Standaard contractbepalingen

    Inhoud

    Clausules tussen controller en verwerker

    Dit document maakt deel uit van de XTM Data Processing Agreement, beschikbaar op http://xtm.ai/legal/data-processing-agreement, of een andere overeenkomst tussen een Klant en de Leverancier met betrekking tot de verwerking van Beschermde Gegevens ("DPA"). Tenzij anders gedefinieerd in dit document, hebben termen met een hoofdletter die in dit document worden gebruikt, de betekenis die eraan wordt gegeven in de DPA.

    AFDELING I

    Clausule 1

    Doel en toepassingsgebied

    1. Het doel van deze standaard contractuele clausules is het waarborgen van de naleving van de vereisten van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming) voor de doorgifte van persoonsgegevens naar een derde land.
    2. De partijen:
      1. de natuurlijke of rechtsperso(o)n(en), overheidsinstantie(s), instantie(s) of andere instantie(s) (hierna "entiteit(en)") die de persoonsgegevens doorgeeft/doorgeven, zoals vermeld in bijlage I.A. (hierna elke "gegevensexporteur"), en
      2. de entiteit(en) in een derde land die de persoonsgegevens van de gegevensexporteur ontvangt/ontvangen, direct of indirect via een andere entiteit die ook partij is bij deze bepalingen en die is opgenomen in bijlage I.A. (hierna "gegevensimporteur" te noemen)
        hebben ingestemd met deze modelcontractbepalingen (hierna "bepalingen" genoemd).
    3. Deze bepalingen zijn van toepassing op de doorgifte van persoonsgegevens zoals gespecificeerd in bijlage I.B.
    4. Het aanhangsel bij deze bepalingen met de bijlagen waarnaar daarin wordt verwezen, vormt een integrerend onderdeel van deze bepalingen.

    Clausule 2

    Werking en onveranderlijkheid van de clausules

    1. Deze bepalingen bevatten passende waarborgen, met inbegrip van afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen, overeenkomstig artikel 46, lid 1, en artikel 46, lid 2, onder c), van Verordening (EU) 2016/679 en, met betrekking tot de doorgifte van gegevens door voor de verwerking verantwoordelijken aan verwerkers en/of verwerkers aan verwerkers, modelcontractbepalingen overeenkomstig artikel 28, lid 7, van Verordening (EU) 2016/679, mits zij niet worden gewijzigd, behalve om de passende module(s) te selecteren of om informatie in het aanhangsel toe te voegen of bij te werken. Dit belet de Partijen niet om de in deze Clausules opgenomen modelcontractbepalingen in een ruimer contract op te nemen en/of andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet direct of indirect in strijd zijn met deze Clausules of afbreuk doen aan de fundamentele rechten of vrijheden van betrokkenen.

    2. Deze bepalingen doen geen afbreuk aan de verplichtingen waaraan de gegevensexporteur is onderworpen krachtens Verordening (EU) 2016/679.

    Clausule 3

    Derden-begunstigden

    1. Betrokkenen kunnen deze bepalingen als derdebegunstigden inroepen en afdwingen tegen de gegevensexporteur en/of -importeur, met de volgende uitzonderingen:
      1. Clausule 1, Clausule 2, Clausule 3, Clausule 6, Clausule 7;
      2. bepaling 8.1, onder b), bepaling 8.9, onder a), c), d) en e);
      3. Clausule 9(a), (c), (d) en (e);
      4. Clausule 12(a), (d) en (f);
      5. Clausule 13;
      6. Clausule 15.1(c), (d) en (e);
      7. Clausule 16(e);
      8. Clausule 18(a) en (b).
    2. Punt a) laat de rechten van betrokkenen op grond van Verordening (EU) 2016/679 onverlet.

    Artikel 4

    Interpretatie

    1. Wanneer in deze Clausules termen worden gebruikt die gedefinieerd zijn in Verordening (EU) 2016/679, hebben deze termen dezelfde betekenis als in die Verordening.
    2. Deze Clausules worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679.
    3. Deze Voorwaarden mogen niet worden geïnterpreteerd op een wijze die in strijd is met de rechten en verplichtingen van Verordening (EU) 2016/679.

    Clausule 5

    Hiërarchie

    In geval van tegenstrijdigheid tussen deze Clausules en de bepalingen van gerelateerde overeenkomsten tussen de Partijen, die bestaan op het moment dat deze Clausules worden overeengekomen of daarna worden aangegaan, prevaleren deze Clausules.

    Artikel 6

    Beschrijving van de overdracht(en)

    De bijzonderheden van de doorgifte(s), en met name de categorieën persoonsgegevens die worden doorgegeven en het doel of de doelen waarvoor zij worden doorgegeven, worden gespecificeerd in bijlage I.B.

    Clausule 7 - Facultatief

    Niet gebruikt.

    SECTIE II - VERPLICHTINGEN VAN DE PARTIJEN

    Artikel 8

    Waarborgen voor gegevensbescherming

    De gegevensexporteur garandeert dat hij redelijke inspanningen heeft verricht om vast te stellen dat de gegevensimporteur door de toepassing van passende technische en organisatorische maatregelen in staat is aan zijn verplichtingen krachtens deze bepalingen te voldoen.

    8.1 Instructies

    1. De gegevensimporteur verwerkt de persoonsgegevens uitsluitend volgens gedocumenteerde instructies van de gegevensexporteur. De gegevensexporteur mag deze instructies tijdens de duur van het contract geven.
    2. De gegevensimporteur informeert de gegevensexporteur onmiddellijk indien hij niet in staat is deze instructies op te volgen.

    8.2 Doelbinding

    De gegevensimporteur verwerkt de persoonsgegevens uitsluitend voor het specifieke doel of de specifieke doelen van de doorgifte, zoals uiteengezet in bijlage I.B, tenzij de gegevensexporteur nadere instructies geeft.

    8.3 Transparantie

    Op verzoek stelt de gegevensexporteur een afschrift van deze bepalingen, met inbegrip van het door de partijen ingevulde aanhangsel, kosteloos ter beschikking van de betrokkene. Voor zover dit nodig is om bedrijfsgeheimen of andere vertrouwelijke informatie te beschermen, met inbegrip van de in bijlage II omschreven maatregelen en persoonsgegevens, mag de gegevensexporteur een deel van de tekst van het aanhangsel bij deze bepalingen redigeren alvorens een exemplaar ervan ter beschikking te stellen, maar verstrekt hij een zinvolle samenvatting wanneer de betrokkene anders de inhoud ervan niet zou begrijpen of zijn rechten niet zou kunnen uitoefenen. Op verzoek verstrekken de partijen de betrokkene de redenen voor de bewerkingen, voor zover mogelijk zonder de bewerkte informatie te onthullen. Deze clausule laat de verplichtingen van de gegevensexporteur krachtens de artikelen 13 en 14 van Verordening (EU) 2016/679 onverlet.

    8.4 Nauwkeurigheid

    Indien de gegevensimporteur vaststelt dat de ontvangen persoonsgegevens onjuist of verouderd zijn, stelt hij de gegevensexporteur daarvan onverwijld in kennis. In dat geval werkt de gegevensimporteur samen met de gegevensexporteur om de gegevens te wissen of te rectificeren.

    8.5 Duur van de verwerking en wissen of teruggave van gegevens

    Na afloop van de verwerkingsdiensten verwijdert de gegevensimporteur, naar keuze van de gegevensexporteur, alle namens de gegevensexporteur verwerkte persoonsgegevens en verklaart hij aan de gegevensexporteur dat hij dit heeft gedaan, of stuurt hij alle namens hem verwerkte persoonsgegevens terug naar de gegevensexporteur en verwijdert hij bestaande kopieën. Totdat de gegevens zijn gewist of teruggegeven, blijft de gegevensimporteur ervoor zorgen dat deze bepalingen worden nageleefd. Indien op de gegevensimporteur lokale wetgeving van toepassing is die teruggave of verwijdering van de persoonsgegevens verbiedt, garandeert de gegevensimporteur dat hij deze bepalingen zal blijven naleven en de gegevens slechts zal verwerken in de mate en voor de duur die door deze lokale wetgeving worden vereist. Dit doet geen afbreuk aan bepaling 14, met name de eis dat de gegevensimporteur krachtens bepaling 14, onder e), de gegevensexporteur gedurende de volledige looptijd van het contract op de hoogte stelt indien hij redenen heeft om aan te nemen dat hij onderworpen is of is geworden aan wetten of praktijken die niet in overeenstemming zijn met de eisen krachtens bepaling 14, onder a).

    8.6 Beveiliging van verwerking

    1. De gegevensimporteur en, tijdens de doorgifte, ook de gegevensexporteur treffen passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging of niet-geautoriseerde vrijgave van of toegang tot die gegevens (hierna "inbreuk in verband met persoonsgegevens" genoemd). Bij de beoordeling van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en het doel van de verwerking en de risico's van de verwerking voor de betrokkenen. De partijen overwegen met name gebruik te maken van versleuteling of pseudonimisering, ook tijdens de doorgifte, wanneer op die manier aan het doel van de verwerking kan worden voldaan. In geval van pseudonimisering blijft de aanvullende informatie voor het toeschrijven van de persoonsgegevens aan een specifieke betrokkene waar mogelijk onder de exclusieve controle van de gegevensexporteur. Bij de naleving van zijn verplichtingen uit hoofde van dit lid neemt de gegevensimporteur ten minste de in bijlage II gespecificeerde technische en organisatorische maatregelen. De gegevensimporteur controleert regelmatig of deze maatregelen een passend beveiligingsniveau blijven bieden.
    2. De gegevensimporteur verleent leden van zijn personeel alleen toegang tot de persoonsgegevens voor zover dat strikt noodzakelijk is voor de uitvoering en het beheer van en het toezicht op het contract. Hij zorgt ervoor dat personen die gemachtigd zijn om de persoonsgegevens te verwerken, zich tot geheimhouding verplichten of onder een passende wettelijke geheimhoudingsplicht vallen.
    3. In geval van een inbreuk in verband met persoonsgegevens die krachtens deze bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk aan te pakken, met inbegrip van maatregelen om de nadelige gevolgen ervan te beperken. De gegevensimporteur stelt ook de gegevensexporteur zonder onnodige vertraging in kennis nadat hij van de inbreuk kennis heeft gekregen. Deze kennisgeving bevat de gegevens van een contactpunt waar meer informatie kan worden verkregen, een beschrijving van de aard van de inbreuk (met inbegrip van, waar mogelijk, de betrokken categorieën betrokkenen en het geschatte aantal persoonsgegevens), de waarschijnlijke gevolgen ervan en de genomen of voorgestelde maatregelen om de inbreuk aan te pakken, met inbegrip van, waar passend, maatregelen om de mogelijke negatieve gevolgen ervan te beperken. Indien en voor zover het niet mogelijk is alle informatie tegelijkertijd te verstrekken, bevat de eerste kennisgeving de informatie die op dat moment beschikbaar is en wordt vervolgens zonder onnodige vertraging nadere informatie verstrekt naarmate deze beschikbaar komt.
    4. De gegevensimporteur werkt samen met en verleent bijstand aan de gegevensexporteur om deze in staat te stellen aan zijn verplichtingen uit hoofde van Verordening (EU) 2016/679 te voldoen, met name om de bevoegde toezichthoudende autoriteit en de getroffen betrokkenen in kennis te stellen, rekening houdend met de aard van de verwerking en de informatie waarover de gegevensimporteur beschikt.

    8.7 Gevoelige gegevens

    Wanneer de doorgifte betrekking heeft op persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, op genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, op gegevens die de gezondheid of het seksleven of de seksuele geaardheid van een persoon betreffen, of op gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten (hierna "gevoelige gegevens" genoemd), past de gegevensimporteur de specifieke beperkingen en/of aanvullende waarborgen toe die in bijlage I.B zijn beschreven.

    8.8 Verdere doorgifte

    De gegevensimporteur verstrekt de persoonsgegevens alleen aan derden op gedocumenteerde instructie van de gegevensexporteur. Bovendien mogen de gegevens alleen aan een derde buiten de Europese Unie2 worden verstrekt( in hetzelfde land als de gegevensimporteur of in een ander derde land, hierna "verdere doorgifte" genoemd) indien de derde gebonden is of ermee instemt gebonden te zijn door deze bepalingen, onder de passende Module, of indien:

    1. de verdere doorgifte plaatsvindt naar een land dat in aanmerking komt voor een adequaatheidsbesluit krachtens artikel 45 van Verordening (EU) 2016/679 dat betrekking heeft op de verdere doorgifte;
    2. de derde anderszins zorgt voor passende waarborgen overeenkomstig artikel 46 of 47 van Verordening (EU) 2016/679 met betrekking tot de verwerking in kwestie;
    3. de verdere doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte in het kader van een specifieke administratieve, regelgevende of gerechtelijke procedure; of
    4. de verdere doorgifte noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon.

    Elke verdere doorgifte is onderworpen aan de naleving door de gegevensimporteur van alle andere waarborgen krachtens deze bepalingen, met name doelbinding.

    8.9 Documentatie en naleving

    1. De gegevensimporteur behandelt vragen van de gegevensexporteur met betrekking tot de verwerking overeenkomstig deze bepalingen onverwijld en adequaat.
    2. De partijen kunnen aantonen dat deze bepalingen worden nageleefd. De gegevensimporteur houdt met name passende documentatie bij over de verwerkingsactiviteiten die namens de gegevensexporteur worden uitgevoerd.
    3. De gegevensimporteur stelt de gegevensexporteur alle informatie ter beschikking die nodig is om aan te tonen dat aan de verplichtingen van deze bepalingen is voldaan en staat op verzoek van de gegevensexporteur toe dat met redelijke tussenpozen of indien er aanwijzingen zijn dat de bepalingen niet worden nageleefd, audits van de onder deze bepalingen vallende verwerkingsactiviteiten worden verricht en draagt daartoe bij. Bij zijn beslissing over een beoordeling of audit mag de gegevensexporteur rekening houden met relevante certificeringen van de gegevensimporteur.
    4. De gegevensexporteur kan ervoor kiezen de audit zelf uit te voeren of een beroep te doen op een onafhankelijke auditor. Audits kunnen inspecties ter plaatse of in de fysieke faciliteiten van de gegevensimporteur omvatten en worden, waar nodig, met inachtneming van een redelijke aankondigingstermijn uitgevoerd.
    5. De partijen stellen de onder b) en c) bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

    Artikel 9

    Gebruik van subverwerkers

    1. De gegevensimporteur heeft de algemene toestemming van de gegevensexporteur om een of meer subverwerkers van een overeengekomen lijst in te schakelen. De gegevensimporteur stelt de gegevensexporteur ten minste dertig (30) dagen van tevoren uitdrukkelijk schriftelijk in kennis van voorgenomen wijzigingen in die lijst door toevoeging of vervanging van subverwerkers, zodat de gegevensexporteur voldoende tijd heeft om bezwaar te maken tegen die wijzigingen voordat de subverwerker(s) wordt/worden ingeschakeld. De gegevensimporteur verstrekt de gegevensexporteur de informatie die de gegevensexporteur nodig heeft om zijn recht van bezwaar uit te oefenen.
    2. Wanneer de gegevensimporteur een subverwerker (namens de gegevensexporteur) in dienst neemt om specifieke verwerkingsactiviteiten uit te voeren, geschiedt dit door middel van een schriftelijk contract dat in wezen dezelfde gegevensbeschermingsverplichtingen bevat als die welke krachtens deze bepalingen op de gegevensimporteur rusten, met inbegrip van de rechten van derden-begunstigden voor de betrokkenen3. De partijen komen overeen dat de gegevensimporteur, door aan deze bepaling te voldoen, zijn verplichtingen krachtens bepaling 8.8 nakomt. De gegevensimporteur ziet erop toe dat de subverwerker voldoet aan de verplichtingen waaraan de gegevensimporteur krachtens deze bepalingen is onderworpen.
    3. De gegevensimporteur verstrekt de gegevensexporteur op diens verzoek een afschrift van de subverwerkersovereenkomst en alle latere wijzigingen. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, met inbegrip van persoonsgegevens, te beschermen, kan de gegevensimporteur de tekst van de overeenkomst redigeren alvorens een exemplaar te verstrekken.
    4. De gegevensimporteur blijft ten aanzien van de gegevensexporteur volledig verantwoordelijk voor de uitvoering van de verplichtingen van de subverwerker uit hoofde van zijn contract met de gegevensimporteur. De gegevensimporteur stelt de gegevensexporteur in kennis van elk verzuim van de subverwerker om zijn verplichtingen uit hoofde van dat contract na te komen.
    5. De gegevensimporteur komt met de subverwerker een derdenbeding overeen op grond waarvan de gegevensexporteur - indien de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden - het recht heeft het subverwerkerscontract te beëindigen en de subverwerker op te dragen de persoonsgegevens te wissen of terug te geven.

    Artikel 10

    Rechten van de betrokkene

    1. De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van elk verzoek dat hij van een betrokkene heeft ontvangen. Hij beantwoordt dat verzoek niet zelf, tenzij hij daartoe door de gegevensexporteur is gemachtigd.
    2. De gegevensimporteur helpt de gegevensexporteur bij het nakomen van zijn verplichtingen om te reageren op verzoeken van betrokkenen om de uitoefening van hun rechten uit hoofde van Verordening (EU) 2016/679. In dit verband stellen de partijen in bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking, door middel waarvan de bijstand wordt verleend, alsmede de reikwijdte en de omvang van de vereiste bijstand.
    3. Bij het nakomen van zijn verplichtingen krachtens de punten a) en b) houdt de gegevensimporteur zich aan de instructies van de gegevensexporteur.


    Artikel 11

    Verhaal

    1. De gegevensimporteur informeert betrokkenen door middel van een individuele kennisgeving of op zijn website in een transparante en gemakkelijk toegankelijke vorm over een contactpunt dat bevoegd is klachten te behandelen. Hij behandelt klachten van betrokkenen onmiddellijk.
    2. In geval van een geschil tussen een betrokkene en een van de partijen over de naleving van deze bepalingen, stelt deze partij alles in het werk om het geschil tijdig in der minne te schikken. De partijen houden elkaar op de hoogte van dergelijke geschillen en werken waar nodig samen om deze op te lossen.
    3. Wanneer de betrokkene zich beroept op een recht van een derdebegunstigde overeenkomstig bepaling 3, aanvaardt de gegevensimporteur het besluit van de betrokkene om
      1. een klacht in te dienen bij de toezichthoudende autoriteit in de lidstaat van zijn/haar gewone verblijfplaats of werkplek, of bij de bevoegde toezichthoudende autoriteit overeenkomstig bepaling 13;
      2. het geschil voor te leggen aan de bevoegde rechter in de zin van bepaling 18.
    4. De partijen aanvaarden dat de betrokkene kan worden vertegenwoordigd door een instantie, organisatie of vereniging zonder winstoogmerk onder de voorwaarden van artikel 80, lid 1, van Verordening (EU) 2016/679.
    5. De gegevensimporteur houdt zich aan een besluit dat bindend is volgens de toepasselijke wetgeving van de EU of de lidstaat.
    6. De gegevensimporteur stemt ermee in dat de keuze van de betrokkene geen afbreuk doet aan zijn materiële en procedurele rechten om rechtsmiddelen aan te wenden in overeenstemming met de toepasselijke wetgeving.


    Artikel 12

    Aansprakelijkheid

    1. Elke partij is jegens de andere partij aansprakelijk voor schade die zij door een inbreuk op deze bepalingen aan de andere partij toebrengt.
    2. De gegevensimporteur is aansprakelijk jegens de betrokkene, en de betrokkene heeft recht op vergoeding, voor alle materiële of immateriële schade die de gegevensimporteur of diens subverwerker de betrokkene toebrengt door inbreuk op de rechten van derden-begunstigden krachtens deze bepalingen.
    3. Niettegenstaande punt b) is de gegevensexporteur aansprakelijk jegens de betrokkene en heeft de betrokkene recht op vergoeding voor enige materiële of immateriële schade die de gegevensexporteur of de gegevensimporteur (of diens subverwerker) de betrokkene toebrengt door inbreuk op de rechten van derden-begunstigden krachtens deze bepalingen. Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensexporteur en, wanneer de gegevensexporteur een verwerker is die namens een verwerkingsverantwoordelijke optreedt, aan de aansprakelijkheid van de verwerkingsverantwoordelijke krachtens Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, zoals van toepassing.
    4. De partijen komen overeen dat, indien de gegevensexporteur op grond van punt c) aansprakelijk wordt gesteld voor door de gegevensimporteur (of diens subverwerker) veroorzaakte schade, hij gerechtigd is van de gegevensimporteur het deel van de vergoeding terug te vorderen dat overeenkomt met de verantwoordelijkheid van de gegevensimporteur voor de schade.
    5. Wanneer meer dan één partij verantwoordelijk is voor schade die aan de betrokkene is berokkend als gevolg van een schending van deze bepalingen, zijn alle verantwoordelijke partijen hoofdelijk aansprakelijk en heeft de betrokkene het recht een rechtszaak aan te spannen tegen elk van deze partijen.
    6. De partijen komen overeen dat, indien een partij op grond van punt e) aansprakelijk wordt gesteld, zij het recht heeft van de andere partij(en) het deel van de vergoeding terug te vorderen dat overeenkomt met haar/hun verantwoordelijkheid voor de schade.
    7. De gegevensimporteur kan zich niet beroepen op het gedrag van een subverwerker om zijn eigen aansprakelijkheid te ontlopen.


    Artikel 13

    Toezicht

    1. Wanneer de gegevensexporteur in een EU-lidstaat is gevestigd: De toezichthoudende autoriteit die verantwoordelijk is voor het toezicht op de naleving door de gegevensexporteur van Verordening (EU) 2016/679 wat de doorgifte van gegevens betreft, zoals aangegeven in bijlage I.C, treedt op als bevoegde toezichthoudende autoriteit.
      Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar binnen het territoriale toepassingsgebied van Verordening (EU) 2016/679 valt overeenkomstig artikel 3, lid 2, van die verordening en een vertegenwoordiger heeft aangewezen overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679: De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in bijlage I, deel C, treedt op als bevoegde toezichthoudende autoriteit.
      Wanneer de gegevensexporteurniet in een EU-lidstaat is gevestigd, maar binnen het territoriale toepassingsgebied van Verordening (EU) 2016/679 valt overeenkomstig artikel 3, lid 2, daarvan, zonder dat hij echter een vertegenwoordiger hoeft aan te wijzen overeenkomstig artikel 27, lid 2, van Verordening (EU) 2016/679: De toezichthoudende autoriteit van een van de lidstaten waarin de betrokkenen wier persoonsgegevens krachtens deze bepalingen worden doorgegeven in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gecontroleerd, zijn gevestigd, zoals aangegeven in bijlage I.C, treedt op als bevoegde toezichthoudende autoriteit.
    2. De gegevensimporteur stemt ermee in zich te onderwerpen aan de rechtsbevoegdheid van en samen te werken met de bevoegde toezichthoudende autoriteit in alle procedures die tot doel hebben de naleving van deze bepalingen te waarborgen. De gegevensimporteur stemt er met name mee in te reageren op onderzoeken, zich te onderwerpen aan audits en zich te houden aan de door de toezichthoudende autoriteit vastgestelde maatregelen, met inbegrip van corrigerende en compenserende maatregelen. Hij verstrekt de toezichthoudende autoriteit een schriftelijke bevestiging dat de nodige maatregelen zijn genomen.

    DEEL III - LOKALE WETGEVING EN VERPLICHTINGEN IN GEVAL VAN TOEGANG DOOR OVERHEIDSINSTANTIES

    Clausule 14

    Plaatselijke wetten en gebruiken die van invloed zijn op de naleving van de Clausules

    1. De partijen garanderen dat zij geen reden hebben om aan te nemen dat de wetten en praktijken in het derde land van bestemming die van toepassing zijn op de verwerking van de persoonsgegevens door de gegevensimporteur, met inbegrip van vereisten om persoonsgegevens bekend te maken of maatregelen die toegang door overheidsinstanties toestaan, de gegevensimporteur beletten zijn verplichtingen krachtens deze bepalingen na te komen. Dit is gebaseerd op het inzicht dat wetten en praktijken die de essentie van de fundamentele rechten en vrijheden respecteren en niet verder gaan dan wat in een democratische samenleving noodzakelijk en evenredig is om een van de doelstellingen genoemd in artikel 23, lid 1, van Verordening (EU) 2016/679 te waarborgen, niet in strijd zijn met deze bepalingen.
    2. De Partijen verklaren dat zij bij het verstrekken van de onder a) genoemde garantie naar behoren rekening hebben gehouden met in het bijzonder de volgende elementen:
      1. de specifieke omstandigheden van de doorgifte, waaronder de lengte van de verwerkingsketen, het aantal betrokken actoren en de gebruikte doorgiftekanalen; voorgenomen verdere doorgiften; het type ontvanger; het doel van de verwerking; de categorieën en het formaat van de doorgegeven persoonsgegevens; de economische sector waarin de doorgifte plaatsvindt; de opslaglocatie van de doorgegeven gegevens;
      2. de wetten en praktijken van het derde land van bestemming - met inbegrip van die welke de openbaarmaking van gegevens aan overheidsinstanties voorschrijven of de toegang van deze instanties toestaan - die relevant zijn in het licht van de specifieke omstandigheden van de doorgifte, en de toepasselijke beperkingen en waarborgen4;
      3. alle relevante contractuele, technische of organisatorische waarborgen die worden geboden ter aanvulling van de waarborgen krachtens deze bepalingen, met inbegrip van maatregelen die worden toegepast tijdens de doorgifte en bij de verwerking van de persoonsgegevens in het land van bestemming.
    3. De gegevensimporteur garandeert dat hij bij de onder b) bedoelde beoordeling zijn uiterste best heeft gedaan om de gegevensexporteur relevante informatie te verstrekken en stemt ermee in dat hij met de gegevensexporteur zal blijven samenwerken om de naleving van deze bepalingen te waarborgen.
    4. De partijen komen overeen de onder b) bedoelde beoordeling te documenteren en op verzoek aan de bevoegde toezichthoudende autoriteit ter beschikking te stellen.
    5. De gegevensimporteur stemt ermee in de gegevensexporteur onverwijld in kennis te stellen indien hij, na met deze bepalingen te hebben ingestemd en gedurende de looptijd van het contract, redenen heeft om aan te nemen dat hij onderworpen is of is geworden aan wetten of praktijken die niet in overeenstemming zijn met de vereisten van punt a), met inbegrip van een wijziging in de wetgeving van het derde land of een maatregel (zoals een verzoek om openbaarmaking) die erop wijst dat deze wetgeving in de praktijk niet in overeenstemming is met de vereisten van punt a).
    6. Na een kennisgeving overeenkomstig punt e) of indien de gegevensexporteur anderszins redenen heeft om aan te nemen dat de gegevensimporteur niet langer aan zijn verplichtingen krachtens deze bepalingen kan voldoen, stelt de gegevensexporteur onverwijld passende maatregelen vast (bv. technische of organisatorische maatregelen om de veiligheid en vertrouwelijkheid te waarborgen) die door de gegevensexporteur en/of gegevensimporteur moeten worden genomen om de situatie aan te pakken. De gegevensexporteur schort de gegevensdoorgifte op indien hij van oordeel is dat geen passende waarborgen voor deze doorgifte kunnen worden gewaarborgd of indien de bevoegde toezichthoudende autoriteit hem daartoe opdracht geeft. In dat geval heeft de gegevensexporteur het recht het contract te beëindigen voor zover het de verwerking van persoonsgegevens krachtens deze bepalingen betreft. Indien er meer dan twee partijen bij het contract betrokken zijn, kan de gegevensexporteur dit recht tot beëindiging alleen ten aanzien van de betrokken partij uitoefenen, tenzij de partijen anders zijn overeengekomen. Indien het contract krachtens deze bepaling wordt beëindigd, is bepaling 16, onder d) en e), van toepassing.

    Artikel 15

    Verplichtingen van de gegevensimporteur in geval van toegang door overheidsinstanties

    15.1 Kennisgeving

    1. De gegevensimporteur stemt ermee in de gegevensexporteur en, waar mogelijk, de betrokkene onverwijld in kennis te stellen (indien nodig met de hulp van de gegevensexporteur) indien hij
      1. een wettelijk bindend verzoek ontvangt van een overheidsinstantie, met inbegrip van gerechtelijke instanties, krachtens de wetgeving van het land van bestemming om openbaarmaking van persoonsgegevens die zijn doorgegeven krachtens deze bepalingen; deze kennisgeving omvat informatie over de gevraagde persoonsgegevens, de verzoekende instantie, de rechtsgrondslag voor het verzoek en het verstrekte antwoord; of
      2. kennis krijgt van rechtstreekse toegang van overheidsinstanties tot persoonsgegevens die op grond van deze bepalingen in overeenstemming met de wetgeving van het land van bestemming zijn doorgegeven; deze kennisgeving omvat alle informatie waarover de importeur beschikt.
    2. Indien het de gegevensimporteur krachtens de wetgeving van het land van bestemming verboden is de gegevensexporteur en/of de betrokkene in kennis te stellen, stemt de gegevensimporteur ermee in zich naar beste vermogen in te spannen om een ontheffing van het verbod te verkrijgen, teneinde zo spoedig mogelijk zoveel mogelijk informatie te verstrekken. De gegevensimporteur stemt ermee in zijn uiterste best te documenteren, zodat hij deze op verzoek van de gegevensexporteur kan aantonen.
    3. Indien toegestaan door de wetgeving van het land van bestemming, stemt de gegevensimporteur ermee in de gegevensexporteur gedurende de looptijd van het contract met regelmatige tussenpozen zoveel mogelijk relevante informatie te verstrekken over de ontvangen verzoeken (met name het aantal verzoeken, het soort gegevens dat wordt opgevraagd, de verzoekende autoriteit(en), of verzoeken zijn aangevochten en het resultaat daarvan, enz.
    4. De gegevensimporteur stemt ermee in de informatie krachtens de punten a) tot en met c) gedurende de looptijd van het contract te bewaren en op verzoek aan de bevoegde toezichthoudende autoriteit ter beschikking te stellen.
    5. De punten a) tot en met c) doen geen afbreuk aan de verplichting van de gegevensimporteur krachtens bepaling 14, onder e), en bepaling 16 om de gegevensexporteur onverwijld in kennis te stellen wanneer hij niet in staat is aan deze bepalingen te voldoen.

    15.2 Toetsing van rechtmatigheid en minimalisering van gegevens

    1. De gegevensimporteur stemt ermee in de rechtmatigheid van het verzoek om openbaarmaking te toetsen, met name of het binnen de bevoegdheden blijft die aan de verzoekende overheidsinstantie zijn verleend, en het verzoek aan te vechten indien hij na zorgvuldige beoordeling tot de conclusie komt dat er redelijke gronden zijn om aan te nemen dat het verzoek onrechtmatig is krachtens het recht van het land van bestemming, toepasselijke verplichtingen krachtens internationaal recht en beginselen van internationale hoffelijkheid. De gegevensimporteur maakt onder dezelfde voorwaarden gebruik van de beroepsmogelijkheden. Bij het aanvechten van een verzoek tracht de gegevensimporteur voorlopige maatregelen te treffen om de gevolgen van het verzoek op te schorten totdat de bevoegde gerechtelijke autoriteit over de gegrondheid ervan heeft beslist. Hij geeft de gevraagde persoonsgegevens pas vrij wanneer hij daartoe op grond van de toepasselijke procedurevoorschriften verplicht is. Deze vereisten doen geen afbreuk aan de verplichtingen van de gegevensimporteur volgens bepaling 14, onder e).
    2. De gegevensimporteur stemt ermee in zijn juridische beoordeling en eventuele betwisting van het verzoek om openbaarmaking te documenteren en, voor zover toegestaan door de wetgeving van het land van bestemming, de documentatie ter beschikking te stellen van de gegevensexporteur. Hij stelt deze documentatie op verzoek ook ter beschikking van de bevoegde toezichthoudende autoriteit.
    3. De gegevensimporteur stemt ermee in om in antwoord op een verzoek om openbaarmaking de minimaal toegestane hoeveelheid informatie te verstrekken, gebaseerd op een redelijke interpretatie van het verzoek.

    DEEL IV - SLOTBEPALINGEN

    Artikel 16

    Niet-naleving van de Clausules en beëindiging

    1. De gegevensimporteur stelt de gegevensexporteur onverwijld ervan in kennis, indien hij deze bepalingen, om welke reden dan ook, niet kan naleven.
    2. Indien de gegevensimporteur deze bepalingen niet naleeft of niet kan naleven, schort de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur op totdat de naleving is gewaarborgd of het contract wordt beëindigd. Dit laat bepaling 14, onder f), onverlet.
    3. De gegevensexporteur heeft het recht het contract, voorzover het de verwerking van persoonsgegevens krachtens deze bepalingen betreft, te beëindigen wanneer
      1. de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur overeenkomstig punt b) heeft opgeschort en de naleving van deze bepalingen niet binnen een redelijke termijn en in elk geval binnen één (1) maand na de opschorting wordt hersteld;
      2. de gegevensimporteur in aanzienlijke mate of voortdurend inbreuk maakt op deze bepalingen; of
      3. de gegevensimporteur een bindend besluit van een bevoegde rechtbank of toezichthoudende autoriteit met betrekking tot zijn verplichtingen krachtens deze bepalingen niet naleeft.
        In deze gevallen stelt hij de bevoegde toezichthoudende autoriteit van deze niet-naleving in kennis. Indien er meer dan twee partijen bij het contract betrokken zijn, mag de gegevensexporteur dit beëindigingsrecht uitsluitend ten aanzien van de desbetreffende partij uitoefenen, tenzij de partijen anders zijn overeengekomen.
    4. Persoonsgegevens die vóór de beëindiging van het contract krachtens punt c) zijn doorgegeven, worden naar keuze van de gegevensexporteur onverwijld aan de gegevensexporteur teruggegeven of in hun geheel gewist. Hetzelfde geldt voor kopieën van de gegevens. De gegevensimporteur verklaart de gegevensexporteur dat de gegevens gewist zijn. Totdat de gegevens gewist of teruggegeven zijn, blijft de gegevensimporteur ervoor zorgen dat deze bepalingen worden nageleefd. Indien op de gegevensimporteur lokale wetgeving van toepassing is die de teruggave of verwijdering van de doorgegeven persoonsgegevens verbiedt, garandeert de gegevensimporteur dat hij deze bepalingen zal blijven naleven en de gegevens alleen zal verwerken in de mate en voor de duur die door die lokale wetgeving worden vereist.
    5. Elke Partij kan haar instemming om door deze Clausules gebonden te zijn, herroepen wanneer (i) de Europese Commissie een besluit neemt overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 dat betrekking heeft op de doorgifte van persoonsgegevens waarop deze Clausules van toepassing zijn; of (ii) Verordening (EU) 2016/679 deel gaat uitmaken van het rechtskader van het land waarnaar de persoonsgegevens worden doorgegeven. Dit doet geen afbreuk aan andere verplichtingen die van toepassing zijn op de verwerking in kwestie onder Verordening (EU) 2016/679.

    Artikel 17

    Toepasselijk recht

    Op deze Clausules is het recht van een van de EU-lidstaten van toepassing, mits dat recht rechten van derden-begunstigden toestaat. De Partijen komen overeen dat dit het recht van Ierland is.

    Artikel 18

    Forumkeuze en jurisdictie

    1. Alle geschillen die voortvloeien uit deze Clausules worden beslecht door de rechtbanken van een EU-lidstaat.
    2. De partijen komen overeen dat dit de rechtbanken van Ierland zijn.
    3. Een betrokkene kan tegen de gegevensexporteur en/of gegevensimporteur ook een rechtsvordering instellen bij de rechtbanken van de lidstaat waar hij/zij zijn/haar gewone verblijfplaats heeft.
    4. De partijen komen overeen zich aan de jurisdictie van deze rechtbanken te onderwerpen.

    1Wanneerde gegevensexporteur een verwerker is die onderworpen is aan Verordening (EU) 2016/679 en optreedt namens een instelling of orgaan van de Unie als voor de verwerking verantwoordelijke, wordt door een beroep te doen op deze Clausules bij het inschakelen van een andere verwerker (subverwerking) die niet onderworpen is aan Verordening (EU) 2016/679 ook de naleving gewaarborgd van artikel 29, lid 4, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen van de Unie, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39), voor zover deze bepalingen en de gegevensbeschermingsverplichtingen zoals vastgelegd in de overeenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker krachtens artikel 29, lid 3, van Verordening (EU) 2018/1725 op elkaar zijn afgestemd. Dit zal met name het geval zijn wanneer de voor de verwerking verantwoordelijke en de verwerker zich beroepen op de modelcontractbepalingen die zijn opgenomen in Besluit 2021/915.

    2DeOvereenkomst betreffende de Europese Economische Ruimte (EER-Overeenkomst) voorziet in de uitbreiding van de interne markt van de Europese Unie tot de drie EER-staten IJsland, Liechtenstein en Noorwegen. De gegevensbeschermingswetgeving van de Unie, waaronder Verordening (EU) 2016/679, valt onder de EER-overeenkomst en is opgenomen in bijlage XI bij die overeenkomst. Daarom geldt een verstrekking door de gegevensimporteur aan een derde partij in de EER niet als een verdere doorgifte in de zin van deze bepalingen.

    3Aandezeeis kan worden voldaan doordat de subverwerker tot deze bepalingen toetreedt krachtens de toepasselijke module, in overeenstemming met bepaling 7.

    4 Watbetreft het effect van dergelijke wetten en praktijken op de naleving van deze clausules, kunnen verschillende elementen in aanmerking worden genomen als onderdeel van een algemene beoordeling. Deze elementen kunnen relevante en gedocumenteerde praktijkervaring omvatten met eerdere gevallen van verzoeken om openbaarmaking van overheidsinstanties, of het uitblijven van dergelijke verzoeken, die een voldoende representatief tijdsbestek bestrijken. Dit verwijst in het bijzonder naar interne dossiers of andere documentatie die voortdurend wordt opgesteld in overeenstemming met de zorgvuldigheidseisen en die op het niveau van het hoger management wordt gecertificeerd, op voorwaarde dat deze informatie rechtmatig met derden kan worden gedeeld. Wanneer op basis van deze praktijkervaring wordt geconcludeerd dat de gegevensimporteur niet zal worden verhinderd deze bepalingen na te leven, moet dit worden ondersteund door andere relevante objectieve elementen en moeten de partijen zorgvuldig nagaan of deze elementen samen voldoende betrouwbaar en representatief zijn om deze conclusie te ondersteunen. De partijen moeten er met name rekening mee houden of hun praktijkervaring wordt bevestigd en niet tegengesproken door publiek beschikbare of anderszins toegankelijke, betrouwbare informatie over het al dan niet bestaan van verzoeken binnen dezelfde sector en/of de toepassing van de wet in de praktijk, zoals jurisprudentie en verslagen van onafhankelijke toezichthoudende instanties.