BILAGA nr 4 till användarvillkoren: Standardavtalsklausuler

MODUL FÖRTE: Överföringsförare till registeransvarig

Gäller från och med den 26 november 2025

Utöver villkoren gäller dessa standardavtalsklausuler (som innehåller Europeiska kommissionens standardavtalsklausuler (2021/914/EU)), enligt beskrivningen nedan, utan behov av ytterligare genomförande, om parterna är skyldiga att ingå i dem i samband med tillhandahållande av tjänster i samband med köp eller erhållande av ett abonnemang och i den mån det sker en överföring av personuppgifter till en enhet i ett tredjeland utanför Europeiska ekonomiska samarbetsområdet

Om inget annat föreskrivs i en särskild bestämmelse i dessa standardavtalsklausuler ska betydelsen av alla kapitaliserade villkor som ingår här vara enligt definitionen i villkoren och dess bilaga 3 – Databehandlingsavtalet (”databehandlingsavtalet”).

Vi kan förlita oss på tredjepartstjänster som våra subprocessorer i samband med molnbaserad databehandling och andra funktioner. I sådana fall väljer vi noggrant ut våra tjänsteleverantörer för att säkerställa en lämplig nivå av dataskydd genom avtalsenliga, tekniska och organisatoriska åtgärder. I detta sammanhang kan vi överföra personuppgifter till tredje land i enlighet med tillämplig lagstiftning. Innan vi överför några uppgifter utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES) bedömer vi om mottagarlandets dataskyddslagar är tillräckliga och överväger att införa lämpliga skyddsåtgärder, till exempel:

• Använda godkända standardavtalsklausuler för att avtalsmässigt binda båda parter; och/eller
• Att förlita sig på erkända uppförandekoder eller certifieringsmekanismer

för att säkerställa att mottagaren behandlar personuppgifter i enlighet med tillämpliga dataskyddskrav.

AVSNITT I

Klausul 1 Syfte och omfattning

(a) Syftet med dessa standardavtalsklausuler är att säkerställa efterlevnad av kraven i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning) (1) för överföring av personuppgifter till ett tredjeland.

(b) Parterna:

(i) den eller de fysiska eller juridiska personer, offentliga myndigheter, byråer eller andra organ (nedan kallade ”enheter”) som överför personuppgifterna enligt förteckningen i bilaga I.A (nedan kallade ”dataexporterare”)

(ii) den enhet eller de enheter i ett tredjeland som tar emot personuppgifterna från dataexportören, direkt eller indirekt via en annan enhet som också är part i dessa klausuler, enligt listan i bilaga I.A (hädanefter varje ”dataimportör”)

har godkänt dessa standardavtalsklausuler (hädanefter: ”Klausuler”).

(c) Dessa klausuler gäller med avseende på överföring av personuppgifter enligt vad som anges i bilaga I.B.

(d) Bilagan till dessa klausuler som innehåller de bilagor som hänvisas till däri utgör en integrerad del av dessa klausuler.

Klausul 2 Effekt och oföränderlighet hos klausulerna

(a) Dessa klausuler innehåller lämpliga skyddsåtgärder, inklusive verkställbara rättigheter för registrerade och effektiva rättsmedel, i enlighet med artikel 46.1 och 46.2 c i förordning (EU) 2016/679 och, när det gäller överföringar av uppgifter från registeransvariga till registerförare och/eller registerförare till registerförare, standardavtalsklausuler i enlighet med artikel 28.7 i förordning (EU) 2016/679, förutsatt att de inte ändras, med undantag för att välja lämpliga moduler eller att Detta hindrar inte parterna från att inkludera de standardavtalsklausuler som anges i dessa klausuler i ett bredare avtal och/eller att lägga till andra klausuler eller ytterligare skyddsåtgärder, förutsatt att de inte strider mot dessa klausuler, direkt eller indirekt, eller skadar de registrerades grundläggande rättigheter eller friheter.

(b) Dessa klausuler påverkar inte skyldigheterna för den dataexportera enligt förordning (EU) 2016/679.

Klausul 3 Tredjepartsförmånstagare

(a) Registrerade kan åberopa och verkställa dessa klausuler, i egenskap av tredjepartsförmånstagare, mot dataexportören och/eller dataimportören, med följande undantag:

(i) paragraf 1, paragraf 2, paragraf 3, paragraf 6, paragraf 7;

(ii) Klausul 8 – modul ett: Punkt 8.5 (e) och punkt 8.9 (b); modul två: Punkt 8.1(b), 8.9 a, c, d och e; modul tre: Punkt 8.1(a), (c) och (d) och punkt 8.9 (a), (c), (d), (e), (f) och (g); modul fyra: klausul 8.1 (b) och klausul 8.3 (b);

(iii) klausul 9 – modul två: Punkt 9 a, c, d och e; modul tre: klausul 9 a, c, d och e;

(iv) Klausul 12 – modul ett: Klausul 12 a och d; Moduler två och tre: klausul 12 a, d och f;

(v) klausul 13;

(vi) klausul 15.1(c), (d) och (e)

(vii) klausul 16 e;

(viii) Klausul 18 – Moduler ett, två och tre: Klausul 18 a och b; modul fyra: Klausul 18.

(b) Punkt (a) påverkar inte registrerades rättigheter enligt förordning (EU) 2016/679.

Klausul 4 Tolkning

(a) När dessa klausuler använder termer som definieras i förordning (EU) 2016/679 ska dessa termer ha samma betydelse som i den förordningen.

(b) Dessa klausuler ska läsas och tolkas mot bakgrund av bestämmelserna i förordning (EU) 2016/679.

(c) Dessa klausuler ska inte tolkas på ett sätt som strider mot de rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679.

Klausul 5 Hierarki

I händelse av en motsägelse mellan dessa klausuler och bestämmelserna i relaterade avtal mellan parterna, som existerade vid den tidpunkt då dessa klausuler överenskommits eller ingås därefter, ska dessa klausuler gälla.

Avsnitt 6 Beskrivning av överföringen

De detaljerade uppgifterna om överföringarna och i synnerhet de kategorier av personuppgifter som överförs och de syften för vilka de överförs anges i bilaga I.B.

Klausul 7 Valfri dokkningsvillkor

(a) En enhet som inte är part i dessa klausuler kan, med parternas överenskommelse, när som helst ansluta sig till dessa klausuler, antingen som dataexportör eller som dataimportör, genom att fylla i bilagan och underteckna bilaga I.A.

(b) När den har kompletterat bilagan och undertecknat bilaga IA ska den anslutande enheten bli part i dessa klausuler och ha rättigheter och skyldigheter som en dataexportör eller dataimportör i enlighet med sin beteckning i bilaga IA.

(c) Den anslutande enheten ska inte ha några rättigheter eller skyldigheter som uppstår enligt dessa klausuler från perioden innan den blir part.

AVSNITT II – PARTERNAS ANSVAR

Punkt 8 Säkerhetsgarantier för dataskydd

Den dataexportera garanterar att den har gjort rimliga ansträngningar för att fastställa att den dataimporterande är i stånd, genom genomförande av lämpliga tekniska och organisatoriska åtgärder, att uppfylla sina skyldigheter enligt dessa klausuler.

8.1 Instruktioner

(a) Dataköparen ska endast behandla personuppgifterna på dokumenterade instruktioner från den dataköpare som agerar som personuppgiftsansvarig.

(b) Dataväljaren ska omedelbart informera dataimportören om den inte kan följa dessa instruktioner, inbegripet om sådana instruktioner bryter mot förordning (EU) 2016/679 eller annan unionslagstiftning eller nationell lagstiftning om uppgiftsskydd.

(c) Datimporteraren ska avstå från att vidta åtgärder som skulle hindra dataexportera från att uppfylla sina skyldigheter enligt förordning (EU) 2016/679, inbegripet i samband med underbehandling eller när det gäller samarbete med behöriga tillsynsmyndigheter.

(d) Efter det att tillhandahållandet av behandlingstjänsterna har upphört ska datakonsulten, efter datakonsulternas val, radera alla personuppgifter som behandlats för datakonsulternas räkning och intyga för datakonsulten att den har gjort det, eller återlämna alla personuppgifter som behandlats för dess räkning till datakonsulten och radera befintliga kopior.

8.2 Säkerhet vid behandling

(a) Parterna ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa datasäkerheten, inklusive under överföringen, och skydd mot ett säkerhetsbrott som leder till oavsiktlig eller olaglig förstörelse, förlust, förändring, obehörig avslöjande eller åtkomst (nedan kallat personuppgiftsbrott). Vid bedömningen av den lämpliga säkerhetsnivån ska de ta vederbörlig hänsyn till framstegen med behandlingen, genomförandekostnaderna, arten av personuppgifterna (2), arten, omfattningen, sammanhanget och ändamålen med behandlingen samt de risker som är inblandade i behandlingen för de registrerade, och särskilt överväga att tillgripa kryptering eller pseudonymisering, även under överföring, när ändamålet med behandlingen kan

(b) Dataväljaren ska bistå dataimportören i att säkerställa adekvat säkerhet för uppgifterna i enlighet med punkt (a). I händelse av ett personuppgiftsbrott som rör personuppgifter som behandlas av datakonsulten enligt dessa klausuler ska datakonsulten utan onödigt dröjsmål meddela dataimportören efter att ha fått kännedom om detta och bistå datakonsulten med att åtgärda överträdelsen.

(c) Dataväljaren ska se till att de personer som är behöriga att behandla personuppgifterna har åtagit sig att vara konfidentiella eller är föremål för en lämplig lagstadgad sekretessplikt.

8.3 Dokumentation och efterlevnad

(a) Parterna ska kunna visa efterlevnad av dessa klausuler.

(b) Dataköparen ska göra all information som är nödvändig för att visa att den uppfyller sina skyldigheter enligt dessa klausuler och möjliggöra och bidra till revisioner tillgänglig för dataimportören.

Avsnitt 9 Användning av underleverantörer

Gäller inte för respektive modul och överföringens art.

Klausul 10 Registrerade personers rättigheter

Parterna ska bistå varandra i att svara på frågor och förfrågningar från registrerade enligt den lokala lagstiftning som är tillämplig på den registrerade eller, för databehandling av den registrerade i EU, enligt förordning (EU) 2016/679.

Clause 11 Redress

(a) Den registrerade ska informera de registrerade i ett transparent och lättillgängligt format, genom ett individuellt meddelande eller på sin webbplats, om en kontaktpunkt som är behörig att hantera klagomål. Den ska omedelbart behandla eventuella klagomål som den mottar från en registrerad.

Klausul 12 Ansvar

(a) Varje part ska vara ansvarig gentemot den andra parten för eventuella skador som den orsakar den andra parten genom eventuellt brott mot dessa klausuler.

(b) Varje part ska vara ansvarig gentemot den registrerade, och den registrerade ska ha rätt att få ersättning, för eventuella materiella eller icke-materiella skador som parten orsakar den registrerade genom att bryta mot tredjeparts förmånstagares rättigheter enligt dessa klausuler. Detta påverkar inte datakonsumentens ansvar enligt förordning (EU) 2016/679.

(c) Om mer än en part är ansvarig för skada som orsakats den registrerade till följd av ett brott mot dessa klausuler, ska alla ansvariga parter vara gemensamt och separat ansvariga och den registrerade har rätt att väcka talan mot någon av dessa parter.

(d) Parterna är överens om att om en part hålls ansvarig enligt punkt (c) ska den ha rätt att kräva tillbaka från den andra parten den del av ersättningen som motsvarar dess ansvar för skadan.

(e) Den registrerade får inte åberopa beteendet hos en registerförare eller underförare för att undvika sitt eget ansvar.

Klausul 13 Tillsyn

Gäller inte för respektive modul och överföringens art.

AVSNITT III – Lokala lagar och skyldigheter i händelse av offentliga myndigheters åtkomst

Punkt 14 Lokala lagar och praxis som påverkar efterlevnaden av klausulerna

MODUL FÖRTE: Överföring från registerförare till registerförare (där den registerförare i EU kombinerar de personuppgifter som mottagits från den registeransvariga i tredjelandet med personuppgifter som samlats in av registerföraren i EU)

(a) Parterna garanterar att de inte har någon anledning att tro att lagar och praxis i det tredje bestämmelselandet som är tillämpliga på behandling av personuppgifterna av dataimportören, inklusive eventuella krav på att lämna ut personuppgifter eller åtgärder som tillåter åtkomst av offentliga myndigheter, hindrar dataimportören från att uppfylla sina skyldigheter enligt dessa klausuler. Detta grundas på förståelsen att lagar och praxis som respekterar de grundläggande rättigheternas och friheternas väsen och inte går utöver vad som är nödvändigt och proportionellt i ett demokratiskt samhälle för att skydda ett av de mål som anges i artikel 23.1 i förordning (EU) 2016/679 inte står i konflikt med dessa klausuler.

(b) Parterna förklarar att de vid tillhandahållandet av den garanti som avses i punkt (a) har beaktat särskilt följande:

(i) de särskilda omständigheterna för överföringen, inklusive behandlingskedjans längd, antalet berörda aktörer och de överföringskanaler som används, avsedda vidareöverföringar, typen av mottagare, ändamålet med behandlingen, kategorierna och formatet för de överförda personuppgifterna, den ekonomiska sektor i vilken överföringen sker och platsen för lagring av de överförda uppgifterna

(ii) lagar och praxis i det tredje destinationslandet, inklusive de som kräver att uppgifter lämnas ut till offentliga myndigheter eller tillåter åtkomst av sådana myndigheter, som är relevanta med hänsyn till de specifika omständigheterna vid överföringen, samt tillämpliga begränsningar och skyddsåtgärder (3);

(iii) eventuella relevanta avtalsmässiga, tekniska eller organisatoriska skyddsåtgärder som införts för att komplettera skyddsåtgärderna enligt dessa klausuler, inklusive åtgärder som tillämpas under överföringen och vid behandling av personuppgifter i destinationslandet.

(c) Datakonsumenten garanterar att den vid utförandet av bedömningen enligt punkt (b) har gjort sitt bästa för att förse dataexportraren med relevant information och samtycker till att fortsätta att samarbeta med dataexportraren för att säkerställa efterlevnaden av dessa klausuler.

(d) Parterna är överens om att dokumentera bedömningen enligt punkt (b) och göra den tillgänglig för den behöriga tillsynsmyndigheten på begäran.

(e) Dataimportören samtycker till att omedelbart underrätta dataexportören om den, efter att ha godkänt dessa klausuler och under avtalets löptid, har skäl att tro att den är eller har blivit föremål för lagar eller metoder som inte är i linje med kraven i punkt (a), inklusive efter en ändring i lagstiftningen i tredjelandet eller en åtgärd (till exempel en begäran om offentliggörande) som indikerar en tillämpning av sådana lagar i praktiken som inte är i linje

(f) Efter en anmälan i enlighet med punkt (e) eller om dataexportraren på annat sätt har anledning att tro att dataimportören inte längre kan uppfylla sina skyldigheter enligt dessa klausuler ska dataexportraren omedelbart identifiera lämpliga åtgärder (t.ex. tekniska eller organisatoriska åtgärder för att säkerställa säkerhet och konfidentialitet) som ska vidtas av dataexportraren och/eller dataimportören för att åtgärda situationen. Den dataexporterande myndigheten ska avbryta överföringen av uppgifter om den anser att inga lämpliga skyddsåtgärder kan säkerställas för en sådan överföring, eller om den behöriga tillsynsmyndigheten har anvisats att göra det. I detta fall har datakonsumenten rätt att säga upp avtalet, i den mån det gäller behandling av personuppgifter enligt dessa klausuler. Om avtalet involverar fler än två parter får dataexportören utöva denna rätt till uppsägning endast i förhållande till den berörda parten, såvida inte parterna har avtalat annat. Om avtalet sägs upp i enlighet med denna klausul ska klausul 16 (d) och (e) gälla.

Klausul 15 Dataimportörens skyldigheter i händelse av åtkomst av offentliga myndigheter

MODUL FÖRTE: Överföring från registerförare till registerförare (där den registerförare i EU kombinerar de personuppgifter som mottagits från den registeransvariga i tredjelandet med personuppgifter som samlats in av registerföraren i EU)

15.1 Meddelande

(a) Den registrerade samtycker till att utan dröjsmål (om nödvändigt med hjälp av den registrerade) underrätta den registrerade om följande:

(i) mottar en rättsligt bindande begäran från en offentlig myndighet, inklusive rättsliga myndigheter, enligt lagstiftningen i destinationslandet om utlämnande av personuppgifter som överförs i enlighet med dessa klausuler; sådan anmälan ska innehålla information om de personuppgifter som begärs, den begärande myndigheten, den rättsliga grunden för begäran och det svar som lämnats; eller

(ii) blir medveten om all direkt tillgång från offentliga myndigheter till personuppgifter som överförs i enlighet med dessa klausuler i enlighet med lagstiftningen i bestämmelselandet. Ett sådant meddelande ska innehålla all information som importören har tillgång till.

(b) Om dataimportören är förbjuden att underrätta dataexportören och/eller den registrerade enligt lagstiftningen i destinationslandet, samtycker dataimportören till att använda sitt bästa för att få ett undantag från förbudet, i syfte att kommunicera så mycket information som möjligt, så snart som möjligt. Datimporteraren samtycker till att dokumentera sina bästa ansträngningar för att kunna visa dem på begäran av dataexportern.

(c) När det är tillåtet enligt lagstiftningen i destinationslandet samtycker dataimportören till att regelbundet under avtalets löptid tillhandahålla dataexportören så mycket relevant information som möjligt om mottagna förfrågningar (i synnerhet antalet förfrågningar, typ av begärda data, begärande myndighet, om förfrågningar har bestridits och resultatet av sådana utmaningar osv.).

(d) Dataleverantören samtycker till att behålla informationen enligt punkterna (a) till (c) under avtalets löptid och göra den tillgänglig för den behöriga tillsynsmyndigheten på begäran.

(e) Paragraferna (a) till (c) påverkar inte skyldigheten för dataimportören enligt klausul 14 (e) och klausul 16 att omedelbart informera dataexportören om den inte kan följa dessa klausuler.

15.2 Granskning av laglighet och dataminimering

(a) Den registrerade samtycker till att granska huruvida begäran om offentliggörande är laglig, särskilt om den ligger inom de befogenheter som beviljats den begärande offentliga myndigheten, och att bestrida begäran om den efter noggrann bedömning drar slutsatsen att det finns rimliga skäl att anse att begäran är olaglig enligt lagstiftningen i destinationslandet, tillämpliga skyldigheter enligt internationell rätt och principer för internationell överensstämmelse. Den personuppgiftsimportören ska, på samma villkor, söka rättsmedel. När den personuppgiftsimportören bestrider en begäran ska den söka interimistiska åtgärder i syfte att upphäva begärandets verkan tills den behöriga rättsliga myndigheten har fattat ett beslut i sak. Den får inte lämna ut de personuppgifter som begärs förrän det krävs enligt tillämpliga förfaranderegler. Dessa krav påverkar inte dataimportörens skyldigheter enligt punkt 14 e.

(b) Dataimportören samtycker till att dokumentera sin rättsliga bedömning och eventuella invändningar mot begäran om offentliggörande och, i den utsträckning som är tillåten enligt lagstiftningen i destinationslandet, göra dokumentationen tillgänglig för dataexportera. Den ska också göra den tillgänglig för den behöriga tillsynsmyndigheten på begäran.

(c) Datimporteraren samtycker till att tillhandahålla den minsta mängd information som är tillåten när den svarar på en begäran om utlämning, baserat på en rimlig tolkning av begäran.

AVSNITT IV – Slutbestämmelser

Klausul 16 Bristande efterlevnad av klausulerna och uppsägning

(a) Datimporteraren ska omedelbart informera dataexportera om den inte kan följa dessa klausuler, oavsett anledning.

(b) I händelse av att dataimportören bryter mot dessa klausuler eller inte kan följa dessa klausuler ska dataexportören avbryta överföringen av personuppgifter till dataimportören tills efterlevnaden åter säkerställs eller avtalet upphör. Detta påverkar inte tillämpningen av klausul 14 f.

(c) Datakonsumenten har rätt att säga upp avtalet, i den mån det gäller behandling av personuppgifter enligt dessa klausuler, när

(i) dataexportraren har upphört med överföringen av personuppgifter till dataimportören i enlighet med punkt (b) och efterlevnaden av dessa klausuler inte återställs inom rimlig tid och under alla omständigheter inom en månad efter upphävandet;

(ii) dataimportören är i väsentligt eller ihållande brott mot dessa klausuler; eller

(iii) dataimportören inte följer ett bindande beslut av en behörig domstol eller tillsynsmyndighet angående sina skyldigheter enligt dessa klausuler.

I dessa fall ska den informera den behöriga tillsynsmyndigheten om sådan bristande efterlevnad. Om avtalet omfattar fler än två parter får dataexportören utöva denna rätt till uppsägning endast i förhållande till den berörda parten, såvida inte parterna har avtalat annat.

(d) Personuppgifter som samlats in av dataexportören i EU och som har överförts före avtalets uppsägning i enlighet med punkt (c) ska omedelbart raderas i sin helhet, inklusive alla kopior därav. Datimporteraren ska certifiera raderingen av data till dataexportern. Tills data tas bort eller returneras ska dataimportören fortsätta att säkerställa efterlevnaden av dessa klausuler. Om lokala lagar som är tillämpliga på dataimportören förbjuder återvändande eller radering av de överförda personuppgifterna, garanterar dataimportören att den kommer att fortsätta att säkerställa efterlevnaden av dessa klausuler och kommer endast att behandla data i den utsträckning och så länge som krävs enligt den lokala lagstiftningen.

(e) Endera parten kan återkalla sitt avtal att vara bunden av dessa klausuler om (i) Europeiska kommissionen antar ett beslut i enlighet med artikel 45.3 i förordning (EU) 2016/679 som omfattar överföring av personuppgifter som omfattas av dessa klausuler, eller (ii) förordning (EU) 2016/679 blir en del av den rättsliga ramen för det land till vilket personuppgifterna överförs. Detta påverkar inte andra skyldigheter som gäller för den aktuella behandlingen enligt förordning (EU) 2016/679.

Klausul 17 Styrande lag

Dessa klausuler regleras av lagstiftningen i ett land som tillåter rättigheter för tredjepartsförmånstagare. Parterna är överens om att detta ska vara lagstiftningen i Slovakien.

Klausul 18 Val av forum och jurisdiktion

Eventuella tvister som uppstår enligt dessa klausuler ska lösas av domstolarna i Slovakien.

BILAGA

BILAGA I

A. LISTA AV PARTER

Dataväljare(er): Dataväljaren är ESET (som anges i villkoren) som registerförare enligt databehandlingsavtalet.

Dataimportör(er): Datakontrollanten är Du (som anges i villkoren) i händelse av att Du är den registeransvariga enligt databehandlingsavtalet.

B. BESKRIVNING AV ÖVERLAG

Kategorier av registrerade vars personuppgifter överförs: Såsom definieras i sekretesspolicyn och/eller databehandlingsavtalet.

Kategorier av personuppgifter som överförs: Såsom definieras i sekretesspolicyn och/eller databehandlingsavtalet.

Känsliga data som överförs (i förekommande fall) och begränsningar eller skyddsåtgärder som tillämpas som fullt ut tar hänsyn till datans art och de risker som är inblandade, såsom till exempel strikt ändamålsbegränsning, åtkomstbegränsningar (inklusive åtkomstbegränsningar endast för personal som har genomgått specialutbildning), upprätthållande av ett register över åtkomst till data, begränsningar för vidare överför Såsom definieras i sekretesspolicyn och/eller databehandlingsavtalet.

Frekvensen av överföringen (t.ex. om data överförs på engångsbasis eller kontinuerligt): Kontinuerlig grund.

Behandlingens art: Automatisk.

Syfte(ar) med överföringen av uppgifter och vidare behandling: Tillhandahållande av tjänster i samband med köp eller erhållande av ett abonnemang enligt definition i villkoren och som anges i dess bilagor, sekretesspolicy och dokumentation.

Den period under vilken personuppgifterna kommer att behållas, eller, om detta inte är möjligt, de kriterier som används för att bestämma den perioden: Såsom definieras i sekretesspolicyn och/eller databehandlingsavtalet.

Hänvisningar:

(1) När datakonsulten är en registerförare som omfattas av förordning (EU) 2016/679 och agerar på uppdrag av en unionsinstitution eller ett unionsorgan som registerförare, säkerställer beroendet av dessa klausuler när en annan registerförare (underbehandling) som inte omfattas av förordning (EU) 2016/679 engageras även efterlevnaden av artikel 29.4 i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter av Detta kommer särskilt att vara fallet när den registeransvariga och registerföraren förlitar sig på de standardavtalsklausuler som ingår i beslut 2021/915.

(2) Detta innefattar huruvida överföringen och vidare behandlingen omfattar personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser eller fackligt medlemskap, genetiska data eller biometriska data i syfte att unikt identifiera en fysisk person, data om en persons hälsa eller sexliv eller sexuell läggning eller data om brottsdomar eller brott.

(3) När det gäller effekterna av sådana lagar och praxis på efterlevnaden av dessa klausuler kan olika element beaktas som en del av en övergripande bedömning. Sådana element kan innefatta relevant och dokumenterad praktisk erfarenhet av tidigare fall av begäranden om offentliggörande från offentliga myndigheter, eller frånvaron av sådana begäranden, som omfattar en tillräckligt representativ tidsram. Detta avser särskilt interna register eller annan dokumentation, som upprättas på kontinuerlig basis i enlighet med due diligence och certifieras på ledningsnivå, förutsatt att denna information lagligen kan delas med tredje part. Om denna praktiska erfarenhet baseras på för att dra slutsatsen att dataimportören inte kommer att hindras från att följa dessa klausuler, måste den stödjas av andra relevanta, objektiva element, och det är upp till parterna att noggrant överväga om dessa element tillsammans har tillräcklig vikt, i fråga om deras tillförlitlighet och representativitet, för att stödja denna slutsats. Parterna ska särskilt ta hänsyn till om deras praktiska erfarenhet styrks och inte motsägs av offentligt tillgänglig eller på annat sätt tillgänglig, tillförlitlig information om förekomsten eller frånvaron av begäranden inom samma sektor och/eller tillämpningen av lagstiftning i praktiken, såsom rättspraxis och rapporter från oberoende tillsynsorgan.