EØS-standardkontraktsklausuler

Gjelder: 29. mars 2023



Standard kontraktuelle klausuler (behandlere)


Datakontrollør som definert i databehandlingsavtalen («dataeksportøren»),


Og


Ounizz.no eies og administreres av Spectrum Atelier Inc, som ligger  1320 16th Ave SW Calgary Suite 514 AB, T3C 3S6, Canada. hvis dataeksportøren overfører personopplysninger til Spectrum Atelier Inc i henhold til databehandlingsavtalen;


(den relevante Spectrum Atelier Inc-enheten beskrevet ovenfor, refereres til som «dataimportøren»),


hver en "fest"; sammen «partene»,


HAR BLEVET ENIG om følgende kontraktsbestemmelser («Klausulene») for å gi tilstrekkelige garantier med hensyn til beskyttelse av personvern og grunnleggende rettigheter og friheter for enkeltpersoner for overføring fra dataeksportøren til dataimportøren av personopplysningene spesifisert i vedlegg 1.



DEL I

Klausul 1

Formål og omfang

(a)  Formålet med disse standard kontraktsbestemmelsene er å sikre samsvar med kravene i EU-parlamentets og rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer med med hensyn til behandling av personopplysninger og om fri flyt av slike data (General Data Protection Regulation) (1) for overføring av personopplysninger til et tredjeland.

(b) Partene:

(i)   den eller de fysiske eller juridiske personene, offentlige myndighetene, byråene eller andre organer (heretter kalt "enhet(er") som overfører personopplysningene, som oppført i vedlegg I. A (heretter hver 'dataeksportør'), og

(ii) enheten(e) i et tredjeland som mottar personopplysningene fra dataeksportøren, direkte eller indirekte via en annen enhet som også er part i disse klausulene, som oppført i vedlegg I. A (heretter hver 'dataimportør')

har godtatt disse standard kontraktsbestemmelsene (heretter: "Klausuler").

(c)  Disse klausulene gjelder med hensyn til overføring av personopplysninger som spesifisert i vedlegg I.B

(d) Vedlegget til disse klausulene som inneholder vedleggene det henvises til der utgjør en integrert del av disse klausulene.

Klausul 2

Effekt og uforanderlighet av klausulene

(a)  Disse klausulene angir passende sikkerhetstiltak, inkludert håndhevbare rettigheter for registrerte og effektive rettsmidler, i henhold til artikkel 46(1) og artikkel 46(2)(c) i forordning (EU) 2016/679 og, med hensyn til dataoverføringer fra behandlingsansvarlige til databehandlere og/eller databehandlere til databehandlere, standard kontraktuelle klausuler i henhold til artikkel 28(7) i forordning (EU) 2016/679, forutsatt at de ikke endres, bortsett fra for å velge riktig modul( s) eller for å legge til eller oppdatere informasjon i vedlegget. Dette hindrer ikke partene i å inkludere standard kontraktsbestemmelsene fastsatt i disse klausulene i en bredere kontrakt og/eller legge til andre klausuler eller tilleggsgarantier, forutsatt at de ikke direkte eller indirekte er i strid med disse klausulene eller skade de grunnleggende rettighetene eller registrertes friheter.

(b) Disse klausulene berører ikke forpliktelser som dataeksportøren er underlagt i henhold til forordning (EU) 2016/679.



Klausul 3

Tredjepartsbegunstigede

(a)  Registrerte kan påberope seg og håndheve disse klausulene, som tredjepartsbegunstigede, mot dataeksportøren og/eller dataimportøren, med følgende unntak:

(i)   Klausul 1, Klausul 2, Klausul 3, Klausul 6, Klausul 7;

(ii) Klausul 8.1(b), 8.9(a), (c), (d) og (e);

(iii) Klausul 9 – Klausul 9(a), (c), (d) og (e);

(iv) Klausul 12 – Klausul 12(a), (d) og (f);

(v) Klausul 13;

(vi) Klausul 15.1(c), (d) og (e);

(vii) Klausul 16(e);

(viii) Klausul 18 – Klausul 18(a) og (b);

(b) Paragraf (a) berører ikke rettighetene til registrerte personer i henhold til forordning (EU) 2016/679.

Klausul 4

Tolkning

(a)  Der disse klausulene bruker termer som er definert i forordning (EU) 2016/679, skal disse termene ha samme betydning som i den forordningen.

(b) Disse klausulene skal leses og tolkes i lys av bestemmelsene i forordning (EU) 2016/679.

(c)  Disse klausulene skal ikke tolkes på en måte som er i konflikt med rettigheter og plikter fastsatt i forordning (EU) 2016/679.



Klausul 5

Hierarki

I tilfelle en motstrid mellom disse klausulene og bestemmelsene i relaterte avtaler mellom partene, som eksisterer på det tidspunktet disse klausulene er avtalt eller inngått deretter, skal disse klausulene ha forrang.


Klausul 6

Beskrivelse av overføringen(e)

Detaljene for overføringen(e), og spesielt kategoriene av personopplysninger som overføres og formålet(e) de overføres for, er spesifisert i vedlegg I.B


Klausul 7

Dokkingsklausul 

(a)  En enhet som ikke er part i disse klausulene kan, med avtale fra partene, tiltre disse klausulene når som helst, enten som dataeksportør eller som dataimportør, ved å fylle ut Vedlegg og signering av vedlegg I.EN

(b) Når den har fullført vedlegget og signert vedlegg I.A, den tiltredende enheten skal bli part i disse klausulene og ha rettighetene og forpliktelsene til en dataeksportør eller dataimportør i samsvar med dens betegnelse i vedlegg I.EN

(c)  Den tiltrådte enheten skal ikke ha noen rettigheter eller forpliktelser som oppstår i henhold til disse klausulene fra perioden før den ble en Part.





DEL II – PARTENES FORPLIKTELSER

Klausul 8

Databeskyttelsestiltak

Dataeksportøren garanterer at den har brukt rimelig innsats for å fastslå at dataimportøren er i stand til, gjennom implementering av passende tekniske og organisatoriske tiltak, å oppfylle sine forpliktelser i henhold til disse klausulene.

8.1 Instruksjoner

(a)  Dataimportøren skal behandle personopplysningene kun etter dokumenterte instruksjoner fra dataeksportøren. Dataeksportøren kan gi slike instruksjoner gjennom hele kontraktens varighet.

(b) Dataimportøren skal umiddelbart informere dataeksportøren dersom den ikke er i stand til å følge disse instruksjonene.

8.2 Formålsbegrensning

Dataimportøren skal behandle personopplysningene kun for det/de spesifikke formålet med overføringen, som angitt i vedlegg I.B, med mindre etter ytterligere instruksjoner fra dataeksportøren.

8.3 Åpenhet

På forespørsel skal dataeksportøren gjøre en kopi av disse klausulene, inkludert vedlegget som utfylt av partene, tilgjengelig for den registrerte gratis. I den grad det er nødvendig for å beskytte forretningshemmeligheter eller annen konfidensiell informasjon, inkludert tiltakene beskrevet i vedlegg II og personopplysninger, kan dataeksportøren redigere deler av teksten i vedlegget til disse klausulene før de deler en kopi, men skal gi et meningsfullt sammendrag hvor den registrerte ellers ikke ville være i stand til å forstå innholdet eller utøve sine rettigheter. På forespørsel skal partene gi den registrerte begrunnelsen for redigeringene, i den grad det er mulig uten å avsløre den reviderte informasjonen. Denne klausulen berører ikke forpliktelsene til dataeksportøren i henhold til artikkel 13 og 14 i forordning (EU) 2016/679.

8.4 Nøyaktighet

Hvis dataimportøren blir klar over at personopplysningene den har mottatt er unøyaktige, eller har blitt utdaterte, skal den informere dataeksportøren uten unødig opphold. I dette tilfellet skal dataimportøren samarbeide med dataeksportøren for å slette eller rette dataene.

8.5 Varighet av behandling og sletting eller retur av data

Behandling av dataimportøren skal bare finne sted i den varigheten som er angitt i vedlegg I.B Etter endt levering av behandlingstjenestene skal dataimportøren, etter dataeksportørens valg, slette alle personopplysninger som behandles på vegne av dataeksportøren og bekrefte overfor dataeksportøren at den har gjort det, eller returnere til dataeksportøren alle personopplysninger behandlet på hans vegne og sletter eksisterende kopier. Inntil dataene slettes eller returneres, skal dataimportøren fortsette å sikre overholdelse av disse klausulene. I tilfelle lokale lover som gjelder for dataimportøren som forbyr retur eller sletting av personopplysningene, garanterer dataimportøren at den vil fortsette å sikre overholdelse av disse klausulene og vil kun behandle dem i den grad og så lenge det kreves i henhold til dette. lokal lov. Dette berører ikke punkt 14, spesielt kravet til dataimportøren i henhold til punkt 14(e) om å varsle dataeksportøren gjennom hele kontraktens varighet dersom den har grunn til å tro at den er eller har blitt underlagt lover eller praksis som ikke er i tråd med kravene i paragraf 14(a).

8.6 Behandlingssikkerhet

(a)  Dataimportøren og, under overføringen, også dataeksportøren skal iverksette passende tekniske og organisatoriske tiltak for å sikre sikkerheten til dataene, inkludert beskyttelse mot brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring eller tilgang til disse dataene (heretter kalt "personlig databrudd"). Ved vurderingen av passende sikkerhetsnivå skal partene ta behørig hensyn til teknikkens stand, kostnadene ved implementering, arten, omfanget, konteksten og formålet med behandlingen og risikoene som er involvert i behandlingen for de registrerte. Partene skal særlig vurdere å benytte kryptering eller pseudonymisering, også under overføring, der formålet med behandlingen kan oppfylles på den måten. Ved pseudonymisering skal tilleggsopplysningene for å tilskrive personopplysningene til en bestemt registrert person, der det er mulig, forbli under eksklusiv kontroll av dataeksportøren. For å overholde sine forpliktelser i henhold til denne paragrafen, skal dataimportøren minst gjennomføre de tekniske og organisatoriske tiltakene som er angitt i vedlegg II. Dataimportøren skal gjennomføre regelmessige kontroller for å sikre at disse tiltakene fortsatt gir et passende sikkerhetsnivå.

(b) Dataimportøren skal gi tilgang til personopplysningene til medlemmer av sitt personell bare i den grad det er strengt nødvendig for gjennomføring, styring og overvåking av kontrakten. Den skal sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt.

(c)  I tilfelle et brudd på personopplysninger angående personopplysninger behandlet av dataimportøren i henhold til disse klausulene, skal dataimportøren iverksette passende tiltak for å håndtere bruddet, inkludert tiltak for å redusere dets negative virkninger. Dataimportøren skal også varsle dataeksportøren uten ugrunnet opphold etter å ha blitt kjent med bruddet. Slik melding skal inneholde detaljene om et kontaktpunkt der mer informasjon kan fås, en beskrivelse av bruddets art (inkludert, der det er mulig, kategorier og et omtrentlig antall berørte registrerte og personopplysninger), dets sannsynlige konsekvenser og tiltakene som er tatt eller foreslått for å håndtere bruddet, inkludert, der det er hensiktsmessig, tiltak for å dempe dets mulige negative effekter. Der, og i den grad det ikke er mulig å gi all informasjon samtidig, skal den første meldingen inneholde den informasjonen som da er tilgjengelig, og ytterligere informasjon skal, etter hvert som den blir tilgjengelig, senere gis uten ugrunnet opphold.

(d) Dataimportøren skal samarbeide med og bistå dataeksportøren for å gjøre det mulig for dataeksportøren å overholde sine forpliktelser i henhold til forordning (EU) 2016/679, særlig å varsle vedkommende tilsynsmyndighet og berørte registrerte, under hensyntagen til behandlingens art og informasjonen som er tilgjengelig for dataimportøren.

8.7 Sensitive data

Hvis overføringen involverer personopplysninger som avslører rase eller etnisk opprinnelse, politiske meninger, religiøse eller filosofiske overbevisninger, fagforeningsmedlemskap, genetiske data eller biometriske data med det formål å identifisere en fysisk person unikt, data som angår helse eller en persons sexliv eller seksuelle legning, eller data knyttet til straffedommer og lovbrudd (heretter kalt «sensitive data), skal dataimportøren anvende de spesifikke restriksjonene og/eller tilleggsgarantiene beskrevet i vedlegg I.B

8.8 Videreoverføringer

Dataimportøren skal kun utlevere personopplysningene til en tredjepart etter dokumenterte instrukser fra dataeksportøren. I tillegg kan dataene bare utleveres til en tredjepart som befinner seg utenfor Den europeiske union (4) (i samme land som dataimportøren eller i et annet tredjeland, heretter «videreoverføring») dersom tredjeparten er eller samtykker til være bundet av disse klausulene, under den aktuelle modulen, eller hvis:

(a)  den videre overføringen er til et land som nyter godt av en beslutning om tilstrekkelighet i henhold til artikkel 45 i forordning (EU) 2016/679 som dekker den videre overføringen;

(b) tredjeparten ellers sikrer passende garantier i henhold til artikkel 46 eller 47 forordning (EU) 2016/679 med hensyn til den aktuelle behandlingen;

(c) den videre overføringen er nødvendig for etablering, utøvelse eller forsvar av juridiske krav i sammenheng med spesifikke administrative, regulatoriske eller rettslige prosedyrer; eller

(d) videreoverføringen er nødvendig for å beskytte de vitale interessene til den registrerte eller en annen fysisk person.

Enhver videre overføring er underlagt overholdelse av dataimportøren med alle andre sikkerhetstiltak under disse klausulene, spesielt formålsbegrensninger.

8.9 Dokumentasjon og samsvar

(a)  Dataimportøren skal raskt og adekvat behandle forespørsler fra dataeksportøren som er relatert til behandlingen i henhold til disse klausulene.

(b) Partene skal kunne demonstrere overholdelse av disse klausulene. Dataimportøren skal særlig oppbevare passende dokumentasjon om behandlingsaktivitetene som utføres på vegne av dataeksportøren.

(c)  Dataimportøren skal gjøre tilgjengelig for dataeksportøren all informasjon som er nødvendig for å demonstrere overholdelse av forpliktelsene fastsatt i disse klausulene og på dataeksportørens anmodning, tillate og bidra til revisjoner av behandlingsaktivitetene dekkes av disse klausulene, med rimelige intervaller eller hvis det er indikasjoner på manglende samsvar. Ved avgjørelsen om en gjennomgang eller revisjon kan dataeksportøren ta hensyn til relevante sertifiseringer som innehas av dataimportøren.

(d) Dataeksportøren kan velge å utføre revisjonen selv eller gi en uavhengig revisor mandat. Tilsyn kan omfatte inspeksjoner i lokaler eller fysiske fasiliteter til dataimportøren og skal, der det er hensiktsmessig, gjennomføres med rimelig varsel.

(e)  Partene skal gjøre informasjonen nevnt i punkt (b) og (c), inkludert resultatene av eventuelle revisjoner, tilgjengelig for den kompetente tilsynsmyndigheten på forespørsel.

Klausul 9

Bruk av underbehandlere 

(a)  Dataimportøren har dataeksportørens generelle autorisasjon for engasjement av underbehandler(e) fra en avtalt liste. Dataimportøren skal spesifikt informere dataeksportøren skriftlig om eventuelle tiltenkte endringer i listen gjennom tillegg eller utskifting av underbehandlere minst fjorten dager i forveien, og dermed gi dataeksportøren tilstrekkelig tid til å kunne protestere mot slike endringer før til engasjementet til underbehandleren(e). Dataimportøren skal gi dataeksportøren den informasjonen som er nødvendig for at dataeksportøren skal kunne utøve sin rett til å protestere.

(b) Når dataimportøren engasjerer en underdatabehandler til å utføre spesifikke behandlingsaktiviteter (på vegne av dataeksportøren), skal den gjøre det ved en skriftlig kontrakt som i hovedsak bestemmer, de samme databeskyttelsesforpliktelsene som de som binder dataimportøren i henhold til disse klausulene, inkludert når det gjelder tredjeparts begunstigede rettigheter for registrerte. (8) Partene er enige om at dataimportøren ved å overholde denne klausulen oppfyller sine forpliktelser i henhold til klausul 8.8 Dataimportøren skal sørge for at underdatabehandleren overholder forpliktelsene som dataimportøren er underlagt etter disse punktene.

(c)  Dataimportøren skal, på dataeksportørens anmodning, gi en kopi av en slik underbehandleravtale og eventuelle påfølgende endringer til dataeksportøren. I den grad det er nødvendig for å beskytte forretningshemmeligheter eller annen konfidensiell informasjon, inkludert personopplysninger, kan dataimportøren redigere avtaleteksten før deling av en kopi.

(d) Dataimportøren skal forbli fullt ansvarlig overfor dataeksportøren for oppfyllelsen av underdatabehandlerens forpliktelser i henhold til kontrakten med dataimportøren. Dataimportøren skal varsle dataeksportøren om underdatabehandlerens manglende oppfyllelse av sine forpliktelser i henhold til denne kontrakten.

(e)  Dataimportøren skal avtale en tredjepartsbegunstigetklausul med underdatabehandleren hvorved – i tilfelle dataimportøren faktisk har forsvunnet, opphørt å eksistere i loven eller har blitt insolvent – dataeksportør skal ha rett til å si opp underdatabehandlerkontrakten og instruere underdatabehandleren om å slette eller returnere personopplysningene.

Klausul 10

Rettigheter for datasubjekter

(a)  Dataimportøren skal umiddelbart varsle dataeksportøren om enhver forespørsel den har mottatt fra en registrert. Den skal ikke selv svare på forespørselen med mindre den har fått tillatelse til det av dataeksportøren.

(b) Dataimportøren skal bistå dataeksportøren med å oppfylle sine forpliktelser til å svare på de registrertes forespørsler om å utøve deres rettigheter i henhold til forordning (EU) 2016/679. I denne forbindelse skal partene i vedlegg II angi passende tekniske og organisatoriske tiltak, under hensyntagen til behandlingens art, ved hjelp av hvilken bistanden skal ytes, samt omfanget og omfanget av bistanden som kreves.

(c)  Ved å oppfylle sine forpliktelser i henhold til paragraf (a) og (b), skal dataimportøren følge instruksjonene fra dataeksportøren.

Klausul 11

Retting

(a)  Dataimportøren skal informere registrerte personer i et transparent og lett tilgjengelig format, gjennom individuell melding eller på nettstedet, om et kontaktpunkt som er autorisert til å håndtere klager. Den skal behandle alle klager den mottar fra en registrert.

(b) I tilfelle en tvist mellom en registrert og en av partene med hensyn til overholdelse av disse klausulene, skal denne parten gjøre sitt beste for å løse problemet i minnelighet på en rettidig måte. Partene skal holde hverandre informert om slike tvister og, der det er hensiktsmessig, samarbeide om å løse dem.

(c)  Når den registrerte påberoper seg en tredjeparts begunstigelsesrettighet i henhold til punkt 3, skal dataimportøren godta den registrertes avgjørelse om:

(i)     inngi en klage til tilsynsmyndigheten i medlemsstaten hvor han/hennes vanlige bosted eller arbeidssted, eller den kompetente tilsynsmyndigheten i henhold til klausul 13;

(ii)     henvise tvisten til de kompetente domstolene i henhold til klausul 18.

(d) Partene godtar at den registrerte kan være representert av et ikke-kommersielt organ, organisasjon eller forening under betingelsene fastsatt i artikkel 80(1) i forordning (EU) 2016/679 .

(e)  Dataimportøren skal rette seg etter en avgjørelse som er bindende i henhold til gjeldende EU- eller medlemsstatslovgivning.

(f)  Dataimportøren godtar at valget som er tatt av den registrerte ikke vil påvirke hans/hennes materielle og prosessuelle rettigheter til å søke rettsmidler i samsvar med gjeldende lover.

Klausul 12

Ansvar

(a)  Hver part skal være ansvarlig overfor den eller de andre partene for eventuelle skader den påfører den eller de andre partene ved brudd på disse klausulene.

(b) Dataimportøren skal være ansvarlig overfor den registrerte, og den registrerte skal ha rett til å motta kompensasjon for enhver materiell eller ikke-materiell skade som dataimportøren eller dennes underbehandler forårsaker dataene gjenstand ved brudd på tredjeparts begunstigede rettigheter i henhold til disse klausulene.

(c)  Uavhengig av paragraf (b), skal dataeksportøren være ansvarlig overfor den registrerte, og den registrerte skal ha rett til å motta kompensasjon for enhver materiell eller ikke-materiell skade som dataeksportøren eller dataimportøren (eller dens underbehandler) forårsaker den registrerte ved å bryte tredjeparts begunstigede rettigheter i henhold til disse klausulene. Dette berører ikke dataeksportørens ansvar og, der dataeksportøren er en databehandler som handler på vegne av en behandlingsansvarlig, den behandlingsansvarliges ansvar i henhold til forordning (EU) 2016/679 eller forordning (EU) 2018/1725, som aktuelt.

(d) Partene er enige om at dersom dataeksportøren holdes ansvarlig i henhold til punkt (c) for skader forårsaket av dataimportøren (eller dennes underbehandler), skal den ha rett til å kreve tilbake fra dataene importør den del av erstatningen som svarer til dataimportørens ansvar for skaden.

(e)  Der mer enn én part er ansvarlig for skade påført den registrerte som følge av brudd på disse klausulene, skal alle ansvarlige parter være solidarisk ansvarlige og den registrerte har rett til å reise sak i retten mot noen av disse partene.

(f)  Partene er enige om at dersom en av partene holdes ansvarlig i henhold til punkt (e), skal den ha rett til å kreve tilbake fra den eller de andre partene den delen av kompensasjonen som svarer til dens/deres ansvar for skaden.

(g) Dataimportøren kan ikke påberope seg atferden til en underbehandler for å unngå sitt eget ansvar.

Klausul 13

Tilsyn

(a)  Partene er enige om at tilsynsmyndigheten med ansvar for å sikre at dataeksportøren overholder forordning (EU) 2016/679 med hensyn til dataoverføring, skal være den nederlandske databeskyttelsesmyndigheten (Autoriteit Persoonsgegevens), som skal fungere som en kompetent tilsynsmyndighet.

(b) Dataimportøren godtar å underkaste seg jurisdiksjonen til og samarbeide med den kompetente tilsynsmyndigheten i alle prosedyrer som tar sikte på å sikre overholdelse av disse klausulene. Spesielt samtykker dataimportøren til å svare på henvendelser, underkaste seg revisjoner og overholde tiltakene som er vedtatt av tilsynsmyndigheten, inkludert avhjelpende og kompenserende tiltak. Den skal gi tilsynsmyndigheten skriftlig bekreftelse på at nødvendige tiltak er iverksatt.

DEL III – LOKALE LOVER OG FORPLIKTELSER VED TILGANG FRA OFFENTLIGE MYNDIGHETER

Klausul 14

Lokale lover og praksis som påvirker overholdelse av klausulene

(a)  Partene garanterer at de ikke har noen grunn til å tro at lovene og praksisen i destinasjonstredjelandet er gjeldende for dataimportørens behandling av personopplysningene, inkludert eventuelle krav om å avsløre personlig data eller tiltak som gir offentlige myndigheter tilgang, hindrer dataimportøren i å oppfylle sine forpliktelser etter disse punktene. Dette er basert på forståelsen av at lover og praksis som respekterer essensen av de grunnleggende rettighetene og frihetene og ikke overskrider det som er nødvendig og forholdsmessig i et demokratisk samfunn for å ivareta en av målene oppført i artikkel 23(1) i forordning (EU) ) 2016/679 er ikke i strid med disse klausulene.

(b) Partene erklærer at de ved å gi garantien i paragraf (a) har tatt behørig hensyn spesielt til følgende elementer:

(i) de spesifikke omstendighetene ved overføringen, inkludert lengden på behandlingskjeden, antall involverte aktører og overføringskanalene som brukes; tiltenkte videreoverføringer; typen mottaker; formålet med behandlingen; kategoriene og formatet til de overførte personopplysningene; den økonomiske sektoren der overføringen skjer; lagringsstedet for de overførte dataene;

(ii) lovene og praksisene i bestemmelsestredjelandet – inkludert de som krever utlevering av data til offentlige myndigheter eller autoriserer tilgang fra slike myndigheter – relevant i lys av de spesifikke omstendighetene ved overføringen, og gjeldende begrensninger og sikkerhetstiltak (12);

(iii) eventuelle relevante kontraktsmessige, tekniske eller organisatoriske sikkerhetstiltak iverksatt for å supplere sikkerhetstiltakene under disse klausulene, inkludert tiltak som brukes under overføring og behandling av personopplysningene i destinasjonslandet.

(c)  Dataimportøren garanterer at den ved å utføre vurderingen i henhold til punkt (b) har gjort sitt beste for å gi dataeksportøren relevant informasjon og godtar at den vil fortsette å samarbeide med dataeksportør for å sikre overholdelse av disse klausulene.

(d) Partene er enige om å dokumentere vurderingen under punkt (b) og gjøre den tilgjengelig for den kompetente tilsynsmyndigheten på forespørsel.

(e)  Dataimportøren samtykker i å varsle dataeksportøren omgående dersom den, etter å ha godtatt disse klausulene og i kontraktens varighet, har grunn til å tro at den er eller har blitt underlagt lover eller praksis som ikke er i tråd med kravene i punkt (a), inkludert etter en endring i lovgivningen i tredjelandet eller et tiltak (som en forespørsel om offentliggjøring) som indikerer en anvendelse av slike lover i praksis som ikke er i tråd med kravene i ledd (a).

(f)  Etter en melding i henhold til punkt (e), eller hvis dataeksportøren på annen måte har grunn til å tro at dataimportøren ikke lenger kan oppfylle sine forpliktelser i henhold til disse klausulene, skal dataeksportøren umiddelbart identifisere passende tiltak (f.g tekniske eller organisatoriske tiltak for å sikre sikkerhet og konfidensialitet) som skal vedtas av dataeksportøren og/eller dataimportøren for å løse situasjonen. Dataeksportøren skal suspendere dataoverføringen dersom den mener at ingen hensiktsmessige garantier for slik overføring kan sikres, eller dersom vedkommende tilsynsmyndighet ber om å gjøre det. I dette tilfellet skal dataeksportøren ha rett til å si opp kontrakten, i den grad det gjelder behandling av personopplysninger i henhold til disse klausulene. Dersom kontrakten involverer mer enn to parter, kan dataeksportøren utøve denne retten til oppsigelse kun med hensyn til den aktuelle parten, med mindre partene har avtalt noe annet. Når kontrakten sies opp i henhold til denne klausulen, skal klausul 16(d) og (e) gjelde.

Klausul 15

Dataimportørens plikter ved tilgang fra offentlige myndigheter

15.1 varsel

(a)  Dataimportøren samtykker i å varsle dataeksportøren og, der det er mulig, den registrerte umiddelbart (om nødvendig med hjelp fra dataeksportøren) hvis det:

(i) mottar en juridisk bindende forespørsel fra en offentlig myndighet, inkludert rettslige myndigheter, i henhold til lovene i destinasjonslandet for utlevering av personopplysninger overført i henhold til disse klausulene; slik melding skal inneholde informasjon om de personopplysningene som forespørres, den anmodende myndigheten, det rettslige grunnlaget for forespørselen og svaret som er gitt; eller

(ii) blir oppmerksom på enhver direkte tilgang fra offentlige myndigheter til personopplysninger overført i henhold til disse klausulene i samsvar med lovene i destinasjonslandet; slik melding skal omfatte all informasjon som er tilgjengelig for importøren.

(b) Hvis dataimportøren er forbudt å varsle dataeksportøren og/eller den registrerte i henhold til lovene i destinasjonslandet, samtykker dataimportøren til å gjøre sitt beste for å få en dispensasjon fra forbud, med sikte på å formidle så mye informasjon som mulig, så snart som mulig. Dataimportøren godtar å dokumentere sin beste innsats for å kunne demonstrere dem på forespørsel fra dataeksportøren.

(c)  Der det er tillatt i henhold til lovene i destinasjonslandet, samtykker dataimportøren i å gi dataeksportøren, med jevne mellomrom under kontraktens varighet, så mye relevant informasjon som mulig om forespørslene mottatt (spesielt antall forespørsler, type data som forespørres, anmodende myndighet/er, om forespørsler har blitt utfordret og utfallet av slike utfordringer osv.)

(d) Dataimportøren samtykker i å oppbevare informasjonen i henhold til punktene (a) til (c) så lenge kontrakten varer, og gjøre den tilgjengelig for den kompetente tilsynsmyndigheten på forespørsel.

(e)  Avsnitt (a) til (c) berører ikke dataimportørens forpliktelse i henhold til paragraf 14(e) og paragraf 16 til å informere dataeksportøren umiddelbart dersom den ikke er i stand til å overholde disse klausulene.


15.2 Gjennomgang av lovlighet og dataminimering

(a)  Dataimportøren samtykker i å vurdere lovligheten av forespørselen om utlevering, spesielt om den holder seg innenfor fullmaktene som er gitt til den anmodende offentlige myndigheten, og å angripe forespørselen dersom, etter en nøye vurdering, den konkluderer med at det er rimelig grunn til å anse at forespørselen er ulovlig i henhold til lovene i destinasjonslandet, gjeldende forpliktelser i henhold til internasjonal lov og prinsipper om internasjonal comity. Dataimportøren skal på samme vilkår forfølge klagemuligheter. Når dataimportøren angriper en forespørsel, skal den søke midlertidige tiltak med sikte på å suspendere virkningene av forespørselen inntil den kompetente rettsmyndigheten har avgjort sakens realitet. Den skal ikke avsløre de forespurte personopplysningene før den er pålagt å gjøre det i henhold til gjeldende prosedyreregler. Disse kravene berører ikke forpliktelsene til dataimportøren i henhold til punkt 14(e).

(b) Dataimportøren godtar å dokumentere sin juridiske vurdering og enhver bestridelse av forespørselen om utlevering og, i den grad det er tillatt i henhold til lovene i destinasjonslandet, gjøre dokumentasjonen tilgjengelig for dataeksportøren. Den skal også gjøre den tilgjengelig for vedkommende tilsynsmyndighet på forespørsel.

(c)  Dataimportøren godtar å oppgi den minste mengde informasjon som er tillatt når han svarer på en forespørsel om utlevering, basert på en rimelig tolkning av forespørselen.

DEL IV – SLUTTBESTEMMELSER

Klausul 16

Manglende overholdelse av klausulene og oppsigelse

(a)  Dataimportøren skal umiddelbart informere dataeksportøren hvis den ikke er i stand til å overholde disse klausulene, uansett årsak.

(b) I tilfelle dataimportøren bryter disse klausulene eller ikke er i stand til å overholde disse klausulene, skal dataeksportøren suspendere overføringen av personopplysninger til dataimportøren inntil overholdelse igjen er sikret eller kontrakten sies opp. Dette berører ikke paragraf 14(f).

(c)  Dataeksportøren skal ha rett til å si opp kontrakten i den grad det gjelder behandling av personopplysninger i henhold til disse klausulene, der:

(i) dataeksportøren har suspendert overføringen av personopplysninger til dataimportøren i henhold til paragraf (b) og samsvar med disse klausulene gjenopprettes ikke innen rimelig tid og i alle fall innen én måned etter suspensjon ;

(ii) dataimportøren er i vesentlig eller vedvarende brudd på disse klausulene; eller

(iii) dataimportøren unnlater å overholde en bindende avgjørelse fra en kompetent domstol eller tilsynsmyndighet angående sine forpliktelser i henhold til disse klausulene.

I disse tilfellene skal den informere den kompetente tilsynsmyndigheten om slik manglende overholdelse. Dersom kontrakten involverer mer enn to parter, kan dataeksportøren utøve denne retten til oppsigelse kun med hensyn til den aktuelle parten, med mindre partene har avtalt noe annet.

(d) Personopplysninger som er overført før opphør av kontrakten i henhold til punkt (c) skal etter dataeksportørens valg umiddelbart returneres til dataeksportøren eller slettes i sin helhet. Det samme gjelder for eventuelle kopier av dataene. Dataimportøren skal bekrefte slettingen av dataene overfor dataeksportøren. Inntil dataene slettes eller returneres, skal dataimportøren fortsette å sikre overholdelse av disse klausulene. I tilfelle lokale lover som gjelder for dataimportøren som forbyr retur eller sletting av de overførte personopplysningene, garanterer dataimportøren at den vil fortsette å sikre overholdelse av disse klausulene og vil kun behandle dataene i den grad og så lenge som kreves i henhold til den lokale loven.

(e)  Hver av partene kan tilbakekalle sin avtale om å være bundet av disse klausulene der (i) Europakommisjonen vedtar en beslutning i henhold til artikkel 45(3) i forordning (EU) 2016/679 som dekker overføringen av personopplysninger som disse klausulene gjelder for; eller (ii) forordning (EU) 2016/679 blir en del av det juridiske rammeverket til landet som personopplysningene overføres til. Dette berører ikke andre forpliktelser som gjelder for den aktuelle behandlingen i henhold til forordning (EU) 2016/679.


Klausul 17

Gjeldende lov 

Disse klausulene skal være underlagt loven i EU-medlemsstaten der dataeksportøren er etablert. Der slik lov ikke tillater tredjeparts begunstigede rettigheter, skal de være underlagt loven i en annen EU-medlemsstat som tillater tredjeparts begunstigede rettigheter. Partene er enige om at dette skal være loven i Nederland.


Klausul 18

Valg av forum og jurisdiksjon

(a)  Enhver tvist som oppstår fra disse klausulene skal løses av domstolene i Storbritannia.

(b) Partene er enige om at disse skal være domstolene i London.

(c)  En registrert kan også reise søksmål mot dataeksportøren og/eller dataimportøren for domstolene i medlemsstaten der han/hun har sitt vanlige opphold.

(d) Partene er enige om å underkaste seg jurisdiksjonen til slike domstoler.


Vedlegg 1 til Spectrum Atelier Inc standardkontraktsklausuler


Dette vedlegget utgjør en del av klausulene


Dataeksportør Dataeksportøren er den ikke-Spectrum Atelier Inc juridiske enheten som er part i klausulene.


Dataimportør. Dataimportøren er: Spectrum Atelier Inc  

hvis dataeksportøren overfører personopplysninger til Spectrum Atelier Inc  i henhold til databehandlingsavtalen; eller


Datasubjekter. De overførte personopplysningene gjelder følgende kategorier av registrerte: Datasubjekter inkluderer personer som data som stammer fra EØS-området er gitt til Spectrum Atelier Inc via Business Services av (eller på retningen til) dataeksportøren.


Datakategorier. Personopplysningene som overføres, gjelder følgende kategorier av data: Data knyttet til enkeltpersoner gitt til  Spectrum Atelier Inc via Business Services av (eller etter anvisning fra) dataeksportøren, som spesifisert i Vedlegg 1: Detaljer om databehandling av databehandlingsavtalen.


Spesielle kategorier av data (hvis aktuelt) Personopplysningene som overføres gjelder følgende spesielle datakategorier: Ingen


Behandlingsoperasjoner Spectrum Atelier Inc vil behandle personopplysningene med det formål å levere forretningstjenestene til dataeksportøren i samsvar med og som beskrevet i databehandlingsavtalen og disse klausulene.



Vedlegg 2 til Spectrum Atelier Inc standard kontraktsklausuler


Dette vedlegget utgjør en del av klausulene.


Beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene implementert av dataimportøren i samsvar med punkt 4(c) og 5(c). Dataimportøren overholder for øyeblikket sikkerhetsstandardene i Schedule 2 - Spectrum Atelier Inc sikkerhetstiltak i databehandlingsavtalen. Dataimportøren kan oppdatere eller endre disse sikkerhetsstandardene fra tid til annen.