausuler. Detta bygger på förutsättningen att lagar och förfaranden som är förenliga med andemeningen i de grundläggande rättigheterna och friheterna, och som inte går utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda de ändamål som anges i artikel 23.1 i förordning (EU) 2016/679, inte strider mot dessa klausuler.

b)

Genom att tillhandahålla den garanti som avses i led a intygar parterna att de har tagit vederbörlig hänsyn till särskilt följande aspekter:

c)

Uppgiftsinföraren garanterar att han eller hon, i samband med den bedömning som avses i led b, har gjort sitt yttersta för att ge uppgiftsutföraren relevant information, och samtycker till att fortsätta att samarbeta med uppgiftsutföraren för att säkerställa efterlevnaden av dessa klausuler.

d)

Parterna är överens om att dokumentera den bedömning som avses i led b och att på begäran göra den tillgänglig för den behöriga tillsynsmyndigheten.

e)

Uppgiftsinföraren samtycker till att skyndsamt meddela uppgiftsutföraren om han eller hon, efter att ha godkänt dessa klausuler och under hela avtalets giltighetstid, har anledning att misstänka att han eller hon är eller har blivit föremål för lagar eller förfaranden som inte stämmer överens med kraven i led a, däribland efter en ändring i lagarna i tredjelandet eller en åtgärd (såsom en begäran om utlämnande av uppgifter) som antyder att en tillämpning av sådana lagar i praktiken inte stämmer överens med kraven i led a. [För modul tre: Uppgiftsutföraren ska vidarebefordra meddelandet till den personuppgiftsansvarige.]

f)

Efter att ha tagit emot ett meddelande i enlighet med led e, eller om uppgiftsutföraren har andra anledningar att misstänka att uppgiftsinföraren inte längre kan fullgöra sina skyldigheter enligt dessa klausuler, ska uppgiftsutföraren skyndsamt fastställa lämpliga åtgärder (t.ex. tekniska eller organisatoriska åtgärder för att säkerställa säkerhet och konfidentialitet) som ska antas av uppgiftsutföraren och/eller uppgiftsinföraren för att hantera situationen [för modul tre:, i tillämpliga fall efter samråd med den personuppgiftsansvarige]. Uppgiftsutföraren ska avbryta överföringen av uppgifter om han eller hon anser att inga lämpliga skyddsåtgärder kan säkerställas för överföringen, eller efter att ha fått instruktioner från [för modul tre: den personuppgiftsansvarige eller] den behöriga tillsynsmyndigheten att göra det. I sådana fall ska uppgiftsutföraren ha rätt att säga upp avtalet i den mån det gäller behandling av personuppgifter enligt dessa klausuler. Om avtalet omfattar fler än två parter får uppgiftsutföraren utöva denna rätt att säga upp avtalet med endast den berörda parten, såvida inte parterna har kommit överens om annat. Om avtalet sägs upp enligt denna klausul ska klausul 16 d och e tillämpas.

a)

Uppgiftsinföraren samtycker till att skyndsamt meddela uppgiftsutföraren och, om så är möjligt, den registrerade (vid behov med hjälp av uppgiftsutföraren) om han eller hon

[För modul tre: Uppgiftsutföraren ska vidarebefordra meddelandet till den personuppgiftsansvarige.]

b)

Om uppgiftsinföraren är förbjuden att meddela uppgiftsutföraren och/eller den registrerade enligt det mottagande landets lagstiftning samtycker uppgiftsinföraren till att göra sitt yttersta för att få till stånd ett undantag från förbudet, för att kunna tillhandahålla så mycket information som möjligt inom kortast möjliga tid. Uppgiftsinföraren samtycker till att dokumentera sina ansträngningar för att kunna bekräfta dem på begäran av uppgiftsutföraren.

c)

Om det är tillåtet enligt det mottagande landets lagstiftning samtycker uppgiftsinföraren till att, med jämna mellanrum under hela avtalets giltighetstid, ge uppgiftsutföraren så mycket relevant information som möjligt om de begäranden som tagits emot (i synnerhet antalet begäranden, vilken typ av uppgifter som begärts, den eller de begärande myndigheterna, om begärandena har bestridits och resultaten av bestridandena etc.). [För modul tre: Uppgiftsutföraren ska vidarebefordra informationen till den personuppgiftsansvarige.]

d)

Uppgiftsinföraren samtycker till att lagra den information som avses i leden a–c under hela avtalets giltighetstid och göra den tillgänglig för den behöriga tillsynsmyndigheten på begäran.

e)

Leden a–c påverkar inte uppgiftsinförarens skyldighet enligt klausul 14 e och klausul 16 att skyndsamt informera uppgiftsutföraren om han eller hon inte kan uppfylla kraven i dessa klausuler.

a)

Uppgiftsinföraren samtycker till att granska lagligheten i begäran om utlämnande av uppgifter, särskilt om begäran omfattas av de befogenheter som har beviljats den begärande offentliga myndigheten, och att bestrida begäran om han eller hon, efter noggrann bedömning, drar slutsatsen att det finns rimliga skäl att betrakta begäran som olaglig enligt det mottagande landets lagstiftning, tillämpliga skyldigheter enligt internationell rätt och principen om internationell hövlighet. Uppgiftsinföraren ska, enligt samma villkor, fullfölja möjligheterna att överklaga. Om uppgiftsinföraren bestrider en begäran ska han eller hon vidta provisoriska åtgärder för att upphäva konsekvenserna av begäran tills den behöriga rättsliga myndigheten har fattat beslut i frågan. Uppgiftsinföraren får inte lämna ut de begärda personuppgifterna förrän han eller hon är skyldig att göra detta enligt tillämpliga förfaranderegler. Dessa krav påverkar inte uppgiftsinförarens skyldigheter enligt klausul 14 e.

b)

Uppgiftsinföraren samtycker till att dokumentera sin rättsliga bedömning och varje bestridande av begäran om utlämnande av uppgifter och, i den mån det är tillåtet enligt det mottagande landets lagstiftning, göra dokumentationen tillgänglig för uppgiftsutföraren. Uppgiftsinföraren ska även göra dokumentationen tillgänglig för den behöriga tillsynsmyndigheten på begäran. [För modul tre: Uppgiftsutföraren ska se till att den personuppgiftsansvarige får tillgång till bedömningen.]

c)

Uppgiftsinföraren samtycker till att tillhandahålla den minsta tillåtna mängden information när han eller hon besvarar en begäran om utlämnande av uppgifter, baserat på en rimlig tolkning av begäran.

a)

Uppgiftsinföraren ska skyndsamt informera uppgiftsutföraren om han eller hon inte kan uppfylla kraven i dessa klausuler, oavsett orsak.

b)

Om uppgiftsinföraren bryter mot dessa klausuler eller inte kan uppfylla kraven i dessa klausuler ska uppgiftsutföraren avbryta överföringen av personuppgifter till uppgiftsinföraren tills efterlevnaden åter har säkerställts eller avtalet har sagts upp. Detta påverkar inte tillämpningen av klausul 14 f.

c)

Uppgiftsutföraren ska ha rätt att säga upp avtalet i den mån det gäller behandlingen av personuppgifter enligt dessa klausuler om

I sådana fall ska uppgiftsutföraren informera den behöriga tillsynsmyndigheten [för modul tre: och den personuppgiftsansvarige] om denna bristande efterlevnad. Om avtalet omfattar fler än två parter får uppgiftsutföraren utöva denna rätt att säga upp avtalet med endast den berörda parten, såvida inte parterna har kommit överens om annat.

d)

[För modulerna ett, två och tre: Personuppgifter som överförts före uppsägningen av avtalet i enlighet med led c ska efter uppgiftsutförarens eget val omedelbart återlämnas till uppgiftsutföraren eller raderas i sin helhet. Detsamma ska gälla för eventuella kopior av uppgifterna.] [För modul fyra: Personuppgifter som samlats in av uppgiftsutföraren i EU och som överförts före uppsägningen av avtalet enligt led c ska omedelbart raderas i sin helhet, inklusive eventuella kopior.] Uppgiftsinföraren ska intyga för uppgiftsutföraren att uppgifterna har raderats. Till dess att uppgifterna raderats eller återlämnats ska uppgiftsinföraren fortsätta att se till att dessa klausuler följs. Om återlämnande eller radering av de överförda personuppgifterna är förbjudet enligt lokal lagstiftning som är tillämplig för uppgiftsinföraren ska uppgiftsinföraren garantera att han eller hon kommer att fortsätta att uppfylla kraven i dessa klausuler och endast kommer att behandla personuppgifterna i den utsträckning och under den tid som krävs enligt den lokala lagstiftningen.

e)

Endera parten får återkalla sin överenskommelse om att vara bunden av dessa klausuler om i) Europeiska kommissionen antar ett beslut i enlighet med artikel 45.3 i förordning (EU) 2016/679 som omfattar den överföring av personuppgifter som dessa klausuler gäller för, eller ii) förordning (EU) 2016/679 blir en del av den rättsliga ramen i det land till vilket personuppgifterna överförs. Detta påverkar inte övriga skyldigheter som är tillämpliga på behandlingen i fråga enligt förordning (EU) 2016/679.

a)

Varje tvist som uppstår på grund av dessa klausuler ska lösas av domstolarna i en medlemsstat i EU.

b)

Parterna är överens om att dessa ska vara domstolarna i _______ (ange medlemsstat).

c)

En registrerad får även inleda rättsliga förfaranden mot uppgiftsutföraren och/eller uppgiftsinföraren vid domstolarna i den medlemsstat där han/hon har sin stadigvarande vistelseort.

d)

Parterna är överens om att underkasta sig sådana domstolars jurisdiktion.

Varje tvist som uppstår på grund av dessa klausuler ska lösas av domstolarna i _____ (ange land).

1.

Adress: …

Kontaktpersonens namn, befattning och kontaktuppgifter: …

Verksamheter som är relevanta för de uppgifter som överförs enligt dessa klausuler: …

Underskrift och datum: …

Roll (personuppgiftsansvarig/personuppgiftsbiträde): …

2.

1.

Adress: …

Kontaktpersonens namn, befattning och kontaktuppgifter: …

Verksamheter som är relevanta för de uppgifter som överförs enligt dessa klausuler: …

Underskrift och datum: …

Roll (personuppgiftsansvarig/personuppgiftsbiträde): …

2.

1.

Adress: …

Kontaktpersonens namn, befattning och kontaktuppgifter: …

Beskrivning av behandlingen (inklusive en tydlig avgränsning av ansvarsområden om flera underentreprenörer har fått tillstånd): …

2.