a)

Form�let med disse standardkontraktbestemmelser er at sikre overholdelse af kravene i Europa-Parlamentets og R�dets forordning (EU) 2016/679 af 27.�april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af s�danne oplysninger og om oph�velse af direktiv 95/46/EF (generel forordning om databeskyttelse)�(1) ved overf�rsel af personoplysninger til et tredjeland.

b)

Parterne:

har aftalt at anvende disse standardkontraktbestemmelser (herefter ben�vnt: �bestemmelser�).

c)

Disse bestemmelser gælder for overførsel af personoplysninger som omhandlet i bilag I.B.

d)

Tillægget til disse bestemmelser, der indeholder de bilag, der henvises til heri, udgør en integreret del af disse bestemmelser.

a)

Disse bestemmelser fastsætter fornødne garantier, herunder rettigheder for registrerede, som kan håndhæves, samt effektive retsmidler, jf. artikel 46, stk. 1, og artikel 46, stk. 2, litra c), i forordning (EU) 2016/679, og vedrørende dataoverførsler fra dataansvarlige til databehandlere og/eller fra databehandlere til databehandlere standardkontraktbestemmelser, jf. artikel 28, stk. 7, i forordning (EU) 2016/679, forudsat at disse ikke ændres, undtaget med det formål at vælge det/de passende modul(er) eller tilføje eller opdatere oplysninger i tillægget. Dette forhindrer ikke parterne i at inkludere standardkontraktbestemmelserne, der er fastsat i disse bestemmelser, i en bredere kontrakt og/eller tilføje andre bestemmelser eller yderligere garantier, forudsat at disse ikke direkte eller indirekte er i modstrid med disse bestemmelser eller udgør en krænkelse af de registreredes grundlæggende rettigheder eller frihedsrettigheder.

b)

Disse bestemmelser berører ikke de forpligtelser, som dataeksportøren er underlagt i medfør af forordning (EU) 2016/679.

a)

De registrerede kan påberåbe sig og håndhæve disse bestemmelser som begunstigede tredjemænd over for dataeksportøren og/eller dataimportøren med følgende undtagelser:

b)

Litra a) berører ikke de registreredes rettigheder i henhold til forordning (EU) 2016/679.

a)

Hvis begreber, der er fastlagt i forordning (EU) 2016/679, anvendes i disse bestemmelser, har de den samme betydning som i forordningen.

b)

Disse bestemmelser skal læses og fortolkes på baggrund af bestemmelserne i forordning (EU) 2016/679.

c)

Disse bestemmelser må ikke fortolkes på måder, der er i strid med de rettigheder og forpligtelser, der er fastsat i forordning (EU) 2016/679.

a)

En enhed, der ikke anvender disse bestemmelser, kan med parternes godkendelse til enhver tid tiltræde disse bestemmelser, enten som dataeksportør eller dataimportør, ved at udfylde tillægget og underskrive bilag I.A.

b)

Når denne enhed har udfyldt tillægget og underskrevet bilag I.A., indgår den tiltrædende enhed som en part og anvender ligeledes disse bestemmelser og indtræder i en dataeksportørs eller dataimportørs rettigheder i overensstemmelse med betegnelsen i bilag I.A.

c)

Den tiltrædende part er ikke omfattet af rettigheder eller forpligtelser i medfør af disse bestemmelser for perioden forud for tiltrædelsen til bestemmelserne.

i)

med den registreredes forudgående samtykke

ii)

hvis det er nødvendigt med henblik på fastlæggelse, udøvelse eller forsvar af retskrav i forbindelse med konkrete administrative eller retlige procedurer eller

iii)

hvis behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

a)

For at give registrerede personer mulighed for effektivt at udøve deres rettigheder i henhold til bestemmelse 10 informerer dataimportøren dem direkte eller gennem dataeksportøren:

b)

Litra a) gælder ikke, hvis den registrerede allerede er bekendt med oplysningerne, herunder hvis informationerne allerede er blevet oplyst af dataeksportøren, eller hvis det er umuligt at tilvejebringe oplysningerne, eller det ville medføre en uforholdsmæssig stor indsats for dataeksportøren. I sidstnævnte tilfælde gør dataimportøren i videst muligt omfang oplysningerne offentligt tilgængelige.

c)

På forespørgsel gør parterne en kopi af disse bestemmelser, herunder tillægget udfyldt af parterne, tilgængelig for den registrerede uden beregning. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan parterne redigere dele af teksten i tillægget, før en kopi stilles til rådighed, men de skal samtidig tilvejebringe et meningsfyldt resumé, hvis den registrerede ellers ikke ville være i stand til at forstå tillæggets indhold eller udøve sine rettigheder. Efter anmodning meddeler parterne den registrerede årsagerne til redigeringen uden at afsløre de redigerede oplysninger, i det omfang det er muligt.

d)

Litra a) til c) berører ikke dataeksportørens forpligtelser i medfør af artikel 13 og 14 i forordning (EU) 2016/679.

a)

Parterne sikrer hver især, at personoplysningerne er nøjagtige og om nødvendigt ajourførte. Dataimportøren træffer alle rimelige foranstaltninger for at sikre, at unøjagtige personoplysninger, der har relevans for formålet eller formålene for behandlingen, bliver slettet eller rettet hurtigst muligt.

b)

Hvis en af parterne bliver opmærksom på, at de personoplysninger, som denne part har videregivet eller modtaget, er unøjagtige eller forældede, informerer denne part den anden part uden unødig forsinkelse.

c)

Dataimportøren sikrer, at personoplysningerne er tilstrækkelige, relevante og begrænsede til de oplysninger, der er nødvendige for formålet eller formålene med behandlingen.

a)

Dataimportøren, og under dataoverførsel også dataeksportøren, iværksætter tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger til at garantere datasikkerheden, herunder sikkerhedsbrud, der kan føre til hændelig eller ulovlig ødelæggelse, tab, ændring eller uautoriseret videregivelse af eller adgang til personoplysningerne (herefter benævnt »brud på persondatasikkerheden«). Ved vurdering af det tilstrækkelige sikkerhedsniveau tages behørigt hensyn til den bedste teknologi, implementeringsomkostninger, art, omfang, sammenhæng og formål med behandlingen samt de risici, som behandlingen indebærer for den registrerede. Parterne overvejer navnlig at anvende kryptering eller pseudonymisering, herunder under videregivelse, hvis formålet med behandlingen kan opfyldes på denne måde.

b)

Parterne har indgået aftale om de tekniske og organisatoriske foranstaltninger i medfør af bilag II. Dataimportøren udfører en regelmæssig kontrol for at sikre, at foranstaltningerne fortsat garanterer et tilstrækkeligt sikkerhedsniveau.

c)

Dataimportøren sikrer, at personer, der har tilladelse til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

d)

I tilf�lde af brud p� persondatasikkerheden vedr�rende personoplysninger, som dataimport�ren behandler i henhold til disse bestemmelser, tr�ffer dataimport�ren tilstr�kkelige foranstaltninger til at h�ndtere bruddet p� persondatasikkerheden, herunder foranstaltninger til at afb�de eventuelle negative konsekvenser af bruddet.

e)

I tilf�lde af brud p� persondatasikkerheden, der med sandsynlighed indeb�rer en risiko for fysiske personers rettigheder og frihedsrettigheder, underretter dataimport�ren uden un�dig forsinkelse b�de dataeksport�ren og den kompetente tilsynsmyndighed, jf. bestemmelse 13. Denne underretning indeholder i) en beskrivelse af typen af sikkerhedsbrud (herunder, hvis det er muligt, kategorier og det omtrentlige antal ber�rte registrerede personer og dataregistreringer), ii) de sandsynlige konsekvenser, iii) foresl�ede eller iv�rksatte foranstaltninger til h�ndtering af sikkerhedsbruddet og iv) oplysninger om et kontaktpunkt, der kan give yderligere oplysninger. Hvis dataimport�ren ikke kan give alle oplysningerne p� samme tid, kan de oplyses trinvist uden yderligere un�dig forsinkelse.

f)

I tilf�lde af brud p� persondatasikkerheden, der med sandsynlighed kan medf�re en h�j risiko for fysiske personers rettigheder og frihedsrettigheder, underretter dataimport�ren ogs� uden un�dig forsinkelse de ber�rte registrerede personer om bruddet p� persondatasikkerheden samt arten heraf, hvis det er n�dvendigt i samarbejde med dataeksport�ren, ledsaget af oplysningerne i medf�r af litra e), punkt ii) til iv), medmindre dataimport�ren har iv�rksat foranstaltninger, der i v�sentlig grad reducerer risikoen for de fysiske personers rettigheder eller frihedsrettigheder, eller en s�dan underretning vil kr�ve en uforholdsm�ssig stor indsats. I sidstn�vnte tilf�lde udsender dataimport�ren i stedet en offentlig meddelelse eller tr�ffer tilsvarende foranstaltninger til at informere offentligheden om bruddet p� persondatasikkerheden.

g)

Dataimport�ren dokumenterer alle relevante forhold vedr�rende bruddet p� persondatasikkerheden, herunder sin indsats og eventuelle udbedrende foranstaltninger, og f�rer registrering heraf.

i)

overf�rslen sker til et land, hvor der foreligger en afg�relse om tilstr�kkeligheden af beskyttelsesniveauet, jf. artikel�45 i forordning (EU) 2016/679, der omfatter videreoverf�rslen

ii)

tredjeparten p� anden m�de sikrer forn�dne garantier, jf. artikel�46 eller 47 i forordning (EU) 2016/679, for den p�g�ldende behandling

iii)

tredjeparten indg�r en bindende aftale med dataimport�ren om at garantere det samme niveau af databeskyttelse som i henhold til disse bestemmelser, og dataimport�ren stiller en kopi af disse garantier til r�dighed for dataeksport�ren

iv)

det er n�dvendigt med henblik p� fastl�ggelse, ud�velse eller forsvar af retskrav i forbindelse med konkrete administrative eller retlige procedurer

v)

det er n�dvendigt for at beskytte den registreredes eller en anden fysisk persons vitale interesser eller

vi)

s�fremt ingen af de �vrige betingelser finder anvendelse, import�ren har indhentet den registreredes udtrykkelige samtykke til videreoverf�rsel i en konkret situation efter at have informeret vedkommende om form�let eller form�lene hermed, modtagers identitet samt de mulige risici for vedkommende ved en s�dan overf�rsel p� grund af de utilstr�kkelige databeskyttelsesgarantier. I et s�dant tilf�lde informerer dataimport�ren dataeksport�ren og fremsender p� anmodning fra sidstn�vnte en kopi til denne af de oplysninger, der er givet til den registrerede.

a)

Alle parterne skal kunne p�vise overholdelse af deres forpligtelser i henhold til disse bestemmelser. Navnlig skal dataimport�ren f�re en passende dokumentation for behandlingsaktiviteterne udf�rt under dennes ansvar.

b)

Dataimport�ren sikrer, at en s�dan dokumentation er til r�dighed for den kompetente tilsynsmyndighed p� foresp�rgsel.

a)

Dataimport�ren behandler kun personoplysningerne ud fra dokumenterede instrukser fra dataeksport�ren. Dataeksport�ren kan give instrukser i hele kontraktens varighed.

b)

Dataimport�ren informerer omg�ende dataeksport�ren, hvis dataimport�ren ikke er i stand til at f�lge instrukserne.

a)

Dataimport�ren, og under dataoverf�rsel ogs� dataeksport�ren, iv�rks�tter tilstr�kkelige tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af personoplysningerne, herunder mod brud p� sikkerheden, der kan f�re til h�ndelig eller ulovlig �del�ggelse, tab, �ndring eller uautoriseret videregivelse af eller adgang til personoplysningerne (herefter ben�vnt �brud p� persondatasikkerheden�). Ved vurdering af det tilstr�kkelige sikkerhedsniveau tager parterne beh�rigt hensyn til den bedste teknologi, implementeringsomkostninger, art, omfang, sammenh�ng og form�l med behandlingen samt de risici, som behandlingen indeb�rer for den registrerede. Parterne overvejer navnlig at anvende kryptering eller pseudonymisering, herunder under videregivelse, hvis form�let med behandlingen kan opfyldes p� denne m�de. I tilf�lde af pseudonymisering er det, hvor det er muligt, udelukkende dataeksport�ren, der r�der over de supplerende oplysninger, der kan knytte personoplysningerne til en specifik registreret person. For at opfylde sine forpligtelser i henhold til dette punkt gennemf�rer dataimport�ren som minimum de tekniske og organisatoriske foranstaltninger, der er angivet i bilag II. Dataimport�ren udf�rer en regelm�ssig kontrol for at sikre, at foranstaltningerne fortsat garanterer et tilstr�kkeligt sikkerhedsniveau.

b)

Dataimport�ren giver kun udvalgte medarbejdere adgang til personoplysningerne i det omfang, det er strengt n�dvendigt for udf�relse, administration og overv�gning af kontrakten. Dataimport�ren sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt

c)

I tilf�lde af brud p� persondatasikkerheden vedr�rende personoplysninger, som dataimport�ren behandler i henhold til disse bestemmelser, tr�ffer dataimport�ren tilstr�kkelige foranstaltninger til at h�ndtere bruddet p� persondatasikkerheden, herunder foranstaltninger til at afb�de eventuelle negative konsekvenser af bruddet. Dataimport�ren underretter ogs� dataeksport�ren uden un�dig forsinkelse efter at v�re blevet opm�rksom p� sikkerhedsbruddet. En s�dan underretning skal indeholde n�rmere oplysninger om et kontaktpunkt, hvor der kan indhentes flere oplysninger, en beskrivelse af bruddets art (herunder om muligt kategorier og omtrentlige antal ber�rte registrerede og registreringer af personoplysninger), de sandsynlige konsekvenser heraf og de foranstaltninger, der er truffet eller foresl�et for at afhj�lpe bruddet, herunder, hvor det er relevant, foranstaltninger til at afb�de de mulige negative virkninger. Hvis og i det omfang det ikke er muligt at give alle oplysninger samtidig, skal den oprindelige anmeldelse indeholde de oplysninger, der er til r�dighed, og yderligere oplysninger skal, efterh�nden som de foreligger, efterf�lgende gives uden un�dig forsinkelse.

d)

Dataimport�ren samarbejder med og bist�r dataeksport�ren for at s�tte dataeksport�ren i stand til at opfylde sine forpligtelser i henhold til forordning (EU) 2016/679, navnlig til at underrette den kompetente tilsynsmyndighed og de ber�rte registrerede, idet der tages hensyn til arten af behandlingen og de oplysninger, dataimport�ren har til r�dighed.

i)

videreoverf�rslen sker til et land, der er omfattet af en afg�relse om tilstr�kkeligheden af beskyttelsesniveauet i henhold til artikel�45 i forordning (EU) 2016/679, som omfatter videreoverf�rslen

ii)

tredjeparten p� anden m�de sikrer forn�dne garantier, jf. artikel�46 eller 47 i forordning (EU) 2016/679, for den p�g�ldende behandling

iii)

videreoverf�rslen er n�dvendig med henblik p� fastl�ggelse, ud�velse eller forsvar af retskrav i forbindelse med konkrete administrative eller retlige procedurer eller

iv)

videreoverf�rslen er n�dvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

a)

Dataimport�ren behandler straks og p� passende vis foresp�rgsler fra dataeksport�ren vedr�rende behandlingen i henhold til disse bestemmelser.

b)

Parterne skal kunne p�vise, at de overholder disse bestemmelser. Navnlig skal dataimport�ren f�re en tilstr�kkelig dokumentation for de behandlingsaktiviteter, der udf�res p� vegne af dataeksport�ren.

c)

Dataimport�ren stiller alle de oplysninger til r�dighed for dataeksport�ren, der er n�dvendige for at p�vise, at forpligtelserne i disse bestemmelser er opfyldt, og giver p� dataeksport�rens anmodning med rimelige mellemrum eller ved formodet manglende overholdelse mulighed for og bist�r ved revisioner af de behandlingsaktiviteter, der er omfattet af disse bestemmelser. N�r dataeksport�ren tr�ffer beslutning om en unders�gelse eller revision, kan denne tage hensyn til relevante certificeringer, som dataimport�ren er i besiddelse af.

d)

Dataeksport�ren kan v�lge selv at foretage revisionen eller bemyndige en uafh�ngig revisor. Revisioner kan omfatte inspektioner p� dataimport�rens adresse eller fysiske faciliteter og gennemf�res, hvor det er relevant, med rimeligt varsel.

e)

Parterne stiller efter anmodning de i litra b) og c) omhandlede oplysninger, herunder resultaterne af eventuelle revisioner, til r�dighed for den kompetente tilsynsmyndighed.

a)

Dataeksport�ren har meddelt dataimport�ren, at denne fungerer som databehandler efter instruks fra den eller de dataansvarlige. Instrukserne stilles til r�dighed for dataimport�ren forud for behandlingen.

b)

Dataimport�ren m� kun behandle personoplysningerne efter dokumenterede instrukser fra den dataansvarlige, som dataeksport�ren har meddelt dataimport�ren, samt eventuelle supplerende dokumenterede instrukser fra dataeksport�ren. S�danne supplerende instrukser m� ikke v�re i modstrid med instrukserne fra den dataansvarlige. Den dataansvarlige eller dataeksport�ren kan give supplerende dokumenterede instrukser vedr�rende databehandlingen i hele kontraktens l�betid.

c)

Dataimport�ren informerer omg�ende dataeksport�ren, hvis dataimport�ren ikke er i stand til at f�lge instrukserne. Hvis dataimport�ren ikke er i stand til at f�lge instrukserne fra den dataansvarlige, underretter dataeksport�ren straks den dataansvarlige herom.

d)

Dataeksport�ren garanterer, at denne har p�lagt dataimport�ren de samme databeskyttelsesforpligtelser, som er fastsat i kontrakten eller i andre retsakter i EU-retten eller medlemsstatslovgivningen, der g�lder for den dataansvarlige og dataeksport�ren�(5).

a)

Dataimport�ren, og under dataoverf�rsel ogs� dataeksport�ren, iv�rks�tter tilstr�kkelige tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af personoplysningerne, herunder mod brud p� sikkerheden, der kan f�re til h�ndelig eller ulovlig �del�ggelse, tab, �ndring eller uautoriseret videregivelse af eller adgang til personoplysningerne (herefter ben�vnt �brud p� persondatasikkerheden�). Ved vurdering af det tilstr�kkelige sikkerhedsniveau tages beh�rigt hensyn til den bedste teknologi, implementeringsomkostninger, art, omfang, sammenh�ng og form�l med behandlingen samt de risici, som behandlingen indeb�rer for den registrerede. Parterne overvejer navnlig at anvende kryptering eller pseudonymisering, herunder under videregivelse, hvis form�let med behandlingen kan opfyldes p� denne m�de. I tilf�lde af pseudonymisering er det, hvor det er muligt, udelukkende dataeksport�ren eller den dataansvarlige, der r�der over de supplerende oplysninger, der kan knytte personoplysningerne til en specifik registreret person. For at opfylde sine forpligtelser i henhold til dette punkt gennemf�rer dataimport�ren som minimum de tekniske og organisatoriske foranstaltninger, der er angivet i bilag II. Dataimport�ren udf�rer en regelm�ssig kontrol for at sikre, at foranstaltningerne fortsat garanterer et tilstr�kkeligt sikkerhedsniveau.

b)

Dataimport�ren giver kun udvalgte medarbejdere adgang til data i det omfang, det er strengt n�dvendigt for udf�relse, administration og overv�gning af kontrakten. Dataimport�ren sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt

c)

I tilf�lde af brud p� persondatasikkerheden vedr�rende personoplysninger, som dataimport�ren behandler i henhold til disse bestemmelser, tr�ffer dataimport�ren tilstr�kkelige foranstaltninger til at h�ndtere bruddet p� persondatasikkerheden, herunder foranstaltninger til at afb�de eventuelle negative konsekvenser af bruddet. Dataimport�ren underretter desuden uden un�dig forsinkelse dataeksport�ren og, hvis det er relevant og muligt, den dataansvarlige efter at have f�et kendskab til bruddet. Denne underretning indeholder oplysninger om et kontaktpunkt, der kan give yderligere oplysninger, en beskrivelse af typen af sikkerhedsbrud (herunder, hvis det er muligt, kategorier og det omtrentlige antal ber�rte registrerede personer og dataregistreringer), de sandsynlige konsekvenser og de foresl�ede eller iv�rksatte foranstaltninger til h�ndtering af sikkerhedsbruddet, herunder foranstaltninger til afhj�lpning af mulige negative konsekvenser. Hvis og i det omfang det ikke er muligt at give alle oplysninger samtidig, skal den oprindelige anmeldelse indeholde de oplysninger, der er til r�dighed, og yderligere oplysninger skal, efterh�nden som de foreligger, efterf�lgende gives uden un�dig forsinkelse.

d)

Dataimport�ren samarbejder med og bist�r dataeksport�ren for at s�tte dataeksport�ren i stand til at opfylde sine forpligtelser i henhold til forordning (EU) 2016/679, navnlig til at underrette den dataansvarlige, s�ledes at denne kan underrette den kompetente tilsynsmyndighed og de ber�rte registrerede under hensyntagen til arten af behandlingen og de oplysninger, som dataimport�ren har til r�dighed.

i)

videreoverf�rslen sker til et land, der er omfattet af en afg�relse om tilstr�kkeligheden af beskyttelsesniveauet i henhold til artikel�45 i forordning (EU) 2016/679, som omfatter videreoverf�rslen

ii)

tredjeparten p� anden m�de sikrer forn�dne garantier, jf. artikel�46 eller 47 i forordning (EU) 2016/679

iii)

videreoverf�rslen er n�dvendig med henblik p� fastl�ggelse, ud�velse eller forsvar af retskrav i forbindelse med konkrete administrative eller retlige procedurer eller

iv)

videreoverf�rslen er n�dvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

a)

Dataimport�ren behandler straks og p� passende vis foresp�rgsler fra dataeksport�ren eller den dataansvarlige vedr�rende behandlingen i henhold til disse bestemmelser.

b)

Parterne skal kunne p�vise, at de overholder disse bestemmelser. Navnlig skal dataimport�ren f�re en tilstr�kkelig dokumentation for de behandlingsaktiviteter, der udf�res p� vegne af den dataansvarlige.

c)

Dataimport�ren stiller alle de oplysninger, der er n�dvendige for at p�vise, at forpligtelserne i disse bestemmelser er opfyldt, til r�dighed for dataeksport�ren, som stiller dem til r�dighed for den dataansvarlige.

d)

Dataimport�ren giver med rimelige mellemrum eller ved formodet manglende overholdelse mulighed for og bist�r ved revisioner foretaget af dataeksport�ren af de behandlingsaktiviteter, der er omfattet af disse bestemmelser. Det samme g�lder, hvis dataeksport�ren anmoder om en revision efter instruks fra den dataansvarlige. N�r dataeksport�ren tr�ffer beslutning om en revision, kan denne tage hensyn til dataimport�rens relevante certificeringer.

e)

Hvis revisionen foretages efter instruks fra den dataansvarlige, stiller dataeksport�ren resultaterne til r�dighed for den dataansvarlige.

f)

Dataeksport�ren kan v�lge selv at foretage revisionen eller bemyndige en uafh�ngig revisor. Revisioner kan omfatte inspektioner p� dataimport�rens adresse eller fysiske faciliteter og gennemf�res, hvor det er relevant, med rimeligt varsel.

g)

Parterne stiller efter anmodning de i litra b) og c) omhandlede oplysninger, herunder resultaterne af eventuelle revisioner, til r�dighed for den kompetente tilsynsmyndighed.

a)

Dataeksport�ren behandler kun personoplysningerne efter dokumenterede instrukser fra dataimport�ren, der optr�der i egenskab af dataansvarlig.

b)

Dataeksport�ren underretter straks dataimport�ren, hvis denne ikke er i stand til at f�lge disse instrukser, herunder hvis s�danne instrukser er i strid med forordning (EU) 2016/679 eller anden EU-ret eller medlemsstatslovgivning om databeskyttelse.

c)

Dataimport�ren afst�r fra enhver handling, der forhindrer dataeksport�ren i at opfylde sine forpligtelser i henhold til forordning (EU) 2016/679, herunder i forbindelse med underkontraheret databehandling eller for s� vidt ang�r samarbejde med de kompetente tilsynsmyndigheder.

d)

N�r behandlingen er afsluttet og efter dataimport�rens anvisning, sletter dataeksport�ren alle personoplysninger, som denne har behandlet p� vegne af dataimport�ren, og bekr�fter over for dataimport�ren, at arbejdet er afsluttet, eller tilbageleverer alle personoplysninger til dataimport�ren, som er blevet behandlet p� vegne af denne, og sletter eksisterende kopier.

a)

Parterne iv�rks�tter tilstr�kkelige tekniske og organisatoriske sikkerhedsforanstaltninger til at garantere datasikkerheden, herunder under videregivelse, samt til beskyttelse mod sikkerhedsbrud, der kan f�re til h�ndelig eller ulovlig �del�ggelse, tab, �ndring eller uautoriseret videregivelse af eller adgang til personoplysningerne (herefter ben�vnt �brud p� persondatasikkerheden�). N�r de vurderer det passende sikkerhedsniveau, tager de beh�rigt hensyn til den bedste teknologi, implementeringsomkostninger, personoplysningernes art�(7), behandlingens art, omfang, sammenh�ng og form�l samt de risici, som behandlingen indeb�rer for de registrerede, og overvejer is�r at anvende kryptering eller pseudonymisering, herunder under overf�rslen, hvis dette ikke forhindrer opfyldelsen af form�let med behandlingen.

b)

Dataeksport�ren bist�r dataimport�ren med at garantere en passende datasikkerhed i overensstemmelse med litra a). I tilf�lde af brud p� persondatasikkerheden vedr�rende de personoplysninger, som dataeksport�ren behandler i henhold til disse bestemmelser, underretter dataeksport�ren dataimport�ren uden un�dig forsinkelse efter at have f�et kendskab hertil og bist�r dataimport�ren med at afhj�lpe sikkerhedsbruddet.

c)

Dataimport�ren sikrer, at personer, der har tilladelse til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

a)

Parterne skal kunne p�vise, at de overholder disse bestemmelser.

b)

Dataeksport�ren stiller alle de oplysninger til r�dighed for dataimport�ren, der er n�dvendige for at p�vise, at dataeksport�ren overholder sine forpligtelser i henhold til disse bestemmelser, og giver mulighed for samt bidrager til revisioner.

a)

ALTERNATIV 1: SPECIFIK FORUDG�ENDE TILLADELSE Dataimport�ren giver ikke behandlingsaktiviteter, der udf�res p� dataeksport�rens vegne i henhold til disse bestemmelser, i underentreprise til en underdatabehandler uden dataeksport�rens forudg�ende s�rlige skriftlige tilladelse. Dataimport�ren indgiver anmodningen om s�rlig tilladelse mindst [angiv tidsperiode] inden kontraktindg�else med den p�g�ldende underdatabehandler sammen med de oplysninger, der er n�dvendige for, at dataeksport�ren kan tr�ffe afg�relse om tilladelsen. Listen over underdatabehandlere, som dataeksport�ren allerede har givet tilladelse til, findes i bilag III. Parterne holder bilag III ajour.

ALTERNATIV 2: GENEREL SKRIFTLIG TILLADELSE Dataimport�ren har dataeksport�rens generelle tilladelse til at indg� kontrakt med underdatabehandlere, der er opf�rt p� en aftalt liste. Dataimport�ren underretter specifikt dataeksport�ren skriftligt om eventuelle forventede �ndringer af listen ved tilf�jelse eller udskiftning af underdatabehandlere mindst [angiv tidsperiode] i forvejen, s�ledes at dataeksport�ren f�r tilstr�kkelig tid til at g�re indsigelse mod s�danne �ndringer, inden der indg�s kontrakt med den eller de p�g�ldende underdatabehandlere. Dataimport�ren giver dataeksport�ren de oplysninger, der er n�dvendige for, at dataeksport�ren kan g�re brug af sin indsigelsesret.

b)

Hvis dataimport�ren indg�r kontrakt med en underdatabehandler om at udf�re specifikke behandlingsaktiviteter (p� vegne af dataeksport�ren), skal det ske ved en skriftlig kontrakt, der i det v�sentlige fasts�tter de samme databeskyttelsesforpligtelser som dem, der er bindende for dataimport�ren i henhold til disse bestemmelser, herunder med hensyn til tredjemandsl�ftet�(8). Parterne er enige om, at dataimport�ren ved at overholde denne bestemmelse opfylder sine forpligtelser i henhold til bestemmelse 8.8. Dataimport�ren sikrer, at underdatabehandleren opfylder de forpligtelser, som dataimport�ren er underlagt i henhold til disse bestemmelser.

c)

Dataimport�ren tilvejebringer p� dataeksport�rens anmodning en kopi til dataeksport�ren af en s�dan underdatabehandleraftale samt eventuelle efterf�lgende �ndringer. I det omfang det er n�dvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan dataimport�ren redigere aftaleteksten, f�r han videregiver en kopi.

d)

Dataimport�ren har det fulde ansvar over for dataeksport�ren for opfyldelsen af underdatabehandlerens forpligtelser i henhold til underdatabehandlerens kontrakt med dataimport�ren. Dataimport�ren underretter dataeksport�ren, hvis underdatabehandleren ikke opfylder sine forpligtelser i henhold til kontrakten.

e)

Dataimport�ren indg�r en aftale om tredjemandsl�fte med underdatabehandleren, s� dataeksport�ren i tilf�lde, hvor dataimport�ren faktisk eller retligt set er oph�rt med at eksistere eller er blevet insolvent, har ret til at opsige kontrakten med underdatabehandleren og instruere denne om at slette eller tilbagelevere personoplysningerne.

a)

ALTERNATIV 1: SPECIFIK FORUDG�ENDE TILLADELSE Dataimport�ren giver ikke behandlingsaktiviteter, der udf�res p� dataeksport�rens vegne i henhold til disse bestemmelser, i underentreprise til en underdatabehandler uden den dataansvarliges forudg�ende s�rlige skriftlige tilladelse. Dataimport�ren indgiver anmodningen om s�rlig tilladelse mindst [angiv tidsperiode] inden kontraktindg�else med den p�g�ldende underdatabehandler sammen med de oplysninger, der er n�dvendige for, at den dataansvarlige kan tr�ffe afg�relse om tilladelsen. Dataimport�ren underretter dataeksport�ren om en s�dan kontrakt. Listen over underdatabehandlere, som den dataansvarlige allerede har givet tilladelse til, findes i bilag III. Parterne holder bilag III ajour.

ALTERNATIV 2: GENEREL SKRIFTLIG TILLADELSE Dataimport�ren har den dataansvarliges generelle tilladelse til at indg� kontrakt med underdatabehandlere, der er opf�rt p� en aftalt liste. Dataimport�ren underretter specifikt den dataansvarlige skriftligt om eventuelle forventede �ndringer af listen ved tilf�jelse eller udskiftning af underdatabehandlere mindst [angiv tidsperiode] i forvejen, s�ledes at den dataansvarlige f�r tilstr�kkelig tid til at g�re indsigelse mod s�danne �ndringer, inden der indg�s kontrakt med den eller de p�g�ldende underdatabehandlere. Dataimport�ren giver den dataansvarlige de oplysninger, der er n�dvendige for, at dataeksport�ren kan g�re brug af sin indsigelsesret. Dataimport�ren underretter dataeksport�ren om indg�else af kontrakt med underbehandlere.

b)

Hvis dataimport�ren indg�r kontrakt med en underdatabehandler om at udf�re specifikke behandlingsaktiviteter (p� vegne af den dataansvarlige), skal det ske ved en skriftlig kontrakt, der i det v�sentlige fasts�tter de samme databeskyttelsesforpligtelser som dem, der er bindende for dataimport�ren i henhold til disse bestemmelser, herunder med hensyn til tredjemandsl�ftet�(9). Parterne er enige om, at dataimport�ren ved at overholde denne bestemmelse opfylder sine forpligtelser i henhold til bestemmelse 8.8. Dataimport�ren sikrer, at underdatabehandleren opfylder de forpligtelser, som dataimport�ren er underlagt i henhold til disse bestemmelser.

c)

Dataimport�ren tilvejebringer p� dataeksport�rens eller den dataansvarliges anmodning en kopi af en s�dan underdatabehandleraftale samt eventuelle efterf�lgende �ndringer. I det omfang det er n�dvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan dataimport�ren redigere aftaleteksten, f�r han videregiver en kopi.

d)

Dataimport�ren har det fulde ansvar over for dataeksport�ren for opfyldelsen af underdatabehandlerens forpligtelser i henhold til underdatabehandlerens kontrakt med dataimport�ren. Dataimport�ren underretter dataeksport�ren, hvis underdatabehandleren ikke opfylder sine forpligtelser i henhold til kontrakten.

e)

Dataimport�ren indg�r en aftale om tredjemandsl�fte med underdatabehandleren, s� dataeksport�ren i tilf�lde, hvor dataimport�ren faktisk eller retligt set er oph�rt med at eksistere eller er blevet insolvent, har ret til at opsige kontrakten med underdatabehandleren og instruere denne om at slette eller tilbagelevere personoplysningerne.

a)

Dataimport�ren behandler, eventuelt med bistand fra dataeksport�ren, alle foresp�rgsler og anmodninger fra en registreret vedr�rende behandlingen af vedkommendes personoplysninger og ud�velsen af vedkommendes rettigheder i henhold til disse bestemmelser uden un�dig forsinkelse og senest inden for en m�ned efter modtagelse af en foresp�rgsel eller anmodning.�(10) Dataimport�ren tr�ffer passende foranstaltninger til behandling af s�danne unders�gelser og anmodninger og ud�velse af registreredes rettigheder. Alle oplysninger, der gives til den registrerede, skal v�re letforst�elige og lettilg�ngelige i et klart og enkelt sprog.

b)

Efter anmodning fra den registrerede skal dataimport�ren navnlig vederlagsfrit:

c)

Hvis dataimport�ren behandler personoplysningerne med henblik p� direkte markedsf�ring, oph�rer behandlingen til s�danne form�l, hvis den registrerede g�r indsigelse mod den.

d)

Dataimport�ren tr�ffer ikke afg�relse udelukkende p� grundlag af en automatisk behandling af de overf�rte personoplysninger (i det f�lgende ben�vnt �automatisk afg�relse�), som vil have retsvirkning for den registrerede eller p� tilsvarende vis i v�sentlig grad ber�re vedkommende, medmindre det sker med den registreredes udtrykkelige samtykke, eller hvis det er tilladt i henhold til lovgivningen i bestemmelseslandet, forudsat at denne lovgivning fasts�tter egnede foranstaltninger til beskyttelse af de registreredes rettigheder og legitime interesser. I s� fald skal dataimport�ren om n�dvendigt i samarbejde med dataeksport�ren:

e)

Hvis anmodninger fra en registreret er uforholdsm�ssige, is�r fordi de gentages, kan dataimport�ren enten opkr�ve et rimeligt gebyr baseret p� de administrative omkostninger til behandling af anmodningen eller afvise at efterkomme anmodningen.

f)

Dataimport�ren kan afvise en registrerets anmodning, hvis et s�dant afslag er tilladt i henhold til lovgivningen i bestemmelseslandet og er n�dvendigt og rimeligt i et demokratisk samfund for at beskytte et af de m�l, der er anf�rt i artikel�23, stk.�1, i forordning (EU) 2016/679.

g)

Hvis dataimport�ren har til hensigt at afvise en registrerets anmodning, underretter denne den registrerede om �rsagerne til afslaget og om muligheden for at indgive en klage til den kompetente tilsynsmyndighed og/eller indbringe sagen for en domstol.

a)

Dataimport�ren underretter straks dataeksport�ren om enhver anmodning fra en registreret. Dataimport�ren m� ikke selv besvare anmodningen, medmindre dataeksport�ren har givet tilladelse hertil.

b)

Dataimport�ren bist�r dataeksport�ren med at opfylde sine forpligtelser til at besvare de registreredes anmodninger vedr�rende ud�velse af deres rettigheder i henhold til forordning (EU) 2016/679. I den forbindelse fasts�tter parterne i bilag II passende tekniske og organisatoriske foranstaltninger under hensyntagen til arten af den behandling, bistanden ydes ved, samt omfanget af den n�dvendige bistand.

c)

Dataimport�ren skal ved opfyldelsen af sine forpligtelser i henhold til litra a) og b) f�lge dataeksport�rens instrukser.

a)

Dataimport�ren underretter straks dataeksport�ren og, hvis det er relevant, den dataansvarlige om enhver anmodning, denne har modtaget fra en registreret, uden at besvare denne anmodning, medmindre den dataansvarlige har givet tilladelse hertil.

b)

Dataimport�ren bist�r, eventuelt i samarbejde med dataeksport�ren, den dataansvarlige med at opfylde sine forpligtelser til at besvare de registreredes anmodninger vedr�rende ud�velse af deres rettigheder i henhold til forordning (EU) 2016/679 eller forordning (EU) 2018/1725, alt efter hvad der er relevant. I den forbindelse fasts�tter parterne i bilag II passende tekniske og organisatoriske foranstaltninger under hensyntagen til arten af den behandling, bistanden ydes ved, samt omfanget af den n�dvendige bistand.

c)

Ved opfyldelsen af dataimport�rens forpligtelser i henhold til litra a) og b) skal denne f�lge instrukserne fra den dataansvarlige som meddelt af dataeksport�ren.

a)

Dataimport�ren underretter de registrerede i et gennemsigtigt og lettilg�ngeligt format, via individuel meddelelse eller p� sit websted om et kontaktpunkt, der er bemyndiget til at behandle klager. Dataimport�ren behandler straks klager, som den modtager fra en registreret.

[ALTERNATIV: Dataimport�ren accepterer, at registrerede ogs� kan indgive en klage til et uafh�ngigt tvistbil�ggelsesorgan�(11) uden omkostninger for den registrerede. Dataimport�ren underretter de registrerede p� den m�de, der er fastsat i litra a), om en s�dan klagemekanisme, og om at de ikke er forpligtet til at g�re brug af den eller f�lge en bestemt fremgangsm�de ved indgivelse af klage.]

b)

I tilf�lde af en tvist mellem en registreret og en af parterne om overholdelse af disse bestemmelser skal den p�g�ldende part g�re sit bedste for at l�se problemet i mindelighed og rettidigt. Parterne holder hinanden underrettet om s�danne tvister og samarbejder om at bil�gge dem, hvis det er relevant.

c)

Hvis den registrerede g�r tredjemandsl�ftet g�ldende i henhold til bestemmelse 3, accepterer dataimport�ren den registreredes afg�relse om at:

d)

Parterne accepterer, at den registrerede kan lade sig repr�sentere af et almennyttigt organ, en organisation eller en forening p� de betingelser, der er fastsat i artikel�80, stk.�1, i forordning (EU) 2016/679.

e)

Dataimport�ren accepterer at rette sig efter en afg�relse, der er bindende i henhold til g�ldende EU-ret eller medlemsstatslovgivning.

f)

Dataimport�ren accepterer, at den registreredes valg ikke ber�rer vedkommendes materielle og procedurem�ssige rettigheder til at benytte sig af retsmidler i overensstemmelse med g�ldende lovgivning.

a)

Parterne er ansvarlige over for den eller de andre parter for eventuel skade, som en part p�f�rer den eller de andre parter ved overtr�delse af disse bestemmelser.

b)

Parterne er ansvarlige over for den registrerede, og den registrerede har ret til erstatning for materiel eller immateriel skade, som parten for�rsager den registrerede ved at tilsides�tte tredjemandsl�ftet i henhold til disse bestemmelser. Dette ber�rer ikke dataeksport�rens forpligtelser, jf. forordning (EU) 2016/679.

c)

Hvis mere end �n part er ansvarlig for skader, der p�f�res den registrerede som f�lge af en overtr�delse af disse bestemmelser, h�fter alle ansvarlige parter solidarisk, og den registrerede har ret til at anl�gge sag mod enhver af disse parter.

d)

Parterne er enige om, at hvis en part drages til ansvar i henhold til litra c), har denne part ret til at kræve kompensation fra den eller de andre parter for den del af erstatningen, der svarer til dens eller deres ansvar for skaden.

e)

Dataimportøren kan ikke unddrage sig sit eget ansvar ved at påberåbe sig en databehandlers eller underdatabehandlers adfærd.

a)

Parterne er ansvarlige over for den eller de andre parter for eventuel skade, som en part påfører den eller de andre parter ved overtrædelse af disse bestemmelser.

b)

Dataimportøren er ansvarlig over for den registrerede, og den registrerede har ret til erstatning for enhver materiel eller immateriel skade, som dataimportøren eller dennes underdatabehandlere forårsager for den registrerede ved at tilsidesætte tredjemandsløftet i henhold til disse bestemmelser.

c)

Uanset litra b) er dataeksportøren ansvarlig over for den registrerede, og den registrerede har ret til erstatning for enhver materiel eller immateriel skade, som dataeksportøren eller dataimportøren (eller dennes underdatabehandlere) forvolder den registrerede ved at tilsidesætte tredjemandsløftet i henhold til disse bestemmelser. Dette berører ikke dataeksportørens ansvar og, hvis dataeksportøren er databehandler, der handler på vegne af en dataansvarlig, den dataansvarliges ansvar i henhold til forordning (EU) 2016/679 eller forordning (EU) 2018/1725, alt efter hvad der er relevant.

d)

Parterne er enige om, at hvis dataeksportøren holdes ansvarlig i henhold til litra c) for skader forvoldt af dataimportøren (eller dennes underdatabehandlere), har denne ret til at kræve den del af erstatningen, der svarer til dataimportørens ansvar for skaden, tilbage fra dataimportøren.

e)

Hvis mere end én part er ansvarlig for skader, der påføres den registrerede som følge af en overtrædelse af disse bestemmelser, hæfter alle ansvarlige parter solidarisk, og den registrerede har ret til at anlægge sag mod enhver af disse parter.

f)

Parterne er enige om, at hvis en part drages til ansvar i henhold til litra e), har denne part ret til at kræve kompensation fra den eller de andre parter for den del af erstatningen, der svarer til dens eller deres ansvar for skaden.

g)

Dataimportøren kan ikke unddrage sig sit eget ansvar ved at påberåbe sig en underdatabehandlers adfærd.

a)

[Hvis dataeksportøren er etableret i en EU-medlemsstat:] Den tilsynsmyndighed, der har ansvaret for at sikre, at dataeksportøren overholder forordning (EU) 2016/679 for så vidt angår dataoverførslen, jf. bilag I.C, fungerer som kompetent tilsynsmyndighed.

[Hvis dataeksportøren ikke er etableret i en EU-medlemsstat, men er omfattet af det geografiske anvendelsesområde for forordning (EU) 2016/679 i overensstemmelse med forordningens artikel 3, stk. 2, og har udpeget en repræsentant i henhold til artikel 27, stk. 1, i forordning (EU) 2016/679:] Tilsynsmyndigheden i den medlemsstat, hvor repræsentanten som omhandlet i artikel 27, stk. 1, i forordning (EU) 2016/679 er etableret, jf. bilag I.C, fungerer som kompetent tilsynsmyndighed.

[Hvis dataeksportøren ikke er etableret i en EU-medlemsstat, men er omfattet af det geografiske anvendelsesområde for forordning (EU) 2016/679 i overensstemmelse med forordningens artikel 3, stk. 2, men ikke skal udpege en repræsentant i henhold til artikel 27, stk. 2, i forordning (EU) 2016/679:] Tilsynsmyndigheden i en af de medlemsstater, hvor de registrerede, hvis personoplysninger overføres i henhold til disse bestemmelser i forbindelse med udbud af varer eller tjenesteydelser til dem, eller hvis adfærd overvåges, er hjemmehørende, jf. bilag I.C, fungerer som kompetent tilsynsmyndighed.

b)

Dataimportøren indvilliger i at henvende sig til og samarbejde med den kompetente tilsynsmyndighed om alle procedurer, der har til formål at sikre overholdelse af disse bestemmelser. Dataimportøren accepterer navnlig at besvare forespørgsler, samarbejde ved revisioner og overholde de foranstaltninger, som tilsynsmyndigheden har vedtaget, herunder afhjælpende og kompenserende foranstaltninger. Dataimportøren giver tilsynsmyndigheden en skriftlig bekræftelse af, at de nødvendige foranstaltninger er truffet.

a)

Parterne garanterer, at de ikke har grund til at tro, at den lovgivning og praksis i bestemmelsestredjelandet, der gælder for dataimportørens behandling af personoplysninger, herunder krav om videregivelse af personoplysninger eller foranstaltninger, der tillader offentlige myndigheders adgang, forhindrer dataimportøren i at opfylde sine forpligtelser i henhold til disse bestemmelser. Dette baseres på, at lovgivning og praksis, der respekterer kernen i de grundlæggende rettigheder og frihedsrettigheder og ikke går videre, end hvad der er nødvendigt og rimeligt i et demokratisk samfund for at sikre et af de mål, der er anført i artikel 23, stk. 1, i forordning (EU) 2016/679, ikke anses for at være i modstrid med disse bestemmelser.

b)

Parterne erklærer, at de ved ydelsen af garantien i litra a) navnlig har taget behørigt hensyn til følgende elementer:

c)

Dataimportøren garanterer, at denne i forbindelse med den vurdering, der er omhandlet i litra b), har gjort sit bedste for at give dataeksportøren relevante oplysninger og indvilliger i fortsat at samarbejde med dataeksportøren for at sikre, at disse bestemmelser overholdes.

d)

Parterne er enige om at dokumentere vurderingen i henhold til litra b) og efter anmodning stille den til rådighed for den kompetente tilsynsmyndighed.

e)

Dataimportøren indvilliger i straks at underrette dataeksportøren, hvis denne efter at have accepteret disse bestemmelser og i kontraktens løbetid har grund til at tro, at den pågældende er eller er blevet underlagt love eller praksis, der ikke er i overensstemmelse med kravene i litra a), herunder efter en ændring af lovgivningen i tredjelandet eller en foranstaltning (f.eks. en anmodning om videregivelse af oplysninger), der angiver en anvendelse af sådanne love i praksis, som ikke er i overensstemmelse med kravene i litra a). [Til modul tre: Dataeksportøren videresender underretningen til den dataansvarlige.]

f)

Efter en underretning i henhold til litra e), eller hvis dataeksportøren på anden måde har grund til at tro, at dataimportøren ikke længere kan opfylde sine forpligtelser i henhold til disse bestemmelser, identificerer dataeksportøren straks passende foranstaltninger (f.eks. tekniske eller organisatoriske foranstaltninger til at garantere sikkerhed og fortrolighed), som dataeksportøren og/eller dataimportøren skal træffe for at afhjælpe situationen, [til modul tre: hvis det er relevant i samråd med den dataansvarlige]. Dataeksportøren suspenderer dataoverførslen, hvis denne mener, at de fornødne garantier ved overførslen ikke kan sikres, eller efter instruks fra [til modul tre: den dataansvarlige eller] den kompetente tilsynsmyndighed til at gøre dette. I så fald har dataeksportøren ret til at opsige kontrakten, for så vidt den vedrører behandling af personoplysninger i henhold til disse bestemmelser. Hvis kontrakten omfatter mere end to parter, kan dataeksportøren kun udøve denne opsigelsesret over for den relevante part, medmindre parterne har aftalt andet. Når kontrakten opsiges i henhold til denne bestemmelse, finder bestemmelse 16, litra d) og e), anvendelse.

a)

Dataimportøren indvilliger i straks at underrette dataeksportøren og, hvis det er muligt, den registrerede (om nødvendigt med hjælp fra dataeksportøren), hvis denne:

[Til modul tre: Dataeksportøren videresender underretningen til den dataansvarlige.]

b)

Hvis dataimportøren har forbud mod at underrette dataeksportøren og/eller den registrerede i henhold til lovgivningen i bestemmelseslandet, indvilliger dataimportøren i at gøre sit bedste for at opnå en ophævelse af forbuddet med henblik på at meddele så mange oplysninger som muligt og hurtigst muligt. Dataimportøren indvilliger i at dokumentere sin bedste indsats for at kunne påvise dette på dataeksportørens anmodning.

c)

Hvis det er tilladt i henhold til lovgivningen i bestemmelseslandet, indvilliger dataimportøren i med regelmæssige mellemrum i kontraktens løbetid at give dataeksportøren den størst mulige mængde relevante oplysninger om de modtagne anmodninger (navnlig antallet af anmodninger, typen af oplysninger, der anmodes om, den eller de anmodende myndigheder, hvorvidt anmodninger er blevet anfægtet og resultatet af sådanne anfægtelser osv.). [Til modul tre: Dataeksportøren videresender oplysningerne til den dataansvarlige.]

d)

Dataimportøren indvilliger i at bevare oplysningerne i henhold til litra a) til c) i kontraktens løbetid og stiller dem til rådighed for den kompetente tilsynsmyndighed på anmodning.

e)

Litra a) til c) berører ikke dataimportørens forpligtelse i henhold til bestemmelse 14, litra e), og bestemmelse 16 til straks at underrette dataeksportøren, hvis dataimportøren ikke er i stand til at overholde disse bestemmelser.

a)

Dataimportøren indvilliger i at undersøge lovligheden af anmodningen om videregivelse af oplysninger, navnlig om den forbliver inden for de beføjelser, der er tildelt den anmodende offentlige myndighed, og at anfægte anmodningen, hvis dataimportøren efter en grundig vurdering konkluderer, at der er rimelig grund til at antage, at anmodningen er ulovlig i henhold til bestemmelseslandets lovgivning, gældende forpligtelser i henhold til folkeretten og principperne om international forståelse. Dataimportøren gør på samme betingelser brug af klagemuligheder. Ved anfægtelse af en anmodning anmoder dataimportøren om foreløbige foranstaltninger med henblik på at suspendere virkningerne af anmodningen, indtil den kompetente retlige myndighed har truffet afgørelse om sagens realitet. Dataimportøren videregiver først de personoplysninger, der anmodes om, i henhold til de gældende procedureregler. Disse krav berører ikke dataimportørens forpligtelser i henhold til bestemmelse 14, litra e).

b)

Dataimportøren indvilliger i at dokumentere sin juridiske vurdering og enhver anfægtelse af anmodningen om videregivelse af oplysninger og stiller dokumentationen til rådighed for dataeksportøren i det omfang, det er tilladt i henhold til lovgivningen i bestemmelseslandet. Dataimportøren stiller også dokumentationen til rådighed for den kompetente tilsynsmyndighed efter anmodning. [Til modul tre: Dataeksportøren gør vurderingen tilgængelig for den dataansvarlige.]

c)

Dataimportøren indvilliger i at give det minimum af oplysninger, der er tilladt ved besvarelse af en anmodning om videregivelse af oplysninger, baseret på en rimelig fortolkning af anmodningen.

a)

Dataimport�ren informerer omg�ende dataeksport�ren, hvis dataimport�ren uanset �rsagen ikke kan overholde disse bestemmelser.

b)

Hvis dataimport�ren overtr�der disse bestemmelser eller ikke er i stand til at overholde bestemmelserne, suspenderer dataeksport�ren overf�rslen af personoplysninger til dataimport�ren, indtil overtr�delsen bringes til oph�r eller kontrakten oph�rer. Dette ber�rer ikke bestemmelse 14, litra f).

c)

Dataeksport�ren har ret til at opsige kontrakten, for s� vidt den vedr�rer behandling af personoplysninger i henhold til disse bestemmelser, hvis:

I s� fald underretter dataimport�ren den kompetente tilsynsmyndighed [til modul tre: og den dataansvarlige] om en s�dan manglende overholdelse. Hvis kontrakten omfatter mere end to parter, kan dataeksport�ren kun ud�ve denne opsigelsesret over for den relevante part, medmindre parterne har aftalt andet.

d)

[Til modul et, to og tre: Personoplysninger, der allerede er overf�rt inden kontraktens oph�r i henhold til litra c), b�r efter dataeksport�rens valg omg�ende tilbageleveres til dataeksport�ren eller slettes i deres helhed. Det samme g�lder kopier af dataene.] [Til modul fire: Personoplysninger indsamlet af dataeksport�ren i EU, som allerede er overf�rt inden kontraktens oph�r i henhold til litra c), skal straks slette i deres helhed, herunder eventuelle kopier heraf.] Dataimport�ren dokumenterer sletningen af oplysningerne over for dataeksport�ren. Indtil dataene slettes eller returneres, skal dataimport�ren fortsat sikre, at disse bestemmelser overholdes. I tilf�lde, hvor lokal lovgivning, der er g�ldende for dataimport�ren, forbyder sletning eller tilbagelevering af de overf�rte personoplysninger, garanterer dataimport�ren, at denne fortsat sikrer overholdelse af disse bestemmelser og kun behandler personoplysningerne i det omfang og i den periode, der er kr�vet i henhold til den lokale lovgivning.

e)

Hver part kan tilbagekalde sit samtykke til at v�re bundet af disse bestemmelser, hvis i) Europa-Kommissionen vedtager en afg�relse i henhold til artikel�45, stk.�3, i forordning (EU) 2016/679, som omfatter overf�rsel af personoplysninger, som disse bestemmelser finder anvendelse p�, eller ii) forordning (EU) 2016/679 bliver en del af de retlige rammer i det land, hvortil personoplysningerne overf�res. Dette ber�rer ikke de �vrige forpligtelser, der g�lder for den p�g�ldende behandling, jf. forordning (EU) 2016/679.

a)

Tvister, der opst�r i forbindelse med disse bestemmelser, afg�res af domstolene i en EU-medlemsstat.

b)

Parterne er enige om, at dette skal v�re domstolene i ___ (angiv medlemsstat).

c)

En registreret kan ogs� anl�gge sag mod dataeksport�ren og/eller dataimport�ren ved domstolene i den medlemsstat, hvor vedkommende har sit s�dvanlige opholdssted.

d)

Parterne er enige om at lade sig underkaste sig s�danne domstoles kompetence.

�

Tvister, der opst�r i forbindelse med disse bestemmelser, afg�res af domstolene i _____ (angiv land).

1.

Adresse: …

Kontaktpersonens navn, stilling og kontaktoplysninger: …

Aktiviteter med relevans for de oplysninger, der overføres i henhold til disse bestemmelser: …

Underskrift og dato: …

Rolle (dataansvarlig/databehandler) …

2.

1.

Adresse: …

Kontaktpersonens navn, stilling og kontaktoplysninger: …

Aktiviteter med relevans for de oplysninger, der overføres i henhold til disse bestemmelser: …

Underskrift og dato: …

Rolle (dataansvarlig/databehandler) …

2.

1.

Adresse: …

Kontaktpersonens navn, stilling og kontaktoplysninger: …

Beskrivelse af behandlingen (herunder en klar ansvarsfordeling, hvis flere underdatabehandlere godkendes): …

2.