VOORWAARDEN GEGEVENSBESCHERMING GES EU
Deze GES EU-voorwaarden voor gegevensbescherming bestaan uit de volgende contractuele bepalingen ('de bepalingen') om passende waarborgen te bieden met betrekking tot de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen voor de doorgifte door de gegevensexporteur aan de gegevensimporteur van de persoonsgegevens die zijn gespecificeerd in het toepasselijke GES EU-gegevensbeveiligingsaddendum (het 'addendum') dat is gesloten tussen GES en de tegenpartij bij het addendum (GES en dergelijke tegenpartij gezamenlijk de 'partijen'):
Clausule 1
Definities
Voor de toepassing van de Clausules:
- "persoonsgegevens", "bijzondere categorieën gegevens", "verwerking", "voor de verwerking verantwoordelijke", "verwerker", "betrokkene" en "toezichthoudende autoriteit"hebben dezelfde betekenis als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens ("de richtlijn");
- de "gegevensexporteur": de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;
- wordt onder "gegevensimporteur"verstaan: de voor de verwerking verantwoordelijke die ermee instemt van de gegevensexporteur persoonsgegevens voor verdere verwerking te ontvangen in overeenstemming met de voorwaarden van deze bepalingen en die niet onderworpen is aan een systeem van een derde land dat passende bescherming biedt.
Clausule 2
Details van de overdracht
De details van de doorgifte, en in het bijzonder de categorieën persoonsgegevens en de doeleinden waarvoor ze worden doorgegeven, worden gespecificeerd in het addendum, dat integraal deel uitmaakt van de Clausules en waarnaar hierin wordt verwezen.
Clausule 3
Derden-begunstigingsbeding
De betrokkenen kunnen deze bepaling, bepaling 4, onder b), c) en d), afdwingen. bepaling 5, onder a), b), c) en e), bepaling 6, leden 1 en 2, en de bepalingen 7, 9 en 11 als derdebegunstigden. De partijen hebben er geen bezwaar tegen dat de betrokkenen zich laten vertegenwoordigen door een vereniging of andere organen indien zij dat wensen en indien de nationale wetgeving dat toestaat.
Clausule 4
Verplichtingen van de gegevensexporteur
De gegevensexporteur stemt ermee in en garandeert het volgende:
- dat de verwerking, met inbegrip van de doorgifte zelf, van de persoonsgegevens door hem is geschied en tot het tijdstip van de doorgifte zal blijven geschieden in overeenstemming met de desbetreffende bepalingen van de lidstaat waarin de gegevensexporteur is gevestigd (en, indien van toepassing, is aangemeld bij de bevoegde autoriteiten van die staat) en niet in strijd is met de desbetreffende bepalingen van die staat;
- dat als de doorgifte speciale gegevenscategorieën betreft, de betrokkene vóór de doorgifte is of zal worden geïnformeerd dat deze gegevens kunnen worden doorgegeven aan een derde land dat geen passende bescherming biedt;
- de betrokkenen op verzoek een exemplaar van de bepalingen ter beschikking te stellen; en
- om binnen een redelijke termijn en voor zover redelijkerwijs mogelijk te antwoorden op vragen van de toezichthoudende autoriteit over de verwerking van de relevante persoonsgegevens door de gegevensimporteur en op vragen van de betrokkene over de verwerking van deze persoonsgegevens door de gegevensimporteur.
Clausule 5
Verplichtingen van de gegevensimporteur
De gegevensimporteur stemt ermee in en garandeert het volgende:
- dat hij geen reden heeft om aan te nemen dat de op hem toepasselijke wetgeving hem belet zijn verplichtingen krachtens het contract na te komen en dat hij in geval van een wijziging in die wetgeving die waarschijnlijk in aanzienlijke mate afbreuk zal doen aan de door de bepalingen geboden waarborgen, de gegevensexporteur en de toezichthoudende autoriteit waar de gegevensexporteur is gevestigd, van de wijziging in kennis zal stellen, in welk geval de gegevensexporteur de doorgifte van gegevens mag opschorten en/of het contract mag beëindigen;
- de persoonsgegevens te verwerken in overeenstemming met de verplichte gegevensbeschermingsbeginselen in Bijlage 2;
of, indien uitdrukkelijk overeengekomen door de partijen door hieronder aan te kruisen en onder voorbehoud van naleving van de verplichte gegevensbeschermingsbeginselen zoals uiteengezet in Bijlage 3, de gegevens in alle andere opzichten te verwerken in overeenstemming met:
- de relevante bepalingen van nationaal recht (dat aan deze bepalingen is gehecht) ter bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, met name hun recht op persoonlijke levenssfeer met betrekking tot de verwerking van persoonsgegevens, die van toepassing zijn op een voor de verwerking verantwoordelijke in het land waarin de gegevensexporteur is gevestigd, of
- de relevante bepalingen van beschikkingen van de Commissie uit hoofde van artikel 25, lid 6, van Richtlijn 95/46/EG, waarin wordt vastgesteld dat een derde land in bepaalde sectoren van activiteit passende bescherming biedt, alleen wanneer de gegevensimporteur in dat derde land is gevestigd en niet onder die bepalingen valt, voor zover die bepalingen van dien aard zijn dat zij in de sector van de doorgifte van toepassing zijn;
- alle redelijke verzoeken van de gegevensexporteur of de betrokkene met betrekking tot diens verwerking van de doorgegeven persoonsgegevens snel en correct af te handelen, met de bevoegde toezichthoudende autoriteit samen te werken bij al haar onderzoeken en zich te houden aan het advies van de toezichthoudende autoriteit met betrekking tot de verwerking van de doorgegeven gegevens;
- op verzoek van de gegevensexporteur zijn gegevensverwerkingsfaciliteiten aan een audit te onderwerpen, die wordt uitgevoerd door de gegevensexporteur of door een inspectieorgaan dat is samengesteld uit onafhankelijke leden met de vereiste beroepskwalificaties en dat door de gegevensexporteur is geselecteerd, indien van toepassing in overleg met de toezichthoudende autoriteit;
- de betrokkene op verzoek een kopie van de Clausules te verstrekken en aan te geven welk kantoor klachten behandelt.
Clausule 6
Aansprakelijkheid
- De partijen komen overeen dat een betrokkene die schade heeft geleden als gevolg van een schending van de bepalingen waarnaar in bepaling 3 wordt verwezen, recht heeft op vergoeding van de geleden schade door de partijen. De partijen komen overeen dat zij alleen van deze aansprakelijkheid kunnen worden vrijgesteld als zij bewijzen dat geen van hen verantwoordelijk is voor de schending van deze bepalingen.
- De gegevensexporteur en de gegevensimporteur komen overeen dat zij gezamenlijk en hoofdelijk aansprakelijk zijn voor schade aan de betrokkene ten gevolge van een in lid 1 bedoelde inbreuk. In geval van een dergelijke overtreding is de gegevensexporteur of de gegevensimporteur of beide aansprakelijk.
Clausule 7
Bemiddeling en jurisdictie
- De partijen komen overeen dat als er een geschil is tussen een betrokkene en een van de partijen dat niet in der minne kan worden geschikt en de betrokkene zich beroept op de bepaling van de derdebegunstigde in bepaling 3, zij de beslissing van de betrokkene accepteren:
-
- het geschil te verwijzen naar bemiddeling door een onafhankelijke persoon of, indien van toepassing, door de toezichthoudende autoriteit;
- het geschil voor te leggen aan de rechter in de lidstaat waar de gegevensexporteur is gevestigd.
- De partijen komen overeen dat bij overeenkomst tussen een betrokkene en de relevante partij een geschil kan worden voorgelegd aan een arbitrage-instantie, als die partij gevestigd is in een land dat het Verdrag van New York inzake de tenuitvoerlegging van scheidsrechterlijke uitspraken heeft geratificeerd.
- De partijen komen overeen dat de leden 1 en 2 van toepassing zijn onverminderd de materiële of procedurele rechten van de betrokkene om rechtsmiddelen aan te wenden in overeenstemming met andere bepalingen van nationaal of internationaal recht.
Clausule 8
Samenwerking met toezichthoudende autoriteiten
De partijen komen overeen een kopie van dit contract te deponeren bij de toezichthoudende autoriteit indien deze daarom verzoekt of indien een dergelijke deponering door de nationale wetgeving wordt vereist.
Clausule 9
Beëindiging van de clausules
De partijen komen overeen dat de beëindiging van de bepalingen op elk moment, in elke omstandigheid en om welke reden dan ook hen niet ontslaat van de verplichtingen en/of voorwaarden krachtens de bepalingen met betrekking tot de verwerking van de doorgegeven gegevens.
Clausule 10
Opzettelijk weggelaten
Clausule 11
Variatie van het contract
De partijen verbinden zich ertoe de voorwaarden van de clausules niet te wijzigen of aan te passen.
Bijlage 1
Opzettelijk weggelaten.
Bijlage 2
de standaard contractbepalingen
Verplichte gegevensbeschermingsbeginselen als bedoeld in clausule 5, onder b), eerste alinea
Deze gegevensbeschermingsbeginselen moeten worden gelezen en geïnterpreteerd in het licht van de bepalingen (beginselen en relevante uitzonderingen) van Richtlijn 95/46/EG.
Zij zijn van toepassing met inachtneming van de dwingende vereisten van de op de gegevensimporteur toepasselijke nationale wetgeving, die niet verder gaan dan hetgeen in een democratische samenleving noodzakelijk is op grond van een van de in artikel 13, lid 1, van Richtlijn 95/46/EG genoemde belangen, dat wil zeggen indien zij een noodzakelijke maatregel vormen ter vrijwaring van de veiligheid van een staat, de landsverdediging, de openbare veiligheid, het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen, een belangrijk economisch of financieel belang van de staat of de bescherming van de betrokkene of van de rechten en vrijheden van anderen.
- Doelbinding:gegevens mogen alleen worden verwerkt en vervolgens worden gebruikt of doorgegeven voor de specifieke doeleinden in aanhangsel I bij de clausules. Gegevens mogen niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze worden doorgegeven.
- Dara kwaliteit en evenredigheid:de gegevens moeten nauwkeurig zijn en zo nodig worden bijgewerkt. De gegevens moeten toereikend, ter zake dienend en niet bovenmatig zijn in verhouding tot de doeleinden waarvoor ze worden doorgegeven en verder verwerkt.
- Transparantie:betrokkenen moeten informatie krijgen over de doeleinden van de verwerking en de identiteit van de voor de verwerking verantwoordelijke in het derde land, en andere informatie voor zover dit nodig is om eerlijke verwerking te waarborgen, tenzij dergelijke informatie al is verstrekt door de gegevensexporteur.
- Beveiliging en vertrouwelijkheid:de voor de verwerking verantwoordelijke moet technische en organisatorische beveiligingsmaatregelen treffen die zijn afgestemd op de risico's van de verwerking, zoals ongeoorloofde toegang. Eenieder die handelt onder het gezag van de voor de verwerking verantwoordelijke, met inbegrip van een verwerker, mag de gegevens alleen verwerken op instructie van de voor de verwerking verantwoordelijke.
- Recht van toegang, rectificatie, uitwissing en afscherming van gegevens:overeenkomstig artikel 12 van Richtlijn 95/46/EG moet de betrokkene recht hebben op toegang tot alle hem betreffende gegevens die worden verwerkt en, in voorkomend geval, op rectificatie, uitwissing of afscherming van gegevens waarvan de verwerking niet in overeenstemming is met de beginselen van dit aanhangsel, met name omdat de gegevens onvolledig of onjuist zijn. Hij moet ook bezwaar kunnen maken tegen de verwerking van de gegevens die op hem betrekking hebben op grond van dwingende legitieme redenen in verband met zijn bijzondere situatie.
- Beperkingen op verdere doorgiften:verdere doorgiften van persoonsgegevens door de gegevensimporteur aan een andere voor de verwerking verantwoordelijke in een derde land dat geen passende bescherming biedt of niet onder een door de Commissie krachtens artikel 25, lid 6, van Richtlijn 95/46/EG vastgesteld besluit valt (verdere doorgifte), zijn slechts toegestaan indien:
- de betrokkenen hebben, in het geval van bijzondere categorieën van gegevens, hun ondubbelzinnige toestemming gegeven voor de verdere doorgifte of zijn, in andere gevallen, in de gelegenheid gesteld om bezwaar te maken.
De minimale informatie die aan betrokkenen moet worden verstrekt, moet in een voor hen begrijpelijke taal zijn opgesteld:
- de doeleinden van de verdere overdracht,
- de identificatie van de in de Gemeenschap gevestigde gegevensexporteur,
- de categorieën van verdere ontvangers van de gegevens en de landen van bestemming, en
- een verklaring dat de gegevens na de verdere doorgifte kunnen worden verwerkt door een voor de verwerking verantwoordelijke die is gevestigd in een land waar geen passend niveau van bescherming van de persoonlijke levenssfeer van natuurlijke personen bestaat; of
(b) de gegevensexporteur en de gegevensimporteur instemmen met de naleving van de bepalingen door een andere voor de verwerking verantwoordelijke, die daardoor partij bij de bepalingen wordt en dezelfde verplichtingen aangaat als de gegevensimporteur.
- Bijzondere categorieën van gegevens:wanneer gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook gegevens die de gezondheid of het seksleven betreffen en gegevens die betrekking hebben op strafbare feiten, strafrechtelijke veroordelingen of veiligheidsmaatregelen worden verwerkt, moeten aanvullende waarborgen worden geboden in de zin van Richtlijn 95/46/EG, met name passende veiligheidsmaatregelen zoals een krachtige versleuteling voor de transmissie of zoals het bijhouden van een register van de toegang tot gevoelige gegevens.
- Direct marketing:wanneer gegevens worden verwerkt voor direct marketing, moeten er doeltreffende procedures bestaan die de betrokkene in staat stellen zich op elk moment tegen het gebruik van zijn gegevens voor dergelijke doeleinden te verzetten.
- Geautomatiseerde individuele besluiten:betrokkenen hebben het recht niet te worden onderworpen aan een besluit dat uitsluitend op geautomatiseerde gegevensverwerking berust, tenzij andere maatregelen worden genomen om de gerechtvaardigde belangen van de betrokkene te beschermen, zoals bepaald in artikel 15, lid 2, van Richtlijn 95/46/EG. Wanneer de doorgifte ten doel heeft een geautomatiseerd besluit in de zin van artikel 15 van Richtlijn 95/46/EG te nemen waaraan voor de betrokkene rechtsgevolgen zijn verbonden of dat hem verregaand treft en dat uitsluitend op een geautomatiseerde gegevensverwerking berust die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te beoordelen, moet de betrokkene het recht hebben de motivering van dit besluit te kennen.
Bijlage 3
de standaard contractbepalingen
Verplichte gegevensbeschermingsbeginselen als bedoeld in clausule 5, onder b), tweede alinea
- Doelbinding: gegevens mogen alleen worden verwerkt en vervolgens worden gebruikt of doorgegeven voor de specifieke doeleinden in aanhangsel I bij de clausules. Gegevens mogen niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze worden doorgegeven.
- Recht van toegang, rectificatie, uitwissing en afscherming van gegevens: overeenkomstig artikel 12 van Richtlijn 95/46/EG moet de betrokkene recht hebben op toegang tot alle hem betreffende gegevens die worden verwerkt en, in voorkomend geval, op rectificatie, uitwissing of afscherming van gegevens waarvan de verwerking niet in overeenstemming is met de beginselen van dit aanhangsel, met name omdat de gegevens onvolledig of onjuist zijn. Hij moet ook bezwaar kunnen maken tegen de verwerking van de gegevens die op hem betrekking hebben op grond van dwingende legitieme redenen in verband met zijn bijzondere situatie.
- Beperkingen op verdere doorgiften: Verdere doorgiften van persoonsgegevens door de gegevensimporteur aan een andere voor de verwerking verantwoordelijke in een derde land dat geen passende bescherming biedt of niet onder een door de Commissie krachtens artikel 25, lid 6, van Richtlijn 95/46/EG vastgestelde beschikking valt (verdere doorgifte), zijn slechts toegestaan indien:
(a) de betrokkenen hebben, in het geval van bijzondere categorieën gegevens, hun ondubbelzinnige toestemming gegeven voor de verdere doorgifte of zijn, in andere gevallen, in de gelegenheid gesteld zich daartegen te verzetten.
De minimale informatie die aan betrokkenen moet worden verstrekt, moet in een voor hen begrijpelijke taal zijn opgesteld:
- de doeleinden van de verdere overdracht,
- de identificatie van de in de Gemeenschap gevestigde gegevensexporteur,
- de categorieën van verdere ontvangers van de gegevens en de landen van bestemming, en
- een verklaring dat de gegevens na de verdere doorgifte kunnen worden verwerkt door een voor de verwerking verantwoordelijke die is gevestigd in een land waar geen passend niveau van bescherming van de persoonlijke levenssfeer van natuurlijke personen bestaat; of
(b) de gegevensexporteur en de gegevensimporteur instemmen met de naleving van de bepalingen door een andere voor de verwerking verantwoordelijke, die daardoor partij bij de bepalingen wordt en dezelfde verplichtingen aangaat als de gegevensimporteur.