Databehandling aftale

7.1. Instruktioner

(a) Databehandleren må kun behandle personoplysninger efter dokumenterede instruktioner fra den dataansvarlige, medmindre det er påkrævet i henhold til EU- eller medlemsstatslovgivningen, som databehandleren er underlagt. I dette tilfælde skal databehandleren informere den dataansvarlige om dette lovkrav inden behandlingen, medmindre loven forbyder dette af væsentlige hensyn til offentlighedens interesse. Efterfølgende instruktioner kan også gives af den dataansvarlige under hele behandlingen af personoplysninger. Disse instruktioner skal altid dokumenteres.

(b) Databehandleren skal straks underrette den dataansvarlige, hvis instrukser givet af den dataansvarlige efter databehandlerens opfattelse er i strid med forordning (EU) 2016/679 / forordning (EU) 2018/1725 eller gældende EU- eller medlemsstats databeskyttelsesbestemmelser.

7.2. Formålsbegrænsning

Databehandleren må kun behandle personoplysningerne til det eller de specifikke formål med behandlingen, som anført i bilag II, medmindre den modtager yderligere instruktioner fra den dataansvarlige .

7.3. Varighed af behandlingen af personoplysninger

Forarbejdningsvirksomheden må kun finde sted i den varighed, der er angivet i bilag II.

7.4. Sikkerhed ved behandling

(a) Databehandleren skal som minimum gennemføre de tekniske og organisatoriske foranstaltninger, der er specificeret i bilag III, for at sikre personoplysningernes sikkerhed. Dette omfatter beskyttelse af dataene mod et brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse eller adgang til dataene (persondatabrud). Ved vurderingen af det passende sikkerhedsniveau skal parterne tage behørigt hensyn til det aktuelle tekniske niveau, omkostningerne ved gennemførelsen, arten, omfanget, konteksten og formålene med behandlingen og de involverede risici for de registrerede.

(b) Databehandleren skal kun give adgang til de personoplysninger, der er under behandling, til medlemmer af sit personale i det omfang, det er strengt nødvendigt for at implementere, administrere og overvåge kontrakten. Databehandleren skal sikre, at personer, der er bemyndiget til at behandle de modtagne personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

7.5. Følsomme data

Hvis behandlingen involverer personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger eller fagforeningsmedlemskab, genetiske data eller biometriske data med det formål entydigt at identificere en fysisk person, skal data vedrørende helbred eller en persons seksualliv eller seksuelle orientering eller data vedrørende straffedomme og lovovertrædelser gælde”), begrænser de følsomme data og databehandleren (“beskytter og følsomme data).

7.6 Dokumentation og overholdelse

(a) Parterne skal kunne påvise overholdelse af disse klausuler.

(b) Databehandleren skal behandle forespørgsler fra den dataansvarlige om behandlingen af data i overensstemmelse med disse klausuler hurtigt og fyldestgørende.

(c) Databehandleren skal stille alle nødvendige oplysninger til rådighed for den dataansvarlige for at påvise overholdelse af de forpligtelser, der er fastsat i disse klausuler, og som stammer direkte fra forordning (EU) 2016/679 og/eller forordning (EU) 2018/1725. På den dataansvarliges anmodning skal databehandleren også tillade og bidrage til revision af de behandlingsaktiviteter, der er omfattet af disse paragraffer, med rimelige mellemrum, eller hvis der er indikationer på manglende overholdelse. Ved beslutningen om en gennemgang eller en revision kan den registeransvarlige tage hensyn til relevante certificeringer, som databehandleren har.

(d) Den registeransvarlige kan vælge at udføre revisionen alene eller bemyndige en uafhængig revisor. Audit kan også omfatte inspektioner i forarbejdningsvirksomhedens lokaler eller fysiske faciliteter og skal, hvor det er relevant, udføres med rimeligt varsel.

(e) Parterne skal efter anmodning stille de oplysninger, der er omhandlet i denne klausul, inklusive resultaterne af enhver revision, til rådighed for den eller de kompetente tilsynsmyndigheder.

7.7. Brug af underdatabehandlere

(a) Databehandleren har den dataansvarliges generelle tilladelse til at engagere underdatabehandlere fra en aftalt liste. Databehandleren skal specifikt skriftligt informere den dataansvarlige om eventuelle påtænkte ændringer af denne liste gennem tilføjelse eller udskiftning af underdatabehandlere mindst 3 uger i forvejen, og derved give den dataansvarlige tilstrækkelig tid til at være i stand til at gøre indsigelse mod sådanne ændringer forud for ansættelsen af den eller de pågældende underdatabehandlere. Databehandleren skal give den dataansvarlige de oplysninger, der er nødvendige for, at den dataansvarlige kan udøve retten til at gøre indsigelse.

(b) Når databehandleren ansætter en underdatabehandler til at udføre specifikke behandlingsaktiviteter (på vegne af den dataansvarlige), skal den gøre det i form af en kontrakt, som pålægger underdatabehandleren i det væsentlige de samme databeskyttelsesforpligtelser som dem, der pålægges databehandleren i overensstemmelse med disse klausuler. Databehandleren skal sikre, at underdatabehandleren overholder de forpligtelser, som databehandleren er underlagt i henhold til disse klausuler og forordning (EU) 2016/679 og/eller forordning (EU) 2018/1725.

(c) På den dataansvarliges anmodning skal databehandleren udlevere en kopi af en sådan underdatabehandleraftale og eventuelle efterfølgende ændringer til den dataansvarlige. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan databehandleren redigere aftaleteksten inden deling af kopien.

(d) Databehandleren forbliver fuldt ud ansvarlig over for den dataansvarlige for udførelsen af underdatabehandlerens forpligtelser i overensstemmelse med dennes kontrakt med databehandleren. Databehandleren skal underrette den dataansvarlige om underdatabehandlerens manglende opfyldelse af sine kontraktlige forpligtelser.

(e) Databehandleren skal aftale en tredjepartsbegunstiget klausul med underdatabehandleren, hvorved – i tilfælde af at databehandleren faktuelt er forsvundet, ophørt med at eksistere i loven eller er blevet insolvent – skal den dataansvarlige have ret til at opsige underdatabehandlerkontrakten og til at instruere underdatabehandleren om at slette eller returnere personoplysningerne.

7.8. Internationale overførsler

(a) Enhver overførsel af data til et tredjeland eller en international organisation fra databehandleren må kun ske på grundlag af dokumenterede instruktioner fra den dataansvarlige eller for at opfylde et specifikt krav i henhold til EU- eller medlemsstatslovgivningen, som databehandleren er underlagt og skal finde sted i overensstemmelse med kapitel V i forordning (EU) 2016/679 eller forordning (EU) 2018/1725.

(b) Den dataansvarlige accepterer, at hvor databehandleren engagerer en underdatabehandler i overensstemmelse med punkt 7.7. for at udføre specifikke behandlingsaktiviteter (på vegne af den dataansvarlige), og disse behandlingsaktiviteter indebærer en overførsel af personoplysninger i henhold til kapitel V i forordning (EU) 2016/679, kan databehandleren og underdatabehandleren sikre overholdelse af kapitel V i forordning (EU) 2016/679 ved at bruge standardkontraktklausuler vedtaget af Kommissionen i overensstemmelse med artikel 219 af forordning (EU) 2016/67(2) forudsat at betingelserne for brugen af disse standardkontraktklausuler er opfyldt .

(a) Databehandleren skal straks underrette den registeransvarlige om enhver anmodning, den har modtaget fra den registrerede. Den svarer ikke på selve anmodningen, medmindre den registeransvarlige har tilladelse hertil.

(b)

Databehandleren skal bistå den dataansvarlige med at opfylde sine forpligtelser til at reagere på de registreredes anmodninger om at udøve deres rettigheder under hensyntagen til behandlingens art . Ved opfyldelse af sine forpligtelser i henhold til (a) og (b), skal databehandleren overholde den dataansvarliges instruktioner

(c) Ud over databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til paragraf 8(b), skal databehandleren endvidere bistå databehandleren med at sikre overholdelse af følgende forpligtelser under hensyntagen til arten af databehandlingen og de oplysninger, som databehandleren har til rådighed:

    (1) forpligtelsen til at foretage en vurdering af de påtænkte behandlingers indvirkning på beskyttelsen af personoplysninger (en "databeskyttelseskonsekvensvurdering"), hvor en type behandling sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder

    (2) forpligtelsen til at konsultere den eller de kompetente tilsynsmyndigheder inden behandlingen, hvor en databeskyttelsesvurdering viser, at behandlingen vil resultere i en høj risiko, hvis den registeransvarlige ikke træffer foranstaltninger for at afbøde risikoen

    (3)

forpligtelsen til at sikre, at personoplysninger er nøjagtige og ajourførte, ved at informere den dataansvarlige uden forsinkelse, hvis databehandleren bliver opmærksom på, at de personoplysninger, den behandler, er unøjagtige eller er blevet forældede;

    (4) forpligtelserne i artikel 32 i forordning (EU) 2016/679

(d) Parterne skal i bilag III angive de passende tekniske og organisatoriske foranstaltninger, hvorved databehandleren er forpligtet til at bistå den registeransvarlige med anvendelsen af denne klausul, samt omfanget og omfanget af den nødvendige bistand.

I tilfælde af et brud på persondatasikkerheden skal databehandleren samarbejde med og bistå den dataansvarlige for at den dataansvarlige kan overholde sine forpligtelser i henhold til artikel 33 og 34 i forordning (EU) 2016/679 eller i henhold til artikel 34 og 35 i forordning (EU) 2018/1725, hvor det er relevant, under hensyntagen til behandlingens art og de oplysninger, der er tilgængelige for databehandleren.

9.1 Databrud vedrørende data behandlet af den dataansvarlige

I tilfælde af et brud på persondatasikkerheden vedrørende data, der behandles af den dataansvarlige, skal databehandleren bistå den dataansvarlige:

(a) ved at underrette den eller de kompetente tilsynsmyndigheder om bruddet på persondatasikkerheden uden unødig forsinkelse, efter at den dataansvarlige er blevet opmærksom på det, hvor det er relevant/(medmindre bruddet på persondatasikkerheden sandsynligvis ikke vil resultere i en risiko for fysiske personers rettigheder og friheder)

(b) ved indhentning af følgende oplysninger, som i henhold til artikel 33, stk. 3, forordning (EU) 2016/679 skal fremgå af den registeransvarliges meddelelse, og som mindst skal omfatte:

    (1) arten af personoplysningerne, herunder, hvor det er muligt, kategorierne og det omtrentlige antal af berørte registrerede og de pågældende kategorier og det omtrentlige antal af persondataregistre
    (2) de sandsynlige konsekvenser af bruddet på persondatasikkerheden;            (3) de foranstaltninger, der er truffet eller foreslået truffet af den registeransvarlige for at imødegå bruddet på persondatasikkerheden, herunder, hvor det er relevant, foranstaltninger til at afbøde dets mulige negative virkninger.

Hvor og i det omfang, det ikke er muligt at give alle disse oplysninger på samme tid, skal den første anmeldelse indeholde de oplysninger, der på det tidspunkt foreligger, og yderligere oplysninger skal, efterhånden som de bliver tilgængelige, efterfølgende gives uden unødig forsinkelse.

(c) ved i henhold til artikel 34 i forordning (EU) 2016/679 at overholde forpligtelsen til uden unødig forsinkelse at kommunikere bruddet på persondatasikkerheden til den registrerede, når bruddet på persondatasikkerheden sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder.

9.2 Databrud vedrørende data behandlet af databehandleren

I tilfælde af et brud på persondatasikkerheden vedrørende data, der behandles af databehandleren, skal databehandleren underrette den dataansvarlige uden unødig forsinkelse, efter at databehandleren er blevet bekendt med bruddet. En sådan meddelelse skal mindst indeholde:

(a) en beskrivelse af arten af bruddet (herunder, hvor det er muligt, kategorierne og det omtrentlige antal af berørte registrerede og dataregistre)

(b) oplysningerne om et kontaktpunkt, hvor flere oplysninger om bruddet på persondatasikkerheden kan fås

(c) dets sandsynlige konsekvenser og de foranstaltninger, der er truffet eller foreslås truffet for at imødegå bruddet, herunder for at afbøde dets mulige negative virkninger.

Hvor og i det omfang, det ikke er muligt at give alle disse oplysninger på samme tid, skal den første anmeldelse indeholde de oplysninger, der på det tidspunkt foreligger, og yderligere oplysninger skal, efterhånden som de bliver tilgængelige, efterfølgende gives uden unødig forsinkelse.

Parterne angiver i bilag III alle andre elementer, som databehandleren skal levere, når de bistår den dataansvarlige med at overholde den dataansvarliges forpligtelser i henhold til artikel 33 og 34 i forordning (EU) 2016/679.