Addendum Inzake Gegevensverwerking voor Organisatoren

• Overzicht en definities
• 1. Toepasselijkheid van Addendum (DPA) en reikwijdte van de activiteiten voor gegevensverwerking.
• 2. Clausules inzake gegevensverwerking
• 3. Grensoverschrijdende overdracht

Overzicht en definities

De voorwaarden van dit Addendum (DPA) worden hierbij opgenomen in de Servicevoorwaarden van Eventbrite, het privacybeleid of een andere toepasselijke serviceovereenkomst tussen jou en Eventbrite (de 'Overeenkomst').

In geval van tegenstrijdigheden bij de verwerking van persoonlijke gegevens tussen de overeenkomst en dit Addendum (DPA) gelden de bepalingen van dit Addendum. In geval van tegenstrijdigheden tussen dit DPA en andere bepalingen van de Overeenkomst tussen jou en ons heeft dit DPA voorrang, behalve wanneer de Organisator en Eventbrite individueel afspraken hebben gemaakt over de gegevensverwerking die afwijken van dit DPA en die volledig voldoen aan de vereisten van de toepasselijke Wetten inzake gegevensbescherming; in dat geval gelden die overeengekomen voorwaarden.

'CCPA' staat voor California Consumer Privacy Act (zoals gewijzigd door de California Privacy Rights Act) en bijbehorende voorschriften.

'Wetten inzake gegevensbescherming' staat voor alle toepasselijke wetten of voorschriften met betrekking tot de privacy, vertrouwelijkheid en beveiliging van Persoonlijke gegevens.

'Onderneming', 'Gegevensbeheerder ', 'Gegevensverwerker', 'Betrokkene', 'Verwerking', 'Persoonsgegevens' en 'Serviceprovider' hebben de betekenis die hieraan wordt toegeschreven in toepasselijke Wetten inzake gegevensbescherming.

'Inbreuk op gegevensbeveiliging' staat voor een inbreuk op beveiliging die leidt tot het per ongeluk of onrechtmatig vernietigen, verliezen, wijzigen, onbevoegd openbaar maken of verlenen van onbevoegde toegang tot Persoonlijke gegevens die door Eventbrite namens de Organisator worden verwerkt als onderdeel van het gebruik van de Services door de Organisator.

'Nieuwe Modelcontractbepalingen van de EU' staat voor de Modelcontractbepalingen die zijn uitgevaardigd conform het Uitvoeringsbesluit van de Commissie (EU) 2021/914 van 4 juni 2021 over modelcontractbepalingen voor de overdracht van persoonlijke gegevens naar derde landen volgens de Verordening (EU) 2016/679 van het Europese Parlement en de Raad.

'Services' staat voor alle services die door Eventbrite aan de Organisator worden verleend, zoals gedefinieerd in de Servicevoorwaarden van Eventbrite van alle andere toepasselijke serviceovereenkomst tussen de Organisator en Eventbrite.

'Technische en organisatorische beveiligingsmaatregelen' staat voor redelijke beveiligingsmaatregelen geïmplementeerd door Eventbrite die geschikt zijn voor het type Persoonlijke gegevens dat namens de Organisator wordt verwerkt en de Services die door Eventbrite worden verstrekt om Persoonlijke gegevens te beschermen tegen onbevoegde of onrechtmatige Verwerking en tegen onopzettelijk(e) verlies, vernietiging, schade, wijziging of openbaarmaking.

'VK- addendum voor modelcontractbepalingen' staat voor het United Kingdom International Data Transfer Addendum voor de Modelcontractbepalingen voor internationale gegevensoverdracht van de Europese Commissie versie B1.0 die zijn uitgevaardigd door de UK Information Commissioner onder Sectie 119A van de UK Data Protection Act van 2018 en van kracht werden op 21 maart 2022, zoals van tijd tot tijd bijgewerkt, gewijzigd of vervangen.

1. Toepasselijkheid van Addendum (DPA) en reikwijdte van de activiteiten voor gegevensverwerking.

1.1 Bij het gebruik van de Services van Eventbrite treedt de Organisator op als Onderneming en is deze een Gegevensbeheerder van de Persoonlijke gegevens die zijn gekoppeld aan een persoon die de Services van Eventbrite gebruikt of namens wie een persoon de Services van Eventbrite gebruikt om zich te registreren of een ticket te kopen voor het bijwonen van een evenement van deze Organisator (de 'Consument'). De Organisator verklaart en garandeert dat alle noodzakelijke kennisgevingen zijn verstrekt en, indien vereist, alle noodzakelijke toestemmingen met betrekking tot het verzamelen van dergelijke Persoonlijke gegevens zijn verkregen van de Consument en dat de Organisator het recht heeft om dergelijke Persoonlijke gegevens met Eventbrite te delen.

1.2 Indien Eventbrite de Persoonlijke gegevens van Consumenten verwerkt namens de Organisator als onderdeel van de Services, is Eventbrite een Gegevensverwerker of Serviceprovider bij het uitvoeren van een dergelijke Verwerking en is de Organisator de Gegevensbeheerder of Onderneming. Dit omvat omstandigheden waarin Eventbrite Persoonlijke gegevens verkrijgt als gevolg van het verlenen van de belangrijkste ticketingservices (bijv. wanneer Eventbrite de verzending van e-mails aan consumenten op verzoek van Organisatoren faciliteert, betalingen verwerkt of evenementrapportages en -tools aanbiedt om Organisatoren in staat te stellen inzicht te krijgen in de effectiviteit van verschillende verkoopkanalen).

Bij bepaalde delen van de verwerking van Persoonlijke gegevens van Consumenten kan Eventbrite optreden als Gegevensbeheerder of Onderneming, bijv. wanneer Consumenten bepaalde aspecten van de Applicaties van Eventbrite hebben gebruikt die verdergaan dan de aspecten met betrekking tot het evenement van de Organisator of wanneer de Persoonlijke gegevens van Consumenten door Eventbrite worden verwerkt om onderzoek en analyse uit te voeren om Eventbrite in staat te stellen haar producten en functies te verbeteren en gerichte aanbevelingen te doen. Met betrekking tot dergelijke verwerking is Eventbrite een onafhankelijke Gegevensbeheerder en niet gezamenlijk met de Organisator verantwoordelijk voor het beheer van de gegevens.

Voor zover Eventbrite namens de Organisator Persoonlijke gegevens verwerkt als Gegevensverwerker of Serviceprovider, is sectie 2 van dit Addendum (DPA) van toepassing. Wanneer Eventbrite echter zelf optreedt als Onderneming of Gegevensbeheerder van Persoonlijke gegevens van Consumenten, is de verwerking door Eventbrite niet onderworpen aan dit DPA.

1.3 Details over de Persoonlijke gegevens die door Eventbrite moeten worden verwerkt en de verwerkingsactiviteiten die op grond van de Overeenkomst moeten worden uitgevoerd, zijn als volgt: (i) duur: zoals uiteengezet in de Overeenkomst; (ii) aard, doel en inhoud: om de Organisator in staat te stellen evenementen te organiseren en promoten en de kaartverkoop te beheren met behulp van Eventbrite-services; (iii) gegevenscategorieën: naam, e-mailadres, factuur- en betalingsgegevens, informatie met betrekking tot geboekte en bijgewoonde evenementen, relatie tot de Organisator en andere Persoonlijke gegevens die de Organisator van de Consumenten vraagt; (iv) betrokkenen: Consumenten.

2. Clausules inzake gegevensverwerking

2.1 Telkens wanneer Eventbrite namens de Organisator Persoonlijke gegevens verwerkt, zal Eventbrite:

2.1.1 de Persoonlijke gegevens alleen verwerken volgens de gedocumenteerde instructies van de Organisator, tenzij anders bepaald door de toepasselijke wetgeving. Eventbrite stelt de Organisator voorafgaand aan de verwerking van Persoonlijke gegevens op de hoogte van de wettelijke vereisten als deze afwijken van de instructies van de organisator, tenzij diezelfde wet Eventbrite verbiedt dit te doen op grond van zwaarwegende redenen van algemeen belang. De Organisator zorgt ervoor dat zijn instructies voldoen aan alle wetten, bepalingen en regels die van toepassing zijn op de Persoonlijke gegevens en dat de verwerking van dergelijke Persoonlijke gegevens door Eventbrite er niet toe zal leiden dat Eventbrite toepasselijke wetten, bepalingen of regels, inclusief Wetten inzake gegevensbescherming, overtreedt. Eventbrite stelt de Organisator op de hoogte, indien zij van mening is dat een instructie in strijd is met de toepasselijke Wetten inzake gegevensbescherming. De Organisator geeft Eventbrite hierbij de opdracht, en Eventbrite stemt er hierbij mee in, om Persoonlijke gegevens te verwerken zoals nodig is om aan de verplichtingen van Eventbrite onder de Overeenkomst te voldoen en voor geen enkel ander doel, tenzij anders aangegeven in dit Addendum (DPA) of zoals vereist is om te voldoen aan de wetgeving of andere bindende verordeningen van overheden. De partijen onderhandelen in goed vertrouwen over een geschikte wijziging van dit Addendum (DPA), indien dit Addendum of enige acties die ter uitvoering van dit DPA worden genomen of overwogen niet voldoen of niet zouden voldoen aan de verplichtingen van een van beide partijen volgens de toepasselijke Wetten inzake gegevensbescherming;

2.1.2 Aan alle toepasselijke bepalingen van de Wetten inzake gegevensbescherming voldoen en hetzelfde niveau van bescherming voor Persoonsgegevens bieden als volgens de Wetten inzake gegevensbescherming van de Organisator wordt vereist.  Eventbrite verwerkt Persoonlijke gegevens alleen zoals nodig is om te voldoen aan de verplichtingen van Eventbrite volgens de Overeenkomst of als anderszins is toegestaan door de Wetten inzake gegevensbescherming. Zonder het bovenstaande te beperken, zal Eventbrite (i) de Persoonlijke gegevens niet 'verkopen' of 'delen', volgens de definitie van dergelijke termen in de CCPA; (ii) dergelijke gegevens niet bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen Organisator en Eventbrite, tenzij dit is toegestaan door de Wetten inzake gegevensbescherming, of (iii) Persoonlijke gegevens bewaren, gebruiken of openbaar maken voor doeleinden anders dan de de zakelijke doeleinden die in dit DPA zijn gespecificeerd of anderszins zijn toegestaan door de Wetten inzake gegevensbescherming.  Eventbrite voldoet aan alle toepasselijke beperkingen overeenkomstig de Wetten inzake gegevensbescherming betreffende het combineren van Persoonlijke gegevens met de persoonlijke gegevens die Eventbrite ontvangt van of ontvangt namens een andere persoon of personen, of die Eventbrite verzamelt bij de interactie tussen Eventbrite en een persoon.

2.1.3 Technische en organisatorische beveiligingsmaatregelen treffen, waaronder, maar niet beperkt tot, de hier beschreven maatregelen: https://www.eventbrite.nl/security/;

2.1.4 De Organisator op de hoogte stellen in geval van een Inbreuk op de gegevensbeveiliging zonder onnodige vertraging, tenzij anderszins bij de wet verboden of anderszins geïnstrueerd door een wetshandhaver of gegevensbeschermingsautoriteit. Bij Inbreuk op de gegevensbeveiliging kan Eventbrite naar eigen goeddunken de desbetreffende betrokkenen rechtstreeks op de hoogte stellen van deze inbreuk. Wanneer Eventbrite een dergelijke waarschuwing niet geeft, zal Eventbrite redelijke bijstand verlenen, waar vereist door de toepasselijke Wetten inzake gegevensbescherming en op verzoek van de Organisator, zodat de Organisator aan zijn verplichtingen inzake gegevenslekken als Gegevensbeheerder of Onderneming kan voldoen;

2.1.5 Ervoor zorgen dat zijn personeel onderworpen is aan bindende geheimhoudingsverplichtingen met betrekking tot Persoonlijke gegevens van Consumenten die door Eventbrite namens de Organisator worden verwerkt;

2.1.6 Zijn subprocessors die toegang hebben tot Persoonlijke gegevens van Consumenten die door Eventbrite namens de Organisator worden verwerkt, verplichtingen opleggen die gelijk of gelijkwaardig zijn aan die welke in deze Sectie 2 zijn opgenomen door middel van een schriftelijke overeenkomst, en volledig aansprakelijk blijven jegens de Organisator voor het niet nakomen door een subprocessor van zijn verplichtingen met betrekking tot dergelijke Persoonsgegevens;

2.1.7 Redelijke assistentie verlenen aan de Organisator bij het reageren op individuele rechtenverzoeken of andere communicatie ontvangen onder de toepasselijke Wetten inzake gegevensbescherming van een toepasselijke gegevensbeschermingsautoriteit of Consument die de betrokkene is van Persoonlijke gegevens die door Eventbrite namens de Organisator worden verwerkt. Als een Consument een verzoek tot verwijdering van Persoonlijke gegevens bij Eventbrite indient, geeft de Organisator Eventbrite hierbij de opdracht en toestemming om de Persoonlijke gegevens van de Consument namens de Organisator te verwijderen of anonimiseren;  Indien nodig, zal de Organisator Eventbrite op de hoogte stellen van andere verzoeken van individuele rechten waaraan Eventbrite moet voldoen, en Eventbrite de vereiste informatie verstrekken om aan een verzoek te voldoen.

2.1.8 De organisator, op schriftelijk verzoek van de organisator, alle informatie geven die redelijkerwijs noodzakelijk is om aan te tonen dat wordt voldaan aan de verplichtingen die zijn uiteengezet in deze Sectie 2, redelijke assistentie bieden voor effectbeoordelingen van privacy- en gegevensbescherming en gerelateerd advies van gegevensbeschermingsautoriteiten en om audits mogelijk te maken en hieraan mee te werken. Audits op locatie zijn: (i) alleen toegestaan na redelijke voorafgaande kennisgeving aan Eventbrite; (ii) onderworpen aan adequate geheimhoudingsverklaringen; en (iii) beperkt tot eenmaal in de drie (3) jaar en alleen om een specifieke vermoedelijke tekortkoming te evalueren nadat alle andere redelijke middelen zijn uitgeput; en

2.1.9 Met uitzondering van de Persoonlijke gegevens waarvoor Eventbrite optreedt als Gegevensbeheerder of Onderneming, de persoonlijke gegevens van Consumenten die namens de Organisator worden verwerkt en kopieën daarvan op verzoek van de Organisator retourneren, verwijderen of vernietigen (naar keuze van de Organisator), tenzij de toepasselijke wetgeving de opslag van dergelijke Persoonlijke gegevens vereist.

2.2 De Organisator stemt er hierbij mee in en machtigt Eventbrite om Persoonlijke gegevens openbaar te maken of over te dragen aan of toegang te geven tot Persoonlijke gegevens door de huidige subverwerker van Eventbrite (d.w.z. de subverwerkers die vermeld staan op de website van Eventbrite op de Ingangsdatum van dit Addendum (DPA) of de Overeenkomst, afhankelijk van welke datum later is) ('Huidige subverwerkers') om Persoonlijke gegevens namens de Organisator te verwerken.

2.3 De organisator stemt er hierbij mee in dat Eventbrite aanvullende en vervangende subverwerkers ('Vervangende subverwerkers') aanwijst om Persoonlijke gegevens namens de organisator te verwerken. Eventbrite zal: de Organisator op de hoogte stellen van de identiteit van de beoogde Vervangende subverwerker(s) (i) via e-mail wanneer de Organisator voor de ontvangst van dit soort e-mailmeldingen heeft gekozen en (ii) door de website van Eventbrite te updaten (de Organisator is zelf verantwoordelijk voor het regelmatig doorlezen en controleren van de Eventbrite-website op dergelijke wijzigingen). Organisatoren die per e-mail bericht willen ontvangen over Vervangende subverwerkers, moeten zich aanmelden en abonneren via dit formulier (de Organisator is er zelf verantwoordelijk voor dat zijn contactgegevens altijd correct zijn). Eventbrite zal de Organisator ook de gelegenheid bieden om bezwaar te maken tegen dergelijke wijzigingen die plaatsvinden na de Ingangsdatum van de Overeenkomst, in overeenstemming met de voorwaarden die volgen in Sectie 2.4 van dit DPA.

Voor de duidelijkheid: alle beëindigingsrechten die hierin zijn opgenomen, zijn alleen van toepassing bij bezwaren tegen Vervangende subverwerkers die zijn aangesteld na de Ingangsdatum van dit DPA die niet zijn verholpen in overeenstemming met de hierin opgenomen voorwaarden en zijn niet van toepassing met betrekking tot Huidige subverwerkers.

2.4 De Organisator heeft een termijn van tien (10) dagen nadat Eventbrite de veranderingen op haar website heeft gepubliceerd om bezwaar te maken tegen de aanstelling van Vervangende subverwerkers. De Organisator dient zijn bezwaar in bij privacy@eventbrite.com met de onderwerpregel 'Objection to Replacement Sub-Processor' ('Bezwaar tegen vervangende subverwerkers', graag in het Engels indienen).

Op voorwaarde dat het bezwaar van de Organisator: (i) betrekking heeft op de vaardigheid van de Vervangende subverwerker om Eventbrite daadwerkelijk te laten voldoen aan haar verplichtingen inzake gegevensbescherming op grond van dit Addendum; en (ii) voldoende details bevat om zijn bezwaar te onderbouwen en specifieke voorbeelden te geven, zal Eventbrite commercieel redelijke inspanningen verrichten om het bezwaar van de Organisator binnen dertig (30) dagen na ontvangst te beoordelen en te beantwoorden met een door Eventbrite bepaalde wijze van aanpak.

Als Eventbrite naar eigen goeddunken bepaalt dat ze redelijkerwijs niet in staat is het bezwaar van de organisator in te willigen, kan de organisator na kennisgeving van Eventbrite de overeenkomst eventueel door schriftelijke kennisgeving aan Eventbrite beëindigen conform de hier genoemde voorwaarden. Dit is tegelijk het enige en exclusieve rechtsmiddel van de organisator. Zonder de algemene geldigheid van het voorgaande te beperken, wordt het beëindigingsrecht van de Organisator krachtens deze Sectie 2.4 beschouwd als een aanvullend beëindigingsrecht van de Organisator onder de sectie 'Termijn; Beëindiging' van de Overeenkomst (indien van toepassing), en zal, indien uitgeoefend, worden beschouwd als een beëindiging op grond van deze Sectie. Een dergelijke schriftelijke kennisgeving moet worden verzonden aan legal@eventbrite.com en moet specifiek verwijzen naar deze Sectie 2.4 van de DPA. De datum waarop Eventbrite een schriftelijke kennisgeving van beëindiging onder deze sectie 2.4 van een Organisator ontvangt, wordt in dit Addendum de 'Bezwaardatum' genoemd. Als de Organisator ervoor kiest om de Overeenkomst te beëindigen als gevolg van een Vervangende subverwerker, dan ontslaat deze Sectie 2 de organisator niet van zijn verplichtingen tot betaling en/of terugbetalingen jegens Eventbrite conform de Overeenkomst.

Zonder de andere rechten en rechtsmiddelen van Eventbrite te beperken, betaalt de Organisator, indien de Organisator de Overeenkomst op grond van deze Sectie 2.4 beëindigt, onmiddellijk aan Eventbrite (1) alle aan Eventbrite toekomende en verschuldigde bedragen, inclusief maar niet beperkt tot de verplichtingen om Eventbrite te betalen en/of terug te betalen voor toeslagen, sponsorbetalingen, voorschotten en/of uitbetalingen vooraf van Evenementregistratietoeslagen, zoals in de Overeenkomst gedefinieerd en alleen voor zover van toepassing op de Organisator, (2) als de Overeenkomst een minimumaantal tickets bevat dat de Organisator moet verkopen, een minimumbedrag aan Evenementregistratietoeslagen of Eventbrite-servicekosten die moeten worden verwerkt (waarbij elke verkoop- of verwerkingsdrempel een 'Minimumdrempel' is), en/of als er een vereiste is om Eventbrite dat gedeelte van de Servicekosten te betalen die Eventbrite zou hebben ontvangen als een Minimumdrempel was bereikt, gaat de Organisator ermee akkoord Eventbrite een bedrag te betalen dat gelijk is aan (x) het bedrag dat Eventbrite aan Servicekosten zou hebben ontvangen als de Minimumdrempel was bereikt in elk jaar van de termijn tot aan de datum van deze beëindiging (de Minimumdrempel is pro rata voor elk gedeeltelijk jaar van de Termijn), minus (y) het bedrag dat Eventbrite daadwerkelijk heeft ontvangen aan Servicekosten die toe te kennen zijn aan de verkoop van de Organisator tijdens de Termijn tot de datum van deze beëindiging; en (3) 80% van de verwachte toeslagen die Eventbrite tijdens de rest van de Termijn zou hebben verdiend indien de Overeenkomst niet was beëindigd met betrekking tot (x) evenementen die live waren op de site op de Bezwaardatum en (y) eventuele toekomstige evenementen die in het kader van de Overeenkomst werden overwogen en die gepland stonden om binnen negentig (90) dagen na de Bezwaardatum live te gaan.

2.5 Eventbrite verklaart hierbij de beperkingen en verplichtingen die in dit DPA worden uiteengezet te begrijpen en te zullen naleven. Eventbrite informeert de Organisatoren, indien Eventbrite vaststelt niet langer aan haar verplichtingen volgens de Wetten inzake gegevensbescherming te kunnen voldoen.

2.6 De Organisator heeft het recht om met een opzegtermijn van veertien (14) werkdagen redelijke en toepasselijke stappen te ondernemen om enig onbevoegd gebruik van Persoonlijke gegevens door Eventbrite stop te zetten en te corrigeren.

3. Grensoverschrijdende overdracht

3.1 De Organisator gaat ermee akkoord dat Eventbrite in verband met het verlenen van de Services Persoonlijke gegevens van Consumenten naar verschillende locaties kan overdragen. Overdrachten gebeuren in overeenstemming met wettelijk afdwingbare overdrachtsmechanismen, indien vereist door de toepasselijke Wetten inzake gegevensbescherming. Het exclusieve overdrachtsmechanisme van Eventbrite voor gegevens die worden geëxporteerd uit de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland bestaat uit het gebruik van Modelcontractbepalingen die vooraf door Eventbrite zijn ondertekend voor de nalevingsadministratie van Organisatoren. Voor overdrachten vanuit het Verenigd Koninkrijk heeft Eventbrite ook het UK SCC Addendum opgenomen in paragraaf 3.2 van dit DPA.

3.2 Overdrachten uit het VK. Met betrekking tot Persoonlijke gegevens van Eventbrite die vanuit het Verenigd Koninkrijk worden overgedragen waarvoor de wetgeving van het Verenigd Koninkrijk (en niet de wetgeving in een rechtsgebied van de Europese Economische Ruimte) het internationale karakter van de overdracht beheerst, maakt het UK SCC Addendum deel uit van dit DPA en heeft het voorrang op de rest van dit DPA zoals uiteengezet in het UK SCC Addendum, tenzij het Verenigd Koninkrijk updates van het UK SCC Addendum uitvaardigt; in dat geval geldt het bijgewerkte UK SCC Addendum. Voor de in deze bepaling gebruikte, niet-gedefinieerde begrippen met een hoofdletter gelden de definities in het UK SCC Addendum. De Organisator gaat hierbij akkoord met het UK SCC Addendum dat door middel van deze verwijzing in dit DPA is opgenomen en als volgt luidt:

1. In Tabel 1 zijn de details van de Partijen de Partijen zoals uiteengezet in Bijlage I van de Nieuwe modelcontractbepalingen van de EU zoals uitgevoerd door de Partijen overeenkomstig dit DPA.

2. In Tabel 2 zijn de Goedgekeurde modelcontractbepalingen van de EU de Nieuwe modelcontractbepalingen van de EU zoals uitgevoerd door de Partijen overeenkomstig dit DPA.

3. In Tabel 3 zijn Bijlage 1A en Bijlage 1B zoals vermeld in Bijlage I van de Nieuwe modelcontractbepalingen van de EU zoals uitgevoerd door de Partijen krachtens dit DPA.

4. Tabel 3, Bijlage II is zoals uiteengezet in Bijlage II van de Nieuwe modelcontractbepalingen van de EU zoals uitgevoerd door de Partijen krachtens dit DPA.

5. In Tabel 4 kan een van beide Partijen dit DPA beëindigen zoals uiteengezet in Sectie 19 van het UK SCC Addendum.

3.3. Overdrachten uit Zwitserland. Met betrekking tot Persoonlijke gegevens die vanuit Zwitserland worden overgedragen waarvoor het Zwitserse recht (en niet het recht in een rechtsgebied van de Europese Economische Ruimte) het internationale karakter van de overdracht beheerst, (i) worden verwijzingen naar de AVG in Clausule 4 van de Nieuwe modelcontractbepalingen van de EU, voor zover wettelijk vereist, gewijzigd om in plaats daarvan te verwijzen naar de Zwitserse federale wet inzake gegevensbescherming of de opvolger daarvan, en omvat het begrip toezichthoudende autoriteit de Zwitserse federale commissaris voor gegevensbescherming en informatie; en ii) zoals aldus gewijzigd, zijn de Nieuwe modelcontractbepalingen van de EU bij verwijzing hierin opgenomen en zijn zij van toepassing, maken zij deel uit van dit DPA en hebben zij voorrang op de rest van dit DPA, indien er tegenstrijdigheden zijn.

3.4. Overdrachten uit de EER. Met betrekking tot Persoonlijke gegevens die vanuit de Europese Economische Ruimte worden overgedragen, zijn de hierin opgenomen Nieuwe modelcontractbepalingen van de EU van toepassing en maken zij deel uit van dit DPA. Bij tegenstrijdigheden tussen bepalingen van de Nieuwe modelcontractbepalingen en bepalingen van dit DPA hebben de Nieuwe modelcontractbepalingen van de EU voorrang bij deze tegenstrijdigheden.