Besluit 2010/87 - 2010/87/: Besluit van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG
12.2.2010 |
NL |
Publicatieblad van de Europese Unie |
L 39/5 |
BESLUIT VAN DE COMMISSIE
van 5 februari 2010
betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad
(Kennisgeving geschied onder nummer C(2010) 593)
(Voor de EER relevante tekst)
(2010/87/EU)
DE EUROPESE COMMISSIE,
Gelet op het Verdrag betreffende de werking van de Europese Unie,
Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1), en met name op artikel 26, lid 4,
Na raadpleging van de Europese Toezichthouder voor gegevensbescherming,
Overwegende hetgeen volgt:
(1) |
Overeenkomstig Richtlijn 95/46/EG moeten de lidstaten bepalen dat persoonsgegevens slechts naar een derde land mogen worden doorgegeven, indien dat land een passend niveau voor de bescherming van gegevens waarborgt en de wetgeving van de lidstaten ter uitvoering van de andere bepalingen van die richtlijn al vóór de doorgifte wordt nageleefd. |
(2) |
Volgens artikel 26, lid 2, van Richtlijn 95/46/EG mogen de lidstaten evenwel, mits bepaalde waarborgen worden geboden, toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt. Deze waarborgen kunnen met name tot stand komen door passende contractuele bepalingen. |
(3) |
Overeenkomstig Richtlijn 95/46/EG dient het gegevensbeschermingsniveau te worden beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn. De bij de richtlijn ingestelde Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens heeft richtsnoeren voor een dergelijke beoordeling vastgesteld. |
(4) |
De modelcontractbepalingen dienen uitsluitend de gegevensbescherming te betreffen. Het staat de gegevensexporteur en de gegevensimporteur derhalve vrij andere bepalingen op te nemen over met de transactie verband houdende vraagstukken die zij voor het contract relevant achten, mits deze niet met de modelcontractbepalingen in strijd zijn. |
(5) |
Dit besluit laat nationale toestemming die lidstaten krachtens nationale bepalingen ter uitvoering van artikel 26, lid 2, van Richtlijn 95/46/EG kunnen geven, onverlet. Het strekt er slechts toe dat de lidstaten niet mogen weigeren de in dit besluit opgenomen modelcontractbepalingen als passende waarborgen te erkennen en heeft dus voor andere contractbepalingen geen gevolgen. |
(6) |
Beschikking 2002/16/EG van de Commissie van 27 december 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG (2) is vastgesteld ter vergemakkelijking van de doorgifte van persoonsgegevens van een voor de verwerking verantwoordelijke die gevestigd is in de Europese Unie aan een verwerker die gevestigd is in een derde land dat geen passend beschermingsniveau waarborgt. |
(7) |
Sinds de goedkeuring van Beschikking 2002/16/EG is veel ervaring opgedaan. Bovendien is uit het verslag over de uitvoering van de beschikkingen inzake modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen (3) gebleken dat het steeds belangrijker wordt het gebruik van modelcontractbepalingen te bevorderen voor de internationale doorgifte van persoonsgegevens naar derde landen die geen passend beschermingsniveau bieden. Voorts hebben belanghebbenden voorstellen ingediend tot actualisering van de modelcontractbepalingen in Beschikking 2002/16/EG teneinde deze aan te passen aan de zich snel uitbreidende omvang van gegevensverwerking overal ter wereld en bepaalde in die beschikking niet aan de orde komende vraagstukken te regelen (4). |
(8) |
De werkingssfeer van dit besluit dient zich ertoe te beperken vast te stellen dat de erin opgenomen modelcontractbepalingen door voor de gegevensverwerking verantwoordelijken die in de Europese Unie zijn gevestigd, kunnen worden gebruikt om voldoende waarborgen in de zin van artikel 26, lid 2, van Richtlijn 95/46/EG te bieden voor de doorgifte van persoonsgegevens aan in een derde land gevestigde verwerkers. |
(9) |
Dit besluit dient niet van toepassing te zijn op de doorgifte van persoonsgegevens door in de Europese Unie gevestigde voor de verwerking verantwoordelijken aan buiten de Europese Unie gevestigde voor de verwerking verantwoordelijken die binnen het toepassingsgebied van Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlijn 95/46/EG (5) vallen. |
(10) |
Dit besluit dient uitvoering te geven aan de in artikel 17, lid 3, van Richtlijn 95/46/EG vastgelegde verplichting en de inhoud van op grond van die bepaling gesloten contracten of vastgestelde wettelijke besluiten onverlet te laten. Sommige modelcontractbepalingen, met name die met betrekking tot de verplichtingen van de gegevensexporteur, dienen echter te worden opgenomen om meer duidelijkheid te scheppen over de bepalingen die in een contract tussen een voor de verwerking verantwoordelijke en een verwerker kunnen worden opgenomen. |
(11) |
De toezichthoudende autoriteiten van de lidstaten spelen een essentiële rol in dit contractmechanisme, door erop toe te zien dat persoonsgegevens na de doorgifte op passende wijze worden beschermd. In buitengewone gevallen waarin de gegevensimporteurs niet in staat zijn of weigeren de gegevensimporteurs naar behoren te instrueren en het risico van ernstige schade voor de betrokkenen bestaat, dienen de modelcontractbepalingen het voor de toezichthoudende autoriteiten mogelijk te maken de gegevensimporteurs en subverwerkers te controleren en zo nodig voor de gegevensimporteurs en subverwerkers bindende besluiten te nemen. De toezichthoudende autoriteiten dienen de bevoegdheid te hebben om een op basis van de modelcontractbepalingen gebaseerde doorgifte of categorie doorgiften te verbieden of op te schorten, in die uitzonderlijke gevallen waarin wordt vastgesteld dat een doorgifte op contractuele grondslag in aanzienlijke mate afbreuk dreigt te doen aan de waarborgen en verplichtingen die de betrokkene een passende bescherming bieden. |
(12) |
De modelcontractbepalingen dienen de technische en organisatorische beveiligingsmaatregelen vast te stellen die verwerkers in een derde land dat geen passende bescherming biedt, dienen te treffen om een passend beveiligingsniveau te garanderen, gelet op de risico’s die aan de verwerking en de aard van de te beschermen gegevens zijn verbonden. De partijen dienen in het contract de technische en organisatorische beveiligingsmaatregelen te regelen die, rekening houdende met het toepasselijke recht inzake gegevensbescherming, de stand van de techniek en de kosten van de tenuitvoerlegging, noodzakelijk zijn om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang dan wel tegen enige andere vorm van onwettige verwerking. |
(13) |
Teneinde het gegevensverkeer vanuit de Europese Unie te vergemakkelijken, is het wenselijk dat verwerkers die voor verscheidene voor de verwerking verantwoordelijken in de Europese Unie gegevens verwerken, dezelfde technische en organisatorische beveiligingsmaatregelen mogen toepassen, ongeacht de lidstaat van oorsprong van de gegevensdoorgifte; dit geldt vooral wanneer de gegevensimporteur vanuit verscheidene vestigingen van de gegevensexporteur in de Europese Unie gegevens voor verdere verwerking ontvangt, in welk geval het recht van de aangewezen lidstaat van vestiging van toepassing dient te zijn. |
(14) |
Het is dienstig vast te stellen welke informatie de partijen in ieder geval in het contract betreffende de doorgifte moeten vastleggen. De lidstaten dienen de mogelijkheid te behouden bijzonderheden vast te stellen inzake de informatie die de partijen moeten verstrekken. De werking van dit besluit dient in het licht van de ervaring te worden beoordeeld. |
(15) |
De gegevensimporteur dient de doorgegeven persoonsgegevens uitsluitend namens de gegevensexporteur te verwerken en zich daarbij te houden aan diens instructies en de in de modelcontractbepalingen opgenomen verplichtingen. De gegevensimporteur dient met name geen persoonsgegevens aan een derde te verstrekken zonder voorafgaande schriftelijke toestemming van de gegevensexporteur. De gegevensexporteur dient de gegevensimporteur opdracht te geven zich gedurende de gehele periode waarin hij de gegevens verwerkt, te houden aan de instructies van de gegevensexporteur, het toepasselijke recht inzake gegevensbescherming en de in de modelcontractbepalingen opgenomen verplichtingen. |
(16) |
In het verslag over de uitvoering van de beschikkingen inzake modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen wordt aanbevolen passende modelcontractbepalingen op te stellen inzake verdere doorgifte door een in een derde land gevestigde gegevensverwerker aan een andere gegevensverwerker (subverwerking), teneinde rekening te houden met zakelijke trends en werkmethoden en het feit dat gegevensverwerking steeds vaker wereldwijd wordt uitbesteed. |
(17) |
In dit besluit dienen specifieke modelcontractbepalingen te worden opgenomen betreffende subverwerking, zijnde een regeling waarbij een in een derde land gevestigde gegevensverwerker (de gegevensimporteur) zijn verwerkingsdiensten uitbesteedt aan andere in derde landen gevestigde verwerkers (subverwerkers). Daarnaast dienen de voorwaarden te worden vastgesteld waaraan de subverwerking moet voldoen om te waarborgen dat de doorgegeven persoonsgegevens ook bij de verdere doorgifte aan een subverwerker beschermd blijven. |
(18) |
De subverwerking dient bovendien uitsluitend te bestaan uit de werkzaamheden die zijn overeengekomen in het contract tussen de gegevensexporteur en de gegevensimporteur waarin de modelcontractbepalingen van dit besluit zijn opgenomen, en mag geen betrekking hebben op andere verwerkingswerkzaamheden of verwerkingsdoelen, zodanig dat het in Richtlijn 95/46/EG vervatte doelbindingsprincipe wordt nageleefd. Mocht de subverwerker niet voldoen aan zijn eigen verwerkingsverplichtingen krachtens dat contract, dan dient bovendien de gegevensimporteur aansprakelijk te blijven jegens de gegevensexporteur. De doorgifte van persoonsgegevens aan buiten de Europese Unie gevestigde verwerkers mag geen afbreuk doen aan het feit dat de gegevensverwerking door het toepasselijke recht inzake gegevensbescherming dient te worden beheerst. |
(19) |
De modelcontractbepalingen dienen niet alleen afdwingbaar te zijn door de organisaties die partij zijn bij het contract, maar ook door de betrokkenen, met name wanneer zij ten gevolge van niet-nakoming van het contract schade lijden. |
(20) |
De betrokkene dient het recht te hebben een vordering in te stellen tegen en in voorkomend geval een vergoeding te ontvangen van de gegevensexporteur die voor de verwerking van de doorgegeven persoonsgegevens verantwoordelijk is. Bij wijze van uitzondering dient de betrokkene ook het recht te hebben een vordering in te stellen tegen en in voorkomend geval een vergoeding te ontvangen van de gegevensimporteur in de gevallen waarin de gegevensimporteur, of een subverwerker aan wie deze de verwerking had uitbesteed, een van zijn in bepaling 3, lid 2, bedoelde verplichtingen niet is nagekomen, wanneer de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden. Bij wijze van uitzondering dient de betrokkene ook het recht te hebben een vordering in te stellen tegen en in voorkomend geval een vergoeding te ontvangen van de subverwerker, wanneer zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden. Deze aansprakelijkheid van de subverwerker jegens derden dient beperkt te blijven tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de contractbepalingen. |
(21) |
Bij een geschil tussen de betrokkene die zich op het derdenbeding beroept en de gegevensimporteur, dat niet in der minne wordt geschikt, dient de gegevensimporteur de betrokkene de keuze te geven tussen bemiddeling en een beroep op de rechter. In hoeverre de betrokkene een daadwerkelijke keuze heeft, hangt af van de beschikbaarheid van betrouwbare en erkende bemiddelingsregelingen. Bemiddeling door de toezichthoudende autoriteit voor gegevensbescherming in de lidstaat waar de gegevensexporteur is gevestigd, dient een keuzemogelijkheid te zijn indien deze autoriteit een dergelijke dienst verleent. |
(22) |
Het contract dient te worden beheerst door het recht van de lidstaat waar de gegevensexporteur is gevestigd, mits dit een derde begunstigde de mogelijkheid biedt de naleving van een contract af te dwingen. Betrokkenen dienen zich door een vereniging of een andere instelling te kunnen doen vertegenwoordigen, indien zij dat wensen en het nationale recht hiertoe de mogelijkheid biedt. Hetzelfde recht dient van toepassing te zijn op de bepalingen inzake gegevensbescherming in alle contracten met subverwerkers betreffende de uitbesteding van de verwerking van persoonsgegevens die de gegevensexporteur krachtens de contractbepalingen heeft doorgegeven aan de gegevensimporteur. |
(23) |
Aangezien dit besluit uitsluitend van toepassing is op de situatie waarin een in een derde land gevestigde gegevensverwerker verwerkingsdiensten uitbesteed aan een eveneens in een derde land gevestigde subverwerker, dient het niet van toepassing te zijn op de situatie waarin een in de Europese Unie gevestigde verwerker die namens een in de Europese Unie gevestigde voor de verwerking verantwoordelijke persoonsgegevens verwerkt, zijn verwerkingsactiviteiten uitbesteedt aan een in een derde land gevestigde subverwerker. In dergelijke situaties staat het de lidstaten vrij al dan niet rekening te houden met de omstandigheid dat de beginselen en waarborgen van de in dit besluit opgenomen modelcontractbepalingen zijn toegepast bij de uitbesteding aan een in een derde land gevestigde subverwerker, teneinde passende bescherming te bieden van de rechten van de betrokkenen wier persoonsgegevens met het oog op subverwerking zijn doorgegeven. |
(24) |
De bij artikel 29 van Richtlijn 95/46/EG ingestelde Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens heeft over het beschermingsniveau dat door de in de bijlage bij dit besluit opgenomen modelcontractbepalingen wordt geboden, een advies uitgebracht waarmee bij de voorbereiding van dit besluit rekening is gehouden. |
(25) |
Beschikking 2002/16/EG dient te worden ingetrokken. |
(26) |
De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31 van Richtlijn 95/46/EG ingestelde comité, |
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
Artikel 1
De in de bijlage opgenomen modelcontractbepalingen worden geacht voldoende waarborgen te bieden voor de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede voor de uitoefening van de daaraan verbonden rechten in de zin van artikel 26, lid 2, van Richtlijn 95/46/EG.
Artikel 2
Dit besluit heeft slechts betrekking op de gepastheid van de bescherming die door de in de bijlage opgenomen modelcontractbepalingen voor de doorgifte van persoonsgegevens aan verwerkers wordt geboden. Het doet geen afbreuk aan de toepassing van andere nationale bepalingen ter uitvoering van Richtlijn 95/46/EG die betrekking hebben op de verwerking van persoonsgegevens in de lidstaten.
Dit besluit is van toepassing op de doorgifte van persoonsgegevens door voor de verwerking verantwoordelijken die in de Europese Unie zijn gevestigd, aan ontvangers buiten het grondgebied van de Europese Unie die slechts als verwerkers optreden.
Artikel 3
Voor de toepassing van dit besluit wordt verstaan onder:
-
a)„bijzondere categorieën gegevens”: de in artikel 8 van Richtlijn 95/46/EG bedoelde gegevens;
-
b)„toezichthoudende autoriteit”: de in artikel 28 van Richtlijn 95/46/EG bedoelde autoriteit;
-
c)„gegevensexporteur”: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;
-
d)„gegevensimporteur”: de in een derde land gevestigde verwerker die overeenkomt van de gegevensexporteur persoonsgegevens te ontvangen om deze na doorgifte namens de gegevensexporteur te verwerken overeenkomstig diens instructies en de voorwaarden van dit besluit, en die niet onderworpen is aan een regeling van een derde land die passende bescherming biedt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;
-
e)„subverwerker”: een verwerker die door de gegevensimporteur of een andere voor de gegevensimporteur werkende subverwerker is gecontracteerd en die overeenkomt van de gegevensimporteur of van een andere voor de gegevensimporteur werkende subverwerker persoonsgegevens te ontvangen, uitsluitend ten behoeve van de verwerkingsactiviteiten die namens de gegevensexporteur worden verricht na de doorgifte, overeenkomstig de instructies van de gegevensexporteur, de modelcontractbepalingen in de bijlage en de voorwaarden van het schriftelijke contract inzake subverwerking;
-
f)„toepasselijk recht inzake gegevensbescherming”: de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een voor de verwerking verantwoordelijke;
-
g)„technische en organisatorische beveiligingsmaatregelen”: maatregelen die tot doel hebben persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking de doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.
Artikel 4
-
1.Onverminderd hun bevoegdheden om maatregelen te treffen ter waarborging van de naleving van de krachtens de hoofdstukken II, III, V en VI van Richtlijn 95/46/EG vastgestelde nationale bepalingen, kunnen de bevoegde autoriteiten in de lidstaten hun bestaande bevoegdheden gebruiken om gegevensstromen naar derde landen te verbieden of op te schorten teneinde natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen, wanneer:
a) |
wordt vastgesteld dat het recht waaraan de gegevensimporteur of een subverwerker is onderworpen, hem vereisten oplegt waarmee van het toepasselijke recht inzake gegevensbescherming moet worden afgeweken en die verder gaan dan de beperkingen die in een democratische samenleving noodzakelijk zijn als bedoeld in artikel 13 van Richtlijn 95/46/EG, indien die vereisten in aanzienlijke mate afbreuk dreigen te doen aan de door het toepasselijke recht inzake gegevensbescherming en de modelcontractbepalingen geboden waarborgen, |
b) |
een bevoegde autoriteit heeft vastgesteld dat de gegevensimporteur de in de bijlage opgenomen modelcontractbepalingen niet is nagekomen; of |
c) |
het in aanzienlijke mate waarschijnlijk is dat de in de bijlage opgenomen modelcontractbepalingen niet worden of zullen worden nageleefd en bij verdere doorgifte het risico bestaat dat de betrokkenen ernstige schade wordt toegebracht. |
-
2.Het verbod of de opschorting, als bedoeld in lid 1, wordt opgeheven, zodra de redenen voor het verbod of de opschorting niet meer bestaan.
-
3.Wanneer een lidstaat op grond van de leden 1 en 2 maatregelen treft, stelt hij de Commissie daarvan onverwijld in kennis, waarna de Commissie de andere lidstaten hiervan in kennis stelt.
Artikel 5
Drie jaar na de goedkeuring van dit besluit beoordeelt de Commissie de werking ervan op basis van de beschikbare informatie. Zij brengt over haar bevindingen verslag uit aan het bij artikel 31 van Richtlijn 95/46/EG ingestelde comité. Dit verslag omvat tevens alle gegevens die van invloed kunnen zijn op de beoordeling van de gepastheid van de modelcontractbepalingen in de bijlage en in voorkomend geval het bewijs dat dit besluit op discriminerende wijze wordt toegepast.
Artikel 6
Dit besluit is van toepassing met ingang van 15 mei 2010.
Artikel 7
-
1.Besluit 2002/16/EG wordt met ingang van 15 mei 2010 ingetrokken.
-
2.Een contract dat tussen een gegevensexporteur en een gegevensimporteur krachtens Beschikking 2002/16/EG vóór 15 mei 2010 is gesloten, blijft van kracht zolang de doorgiften en de gegevensverwerkingsactiviteiten waarop het contract van toepassing is, ongewijzigd blijven en zolang onder dit besluit vallende persoonsgegevens tussen de partijen worden doorgegeven. Indien de partijen bij het contract besluiten in dit verband wijzigingen aan te brengen of de verwerkingsactiviteiten waarop het contract betrekking heeft uit te besteden, dienen zij een nieuw contract aan te gaan dat aan de in de bijlage opgenomen modelcontractbepalingen voldoet.
Artikel 8
Dit besluit is gericht tot de lidstaten.
Gedaan te Brussel, 5 februari 2010.
Voor de Commissie
Jacques BARROT
Vicevoorzitter
-
SEC(2006) 95 van 20.1.2006.
-
Internationale Kamer van Koophandel (ICC), Japan Business Council in Europe (JBCE), Europese Unie Committee of the American Chamber of Commerce in Belgium (Amcham) en Federation of European Direct Marketing Associations (FEDMA).
BIJLAGE
MODELCONTRACTBEPALINGEN („VERWERKERS”)
Voor de toepassing van artikel 26, lid 2, van Richtlijn 95/46/EG, voor de doorgifte van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen die geen passend beschermingsniveau waarborgen
Naam van de organisatie die de gegevens uitvoert: …
Adres: …
Tel. …; fax …; e-mail: …
Andere gegevens ter identificatie van de organisatie:
…
(de gegevensexporteur)
en
Naam van de organisatie die de gegevens invoert: …
Adres: …
Tel. …; fax …; e-mail: …
Andere gegevens ter identificatie van de organisatie:
…
(de gegevensimporteur)
elk afzonderlijk „partij” en gezamenlijk „de partijen” genoemd,
ZIJN OVEREENGEKOMEN de volgende contractbepalingen, hierna „de bepalingen” genoemd, vast te stellen teneinde voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen, bij de doorgifte van de in aanhangsel 1 vermelde persoonsgegevens door de gegevensexporteur aan de gegevensimporteur.
Bepaling 1
Definities
Voor de toepassing van de bepalingen:
a) |
gelden voor „persoonsgegevens”, „bijzondere categorieën gegevens”, „verwerken/verwerking”, „voor de verwerking verantwoordelijke”, „verwerker”, „betrokkene” en „toezichthoudende autoriteit” dezelfde definities als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1); |
b) |
wordt onder „gegevensexporteur” verstaan: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft; |
c) |
wordt onder „gegevensimporteur” verstaan: de verwerker die overeenkomt van de gegevensexporteur persoonsgegevens te ontvangen om deze na doorgifte namens de gegevensexporteur te verwerken in overeenstemming met zijn instructies en de voorwaarden van de bepalingen, en die niet onderworpen is aan een regeling van een derde land die passende bescherming biedt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG; |
d) |
wordt onder „subverwerker” verstaan: een verwerker die door de gegevensimporteur of een andere voor de gegevensimporteur werkende subverwerker is gecontracteerd en die overeenkomt van de gegevensimporteur of van een andere voor de gegevensimporteur werkende subverwerker persoonsgegevens te ontvangen, uitsluitend ten behoeve van de verwerkingsactiviteiten die namens de gegevensexporteur worden verricht na de doorgifte, overeenkomstig de instructies van de gegevensexporteur, de voorwaarden van de bepalingen en de voorwaarden van het schriftelijke contract inzake subverwerking; |
e) |
wordt onder „toepasselijk recht inzake gegevensbescherming” verstaan: de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een voor de verwerking verantwoordelijke; |
f) |
wordt onder „technische en organisatorische beveiligingsmaatregelen” verstaan: maatregelen die tot doel hebben persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking de doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking. |
Bepaling 2
Bijzonderheden betreffende de doorgifte
De bijzonderheden betreffende de doorgifte, met name, in voorkomend geval, de bijzondere categorieën persoonsgegevens, worden nader omschreven in aanhangsel 1, dat een integrerend deel van de bepalingen vormt.
Bepaling 3
Derdenbeding
1. |
De betrokkenen kunnen deze bepaling en bepaling 4, onder b) tot en met i), bepaling 5, onder a) tot en met e) en g) tot en met j), bepaling 6, leden 1 en 2, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 als derde begunstigden tegenover de gegevensexporteur afdwingen. |
2. |
De betrokkenen kunnen deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de gegevensimporteur afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dit geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen. |
3. |
De betrokkenen kunnen deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de subverwerker afdwingen in die gevallen waarin zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dat geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen. |
4. |
De partijen verzetten zich er niet tegen dat de betrokkenen door een vereniging of andere instelling worden vertegenwoordigd, indien de betrokkenen dit uitdrukkelijk wensen en dit in het nationale recht is toegestaan. |
Bepaling 4
Verplichtingen van de gegevensexporteur
De gegevensexporteur stemt ermee in en garandeert dat:
a) |
de verwerking van de persoonsgegevens, met inbegrip van de doorgifte zelf, is geschied en zal blijven geschieden in overeenstemming met alle relevante bepalingen van het toepasselijke recht inzake gegevensbescherming (en, waar van toepassing, is gemeld aan de betrokken autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd), en dat zij niet in strijd is met de toepasselijke bepalingen van die staat; |
b) |
hij de gegevensimporteur instructie heeft gegeven, en gedurende de verwerking van de persoonsgegevens zal geven, de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met het toepasselijke recht inzake gegevensbescherming en de bepalingen te verwerken; |
c) |
de gegevensimporteur voldoende waarborgen zal bieden ten aanzien van de technische en organisatorische beveiligingsmaatregelen die in aanhangsel 2 bij dit contract worden omschreven; |
d) |
deze beveiligingsmaatregelen, na een beoordeling van de vereisten van het toepasselijke recht inzake gegevensbescherming, geschikt zijn bevonden om persoonsgegevens te beschermen tegen vernietiging, hetzij bij ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens via een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en deze maatregelen gezien de aan de verwerking en de aard van de te beschermen gegevens verbonden risico’s een passend beveiligingsniveau waarborgen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging; |
e) |
hij op de naleving van deze beveiligingsmaatregelen zal toezien; |
f) |
wanneer de doorgifte bijzondere categorieën gegevens betreft, de betrokkene ervan in kennis is gesteld, of vóór of zo spoedig mogelijk na de doorgifte ervan in kennis zal worden gesteld, dat zijn gegevens kunnen worden doorgegeven naar een derde land dat geen passende bescherming biedt als bedoeld in Richtlijn 95/46/EG; |
g) |
hij overeenkomstig bepaling 5, onder b), en bepaling 8, lid 3, ontvangen kennisgevingen van de gegevensimporteur of een subverwerker aan de toezichthoudende autoriteit zal doorzenden, wanneer hij (dat wil zeggen de gegevensexporteur) besluit de doorgifte voort te zetten of de opschorting op te heffen; |
h) |
hij op verzoek een afschrift van de bepalingen ter beschikking van de betrokkene zal stellen, met uitzondering van aanhangsel 2, alsmede een beknopte beschrijving van de beveiligingsmaatregelen en een afschrift van elk contract voor subverwerkingsdiensten dat overeenkomstig de bepalingen dient te worden opgesteld; indien de bepalingen of het contract commerciële informatie bevatten, mag de gegevensexporteur deze commerciële informatie verwijderen; |
i) |
in geval van subverwerking de verwerkingsactiviteiten worden uitgevoerd overeenkomstig bepaling 11 door een subverwerker die ten minste hetzelfde beschermingsniveau voor de persoonsgegevens en de rechten van de betrokkenen waarborgt als de gegevensimporteur overeenkomstig deze bepalingen; en |
j) |
hij zal toezien op de naleving van bepaling 4, onder a) tot en met i). |
Bepaling 5
Verplichtingen van de gegevensimporteur (2)
De gegevensimporteur stemt ermee in en garandeert dat:
a) |
hij de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en met de bepalingen verwerkt; indien hij om welke reden dan ook daartoe niet in staat is, stemt hij ermee in de gegevensexporteur onverwijld daarvan in kennis te stellen, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen; |
b) |
hij geen reden heeft aan te nemen dat de op hem toepasselijke wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen, en dat hij in geval van een wijziging in deze wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de bepalingen opgenomen waarborgen en verplichtingen, de gegevensexporteur, zodra hij de wijziging kent, onverwijld daarvan in kennis stelt, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen; |
c) |
hij de in aanhangsel 2 omschreven technische en organisatorische beveiligingsmaatregelen vóór de verwerking van de doorgegeven persoonsgegevens heeft getroffen; |
d) |
hij de gegevensexporteur onverwijld ervan in kennis stelt wanneer:
|
e) |
hij alle vragen van de gegevensexporteur betreffende de door hem uitgevoerde verwerking van de doorgegeven persoonsgegevens zo spoedig mogelijk naar behoren beantwoordt en het advies van de toezichthoudende autoriteit volgt bij de verwerking van de doorgegeven gegevens; |
f) |
hij op verzoek van de gegevensexporteur zijn verwerkingsvoorzieningen beschikbaar stelt voor controle van de onder deze bepalingen vallende verwerkingsactiviteiten, welke wordt uitgevoerd door de gegevensexporteur of door een controleorgaan waarvan de leden onafhankelijk zijn, over de vereiste beroepskwalificaties beschikken, tot geheimhouding verplicht zijn en door de gegevensexporteur worden aangewezen, waar van toepassing in overleg met de toezichthoudende autoriteit; |
g) |
hij, wanneer de betrokkene geen afschrift van de gegevensexporteur kan verkrijgen, hem op verzoek een afschrift van de bepalingen alsmede eventuele subverwerkingscontracten ter beschikking stelt, met uitzondering van aanhangsel 2 dat door een beknopte beschrijving van de beveiligingsmaatregelen wordt vervangen; indien de bepalingen of contracten commerciële informatie bevatten, mag de gegevensimporteur deze commerciële informatie verwijderen; |
h) |
hij, wanneer subverwerking plaatsvindt, de gegevensexporteur tevoren heeft ingelicht en diens schriftelijke toestemming heeft verkregen; |
i) |
de verwerkingsdiensten van de subverwerker overeenkomstig bepaling 11 zullen worden uitgevoerd; |
j) |
hij van elk subverwerkingscontract dat hij in het kader van de bepalingen aangaat, onverwijld een afschrift doet toekomen aan de gegevensexporteur. |
Bepaling 6
Aansprakelijkheid
1. |
De partijen komen overeen dat elke betrokkene die ten gevolge van een schending van de verplichtingen bedoeld in bepaling 3 of bepaling 11 door een partij of een subverwerker schade heeft geleden, het recht heeft van de gegevensexporteur vergoeding voor de geleden schade te ontvangen. |
2. |
Wanneer de betrokkene geen vordering tot schadevergoeding wegens niet-nakoming door de gegevensimporteur of diens subverwerker van een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen, als bedoeld in lid 1, tegen de gegevensexporteur kan instellen doordat de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensimporteur alsof hij de gegevensexporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die rechtsopvolger kan doen gelden. De gegevensimporteur kan zich niet aan zijn aansprakelijkheid onttrekken door zich te beroepen op niet-nakoming van verplichtingen door de subverwerker. |
3. |
Wanneer de betrokkene de in lid 1 of 2 bedoelde vordering wegens niet-nakoming door de subverwerker van een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen niet tegen de gegevensexporteur of de gegevensimporteur kan instellen doordat zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de subverwerker ermee in dat de betrokkene een vordering kan instellen tegen de subverwerker, met betrekking tot diens eigen verwerkingsactiviteiten krachtens de bepalingen, alsof deze de gegevensexporteur of de gegevensimporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die rechtsopvolger kan doen gelden. De aansprakelijkheid van de subverwerker blijft beperkt tot de verwerkingsactiviteiten die deze zelf heeft uitgevoerd krachtens de bepalingen. |
Bepaling 7
Bemiddeling en rechtsmacht
1. |
De gegevensimporteur stemt ermee in dat, indien de betrokkene tegen hem rechten ten behoeve van derden en/of vorderingen tot schadevergoeding krachtens de bepalingen inroept, de gegevensimporteur de beslissing van de betrokkene aanvaardt:
|
2. |
De partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan diens materiële of formele rechten om op grond van andere bepalingen van nationaal of internationaal recht verhaal te zoeken. |
Bepaling 8
Samenwerking met de toezichthoudende autoriteiten
1. |
De gegevensexporteur stemt ermee in een afschrift van dit contract bij de toezichthoudende autoriteit neer te leggen, indien deze daarom verzoekt of indien dit krachtens het toepasselijke recht inzake gegevensbescherming vereist is. |
2. |
De partijen komen overeen dat de toezichthoudende autoriteit bevoegd is bij de gegevensimporteur en eventuele subverwerkers een controle te verrichten die dezelfde reikwijdte heeft en aan dezelfde voorwaarden is onderworpen als die welke krachtens het toepasselijke recht inzake gegevensbescherming voor haar controle van de gegevensexporteur zouden gelden. |
3. |
Indien er wetgeving bestaat die op de gegevensimporteur of een subverwerker van toepassing is en die de uitvoering van controles als in lid 2 bedoeld op de gegevensimporteur of een subverwerker verbiedt, stelt de gegevensimporteur de gegevensexporteur daarvan onverwijld in kennis. In een dergelijk geval mag de gegevensexporteur de in bepaling 5, onder b), bedoelde maatregelen nemen. |
Bepaling 9
Toepasselijk recht
Op de bepalingen is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing, te weten …
Bepaling 10
Wijziging van het contract
De partijen verbinden zich ertoe de bepalingen niet te wijzigen. Dit vormt voor de partijen geen beletsel om indien nodig bepalingen toe te voegen betreffende met de transactie verband houdende vraagstukken, mits deze niet met de modelcontractbepalingen in strijd zijn.
Bepaling 11
Subverwerking
1. |
De gegevensimporteur besteedt de verwerkingsactiviteiten die hij overeenkomstig de bepalingen namens de gegevensexporteur uitvoert, niet uit zonder de voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur met toestemming van de gegevensexporteur zijn verplichtingen uit hoofde van de bepalingen uitbesteedt, dient hij met de subverwerker een schriftelijk contract te sluiten waarbij aan de subverwerker dezelfde verplichtingen worden opgelegd als die waaraan de gegevensimporteur uit hoofde van de bepalingen moet voldoen (3). Indien de subverwerker niet voldoet aan zijn verplichtingen tot gegevensbescherming uit hoofde van dat schriftelijke contract, blijft de gegevensimporteur jegens de gegevensexporteur volledig aansprakelijk voor de uitvoering van de verplichtingen van de subverwerker uit hoofde van dat contract. |
2. |
In het tevoren tussen de gegevensimporteur en de subverwerker te sluiten schriftelijke contract dient tevens een derdenbeding te zijn opgenomen zoals vervat in bepaling 3, dat voorziet in gevallen dat de betrokkene geen vordering tot schadevergoeding als bedoeld in bepaling 6, lid 1, kan instellen tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, en er geen rechtsopvolger is die contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen. |
3. |
Op de in lid 1 bedoelde bepalingen betreffende de gegevensbeschermingsaspecten van de subverwerking uit hoofde van het in lid 1 bedoelde contract is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing, te weten … |
4. |
De gegevensexporteur houdt een lijst bij van subverwerkingscontracten die krachtens de bepalingen zijn gesloten en door de gegevensimporteur overeenkomstig bepaling 5, onder j), zijn aangemeld, en werkt deze ten minste eenmaal per jaar bij. Deze lijst wordt ter beschikking gesteld van de toezichthoudende autoriteit voor gegevensbescherming die op de gegevensexporteur toezicht houdt. |
Bepaling 12
Verplichting na de beëindiging van de verwerking van persoonsgegevens
1. |
De partijen komen overeen dat de gegevensimporteur en de subverwerker na het beëindigen van de verlening van de gegevensverwerkingsdiensten alle doorgegeven persoonsgegevens en kopieën daarvan aan de gegevensexporteur terugbezorgen of, indien de gegevensexporteur dat verkiest, alle persoonsgegevens vernietigen en aan de gegevensexporteur verklaren dat de vernietiging heeft plaatsgevonden, tenzij de op de gegevensimporteur toepasselijke wetgeving hem verbiedt alle of een gedeelte van de doorgegeven persoonsgegevens terug te bezorgen of te vernietigen. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens zal respecteren en dat hij de doorgegeven gegevens niet verder actief zal verwerken. |
2. |
De gegevensimporteur en de subverwerker garanderen dat zij op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit hun verwerkingsvoorzieningen voor een controle van de in lid 1 bedoelde maatregelen beschikbaar zullen stellen. |
Namens de gegevensexporteur:
Naam (voluit): …
Functie: …
Adres: …
Eventuele andere inlichtingen die voor het verbindend worden van het contract noodzakelijk zijn:
Handtekening … |
Namens de gegevensimporteur:
Naam (voluit): …
Functie: …
Adres: …
Eventuele andere inlichtingen die voor het verbindend worden van het contract noodzakelijk zijn:
Handtekening … |
-
De partijen kunnen in deze bepaling de definities en begrippen van Richtlijn 95/46/EG herhalen, indien zij de voorkeur geven aan een autonoom contract.
-
Vereisten van het nationale recht die op de gegevensimporteur van toepassing zijn en die niet verder gaan dan wat in een democratische samenleving noodzakelijk is op basis van een van de in artikel 13, lid 1, van Richtlijn 95/46/EG vermelde belangen, dat wil zeggen noodzakelijke maatregelen ter vrijwaring van de veiligheid van een staat, de landsverdediging, de openbare veiligheid, het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen, een belangrijk economisch en financieel belang van een lidstaat of de bescherming van de betrokkene of van de rechten en vrijheden van anderen, zijn niet in strijd met de bepalingen. Enkele voorbeelden van dergelijke vereisten die niet verder gaan dan wat in een democratische samenleving noodzakelijk is, zijn internationaal erkende sancties, verplichtingen in verband met de belastingaangifte en verplichtingen in verband met het melden van witwaspraktijken.
-
Aan deze eis kan worden voldaan door medeondertekening door de subverwerker van het contract tussen de gegevensexporteur en de gegevensimporteur dat krachtens dit besluit wordt gesloten.
Aanhangsel 1
Bij de modelcontractbepalingen
Dit aanhangsel maakt deel uit van de bepalingen en moet door de partijen worden ingevuld en ondertekend.
De lidstaten kunnen overeenkomstig hun nationale procedures aanvullende of meer gedetailleerde gegevens voorschrijven die in dit aanhangsel moeten worden opgenomen.
Gegevensexporteur
De gegevensexporteur is (beschrijf in het kort de voor de doorgifte relevante activiteiten):
…
…
…
Gegevensimporteur
De gegevensimporteur is (beschrijf in het kort de voor de doorgifte relevante activiteiten):
…
…
…
Betrokkenen
De doorgegeven persoonsgegevens betreffen de volgende categorieën betrokkenen:
…
…
…
Categorieën gegevens
De doorgegeven persoonsgegevens betreffen de volgende categorieën gegevens:
…
…
…
Bijzondere categorieën gegevens (indien van toepassing)
De doorgegeven persoonsgegevens betreffen de volgende bijzondere categorieën gegevens:
…
…
…
Verwerking
De doorgegeven persoonsgegevens zullen de volgende basisverwerkingen ondergaan:
…
…
…
DE GEGEVENSEXPORTEUR Naam: … Handtekening van de bevoegde persoon: … |
DE GEGEVENSIMPORTEUR Naam: … Handtekening van de bevoegde persoon: … |
Aanhangsel 2
Bij de modelcontractbepalingen
Dit aanhangsel maakt deel uit van de bepalingen en moet door de partijen worden ingevuld en ondertekend.
Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur overeenkomstig bepaling 4, onder d), en bepaling 5, onder c), zijn getroffen (of bijgevoegd(e) document/wettelijke regeling):
…
…
…
…
VOORBEELDCLAUSULE INZAKE SCHADELOOSSTELLING (FACULTATIEF)
Aansprakelijkheid
De partijen komen overeen dat wanneer de ene partij aansprakelijk wordt gesteld voor een schending van de bepalingen door de andere partij, de andere partij, voor zover deze aansprakelijk is, de eerste partij schadeloos stelt voor alle kosten, onkosten, lasten, schade of verlies die voor haar uit deze schending voortvloeien.
Schadevergoeding kan alleen worden toegekend indien:
a) |
de gegevensexporteur de gegevensimporteur onverwijld van de vordering in kennis heeft gesteld, en |
b) |
de gegevensimporteur de mogelijkheid is gegeven bij de verdediging en de oplossing van het geschil met de gegevensexporteur samen te werken (1). |
-
De bepaling inzake aansprakelijkheid is facultatief.
Deze samenvatting is overgenomen van EUR-Lex.