Databehandleraftale

Standard kontrakt klausuler

Med henblik på artikel 28, stk. 3, i forordning 2016/679 (GDPR)

mellem

(den dataansvarlige – kunden)

og

Conversio ApS

CVR 34481016

Søren Frichs vej 36M 2. sal

8230 Aabyhoej

Danmark

(databehandleren)

hver især en “part”; tilsammen “parterne”

ER BLEVET ENIGE om følgende kontraktbestemmelser (klausulerne) for at opfylde kravene i GDPR og for at sikre beskyttelsen af den registreredes rettigheder.

1. Indholdsfortegnelse

  1. Indholdsfortegnelse
  2. Præambel
  3. Den dataansvarliges rettigheder og forpligtelser
  4. Databehandleren handler i henhold til instruktionerne
  5. Fortrolighed
  6. Sikkerhed i forbindelse med behandling
  7. Anvendelse af underdatabehandlere
  8. Overførsel af oplysninger til tredjelande eller internationale organisationer
  9. Assistance til den dataansvarlige
  10. Underretning om brud på persondatasikkerheden
  11. Sletning og returnering af data
  12. Revision og inspektion
  13. Parternes aftale om andre vilkårBegyndelse og ophør

Bilag A: Oplysninger om behandlingen
Bilag B: Autoriserede underdatabehandlere
Bilag C:  Instruktioner vedrørende brugen af personoplysninger

2. Præambel

  1. Disse kontraktbestemmelser (klausulerne) fastsætter den dataansvarliges og databehandlerens rettigheder og forpligtelser, når de behandler personoplysninger på den dataansvarliges vegne.
  2. Klausulerne er udformet for at sikre parternes overholdelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning 2016/679 af d. 27. april 2016, om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EC (databeskyttelsesforordningen).
  3. I forbindelse med fremskaffelsen af støtte i forbindelse med analyse af data, webstedsadministration og IT-administration, vil databehandleren behandle personoplysninger på vegne af den dataansvarlige i overensstemmelse med bestemmelserne.
  4. Klausulerne har forrang for eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
  5. Fire bilag er tilknyttet klausulerne og udgør en integrerende del af disse.
  6. Bilag A indeholder oplysninger om behandlingen af personoplysninger, herunder formålet med og typen af behandlingen, typen af personoplysninger, kategorier af den registrerede og behandlingens varighed.
  7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste over de underdatabehandlere, som den dataansvarlige har godkendt.
  8. Bilag C indeholder den dataansvarliges instruktioner med hensyn til behandling af personoplysninger, minimumssikkerhedsforanstaltningerne, som databehandleren skal gennemføre, og hvordan audit af databehandleren og eventuelle underdatabehandlere skal gennemføres.
  9. Bilag D indeholder bestemmelser om andre aktiviteter, som ikke er omfattet af klausulerne.
  10. Klausulerne og bilagene skal opbevares skriftligt, herunder elektronisk, af begge parter.
  11. Klausulerne fritager ikke databehandleren for forpligtelser, som databehandleren er underlagt i henhold til databeskyttelsesforordningen (GDPR) eller anden lovgivning.

3. Den dataansvarliges rettigheder og forpligtelser

  1. Den dataansvarlige er ansvarlig for at sikre, at behandling af personoplysninger sker i overensstemmelse med GDPR (se artikel 24 GDPR), de gældende EU- eller medlemsstats databeskyttelsesbestemmelser og Klausulerne.
  2. Den dataansvarlige har ret og pligt til at træffe beslutninger om formålet med og midlerne til behandling af personoplysninger.
  3. Den dataansvarlige er blandt andet ansvarlig for at sikre, at den behandling af personoplysninger, som databehandleren har fået til opgave at udføre, har et retsgrundlag.

4. Databehandleren handler i henhold til instruktionerne

  1. Databehandleren må kun behandle personoplysninger efter dokumenterede instruktioner fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes lovgivning, som databehandleren er underlagt. Sådanne instruktioner skal specificeres i bilag A og C. Efterfølgende instruktioner kan også gives af den dataansvarlige under hele varigheden af behandlingen af persondata, men sådanne instruktioner skal altid dokumenteres og opbevares skriftligt, herunder elektronisk, i overensstemmelse med klausulerne.
  2. Databehandleren skal øjeblikkeligt underrette den dataansvarlige, hvis de givne instruktioner fra den dataansvarlige efter databehandlerens opfattelse er i strid med GDPR eller de gældende EU- eller medlemsstats databeskyttelsesbestemmelser.
  3. Databehandleren har ret til at afvise alle anmodninger fra den dataansvarlige, der er i strid med GDPR eller de gældende EU- eller medlemsstats databeskyttelsesbestemmelser.

5. Fortrolighed

  1. Databehandleren må kun give adgang til de personoplysninger, der behandles på den dataansvarliges vegne, til personer under den databehandlerens myndighed, som har forpligtet sig til fortrolighed, eller som er underlagt en passende lovbestemt forpligtelse til fortrolighed, og udelukkende på et nødvendighedsgrundlag. Listen over de personer, der har fået adgang, skal revideres regelmæssigt. På grundlag af denne gennemgang kan en sådan adgang til personoplysninger inddrages, hvis adgangen ikke længere er nødvendig, og de pågældende personer vil derfor ikke længere have adgang til personoplysningerne.
  2. Databehandleren skal på anmodning af den dataansvarlige godtgøre, at de berørte personer under databehandlerens myndighed er underlagt ovennævnte fortrolighed.

6. Sikkerhed i forbindelse med behandling

  1. I artikel 32 i GDPR fastsættes det, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved gennemførelsen og behandlingens art, omfang, kontekst og formål, samt risikoen af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen.Den dataansvarlige skal vurdere de risici for fysiske personers rettigheder og frihedsrettigheder, der er forbundet med behandlingen, og gennemføre foranstaltninger til at mindske disse risici. Afhængigt af deres relevans kan foranstaltningerne omfatte følgende:

    a. Pseudonymisering og kryptering af personoplysninger;
    b. evnen til at sikre fortløbende fortrolighed, integritet, tilgængelighed og resistenthed af behandlingssystemer og -tjenester;
    c. evnen til at genoprette tilgængeligheden af og adgangen til personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse;
    d. en proces til regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.
  2. I henhold til artikel 32 i GDPR skal databehandleren også – uafhængigt af den dataansvarlige – vurdere de risici for fysiske personers rettigheder og frihedsrettigheder, der er forbundet med behandlingen, og gennemføre foranstaltninger til at mindske disse risici. Med henblik herpå skal den dataansvarlige give databehandleren alle de oplysninger, der er nødvendige for at kunne identificere og vurdere sådanne risici.
  3. Endvidere skal databehandleren bistå den dataansvarlige med at sikre, at den dataansvarlige overholder sine forpligtelser i henhold til artikel 32 i GDPR, inter alia ved at give den dataansvarlige oplysninger om de tekniske og organisatoriske foranstaltninger, som databehandleren allerede har gennemført i henhold til artikel 32 i GDPR, samt alle andre oplysninger, der er nødvendige for, at den dataansvarlige kan overholde den dataansvarliges forpligtelse i henhold til artikel 32 i GDPR.

Hvis det efterfølgende – efter den dataansvarliges vurdering – for at mindske de identificerede risici er nødvendigt, at databehandleren gennemfører yderligere foranstaltninger end dem, der allerede er gennemført af databehandleren i henhold til artikel 32 i GDPR, skal den dataansvarlige angive disse yderligere foranstaltninger i bilag C.

7. Anvendelse af underdatabehandlere

  1. Databehandleren skal opfylde kravene i artikel 28, stk. 2 og 4, i GDPR for at kunne involvere en anden databehandler (en underdatabehandler).
  2. Databehandleren må derfor ikke ansætte en anden databehandler (underdatabehandler) til opfyldelse af klausulerne uden forudgående generel skriftlig tilladelse fra den dataansvarlige.
  3. Databehandleren har den dataansvarliges generelle tilladelse til at ansætte underdatabehandlere. Databehandleren skal underrette den dataansvarlige skriftligt om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere mindst 30 dage i forvejen, og databehandleren giver derved den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer, inden den eller de pågældende underdatabehandlere ansættes. Længere perioder med forudgående varsel for specifikke underdatabehandlingstjenester kan fastsættes i bilag B. Listen over underdatabehandlere, der allerede er godkendt af den dataansvarlige, findes i bilag B.
  4. Hvis databehandleren ansætter en underdatabehandler til at udføre specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges denne underdatabehandler de samme databeskyttelsesforpligtelser som dem, der er fastsat i klausulerne, i form af en kontrakt eller anden retsakt i henhold til EU- eller medlemsstatslovgivningen, navnlig ved at give tilstrækkelige garantier for at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i klausulerne og GDPR.

Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder de forpligtelser, som databehandleren er underlagt i henhold til klausulerne og GDPR.

  1. En kopi af en sådan aftale om underdatabehandler og efterfølgende ændringer skal – på den dataansvarliges anmodning – forelægges den dataansvarlige, hvorved den dataansvarlige får mulighed for at sikre, at underdatabehandleren pålægges de samme databeskyttelsesforpligtelser som dem, der er fastsat i klausulerne. Klausuler om forretningsrelaterede spørgsmål, der ikke påvirker underdatabehandleraftalens legale databeskyttelsesindhold, skal ikke forelægges den dataansvarlige igen.
  2. Databehandleren skal aftale en tredjepartsklausul med underdatabehandleren, hvor den dataansvarlige – i tilfælde af databehandlerens konkurs – er tredjepartsmodtager af aftalen om underdatabehandler og har ret til at håndhæve aftalen over for den underdatabehandler, som databehandleren har ansat, eksempelvis ved at gøre det muligt for den dataansvarlige at give underdatabehandleren instruktioner om at slette eller returnere personoplysningerne.
  3. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ud ansvarlig over for den dataansvarlige for hvad så vidt angår opfyldelsen af underdatabehandlerens forpligtelser. Dette berører ikke de registreredes rettigheder i henhold til GDPR – navnlig dem, der er fastsat i artikel 79 og 82 i GDPR – over for den dataansvarlige og databehandleren, herunder underdatabehandleren.

8. Overførsel af oplysninger til tredjelande eller internationale organisationer

  1. Databehandlerens overførsel af personoplysninger til tredjelande eller internationale organisationer må kun ske på grundlag af dokumenterede instruktioner fra den dataansvarlige og skal altid ske i overensstemmelse med kapitel V i GDPR.
  2. I tilfælde af overførsler til tredjelande eller internationale organisationer, som databehandleren ikke har fået instruktioner om at foretage af den dataansvarlige, er påkrævet i henhold til EU- eller medlemsstatslovgivning, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav forud for behandlingen, medmindre denne lovgivning forbyder en sådan underretning af vigtige grunde af almen interesse.
  3. Uden dokumenterede instrukser fra den dataansvarlige kan databehandleren derfor ikke inden for rammerne af klausulerne:

    a. overføre personoplysninger til en dataansvarlig eller en databehandler i et tredjeland eller i en international organisation
    b. overføre behandlingen af personoplysninger til en underdatabehandler i et tredjeland
    c. få personoplysningerne behandlet af databehandleren i et tredjeland
  4. Den dataansvarliges instruktioner vedrørende overførsel af personoplysninger til et tredjeland, herunder, hvis det er relevant, det overførselsværktøj i henhold til kapitel V i GDPR, som de er baseret på, skal fremgå af bilag C.6.
  5. Klausulerne må ikke forveksles med standarddatabeskyttelsesklausulerne i henhold til artikel 46, stk. 2, litra c) og d) i GDPR, og parterne kan ikke påberåbe sig klausulerne som et overførselsværktøj i henhold til kapitel V i GDPR.

9. Assistance til den dataansvarlige

  1. Under hensyntagen til arten af behandlingen skal databehandleren bistå den dataansvarlige med hjælp til passende tekniske og organisatoriske foranstaltninger, i det omfang det er muligt, ved at opfylde den dataansvarliges forpligtelser til at besvare anmodninger om at udøve den registreredes rettigheder, jf. kapitel III i GDPR.Dette indebærer, at databehandleren, i det omfang det er muligt, skal bistå den dataansvarlige med at sikre, at den dataansvarlige overholder:

    a. retten til at blive informeret ved indsamling af personoplysninger fra den registrerede
    b. retten til at blive informeret, når der ikke er indhentet personoplysninger fra den registrerede
    c. den registreredes ret til indsigt
    d. retten til berigtigelse
    e. retten til sletning (“retten til at blive glemt”)
    f. retten til begrænsning af behandlingen
    g. anmeldelsespligt vedrørende berigtigelse eller sletning af personoplysninger eller begrænsning af behandlingen
    h. retten til dataportabilitet
    i. retten til at gøre indsigelse
    j. retten til ikke at blive genstand for en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering
  2. Udover databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til pkt. 6.4. skal databehandleren desuden under hensyntagen til behandlingens art og de oplysninger, som databehandleren har adgang til, bistå den dataansvarlige med at sikre overholdelse af:

    a. Den dataansvarliges forpligtelse til uden unødig forsinkelse og, hvor det er muligt, senest 72 timer efter at have fået kendskab til bruddet på persondatasikkerheden, at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre det er usandsynligt, at bruddet på persondatasikkerheden vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder;

    b. den dataansvarliges forpligtelse til uden unødig forsinkelse at meddele den registrerede om bruddet på persondatasikkerheden, når bruddet på persondatasikkerheden sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder;

    c. den dataansvarliges forpligtelse til at foretage en vurdering af de påtænkte behandlingers indvirkning på beskyttelsen af personoplysninger (en konsekvensanalyse vedrørende databeskyttelse);

    d. den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Datatilsynet, forud for behandlingen, hvis en databeskyttelseskonsekvensanalyse viser, at behandlingen vil medføre en høj risiko, hvis den dataansvarlige ikke træffer foranstaltninger til at mindske risikoen.
  3. Parterne definerer i bilag C de passende tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige, samt omfanget af den nødvendige bistand. Det gælder for de forpligtelser, der er fastsat i punkt 9.1. og 9.2.

10. Underretning om brud på persondatasikkerheden

  1. I tilfælde af brud på persondatasikkerheden skal databehandleren uden ugrundet ophold efter at have fået kendskab til bruddet på persondatasikkerheden underrette den dataansvarlige om bruddet på persondatasikkerheden.
  2. Databehandlerens underretning af den dataansvarlige skal om muligt finde sted inden for 48 timer efter, at databehandleren har fået kendskab til bruddet på persondatasikkerheden for at sætte den dataansvarlige i stand til at opfylde den dataansvarliges forpligtelse til at underrette den kompetente tilsynsmyndighed om bruddet på persondatasikkerheden, jf. artikel 33 i GDPR.
  3. I overensstemmelse med paragraf 9, stk. 2, litra a), skal databehandleren bistå den dataansvarlige med at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, hvilket betyder, at databehandleren skal bistå med at indhente nedenstående oplysninger, som i henhold til artikel 33, stk. 3, i GDPR skal anføres i den dataansvarliges anmeldelse til den kompetente tilsynsmyndighed:

    a. arten af personoplysningerne, herunder, hvor muligt, de berørte kategorier og det omtrentlige antal registrerede personer, de berørte kategorier og det omtrentlige antal personoplysninger, der er tale om, og det omtrentlige antal registreringer af personoplysninger, der er tale om;

    b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden;

    c. de foranstaltninger, som den dataansvarlige har truffet eller foreslår at træffe for at afhjælpe bruddet på persondatasikkerheden, herunder, hvor det er relevant, foranstaltninger til at afbøde de mulige negative virkninger.
  4. Parterne skal i bilag D definere alle de elementer, som databehandleren skal levere, når vedkommende bistår den dataansvarlige med at underrette den kompetente tilsynsmyndighed om et personalt brud på datasikkerheden.

11. Sletning og returnering af data

  1. Ved ophør af forsyningen af tjenester til behandling af personoplysninger, er databehandleren forpligtet til at slette alle personoplysninger, der er behandlet på vegne af den dataansvarlige, og attestere over for den dataansvarlige, at dette er sket, medmindre EU-retten eller medlemsstaternes lovgivning kræver opbevaring af personoplysningerne.
  2. Følgende EU- eller medlemsstatslovgivning, som gælder databehandleren, kræver opbevaring af personoplysningerne efter endt tjeneste, som indebærer behandling af personoplysninger:

    a. Den danske bogføringslov
    b. Den danske forældelseslov

Databehandleren forpligter sig til udelukkende at behandle personoplysningerne til de formål og i det tidsrum, der er fastsat i den pågældende lov, og på de strengt gældende betingelser.

12. Revision og inspektion

  1. Databehandleren skal stille alle oplysninger til rådighed for den dataansvarlige, der er nødvendige for at påvise at forpligtelserne i artikel 28 og klausulerne er overholdt, og samtidigt tillade og bidrage til revisioner, herunder inspektioner, der gennemføres af den dataansvarlige eller en anden revisor, som den dataansvarlige har givet mandat til.
  2. Procedurer, der gælder den dataansvarliges revisioner, herunder inspektioner, af databehandleren og underdatabehandlere, er specificeret i bilag C.7. og C.8.
  3. Databehandleren er forpligtet til at give de tilsynsmyndigheder, der i henhold til gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der handler på vegne af sådanne tilsynsmyndigheder, adgang til databehandlerens fysiske faciliteter mod fremvisning af passende identifikation.

13. Parternes aftale om andre vilkår

  1. Parterne kan aftale andre klausuler vedrørende ydelse af den enkelte databehandlingstjeneste, der eksempelvis specificerer ansvar, så længe de ikke direkte eller indirekte er i modstrid med klausulerne, skader den registreredes grundlæggende rettigheder eller frihedsrettigheder og den beskyttelse, som databeskyttelsesforordningen giver.

14. Begyndelse og ophør

  1. Klausulerne træder i kraft på datoen for begge parters underskrift.
  2. Begge parter har ret til at kræve, at klausulerne genforhandles, hvis ændringer i lovgivningen eller uhensigtsmæssigheder i klausulerne giver anledning til en sådan genforhandling.
  3. Klausulerne skal anvendes i den periode, hvor der ydes tjenester til behandling af personoplysninger. Klausulerne kan ikke opsiges i den periode, hvor der leveres tjenester til behandling af personoplysninger, medmindre parterne er blevet enige om andre klausuler vedrørende ydelse af tjenester til behandling af personoplysninger.
  4. Hvis ydelsen af tjenester til behandling af personoplysninger ophører, og personoplysningerne slettes eller returneres til den dataansvarlige i henhold til punkt 11.1. og bilag C.4., kan klausulerne opsiges ved skriftlig meddelelse fra begge parter.

Bilag A: Oplysninger om behandlingen

A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er:

Formålet med databehandlingen er som følger:

  • Støtte vedrørende dataanalyse
  • Administration af webstedet for den dataansvarlige
  • Støtte vedrørende den dataansvarliges systemer og databaser
  • Hosting
  • Ledelse af sociale medier

A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige skal primært vedrøre (karakteren af behandlingen):

Støtte og assistance, der er defineret i hovedaftalen mellem databehandleren og den dataansvarlige.

A.3. Behandlingen omfatter følgende typer personoplysninger om registrerede personer:

  • Navn
  • Adresse
  • Fødselsdag
  • Kontaktoplysninger
  • Køn
  • Kundens profil
  • IP-adresse
  • Hosting-data
  • Cookies

A.4. Behandlingen omfatter følgende kategorier af registrerede:

  • Kundeoplysninger
  • Oplysninger om kundens kunder

A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan foretages, når Klausulerne begynder. Behandlingen har følgende varighed:

Databehandlingen vil være i kraft, så længe hovedaftalen stadig er aktiv.

Bilag B: Autoriserede underdatabehandlere

B.1. Godkendte underdatabehandlere

Ved ikrafttrædelsen af klausulerne godkender den dataansvarlige, at følgende underdatabehandlere ansættes:

  • NAME: Salecto India Ltd.
    CVR:  24ABDCS5964J1ZZ
    ADDRESS: 618, Shivalik Shilp, Iscon Cross Road, SG Highway, Ahmedabad – 380054
    DESCRIPTION OF PROCESSING: IT-support
  • NAME: Powerhosting ApS
    CVR: 33055048
    ADDRESS: Dalgasgade 11, 7400 Herning
    DESCRIPTION OF PROCESSING: Hosting og backup
  • NAME: Cloudways Ltd.
    CVR: MT20765109
    ADDRESS: Junction Business Centre, 1st Floor Sqaq Lourdes, St Julians STJ3334, Malta
    DESCRIPTION OF PROCESSING: Hosting og backup
  • NAME: Bitrix24 Ltd.
    CVR:  24ABDCS5964J1ZZ
    ADDRESS: Poseidonos, 1, Ledra Business Center, Egkomi 2406 Nicosia Cyprus
    DESCRIPTION OF PROCESSING: CRM
  • NAME: Everflow ApS
    CVR: DK39303116
    ADDRESS: Borggade 1, 1., 8000 Aarhus C
    DESCRIPTION OF PROCESSING: Konsulentstøtte
  • NAME: Zapier Inc.
    CVR:  24ABDCS5964J1ZZ
    ADDRESS: 548 Market St. #62411, San Francisco, CA 94104-5401
    DESCRIPTION OF PROCESSING: Synkronisering af applikationer

Den dataansvarlige skal ved klausulernes ikrafttræden give tilladelse til at anvende ovennævnte underdatabehandlere til den behandling, der er beskrevet for den pågældende part. Databehandleren er ikke berettiget til – uden den dataansvarliges udtrykkelige skriftlige tilladelse – at anvende en underdatabehandler til en “anden” behandling end den, der er aftalt, eller lade en anden underdatabehandler udføre den beskrevne behandling.

Bilag C:  Instruktioner vedrørende brugen af personoplysninger

C.1. Genstanden for/anvisningen til behandlingen

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige foretages ved, at databehandleren udfører følgende:

  • Analyse af data
  • Ledelse af webstedet
  • Hosting
  • Ledelse af sociale medier
  • Generel IT-support

C.2. Sikkerhed i forbindelse med behandling

Sikkerhedsniveauet skal tage hensyn til følgende:

Behandlingen omfatter en stor mængde personoplysninger, som kan være omfattet af artikel 9 i GDPR om “særlige kategorier af personoplysninger”, hvorfor der bør fastsættes et “højt” sikkerhedsniveau.

Databehandleren skal herefter have ret og pligt til at træffe beslutninger om de tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) niveau af datasikkerhed.

Databehandleren skal dog – under alle omstændigheder og som et minimum – implementere følgende foranstaltninger, som er aftalt med den dataansvarlige:

  • Der er blevet implementeret en politik vedrørende it-sikkerhed.
  • Der skal være en log over adgang og forsøg på log-in fra databehandleren.
  • Der er etableret en backup-procedure.
  • Der skal være en kryptering med transmission, der følger minimumskravet fra retningslinjerne fra Datatilsynet.
  • Databehandlerens medarbejdere skal have klare instruktioner, når de behandler personoplysninger fra den dataansvarlige.

C.3. Bistand til den dataansvarlige

Databehandleren skal, i det omfang det er muligt, bistå den dataansvarlige i overensstemmelse med punkt 9.1. og 9.2.

C.4. Opbevaringsperiode/sletningsprocedurer

Personoplysningerne opbevares så længe hovedaftalen varer, hvorefter personoplysningerne automatisk slettes af databehandleren.

Ved ophør af ydelsen af tjenester til behandling af personoplysninger skal databehandleren enten slette eller returnere personoplysningerne i overensstemmelse med punkt 11.1., medmindre den dataansvarlige – efter underskrivelsen af kontrakten – har ændret den dataansvarliges oprindelige valg. En sådan ændring skal dokumenteres og opbevares skriftligt, herunder elektronisk, i overensstemmelse med klausulerne.

C.5. Behandlingssted

Behandling af personoplysninger i henhold til klausulerne kan ikke foretages på andre steder end følgende, uden den dataansvarliges forudgående skriftlige tilladelse:

Søren Frichs vej 36M 2. sal, 8230 Åbyhøj

C.6. Instruktioner om overførsel af personoplysninger til tredjelande

Databehandleren må kun overføre til en underdatabehandler, der er etableret i et tredjeland, som er blevet aftalt via bilag B.

Hvis den dataansvarlige ikke i klausulerne eller efterfølgende giver dokumenterede instrukser vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af klausulerne at foretage en sådan overførsel.

C.7. Procedurer for den dataansvarliges revisioner, herunder inspektioner, af den behandling af personoplysninger, som foretages af databehandleren

Databehandleren skal hvert år for den dataansvarliges regning indhente en revisionsrapport/inspektionsrapport fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af GDPR, de gældende EU- eller medlemsstats databeskyttelsesbestemmelser og klausulerne.

Rapporten skal uden unødig forsinkelse forelægges den dataansvarlige til orientering. Den dataansvarlige kan påvirke rapportens omfang og/eller metodologi, og kan i sådanne tilfælde anmode om en ny revision/inspektion med et revideret omfang og/eller en anden metodologi.

På grundlag af resultaterne af en sådan revision/inspektion kan den dataansvarlige anmode om, at der træffes yderligere foranstaltninger for at sikre overholdelse af GDPR, de gældende EU- eller medlemsstats databeskyttelsesbestemmelser og klausulerne.

Den dataansvarlige, eller den dataansvarliges repræsentant, skal desuden have adgang til at inspicere, herunder fysisk inspicere, de steder, hvor databehandleren udfører behandlingen af personoplysninger, herunder fysiske faciliteter samt systemer, der anvendes til og er forbundet med behandlingen. En sådan inspektion skal foretages, når den dataansvarlige finder det nødvendigt.