Rul til toppen

© Data & More Aps 2025, alle rettigheder forbeholdes | Flaesketorvet 68, 1711 Kbh V, Danmark. CVR-nr: 38185659 | Impressum | Privatlivspolitik
Søgning
BEGYND AT SKRIVE, OG TRYK PÅ ENTER FOR AT SØGE

Aftale om databehandling

Aftale om databehandling

For individuelle klienter

Standardkontraktbestemmelser

Med henblik på artikel 28, stk. 3, i forordning 2016/679 (GDPR) 

Mellem brugeren (den dataansvarlige)

VIRKSOMHED
NAVN
TIME STAMP
BRUGER-IP
EMAIL

og

Data & More ApS
Flæsketorvet 68
DK-1711 København V
CVR-nr.: 38185659 (databehandleren)

hver især en "part"; sammen "parterne

Er blevet enige om følgende kontraktbestemmelser (bestemmelserne) for at opfylde kravene i GDPR og for at sikre beskyttelsen af den registreredes rettigheder.

Indholdsfortegnelse

  1. Præambel 3
  2. Den dataansvarliges rettigheder og forpligtelser 3
  3. Databehandleren handler i henhold til instruktioner 3
  4. Fortrolighed 4
  5. Sikkerhed i behandlingen 4
  6. Brug af underdatabehandlere 5
  7. Overførsel af data til tredjelande eller internationale organisationer 6
  8. Hjælp til den dataansvarlige 6
  9. Anmeldelse af brud på persondatasikkerheden 7
  10. Sletning og tilbagelevering af data 8
  11. Revision og inspektion 8
  12. Parternes aftale om andre vilkår 8
  13. Påbegyndelse og ophør 8
  14. Kontaktpersoner/kontaktpunkter for den dataansvarlige og databehandleren 9

Bilag A Information om behandlingen 10

  1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er: 10
  2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige skal hovedsageligt vedrøre (behandlingens art): 10
  3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede: 11
  4. Behandlingen omfatter følgende kategorier af registrerede 11
  5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan udføres, når Bestemmelserne træder i kraft. Behandlingen har følgende varighed: 11

Bilag B Autoriserede underdatabehandlere 13

  1. Godkendte underdatabehandlere 13

Bilag C Instruktion vedrørende brug af personoplysninger 14

  1. Emnet for/instruktionen til behandlingen 14
  2. Sikkerhed i behandlingen 14

Organisatorisk sikkerhed 14

Fysisk sikkerhed 14

Teknisk sikkerhed: Adgang til og beskyttelse af it-systemer 15

Teknisk sikkerhed: Adgang til personlige data 15

Teknisk sikkerhed: Kryptering 16

Teknisk sikkerhed: Beskyttelse af persondata under overførsel 16

Teknisk sikkerhed: Tilgængelighed og robusthed 16

  1. Hjælp til controlleren 16
  2. Opbevaringsperiode/sletningsprocedurer 17
  3. Sted for behandling 17
  4. Instruktion om overførsel af personoplysninger til tredjelande 17
  5. Procedurer for den dataansvarliges revisioner, herunder inspektioner, af databehandlerens behandling af personoplysninger 17
  6. Procedurer for revisioner, herunder inspektioner, af behandlingen af personoplysninger, der udføres af underdatabehandlere. 18
  7. Bilag D Parternes aftalevilkår om andre emner 20
  8. Andre spørgsmål 20
  9. Databehandleraftalen regulerer ikke andre forhold. 20

  • Præambel

 

  1. Disse kontraktbestemmelser (bestemmelserne) fastsætter den dataansvarliges og databehandlerens rettigheder og forpligtelser, når de behandler personoplysninger på vegne af den dataansvarlige.

 

  1. Bestemmelserne er udformet med henblik på at sikre parternes compliance af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

 

  1. I forbindelse med levering af Data & More Compliance Server vil databehandleren behandle personoplysninger på vegne af den dataansvarlige i overensstemmelse med bestemmelserne.

 

  1. Bestemmelserne har forrang for eventuelle lignende bestemmelser i andre aftaler mellem parterne.

 

  1. Fire bilag er knyttet til klausulerne og udgør en integreret del af klausulerne.

 

  1. Bilag A indeholder oplysninger om behandlingen af personoplysninger, herunder formålet med og arten af behandlingen, typen af personoplysninger, kategorier af registrerede og behandlingens varighed.

 

  1. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste over underdatabehandlere, der er godkendt af den dataansvarlige.

 

  1. Bilag C indeholder den dataansvarliges instruktioner med hensyn til behandling af personoplysninger, de minimumssikkerhedsforanstaltninger, som databehandleren skal gennemføre, og hvordan revisioner af databehandleren og eventuelle underdatabehandlere skal udføres.

 

  1. Bilag D indeholder bestemmelser om andre aktiviteter, som ikke er omfattet af klausulerne. 

 

  1. Bestemmelserne med bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.

 

  1. Bestemmelserne fritager ikke databehandleren for forpligtelser, som databehandleren er underlagt i henhold til den generelle databeskyttelsesforordning (GDPR) eller anden lovgivning.

  • Den dataansvarliges rettigheder og forpligtelser

 

  1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger finder sted i compliance GDPR (se artikel 24 i GDPR), de gældende EU- eller medlemsstatsbestemmelser om databeskyttelse og bestemmelserne. databeskyttelsesbestemmelser og Bestemmelserne.

 

  1. Den dataansvarlige har ret og pligt til at træffe beslutninger om formålene med og midlerne til behandling af personoplysninger.

 

  1. Den dataansvarlige er bl.a. ansvarlig for at sikre, at den behandling af personoplysninger, som databehandleren er instrueret om at udføre, har et retsgrundlag. 

  • Databehandleren handler i henhold til instruktioner

 

  1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre dette kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt. Sådanne instrukser skal specificeres i bilag A og C. Efterfølgende instrukser kan også gives af den dataansvarlige i løbet af behandlingen af personoplysninger, men sådanne instrukser skal altid dokumenteres og opbevares skriftligt, herunder elektronisk, i forbindelse med Bestemmelserne. 

 

  1. Databehandleren skal straks underrette den dataansvarlige, hvis instrukser fra den dataansvarlige efter databehandlerens opfattelse er i strid med GDPR eller de gældende databeskyttelsesbestemmelser i EU eller medlemsstaterne.

 

  1. Endvidere skal databehandleren bistå den dataansvarlige med at sikre compliance af den dataansvarliges forpligtelser i henhold til GDPR, artikel 32, ved bl.a. at give den dataansvarlige oplysninger om de tekniske og organisatoriske foranstaltninger, der allerede er implementeret af databehandleren i henhold til GDPR, artikel 32, sammen med alle andre oplysninger, der er nødvendige for, at den dataansvarlige kan overholde den dataansvarliges forpligtelse i henhold til GDPR, artikel 32.
  2. Hvis efterfølgende - efter den dataansvarliges vurdering - afhjælpning af de identificerede risici kræver yderligere foranstaltninger, der skal implementeres af databehandleren, end dem, der allerede er implementeret af databehandleren i henhold til GDPR, artikel 32, skal den dataansvarlige angive disse yderligere foranstaltninger, der skal implementeres, i bilag C.

  • Fortrolighed

 

  1. Databehandleren giver kun adgang til de personoplysninger, der behandles på vegne af den dataansvarlige, til personer under databehandlerens myndighed, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt fortrolighedsforpligtelse, og kun på grundlag af et behov for at vide. Listen over personer, der har fået adgang, skal revideres med jævne mellemrum. På grundlag af denne gennemgang kan en sådan adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysningerne vil følgelig ikke længere være tilgængelige for disse personer.

 

  1. Databehandleren skal efter anmodning fra den dataansvarlige påvise, at de berørte personer under databehandlerens myndighed er underlagt ovennævnte fortrolighed.

  • Sikkerhed i behandlingen 

 

  1. I henhold til artikel 32 i GDPR skal den dataansvarlige og databehandleren under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål samt risikoen af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen.

 

Den dataansvarlige skal evaluere de risici for fysiske personers rettigheder og frihedsrettigheder, der er forbundet med behandlingen, og gennemføre foranstaltninger for at begrænse disse risici. Afhængigt af deres relevans kan foranstaltningerne omfatte følgende:

  1. Pseudonymisering og kryptering af persondata;

 

  1. evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester;

 

  1. evnen til at genoprette tilgængeligheden af og adgangen til personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse;

 

  1. en proces til regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.

 

  1. I henhold til artikel 32 i GDPR skal databehandleren også - uafhængigt af den dataansvarlige - evaluere de risici for fysiske personers rettigheder og frihedsrettigheder, der er forbundet med behandlingen, og gennemføre foranstaltninger for at begrænse disse risici. Med henblik herpå skal den dataansvarlige give databehandleren alle de oplysninger, der er nødvendige for at identificere og evaluere sådanne risici.

 

  1. Endvidere skal databehandleren bistå den dataansvarlige med at sikre compliance af den dataansvarliges forpligtelser i henhold til artikel 32 i GDPR ved at blandt andet at give den dataansvarlige oplysninger om de tekniske og organisatoriske foranstaltninger, som databehandleren allerede har gennemført i henhold til artikel 32 i GDPR, samt alle andre oplysninger, der er nødvendige for, at den dataansvarlige kan opfylde sin forpligtelse i henhold til artikel 32 i GDPR.

 

Hvis den dataansvarlige efterfølgende vurderer, at afhjælpning af de identificerede risici kræver, at databehandleren gennemfører yderligere foranstaltninger end dem, der allerede er gennemført af databehandleren i henhold til artikel 32 i GDPR, skal den dataansvarlige angive disse yderligere foranstaltninger, der skal gennemføres, i tillæg C.

  • Brug af underdatabehandlere

 

  1. Databehandleren skal opfylde kravene i artikel 28, stk. 2 og 4, i GDPR for at kunne ansætte en anden databehandler (en underdatabehandler).

 

  1. Databehandleren må derfor ikke engagere en anden databehandler (underdatabehandler) til opfyldelse af Bestemmelserne uden forudgående specifik skriftlig tilladelse fra den dataansvarlige.

 

  1. Databehandleren må kun ansætte underdatabehandlere efter forudgående specifik godkendelse fra den dataansvarlige. Databehandleren skal indsende anmodningen om specifik godkendelse mindst 30 dage før ansættelsen af den pågældende underdatabehandler. Listen over underdatabehandlere, der allerede er godkendt af den dataansvarlige, findes i tillæg B.

 

  1. Hvis databehandleren ansætter en underdatabehandler til at udføre specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges denne underdatabehandler de samme databeskyttelsesforpligtelser som fastsat i standardbestemmelserne ved hjælp af en kontrakt eller anden retsakt i henhold til EU-retten eller medlemsstaternes nationale ret, navnlig ved at give tilstrækkelige garantier for at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen vil opfylde kravene i standardbestemmelserne og GDPR.

 

Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder de forpligtelser, som databehandleren er underlagt i henhold til Bestemmelserne og GDPR.

 

  1. En kopi af en sådan underdatabehandleraftale og efterfølgende ændringer skal - på den dataansvarliges anmodning - forelægges den dataansvarlige, hvorved den dataansvarlige får mulighed for at sikre, at underdatabehandleren pålægges de samme databeskyttelsesforpligtelser som dem, der er fastsat i standardbestemmelserne. Bestemmelser om forretningsrelaterede spørgsmål, der ikke påvirker det juridiske databeskyttelsesindhold i underdatabehandleraftalen, kræver ikke forelæggelse for den dataansvarlige.  

 

  1. Databehandleren skal aftale en klausul om tredjepartsbegunstigelse med underdatabehandleren, hvorved den dataansvarlige - i tilfælde af at databehandleren faktisk er forsvundet, er ophørt med at eksistere juridisk eller er blevet insolvent - har ret til at opsige kontrakten med underdatabehandleren og til at instruere underdatabehandleren om at slette eller tilbagelevere personoplysningerne.

 

  1. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ud ansvarlig over for den dataansvarlige for så vidt angår opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder i henhold til GDPR - navnlig dem, der er fastsat i artikel 79 og 82 i GDPR - over for den dataansvarlige og databehandleren, herunder underdatabehandleren.

  • Overførsel af data til tredjelande eller internationale organisationer

 

  1. Databehandlerens eventuelle overførsel af personoplysninger til tredjelande eller internationale organisationer må kun ske på grundlag af dokumenterede instruktioner fra den dataansvarlige og skal altid ske i compliance kapitel V i GDPR. 

 

  1. Hvis overførsler til tredjelande eller internationale organisationer, som databehandleren ikke er blevet bedt om at udføre af den dataansvarlige, er påkrævet i henhold til EU- eller medlemsstatslovgivning, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette lovkrav forud for behandlingen, medmindre denne lovgivning forbyder en sådan underretning af vigtige hensyn til den offentlige interesse.

 

  1. Uden dokumenterede instruktioner fra den dataansvarlige kan databehandleren derfor ikke arbejde inden for rammerne af Bestemmelserne:

 

  1. overføre personoplysninger til en dataansvarlig eller en databehandler i et tredjeland eller i en international organisation

 

  1. overføre behandlingen af personoplysninger til en underdatabehandler i et tredjeland 

 

  1. få personoplysningerne behandlet af databehandleren i et tredjeland

 

  1. Den dataansvarliges instrukser vedrørende overførsel af personoplysninger til et tredjeland, herunder, hvis det er relevant, det overførselsværktøj i henhold til kapitel V i GDPR, som de er baseret på, skal fremgå af tillæg C.6.

 

  1. Bestemmelserne må ikke forveksles med standardbestemmelser om databeskyttelse i henhold til artikel 46, stk. 2, litra c) og d), i GDPR, og parterne kan ikke påberåbe sig Bestemmelserne som et overførselsværktøj i henhold til kapitel V i GDPR.

  • Hjælp til den dataansvarlige

 

  1. Under hensyntagen til behandlingens karakter bistår databehandleren den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, i det omfang det er muligt, med opfyldelsen af den dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af den registreredes rettigheder som fastsat i kapitel III i GDPR.


Dette indebærer, at databehandleren, i det omfang det er muligt, skal bistå den dataansvarlige i dennes compliance af udøvelsen af følgende registreredes rettigheder:

 

  1. retten til at blive informeret, når der indsamles personoplysninger fra den registrerede
  2. retten til at blive informeret, når personoplysninger ikke er blevet indhentet fra den registrerede
  3. den registreredes ret til indsigt
  4. Retten til berigtigelse
  5. retten til sletning ('retten til at blive glemt')
  6. retten til begrænsning af behandling
  7. underretningspligt vedrørende berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
  8. retten til dataportabilitet
  9. Retten til at gøre indsigelse 
  10. retten til ikke at være genstand for en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering

 

  1. Ud over databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til punkt 8.1. skal databehandleren endvidere under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, bistå den dataansvarlige med at sikre compliance af:

 

  1. Den dataansvarliges forpligtelse til uden unødig forsinkelse og, hvor det er muligt, senest 72 timer efter at være blevet bekendt med det, at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, Det kompetente nationale datatilsyn skal underrettes - i Danmark Datatilsynet - medmindre det er usandsynligt, at bruddet på persondatasikkerheden vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder.

 

  1. den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om bruddet på persondatasikkerheden, når bruddet på persondatasikkerheden sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder;

 

  1. den dataansvarliges forpligtelse til at foretage en vurdering af de påtænkte behandlingsaktiviteters indvirkning på beskyttelsen af personoplysninger (en konsekvensanalyse vedrørende databeskyttelse);

 

  1. den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Det kompetente nationale datatilsyn skal underrettes - i Danmark Datatilsynet - forud for behandling, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil medføre en høj risiko, hvis den dataansvarlige ikke træffer foranstaltninger til at begrænse risikoen.

 

  1. Parterne definerer i tillæg C de passende tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige, samt omfanget og rækkevidden af den krævede bistand. Dette gælder for de forpligtelser, der er fastsat i punkt 9.1 og 9.2.

 

  • Anmeldelse af brud på persondatasikkerheden

 

  1. I tilfælde af brud på persondatasikkerheden skal databehandleren uden unødig forsinkelse efter at være blevet opmærksom på det underrette den dataansvarlige om bruddet på persondatasikkerheden.

 

  1. Databehandlerens anmeldelse til den dataansvarlige skal så vidt muligt ske senest 24 dage efter, at databehandleren er blevet bekendt med bruddet på persondatasikkerheden, således at den dataansvarlige kan opfylde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.

 

  1. I henhold til standardbestemmelse 9, stk. 2, skal databehandleren bistå den dataansvarlige med at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, hvilket betyder, at databehandleren skal bistå med at indhente nedenstående oplysninger, som i henhold til artikel 33, stk. 3, i GDPR skal anføres i den dataansvarliges anmeldelse til den kompetente tilsynsmyndighed:  

 

  1. Personoplysningernes art, herunder om muligt kategorierne og det omtrentlige antal berørte registrerede og kategorierne og det omtrentlige antal berørte personoplysninger; 

 

  1. de sandsynlige konsekvenser af bruddet på persondatasikkerheden;

 

  1. de foranstaltninger, som den dataansvarlige har truffet eller foreslår at træffe for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger til at afbøde dets mulige negative virkninger. 

 

  1. Parterne skal i tillæg C definere alle de elementer, som databehandleren skal levere, når han bistår den dataansvarlige med at anmelde et brud på persondatasikkerheden til den kompetente tilsynsmyndighed.

 

  • Sletning og tilbagelevering af data

 

  1. Ved ophør af levering af persondatabehandlingstjenester er databehandleren forpligtet til at at slette alle personoplysninger, der er behandlet på vegne af den dataansvarlige, og bekræfte over for den dataansvarlige, at dette er sket.

 

  • Revision og inspektion

 

  1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise compliance af forpligtelserne i artikel 28 og standardbestemmelserne, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller en anden revisor, der er bemyndiget af den dataansvarlige.

 

  1. Procedurer for den dataansvarliges revisioner, herunder inspektioner, af databehandleren og underdatabehandlere er specificeret i bilag C.7. og C.8.    

 

  1. Databehandleren skal give de tilsynsmyndigheder, der i henhold til gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der handler på vegne af sådanne tilsynsmyndigheder, adgang til databehandlerens fysiske faciliteter mod fremvisning af passende identifikation og i overensstemmelse med Unionens eller medlemsstaternes procesret. 

  • Parternes aftale om andre vilkår 

 

  1. Parterne kan aftale andre bestemmelser vedrørende levering af persondatabehandlingstjenesten, der f.eks. specificerer ansvar, så længe de ikke direkte eller indirekte er i modstrid med Bestemmelserne eller skader den registreredes grundlæggende rettigheder eller friheder og den beskyttelse, der ydes af GDPR.

  • Påbegyndelse og afslutning

 

  1. Bestemmelserne træder i kraft på datoen for begge parters underskrift.

 

  1. Begge parter er berettiget til at kræve Klausulerne genforhandlet, såfremt lovændringer eller Klausulernes uhensigtsmæssighed skulle give anledning til en sådan genforhandling. 

 

  1. Bestemmelserne gælder, så længe der leveres tjenester til behandling af personoplysninger. Så længe der leveres tjenester til behandling af personoplysninger, kan Bestemmelserne ikke opsiges, medmindre parterne har aftalt andre Bestemmelser for levering af tjenester til behandling af personoplysninger.

 

  • Hvis leveringen af persondatabehandlingstjenester ophører, og personoplysningerne slettes eller returneres til den dataansvarlige i henhold til punkt 11.1. og bilag C.4., kan punkterne opsiges ved skriftlig meddelelse fra begge parter.


  • Underskrift

 

På vegne af databehandleren

 

Navn: Kristian Boe Helweg Hansen

Titel: Customer Success & Compliance Manager

Mobil: +45 +45 60843418

E-mail: kbhh@dataandmore.com

 

Signature Date: {{rawTimestamp}}

 

På vegne af brugeren (den dataansvarlige)

 

VIRKSOMHED

NAVN

TIME STAMP
BRUGER-IP
EMAIL

  • Kontaktpersoner/kontaktpunkter for den dataansvarlige og databehandleren

 

  1. Parterne kan kontakte hinanden ved hjælp af følgende kontaktpersoner/kontaktpunkter:

 

  1. Parterne er forpligtet til løbende at informere hinanden om ændringer i kontaktpersoner/kontaktpunkter.

 

Navn: Kristian Boe Helweg Hansen

Titel: Customer Success & Compliance Manager

Mobil: +45 +45 60843418

E-mail: kbhh@dataandmore.com

 

Kontakt os for support i tekniske sager: 

 

E-mail: support@dataandmore.com

 

Bilag A Information om behandlingen

 

  1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er:

    1. Følgende formål ligger til grund for databehandlerens behandling af personoplysninger på vegne af den dataansvarlige: Behandlingen af personoplysninger udføres for at rydde op og hjælpe med at få et visuelt overblik over data, der indeholder personlige identificerbare oplysninger (PII-data), der er unødvendige eller forældede med det formål at slette dataene. Databehandleren yder support og vedligeholdelse og servicering af Data & More Compliance Server, der er placeret på Data & More anlæg. 
      1. Derudover udføres behandlingen af personoplysninger med henblik på at opfylde følgende formål: Databehandleren leverer konsulenttjenester til at understøtte vedligeholdelse og servicering af Data & More Compliance Server, der er placeret på Data & More eller den Data & More anlæg. 

  2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige skal hovedsageligt vedrøre (behandlingens art):

 

  1. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige skal hovedsageligt vedrøre (behandlingens art): Indhentning og strukturering af forskellige kategorier af følsomme personoplysninger, der er indsamlet i forbindelse med levering af tjenesten. En sådan hentning skal foretages i overensstemmelse med den dataansvarliges instruktioner og vil overvejende vedrøre ustrukturerede datasæt, herunder men ikke begrænset til e-mailkonti, fildelingsdrev eller tilsvarende systemer. 
  2. Når databehandleren leverer konsulenttjenester, omfatter behandlingen af personoplysninger typisk begrænsede og specifikke aktiviteter, der er nødvendige for at opfylde de kontraktlige forpligtelser, der er aftalt med den dataansvarlige. Disse aktiviteter kan omfatte: Databehandleren yder support og vedligeholdelse og servicering af Data & More Compliance Server, der er placeret på Data & More anlæg. 
  3. Adgang til data efter behov: Databehandleren kan få adgang til personoplysninger for at analysere, diagnosticere eller løse problemer i forbindelse med de systemer eller tjenester, de vedligeholder eller forbedrer, altid efter den dataansvarliges anvisninger. 
  4. Udførelse af teknisk support: Konsulenttjenester kan kræve, at databehandleren interagerer med systemer, der lagrer eller behandler personoplysninger, for at give vejledning, implementere ændringer eller sikre funktionalitet. Denne behandling er begrænset til, hvad der er strengt nødvendigt for at levere tjenesten. 
  5. Compliance af instruktioner: Databehandlerens rolle er udelukkende at handle efter den dataansvarliges dokumenterede instrukser. Databehandleren bestemmer ikke formålet med eller midlerne til behandling, men sikrer, at de leverede tjenester er i overensstemmelse med den dataansvarliges instruktioner og i henhold til denne aftale. 
  6. Implementering af sikkerhedsforanstaltninger: Personlige data, der håndteres under konsulenttjenester, behandles sikkert med foranstaltninger på plads for at beskytte deres fortrolighed, integritet og tilgængelighed. Dette omfatter sikker adgangskontrol, kryptering og andre tekniske og organisatoriske foranstaltninger som krævet af GDPR og af bestemmelserne i denne aftale. 
  7. Midlertidig datainteraktion: Behandling kan være midlertidig eller tilfældig, f.eks. under fejlfinding eller konfigurationsopgaver. Databehandleren sikrer, at ingen data opbevares ud over tjenestens omfang, medmindre det udtrykkeligt er aftalt med den dataansvarlige. 
  8. Samlet set omfatter databehandlerens konsulenttjenester strengt nødvendig og kontrolleret behandling af personoplysninger for at opfylde de mål, der er defineret af den dataansvarlige, i fuld compliance med GDPR-principper og kontraktlige aftaler. 

  1. Behandlingen omfatter følgende typer af personoplysninger om de registrerede:

    1. adresse, bankoplysninger (kortoplysninger eller kontooplysninger), fakturerings- og regnskabsdokumenter, fødselsdato, e-mail, oplysninger om brugernes anvendte enhed, IP-adresse, navn, adgangskode til et eller flere systemer, telefonnummer, socialsikringsnummer, brugernavn til et eller flere systemer, forskellige personoplysninger på kundernes systemer, som der gives adgang til, forskellige personoplysninger, der leveres eller registreres af kunden eller kundens kunder uden organisationens aktive behandling og identifikation heraf, forskellige personoplysninger, der registreres i forbindelse med levering af tjenesten og ikke kan defineres præcist
    2. CPR-nummer, fødselsdato, bankoplysninger (kortoplysninger eller kontooplysninger), fakturerings- og regnskabsdokumenter, adgangskode til et eller flere systemer, brugernavn til et eller flere systemer, e-mail, adresse, telefonnummer, navn, IP-adresse, oplysninger om brugernes anvendte enhed, forskellige personoplysninger, der leveres eller registreres af kunden eller kundens kunder uden organisationens aktive behandling og identifikation heraf, forskellige personoplysninger på kundernes systemer, som der gives adgang til, forskellige personoplysninger, der registreres i forbindelse med levering af tjenesten, og som ikke kan defineres præcist. 
    3. Forskellige personfølsomme data, der registreres i forbindelse med levering af tjenesten, og som ikke kan defineres præcist. Forskellige personlige data relateret til løn og betaling, som registreres i forbindelse med levering af tjenesten og ikke kan defineres præcist.

  2. Behandlingen omfatter følgende kategorier af registrerede

    1. Nuværende medarbejdere, tidligere medarbejdere, ansøgere eller potentielle emner til rekruttering og ansættelse, kunder, der er forbrugere eller enkeltmandsvirksomheder, kunders medarbejdere og partnere.
    2. (når kunderne er virksomheder), kundernes kunder og deres medarbejdere (f.eks. til CRM-leverandører), leverandører, der er personer eller enkeltmandsvirksomheder, leverandørernes medarbejdere (når leverandørerne er virksomheder), tilknyttede virksomheder, der er personer eller enkeltmandsvirksomheder, tilknyttede virksomheders medarbejdere (når de tilknyttede virksomheder er virksomheder), forskellige kategorier, der ikke kan identificeres på forhånd.

  3. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan udføres, når Bestemmelserne træder i kraft. Behandlingen har følgende varighed:

    1. Behandlingen af personoplysninger sker, indtil Databehandlerens ydelser er ophørt, hvorefter personoplysningerne slettes i henhold til punkt 10.1. Databehandlerens behandling af personoplysninger finder sted, så længe den/de underliggende kommercielle aftale(r) består.

Bilag B Autoriserede underdatabehandlere

  1. Godkendte underdatabehandlere

 

1.1 Når klausulerne træder i kraft, giver den dataansvarlige tilladelse til, at følgende underdatabehandlere inddrages:

Hetzner Online GmbH

DE812871812 Industriestr. 25,

91710 Gunzenhausen,

Tyskland

Back up / Hosting center Er server hosting partner for Data & More ApS

 

1.2 Den dataansvarlige skal ved påbegyndelsen af Bestemmelserne godkende brugen af ovennævnte underdatabehandlere til den behandling, der er beskrevet for den pågældende part. Databehandleren er ikke berettiget til - uden den dataansvarliges udtrykkelige skriftlige tilladelse - at anvende en underdatabehandler til en "anden" behandling end den, der er aftalt, eller at lade en anden underdatabehandler udføre den beskrevne behandling.

Bilag C Instruktion vedrørende brug af persondata

 

  • Emnet for/instruktionen til behandlingen

 

  1. Databehandleren behandler personoplysninger som konsulent på vegne af den dataansvarlige for at lette den dataansvarliges brug af IT-systemet Data & More Compliance Server, som administreres af databehandleren. I henhold til denne databehandleraftale er databehandleren autoriseret til at få adgang til Data & More Compliance Server for at udføre vedligeholdelses-, konfigurations- og kvalitetssikringsopgaver (QA), der kan kræve behandling af personoplysninger relateret til den dataansvarliges medarbejdere, kunder og partnere, udelukkende med det formål at udføre disse opgaver.

 

  • Sikkerhed i behandlingen

 

  1. Sikkerhedsniveauet skal tage hensyn til:
  1. Under hensyntagen til behandlingsaktivitetens art, omfang, sammenhæng og formål samt risikoen for fysiske personers rettigheder og frihedsrettigheder skal databehandleren implementere et passende sikkerhedsniveau.
  2. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om de tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) datasikkerhedsniveau.
  3. Databehandleren skal dog - under alle omstændigheder og som minimum - gennemføre følgende foranstaltninger, der er aftalt med den dataansvarlige:

 

Organisatorisk sikkerhed 

Databehandleren skal implementere følgende organisatoriske sikkerhedsforanstaltninger: 

  1. Alle medarbejdere hos databehandleren er underlagt tavshedspligt, der gælder for al behandling af personoplysninger. 
  2. Medarbejdere med adgang til følsomme persondata eller kritiske IT-systemer er blevet sikkerhedsgodkendt, før de blev ansat. 
  3. Medarbejdernes adgang til persondata er begrænset, så kun de relevante medarbejdere har adgang til de nødvendige persondata. 
  4. De medarbejdere hos databehandleren, der har adgang til "følsomme" personlige oplysninger eller kritiske IT-systemer, har gennemgået en sikkerhedsgodkendelse, før de blev ansat. 
  5. Den behandling af personoplysninger, der foretages af databehandlerens medarbejdere, logges og kan kontrolleres efter behov. 
  6. Processoren har en IT-sikkerhedspolitik. 
  7. Databehandleren har dokumenterbare procesbeskrivelser for brud på persondatasikkerheden, som gennemgås mindst en gang om året. 
  8. Databehandleren har etableret procedurer, der sikrer korrekt sletning eller fortsat fortrolighed, når hardwaren repareres, serviceres eller bortskaffes. i) Databehandleren har mulighed for at reagere på medarbejderes brud på databehandlerens datasikkerhed eller brud på instrukser om behandling af personoplysninger i henhold til ansættelsesretlige regler. 
  9. Databehandlerens medarbejdere dokumenterer og rapporterer regelmæssigt brud på persondatasikkerheden eller risici herfor. 

 

Fysisk sikkerhed

Databehandleren skal implementere følgende fysiske sikkerhedsforanstaltninger:

  1. Behandlerens kontor kan aflåses.
  2. Processoren bruger alarmsystemer til at opdage og forhindre indbrud.
  3. Processoren bruger brandalarmer og røgdetektorer til at opdage og forebygge brande.
  4. Processoren har testet beredskabs- og evakueringsplanen for nødsituationer.
  5. Processorens enheder (herunder pc'er, servere osv.) er sikret bag låste døre.
  6. Behandleren og besøgende osv. identificeres ved hjælp af identifikationskort.
  7. Databehandlerens lokaler og faciliteter eller adgangsveje er underlagt video- eller billedovervågning.
  8. Processoren bruger en verifikationsproces eller et verifikationssystem til at kontrollere de besøgendes identitet.
  9. Databehandleren bruger nøglehåndtering, dvs. giver nøgler til de relevante og nødvendige medarbejdere osv.
  10. Receptionen er bemandet 24/7, eller der er et vagtselskab uden for kontortid.
  11. Processorens bygning(er) er opdelt i adgangszoner, hvorefter der kræves adgangskort for at få adgang til zonerne.
  12. Der føres protokol over processorens besøgende.
  13. Forarbejdningsvirksomhedens medarbejdere skal bære identitetskort.

Sikkerhedsniveauet skal tage hensyn til det store omfang af personoplysninger, der behandles.

samt den høje fortrolighed af de behandlede oplysninger og kræver derfor et højt sikkerhedsniveau.

Teknisk sikkerhed: Adgang til og beskyttelse af it-systemer

Databehandleren skal implementere følgende tekniske sikkerhedsforanstaltninger vedrørende adgang til og beskyttelse af it-systemer:

  1. Processoren bruger logisk adgangskontrol med brugernavn og adgangskode eller anden unik autorisation.
  2. Processoren bruger antivirusprogrammer, der opdateres regelmæssigt.
  3. Processoren logger og kontrollerer uautoriserede eller gentagne mislykkede loginforsøg.
  4. Processoren kræver, at medarbejderne bruger individuelle adgangskoder.
  5. Processorens computere har automatisk adgangsbeskyttelse under inaktivitet, dvs.

låst pauseskærm.

  1. Processoren har politikker for sammensætning af adgangskoder, herunder minimumskrav.
  2. Der er procedurer for tilbagekaldelse af tilladelser, når en medarbejder stopper eller skifter afdeling.
  3. Der er procedurer for tildeling af autorisationer til IT-systemer ved ansættelse af nye medarbejdere.

Sikkerhedsniveauet skal tage højde for det store omfang af personoplysninger, der behandles, samt den høje fortrolighed af de behandlede oplysninger og kræver derfor et højt sikkerhedsniveau.

Teknisk sikkerhed: Adgang til personlige data

Databehandleren skal implementere følgende tekniske sikkerhedsforanstaltninger vedrørende adgang til personoplysninger:

  1. Processoren gennemgår regelmæssigt systemkontroller.
  2. Databehandleren giver enkeltpersoner eller grupper af brugere tilladelse til at få adgang til, ændre og slette behandlede personoplysninger.
  3. Processoren har procedure(r) til at gendanne data fra backup.
  4. Processoren gennemgår og kontrollerer regelmæssigt brugerautorisationer til specifikke systemer.
  5. Processoren logger og kontrollerer uautoriserede eller gentagne mislykkede forsøg på at slette data.
  6. Processoren logger og kontrollerer uautoriserede eller gentagne mislykkede forsøg på at få adgang til data.
  7. Databehandleren kan spore individuelle brugeres adgang til, ændring af og sletning af data.

Sikkerhedsniveauet skal tage højde for det store omfang af personoplysninger, der behandles, samt den høje fortrolighed af de behandlede oplysninger og kræver derfor et højt sikkerhedsniveau.

Teknisk sikkerhed: Kryptering

Databehandleren skal implementere følgende tekniske sikkerhedsforanstaltninger vedrørende kryptering:

  1. Adgangskoder, der er gemt på processorens computere osv. er krypterede.
  2. Indhold på eksterne harddiske og USB-nøgler osv. krypteres, når sådanne medier indeholder personlige eller følsomme personlige oplysninger.
  3. Netværket er krypteret.
  4. Processorens computere har krypterede harddiske.
  5. Databehandleren krypterer personoplysninger i systemer og/eller på enheder.
  6. Databehandleren krypterer følsomme persondata i systemer og/eller på enheder.
  7. Databehandlerens websteder og webformularer bruger SSL-certifikater / HTTPS (Hyper Text Transfer Protocol Secure).

Se yderligere dokument om DAM's sikkerhedspolitik for netværk.

Teknisk sikkerhed: Beskyttelse af persondata under overførsel

Databehandleren skal implementere følgende tekniske sikkerhedsforanstaltninger vedrørende beskyttelse af personoplysninger under overførsel:

  1. Processoren bruger og har retningslinjer for sikker e-mail.
  2. Udgående e-mails med følsomme persondata eller oplysninger om rent private forhold krypteres.
  3. Processoren har retningslinjer for brug af arbejdsmails, herunder brug til privat brug, passende brug, kryptering, sikker brug osv.

Teknisk sikkerhed: Tilgængelighed og robusthed

Databehandleren skal implementere følgende tekniske sikkerhedsforanstaltninger vedrørende tilgængelighed og robusthed:

  1. Tilgængeligheden og robustheden af databehandlerens systemer og servere sikres af en tredjepart, som databehandleren har en aftale med.
  2. Kun autoriserede medarbejdere har adgang til processorens egne servere.
  3. Serverrummene har røgalarmer og brandslukkere.
  4. Serverrummet har aircondition.
  5. Der er regler og retningslinjer for sikkerhedskopiering af data.
  6. Der er regler og retningslinjer for gendannelse af data fra backup.
  7. Der tages regelmæssigt backup (enten internt eller hos leverandøren).
  8. Aktiv alarmering ved uautoriserede forsøg på at få adgang til serverrum og/eller behandlingssystemer og data.
  9. Der anvendes uafbrydelig strømforsyning (UPS).
  10. Overvågning af temperatur og luftfugtighed i serverrum.
  11. Databehandleren har procedurebeskrivelser for brud på persondatasikkerheden, som gennemgås mindst en gang om året.

  1. Hjælp til controlleren

 

3.1 Databehandleren skal, så vidt det er muligt - inden for omfanget af den bistand, der er angivet nedenfor - bistå den dataansvarlige i overensstemmelse med punkt 8.1, 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:

 

  1. Hvis den dataansvarlige modtager en anmodning om udøvelse af en af de registreredes rettigheder i henhold til gældende databeskyttelseslovgivning, og et korrekt svar på anmodningen kræver bistand fra databehandleren, skal databehandleren bistå den dataansvarlige med de nødvendige og relevante oplysninger og dokumentation samt passende tekniske og organisatoriske sikkerhedsforanstaltninger.
  2. Hvis den dataansvarlige har brug for databehandlerens hjælp til at besvare en anmodning fra en registreret, skal den dataansvarlige sende en skriftlig anmodning om hjælp til databehandleren, og databehandleren skal som svar give den nødvendige hjælp eller dokumentation så hurtigt som muligt og senest 7 kalenderdage efter modtagelse af anmodningen.
  3. Hvis databehandleren modtager en anmodning om udøvelse af rettigheder i henhold til gældende databeskyttelseslovgivning fra andre personer end den dataansvarlige, og anmodningen vedrører personoplysninger, der behandles på vegne af den dataansvarlige, skal databehandleren uden unødig forsinkelse videresende anmodningen til den dataansvarlige.

 

4. Opbevaringsperiode/sletningsprocedurer

4.1 Ved ophør af levering af persondatabehandlingstjenester skal databehandleren slette personoplysningerne i overensstemmelse med punkt 10.1, medmindre den dataansvarlige - efter underskrivelsen af kontrakten - har ændret den dataansvarliges oprindelige valg. En sådan ændring skal dokumenteres og opbevares skriftligt, herunder elektronisk, i forbindelse med Bestemmelserne.

5. Sted for behandling

5.1 Behandling af personoplysningerne i henhold til bestemmelserne kan ikke udføres på andre steder end de følgende uden den dataansvarliges forudgående skriftlige tilladelse:

Hetzner Online GmbH,

Momsreg. Nr.: DE812871812 Industriestr. 25

91710 Gunzenhausen i Tyskland

6. Instruktion om overførsel af personoplysninger til tredjelande

6.1 Personoplysninger behandles kun af databehandleren på de steder, der er angivet i punkt C.5. Databehandleren overfører ikke personoplysninger til tredjelande eller internationale organisationer.

6.2 Hvis den dataansvarlige ikke giver en dokumenteret instruktion i disse bestemmelser eller efterfølgende med hensyn til overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til at foretage sådanne overførsler inden for rammerne af disse bestemmelser.

6.3 Overførsel af personoplysninger kan i alle tilfælde kun ske i overensstemmelse med disse bestemmelser, efter instruks fra den dataansvarlige og i det omfang, det er tilladt i henhold til den gældende databeskyttelseslovgivning.

6.4 Hvis databehandleren i overensstemmelse med disse bestemmelser overfører personoplysninger til underdatabehandlere i tredjelande uden for EU/EØS, skal databehandleren selvstændigt sikre et retsgrundlag for overførslen i overensstemmelse med kapitel 5 i GDPR.

7. Procedurer for den dataansvarliges revisioner, herunder inspektioner, af den behandling af personoplysninger, der udføres af databehandleren

7.1 Databehandleren skal på den dataansvarliges skriftlige anmodning dokumentere over for den dataansvarlige, at databehandleren

7.1.1 overholder sine forpligtelser i henhold til disse bestemmelser og instruktionen, og

7.1.2 med de relevante artikler i GDPR med hensyn til de personoplysninger, der behandles på vegne af den dataansvarlige.

 

7.2 I henhold til paragraf C.7.1 Databehandlerens dokumentation skal sendes til den dataansvarlige inden for en rimelig tid efter modtagelse af anmodningen.

 

7.3 Databehandleren skal forsyne den dataansvarlige med dokumentation for løbende compliance af bestemmelserne. Disse egenkontrolrapporter skal udarbejdes mindst én gang årligt og skal følge principperne og kontrolmålene i revisionsstandarden ISAE 3000, som fastsat af Common Strategic Framework (CSF) - Danske Revisorer og Datatilsynet og ISAE 3402 (og/eller alternativt internationalt anerkendte standarder som ISO/IEC 27701:2019). Selvrevisionsrapporter kan udføres som en del af den dataansvarliges informationsindsamling og skal underskrives af databehandlerens ledelse. For at dække den dataansvarliges behov for indsigt i og sikkerhed for databehandlerens sikre behandling af personoplysningerne skal databehandleren auditere databehandlerens compliance af bestemmelserne hver 12. måned, herunder de specificerede implementerede sikkerhedsforanstaltninger, af en ekstern uafhængig tredjepart og sende de komplette optegnelser til den dataansvarlige.

 

7.4 Uanset paragraf C.7.3skal databehandleren endvidere sørge for og bidrage til revisioner og inspektioner, der udføres af revisorer udpeget af den dataansvarlige, de offentlige myndigheder i den kompetente jurisdiktion, i det omfang det er nødvendigt for at verificere databehandlerens compliance af disse Bestemmelser og den gældende databeskyttelseslovgivning. Den pågældende revisor skal være underlagt fortrolighed i henhold til lov eller aftale. Den dataansvarlige skal underrette revisionerne skriftligt inden for 14 kalenderdage.

8. Procedurer for revisioner, herunder inspektioner, af den behandling af personoplysninger, der udføres af underdatabehandlere.

 

8.1 Databehandleren skal mindst hver 12. måned for egen regning foretage en revision af databehandlerens underdatabehandlere og indsende dokumentation for denne revision til den dataansvarlige.

8.2 Parterne er enige om, at den uafhængige revisors ISAE 3000-sikringsrapport kan anvendes til dette formål.

 

C.8. [HVIS RELEVANT] Procedurer for revisioner, herunder inspektioner, af behandlingen af personoplysninger, der udføres af underdatabehandlere

Databehandleren skal årligt for databehandlerens regning indhente en [REVISIONSRAPPORT/INSPEKTIONSRAPPORT] fra en uafhængig tredjepart vedrørende underdatabehandlerens compliance af databeskyttelsesforordningen, de gældende EU- eller medlemsstatsbestemmelser om databeskyttelse og Bestemmelserne.

Parterne er enige om, at følgende typer af [REVISIONSBERETNING/INSPEKTIONSBERETNING] kan anvendes i compliance med klausulerne:

  • Hetzner TUEV revisionsrapport 
  • Opdaterede ISO/IEC 27001:2013-certifikater
  • Hetzner_GDPR compliance Art 28 og 32 dokumentation

Revisionsrapporten skal uden unødig forsinkelse sendes til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rapportens omfang og/eller metodologi og kan i sådanne tilfælde anmode om en ny revision/inspektion med et revideret omfang og/eller en anden metodologi.

På baggrund af resultaterne af en sådan revision/inspektion kan den dataansvarlige anmode om, at der træffes yderligere foranstaltninger for at sikre compliance af GDPR, de gældende databeskyttelsesbestemmelser i EU eller medlemsstaterne og Bestemmelserne.

Databehandleren eller databehandlerens repræsentant skal desuden have adgang til at inspicere, herunder fysisk inspicere, de steder, hvor behandlingen af personoplysninger udføres af underdatabehandleren, herunder fysiske faciliteter samt systemer, der anvendes til og er relateret til behandlingen. En sådan inspektion skal udføres, når databehandleren (eller den dataansvarlige) finder det påkrævet.

Dokumentation for sådanne inspektioner sendes straks til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rapportens omfang og/eller metodologi og kan i sådanne tilfælde anmode om en ny inspektion med et revideret omfang og/eller en anden metodologi."

Den dataansvarlige kan - hvis det er nødvendigt - vælge at iværksætte og deltage i en fysisk inspektion af underdatabehandleren. Dette kan ske, hvis den dataansvarlige vurderer, at databehandlerens tilsyn med underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig dokumentation til at fastslå, at underdatabehandlerens behandling sker i overensstemmelse med Bestemmelserne.

Den dataansvarliges deltagelse i en inspektion af underdatabehandleren ændrer ikke ved, at databehandleren herefter fortsat bærer det fulde ansvar for underdatabehandlerens compliance af databeskyttelsesforordningen, de gældende EU- eller medlemsstatsbestemmelser om databeskyttelse og standardbestemmelserne."

Databehandlerens og underdatabehandlerens omkostninger i forbindelse med fysisk tilsyn/inspektion hos underdatabehandleren skal ikke påhvile den dataansvarlige - uanset om den dataansvarlige har taget initiativ til og deltaget i en sådan inspektion.    

  • Databehandleraftalen regulerer ikke andre forhold.