BILAGA II: Standardavtalsklausuler godkända av Europeiska kommissionen (modul 4)
Syftet med dessa standardavtalsklausuler är att säkerställa efterlevnad av GDPR vid överföring av personuppgifter till ett tredjeland.
AVSNITT I
Klausul 1
Syfte och omfattning
- Syftet med dessa standardavtalsklausuler är att säkerställa efterlevnad av kraven i Europaparlamentets och rådets förordning (EU) 2016/679 från den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning) vid överföring av personuppgifter till ett tredjeland.
- Parterna:
- den eller de fysiska eller juridiska personer, offentliga myndigheter, organ eller andra enheter (härefter "enhet(er)") som överför personuppgifterna, såsom anges i bilaga I.A (härefter var och en kallad "dataexportör"), och
- den eller de enheter i ett tredjeland som tar emot personuppgifterna från dataexportören, direkt eller indirekt via en annan enhet som också är part i dessa klausuler, såsom anges i bilaga I.A. (härefter var och en kallad "dataimportör"), har kommit överens om dessa standardavtalsklausuler (härefter kallade "klausulerna").
- Dessa klausuler gäller för överföring av personuppgifter enligt vad som anges i bilaga I.B.
- Appendixet till dessa klausuler, innehållande de bilagor som där hänvisas till, utgör en integrerad del av dessa klausuler.
Klausul 2
Klausulernas verkan och oföränderlighet
- Dessa klausuler innehåller lämpliga skyddsåtgärder, inklusive verkställbara rättigheter för registrerade och effektiva rättsmedel, i enlighet med artikel 46.1 och artikel 46.2 c i förordning (EU) 2016/679 och, med avseende på dataöverföringar från personuppgiftsansvariga till personuppgiftsbiträden och/eller från personuppgiftsbiträden till personuppgiftsbiträden, standardavtalsklausuler enligt artikel 28.7 i förordning (EU) 2016/679, under förutsättning att de inte ändras, utom för att välja lämplig(a) modul(er) eller för att lägga till eller uppdatera information i appendixet. Detta hindrar inte parterna från att införliva standardavtalsklausulerna i dessa klausuler i ett bredare avtal och/eller lägga till andra klausuler eller ytterligare skyddsåtgärder, förutsatt att dessa inte direkt eller indirekt strider mot dessa klausuler eller inskränker de registrerades grundläggande rättigheter eller friheter.
- Dessa Klausuler påverkar inte skyldigheter som dataexportören har enligt förordning (EU) 2016/679.
Klausul 3
Tredjepartsförmånstagare
- Registrerade får åberopa och göra gällande dessa klausuler som tredjemansförmånstagare mot dataexportören och/eller dataimportören, med följande undantag:
- Klausulerna 1, 2, 3, 6 och 7.
- Klausul 8: klausul 8.1, punkt b), och klausul 8.3, punkt b).
- Klausul 13.
- Punkt (a) påverkar inte de registrerades rättigheter enligt förordning (EU) 2016/679.
Klausul 4
Tolkning
- När dessa klausuler använder termer som definieras i förordning (EU) 2016/679 ska dessa termer ha samma betydelse som i den förordningen.
- Dessa klausuler ska läsas och tolkas mot bakgrund av bestämmelserna i förordning (EU) 2016/679.
- Dessa klausuler får inte tolkas på ett sätt som strider mot de rättigheter och skyldigheter som föreskrivs i förordning (EU) 2016/679.
Klausul 5
Hierarki
Vid en motsägelse mellan dessa klausuler och bestämmelserna i relaterade avtal mellan parterna, som finns när dessa klausuler överenskoms eller ingås därefter, ska dessa klausuler gälla.
Klausul 6
Beskrivning av överföringen/överföringarna
Uppgifterna om överföringen/överföringarna, särskilt kategorierna av personuppgifter som överförs och syftet eller syftena med överföringen anges i bilaga I.B.
Klausul 7
Anslutningsklausul
- En enhet som inte är part i dessa klausuler får, med parternas samtycke, när som helst ansluta sig till dessa klausuler, antingen som dataexportör eller dataimportör, genom att fylla i appendixet och underteckna bilaga I.A.
- När den anslutande enheten har fyllt i appendixet och undertecknat bilaga I.A blir den part i dessa klausuler och får de rättigheter och skyldigheter som tillkommer en dataexportör eller dataimportör i enlighet med dess beteckning i bilaga I.A.
- Den anslutande enheten ska inte ha några rättigheter eller skyldigheter enligt dessa klausuler för tiden innan den blev part.
AVSNITT II: PARTERNAS SKYLDIGHETER
Klausul 8
Dataskyddsgarantier
Dataexportören garanterar att den har gjort rimliga ansträngningar för att fastställa att dataimportören genom att införa lämpliga tekniska och organisatoriska åtgärder kan uppfylla sina skyldigheter enligt dessa klausuler.
8.1. Instruktioner.
- Dataexportören ska behandla personuppgifterna endast på dokumenterade instruktioner från dataimportören, som agerar som personuppgiftsansvarig.
- Dataexportören ska omedelbart informera dataimportören om den inte kan följa dessa instruktioner, inklusive om sådana instruktioner strider mot förordning (EU) 2016/679 eller annan unionsrätt eller medlemsstatsrätt om dataskydd.
- Dataimportören ska avstå från alla åtgärder som skulle hindra dataexportören från att uppfylla sina skyldigheter enligt förordning (EU) 2016/679, även i samband med underbiträdesbehandling eller vad gäller samarbete med behöriga tillsynsmyndigheter.
- När tillhandahållandet av behandlingstjänsterna har avslutats ska dataexportören, efter dataimportörens val, radera alla personuppgifter som behandlats för dataimportörens räkning och intyga för dataimportören att detta har gjorts, eller återlämna alla personuppgifter som behandlats för dess räkning till dataimportören och radera befintliga kopior.
8.2. Behandlingens säkerhet.
- Parterna ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa datasäkerheten, även under överföring, och skydda mot säkerhetsincidenter som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande eller obehörig åtkomst (nedan kallad "personuppgiftsincident"). Vid bedömningen av lämplig säkerhetsnivå ska de ta vederbörlig hänsyn till den senaste utvecklingen, genomförandekostnaderna, personuppgifternas typ, behandlingens typ, omfattning, sammanhang och syfte samt de risker som behandlingen medför för de registrerade, och särskilt överväga användning av kryptering eller pseudonymisering, även under överföring, när behandlingens syfte kan uppfyllas på det sättet.
- Dataexportören ska bistå dataimportören med att säkerställa lämplig datasäkerhet i enlighet med punkt (a). Vid en personuppgiftsincident som rör de personuppgifter som behandlas av dataexportören enligt dessa klausuler ska dataexportören utan onödigt dröjsmål underrätta dataimportören när den blir medveten om incidenten och bistå dataimportören med att hantera incidenten.
- Dataexportören ska säkerställa att personer som är behöriga att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
8.3. Dokumentation och efterlevnad.
- Parterna ska kunna visa att dessa klausuler efterlevs.
- Dataexportören ska göra all information som krävs för att visa att den uppfyller sina skyldigheter enligt dessa klausuler tillgänglig för dataimportören samt tillåta och bidra till revisioner.
Klausul 9
De registrerades rättigheter
Parterna ska bistå varandra med att besvara frågor och begäranden från registrerade enligt den lokala lag som är tillämplig på dataimportören eller för den behandling som dataexportören utför inom EU, enligt förordning (EU) 2016/679.
Klausul 10
Prövning och gottgörelse
Dataimportören ska i ett transparent och lättillgängligt format, genom individuell underrättelse eller på sin webbplats informera registrerade om en kontaktpunkt som är behörig att hantera klagomål. Den ska utan dröjsmål hantera alla klagomål som den får från en registrerad.
Klausul 11
Ansvar
- Varje part ska vara ansvarig gentemot den eller de andra parterna för skada som den orsakar den eller de andra parterna genom överträdelse av dessa klausuler.
- Varje part ska vara ansvarig gentemot den registrerade, och den registrerade ska ha rätt till ersättning, för materiell eller immateriell skada som parten orsakar den registrerade genom att bryta mot de rättigheter som tillkommer tredjemansförmånstagare enligt dessa klausuler. Detta påverkar inte det ansvar som enligt förordning (EU) 2016/679 åvilar dataexportören.
- Om mer än en part är ansvarig för skada som orsakats den registrerade till följd av överträdelse av dessa klausuler, ska alla ansvariga parter tillsammans vara ansvariga.
- Parterna är överens om att om en part hålls ansvarig enligt punkt c ska den ha rätt att återkräva från den eller de andra parterna den del av ersättningen som motsvarar deras ansvar för skadan.
- Dataimportören får inte åberopa ett personuppgiftsbiträdes eller underbiträdes agerande för att undgå sitt eget ansvar.
AVSNITT III: LOKALA LAGAR OCH SKYLDIGHETER VID MYNDIGHETERS ÅTKOMST
Klausul 12
Lokala lagar och praxis som påverkar efterlevnaden av klausulerna
- Parterna garanterar att de inte har någon anledning att tro att lagarna och praxis i det tredjeland dit personuppgifterna överförs, som är tillämpliga på dataimportörens behandling av personuppgifterna, inklusive krav på utlämnande av personuppgifter eller åtgärder som ger offentliga myndigheter rätt till åtkomst, hindrar dataimportören från att uppfylla sina skyldigheter enligt dessa klausuler. Detta grundar sig på förståelsen att lagar och praxis som respekterar kärnan i de grundläggande rättigheterna och friheterna och inte går utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle för att skydda något av de mål som anges i artikel 23.1 i förordning (EU) 2016/679, inte strider mot dessa klausuler.
- Parterna förklarar att de vid lämnandet av garantin i punkt (a) särskilt har beaktat följande omständigheter:
- de särskilda omständigheterna kring överföringen, inklusive behandlingskedjans längd, antalet involverade aktörer och de överföringskanaler som används; avsedda vidareöverföringar; typen av mottagare; behandlingens ändamål; kategorierna av och formatet på de överförda personuppgifterna; den ekonomiska sektor där överföringen sker; lagringsplatsen för de överförda uppgifterna;
- lagarna och praxis i det tredjeland dit uppgifterna överförs, inklusive sådana som kräver utlämnande av uppgifter till offentliga myndigheter eller ger sådana myndigheter åtkomst, som är relevanta mot bakgrund av de särskilda omständigheterna kring överföringen, samt tillämpliga begränsningar och skyddsåtgärder;
- eventuella relevanta avtalsmässiga, tekniska eller organisatoriska skyddsåtgärder som införts för att komplettera skyddet enligt dessa klausuler, inklusive åtgärder som tillämpas under överföringen och vid behandlingen av personuppgifterna i mottagarlandet.
- Dataimportören garanterar att den vid genomförandet av bedömningen enligt punkt (b) har gjort sitt bästa för att ge dataexportören relevant information och samtycker till att fortsätta samarbeta med dataexportören för att säkerställa efterlevnaden av dessa klausuler.
- Parterna är överens om att dokumentera bedömningen enligt punkt (b) och göra den tillgänglig för behörig tillsynsmyndighet på begäran.
- Dataimportören samtycker till att utan dröjsmål underrätta dataexportören om den efter att ha godtagit dessa klausuler och under avtalets löptid har anledning att tro att den omfattas eller har kommit att omfattas av lagar eller praxis som inte överensstämmer med kraven i punkt (a), inklusive till följd av en ändring i tredjelandets lagstiftning eller en åtgärd (såsom en begäran om utlämnande) som visar att sådana lagar tillämpas i praktiken på ett sätt som inte överensstämmer med kraven i punkt (a).
- Efter en underrättelse enligt punkt (e), eller om dataexportören annars har anledning att tro att dataimportören inte längre kan uppfylla sina skyldigheter enligt dessa klausuler, ska dataexportören utan dröjsmål identifiera lämpliga åtgärder (t.ex. tekniska eller organisatoriska åtgärder för att säkerställa säkerhet och konfidentialitet) som ska vidtas av dataexportören och/eller dataimportören för att hantera situationen. Dataexportören ska avbryta dataöverföringen om den bedömer att lämpliga skyddsåtgärder för sådan överföring inte kan säkerställas, eller om den behöriga tillsynsmyndigheten instruerar den att göra det. I sådant fall ska dataexportören ha rätt att säga upp avtalet, i den mån det avser behandling av personuppgifter enligt dessa klausuler. Om avtalet omfattar fler än två parter får dataexportören utöva denna uppsägningsrätt endast gentemot den berörda parten om inte parterna kommit överens om något annat. Om avtalet sägs upp enligt denna klausul ska klausul 16 (d) och (e) tillämpas.
Klausul 13
Dataimportörens skyldigheter vid offentliga myndigheters åtkomst
13.1. Underrättelse.
- Dataimportören samtycker till att utan dröjsmål underrätta dataexportören och när så är möjligt den registrerade (vid behov med hjälp av dataexportören) om den:
- mottar en rättsligt bindande begäran från en offentlig myndighet, inklusive rättsliga myndigheter, enligt lagarna i mottagarlandet om utlämnande av personuppgifter som överförts enligt dessa klausuler; sådan underrättelse ska innehålla information om de begärda personuppgifterna, den begärande myndigheten, den rättsliga grunden för begäran och det svar som lämnats; eller
- får kännedom om direkt åtkomst av offentliga myndigheter till personuppgifter som överförts enligt dessa klausuler i enlighet med lagarna i mottagarlandet; sådan underrättelse ska omfatta all information som är tillgänglig för importören.
- Om dataimportören enligt lagarna i mottagarlandet är förbjuden att underrätta dataexportören och/eller den registrerade, samtycker dataimportören till att göra sitt bästa för att få förbudet hävt, i syfte att kunna lämna så mycket information som möjligt så snart som möjligt. Dataimportören samtycker till att dokumentera sina bästa ansträngningar för att kunna visa dem på dataexportörens begäran.
- I den utsträckning det är tillåtet enligt lagarna i mottagarlandet samtycker dataimportören till att under avtalets löptid regelbundet ge dataexportören så mycket relevant information som möjligt om de begäranden som mottagits (särskilt antal begäranden, typ av begärda uppgifter, begärande myndighet eller myndigheter, om begärandena har bestridits och resultatet av sådana bestridanden etc.).
- Dataimportören samtycker till att bevara den information som avses i punkterna (a) till (c) under avtalets löptid och göra den tillgänglig för behörig tillsynsmyndighet på begäran.
- Punkterna (a) till (c) påverkar inte dataimportörens skyldighet enligt klausul 14 (e) och klausul 16 att utan dröjsmål underrätta dataexportören om den inte kan följa dessa klausuler.
13.2. Granskning av laglighet och uppgiftsminimering.
- Dataimportören samtycker till att granska lagligheten av begäran om utlämnande, särskilt om den håller sig inom de befogenheter som tilldelats den begärande offentliga myndigheten, och att bestrida begäran om den efter noggrann bedömning drar slutsatsen att det finns rimliga skäl att anse att begäran är olaglig enligt lagarna i mottagarlandet, inklusive tillämpliga skyldigheter enligt internationell rätt och principer om internationell hövlighet. Under samma förutsättningar ska dataimportören även utnyttja möjligheter till överklagande. När dataimportören bestrider en begäran ska den begära interimistiska åtgärder i syfte att skjuta upp verkningarna av begäran till dess att behörig domstol har prövat dess sakliga grund. Den får inte lämna ut de begärda personuppgifterna förrän den är skyldig att göra det enligt tillämpliga processrättsliga regler. Dessa krav påverkar inte dataimportörens skyldigheter enligt klausul 14 (e).
- Dataimportören samtycker till att dokumentera sin rättsliga bedömning och varje bestridande av begäran om utlämnande och i den utsträckning det är tillåtet enligt lagarna i mottagarlandet, göra dokumentationen tillgänglig för dataexportören. Den ska också göra den tillgänglig för behörig tillsynsmyndighet på begäran.
- Dataimportören åtar sig att tillhandahålla minsta möjliga information när den svarar på en begäran om utlämning, baserat på en rimlig tolkning av begäran.
AVSNITT IV: SLUTBESTÄMMELSER
Klausul 14
Bristande efterlevnad av klausulerna och uppsägning
- Dataimportören ska utan dröjsmål underrätta dataexportören om den av någon anledning inte kan följa dessa klausuler.
- Om dataimportören bryter mot dessa klausuler eller inte kan följa dem ska dataexportören avbryta överföringen av personuppgifter till dataimportören tills efterlevnaden åter har säkerställts eller avtalet har sagts upp. Detta påverkar inte klausul 14(f).
- Dataexportören ska ha rätt att säga upp avtalet, i den mån det avser behandling av personuppgifter enligt dessa klausuler, om:
- dataexportören har avbrutit överföringen av personuppgifter till dataimportören i enlighet med punkt (b) och efterlevnaden av dessa klausuler har inte återställts inom rimlig tid och under alla omständigheter inom en månad från avbrottet;
- dataimportören väsentligen eller fortlöpande bryter mot dessa klausuler; eller
- dataimportören underlåter att följa ett bindande beslut från behörig domstol eller tillsynsmyndighet rörande sina skyldigheter enligt dessa klausuler.
I dessa fall ska den underrätta den behöriga tillsynsmyndigheten om sådan bristande efterlevnad. Om avtalet omfattar fler än två parter får dataexportören utöva denna uppsägningsrätt endast gentemot den berörda parten, om inte parterna kommit överens om något annat.
- Personuppgifter som samlats in av dataexportören inom EU och som har överförts före avtalets upphörande enligt punkt c ska omedelbart raderas i sin helhet, inklusive alla kopior därav. Dataimportören ska intyga för dataexportören att uppgifterna har raderats. Till dess att uppgifterna har raderats eller återlämnats ska dataimportören fortsätta att säkerställa efterlevnaden av dessa klausuler. Om lokal lagstiftning som är tillämplig på dataimportören förbjuder återlämnande eller radering av de överförda personuppgifterna, garanterar dataimportören att den kommer att fortsätta att säkerställa efterlevnaden av dessa klausuler och endast behandla uppgifterna i den utsträckning och så länge som krävs enligt sådan lokal lagstiftning.
- Vardera parten får återkalla sitt samtycke till att vara bunden av dessa klausuler om (i) Europeiska kommissionen antar ett beslut enligt artikel 45.3 i förordning (EU) 2016/679 som omfattar den överföring av personuppgifter som dessa klausuler gäller; eller (ii) förordning (EU) 2016/679 blir en del av den rättsliga ramen i det land till vilket personuppgifterna överförs. Detta påverkar inte andra skyldigheter som enligt förordning (EU) 2016/679 gäller för den aktuella behandlingen.
Klausul 15
Tillämplig lag
Dessa klausuler ska regleras av lagen i ett land som tillåter tredjemansförmånstagares rättigheter. Parterna är överens om att detta ska vara Spaniens lag.
Klausul 16
Val av forum och jurisdiktion
Eventuella tvister från dessa klausuler ska lösas av Spaniens domstolar.
BILAGA I
FÖRTECKNING ÖVER PARTER
Dataexportör(er):
- Namn: ILOVEPDF, S.L.
- Adress: Calle Sabino de Arana, 60, 08028 Barcelona
- Kontaktpersonens namn, befattning och kontaktuppgifter: Juan Oriol, Legal Director (legal@ilovepdf.com).
- Aktiviteter som är relevanta för de uppgifter som överförs enligt dessa klausuler: tillhandahållandet av tjänsterna till importören av personuppgifterna, i den mån tillhandahållandet av dessa tjänster innebär en internationell överföring av personuppgifter från ILOVEPDF (dataexportör) till kunden (dataimportör).
- Roll: personuppgiftsbiträde.
Dataimportör(er): [Identitet och kontaktuppgifter för dataimportören/dataimportörerna, inklusive eventuell kontaktperson med ansvar för dataskydd]
- Namn: [...] (om detta inte fylls i ska det förstås som att kundens namn gäller).
- Adress: [...] (om detta inte fylls i ska det förstås som att kundens adress gäller).
- Kontaktpersonens namn, befattning och kontaktuppgifter: [...] (om detta inte fylls i ska det förstås som att uppgifterna för den person som företräder kunden vid ingåendet eller användningen av tjänsten gäller).
- Aktiviteter som är relevanta för de uppgifter som överförs enligt dessa klausuler: tillhandahållandet av tjänsterna av exportören av personuppgifterna, i den mån tillhandahållandet av dessa tjänster innebär en internationell överföring av personuppgifter från ILOVEPDF (dataexportör) till kunden (dataimportör).
- Signatur och datum: [...] (om detta inte fylls i ska det förstås som datumet för kundens första användning av tjänsten).
- Roll: personuppgiftsansvarig.
BESKRIVNING AV ÖVERFÖRINGEN
Kategorier av registrerade vars personuppgifter överförs
De kategorier av registrerade vars uppgifter finns i de filer som importören laddar upp när den använder de tjänster som tillhandahålls av ILOVEPDF (t.ex. anställda, kunder, leverantörer osv.).
Kategorier av personuppgifter som överförs De kategorier av personuppgifter som ingår i de filer som importören laddar upp när den använder de tjänster som tillhandahålls av ILOVEPDF.
Känsliga uppgifter som överförs (i förekommande fall) och tillämpade begränsningar eller skyddsåtgärder som fullt ut beaktar uppgifternas art och de risker som föreligger, såsom till exempel strikt ändamålsbegränsning, åtkomstbegränsningar (inklusive åtkomst endast för personal som genomgått specialiserad utbildning), förande av register över åtkomst till uppgifterna, begränsningar av vidareöverföringar eller ytterligare säkerhetsåtgärder.
Särskilda kategorier av uppgifter kommer att behandlas i den mån de filer som importören laddar upp när den använder de tjänster som tillhandahålls av ILOVEPDF innehåller sådana särskilda kategorier av personuppgifter.
Frekvensen för överföringen (t.ex. om uppgifterna överförs vid ett enstaka tillfälle eller fortlöpande) När användningen av de tjänster som tillhandahålls av ILOVEPDF innebär en internationell överföring av uppgifter från ILOVEPDF till dataimportören.
Behandlingens typ Kommunicera personuppgifter till importören i den utsträckning som är nödvändig för att ILOVEPDF ska kunna tillhandahålla sina tjänster.
Syften med dataöverföringen och den fortsatta behandlingen För att tillhandahålla tjänsterna på uppdrag av ILOVEPDF.
Den period under vilken personuppgifterna kommer att lagras, eller, om detta inte är möjligt, de kriterier som används för att fastställa denna periodI den utsträckning som är strikt nödvändig för att tillhandahålla tjänsterna och därefter i den utsträckning som krävs enligt tillämplig lag och är nödvändig för att göra gällande eller försvara anspråk som rör behandlingen av personuppgifter.
Versionskontroll: torsdagen den 19:e februari 2026