För enskilda kunder

Standardavtalsklausuler

Vid tillämpning av artikel 28.3 i förordning 2016/679 (GDPR) 

Mellan användaren (den personuppgiftsansvarige)

FÖRETAG
NAMN
TIDSSTÄMPEL
ANVÄNDARENS IP
E-POST

och

Data & More ApS
Flæsketorvet 68
DK-1711 Köpenhamn V
CVR-nr: 38185659 (personuppgiftsbiträdet)

var och en en "part"; tillsammans "parterna

har kommit överens om följande avtalsklausuler (klausulerna) för att uppfylla kraven i GDPR och för att säkerställa skyddet av den registrerades rättigheter.

Innehållsförteckning

1. Inledning 3
2. Den personuppgiftsansvariges rättigheter och skyldigheter 3
3. Personuppgiftsbiträdet agerar i enlighet med instruktioner 3
4. Konfidentialitet 4
5. Säkerhet vid bearbetning 4
6. Användning av underbiträden 5
7. Överföring av uppgifter till tredje land eller internationella organisationer 6
8. Hjälp till den personuppgiftsansvarige 6
9. Anmälan om personuppgiftsincident 7
10. Radering och återlämnande av data 8
11. Revision och inspektion 8
12. Parternas överenskommelse om övriga villkor 8
13. Påbörjande och upphörande 8
14. Kontaktpersoner/kontaktpunkter för personuppgiftsansvarig och personuppgiftsbiträde 9

Bilaga A Information om bearbetningen 10

1. Ändamålet med Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning är: 10
2. Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning ska huvudsakligen avse (behandlingens art): 10
3. Behandlingen omfattar följande typer av personuppgifter om registrerade personer: 11
4. Behandlingen omfattar följande kategorier av registrerade 11
5. Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning får utföras när Klausulerna börjar gälla. Behandlingen har följande varaktighet: 11

Bilaga B Auktoriserade underbiträden 13

1. Godkända underbiträden 13

Bilaga C Instruktion avseende användning av personuppgifter 14

1. Föremålet för/instruktionen för behandlingen 14
2. Säkerhet vid behandling 14

Organisatorisk säkerhet 14

Fysisk säkerhet 14

Teknisk säkerhet: Tillgång till och skydd av it-system 15

Teknisk säkerhet: Tillgång till personuppgifter 15

Teknisk säkerhet: Kryptering 16

Teknisk säkerhet: Skydd av personuppgifter under överföring 16

Teknisk säkerhet: Tillgänglighet och robusthet 16

3. Assistans till controller 16
4. Lagringsperiod/utplåningsprocedurer 17
5. Plats för bearbetning 17
6. Instruktion om överföring av personuppgifter till tredje land 17
7. Rutiner för den Personuppgiftsansvariges revisioner, inklusive inspektioner, av den behandling av personuppgifter som utförs av Personuppgiftsbiträdet 17
8. Förfaranden för revisioner, inklusive inspektioner, av den behandling av personuppgifter som utförs av underbiträden. 18
9. Bilaga D Parternas avtalsvillkor i övriga frågor 20
10. Övriga frågor 20
11. Personuppgiftsbiträdesavtalet reglerar inte andra frågor. 20

• Inledning

 

1. I dessa avtalsklausuler (klausulerna) anges den personuppgiftsansvariges och personuppgiftsbiträdets rättigheter och skyldigheter vid behandling av personuppgifter för den personuppgiftsansvariges räkning.

 

1. Klausulerna har utformats för att säkerställa parternas compliance av artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

 

1. I samband med tillhandahållandet av Data & More Compliance Server kommer personuppgiftsbiträdet att behandla personuppgifter på uppdrag av den personuppgiftsansvarige i enlighet med klausulerna.

 

1. Klausulerna skall äga företräde framför liknande bestämmelser i andra avtal mellan parterna.

 

1. Fyra bilagor är fogade till Klausulerna och utgör en integrerad del av Klausulerna.

 

1. Bilaga A innehåller uppgifter om behandlingen av personuppgifter, inklusive syftet med och arten av behandlingen, typ av personuppgifter, kategorier av registrerade och behandlingens varaktighet.

 

1. Bilaga B innehåller den personuppgiftsansvariges villkor för personuppgiftsbiträdets användning av underbiträden och en förteckning över underbiträden som godkänts av den personuppgiftsansvarige.

 

1. Bilaga C innehåller den personuppgiftsansvariges instruktioner avseende behandling av personuppgifter, de minimisäkerhetsåtgärder som ska vidtas av personuppgiftsbiträdet och hur revisioner av personuppgiftsbiträdet och eventuella underbiträden ska utföras.

 

1. Bilaga D innehåller bestämmelser för annan verksamhet som inte omfattas av Klausulerna. 

 

1. Klausulerna jämte bilagor ska bevaras i skriftlig form, inklusive elektronisk form, av båda parter.

 

1. Klausulerna ska inte befria personuppgiftsbiträdet från skyldigheter som personuppgiftsbiträdet har enligt den allmänna dataskyddsförordningen (GDPR) eller annan lagstiftning.

• Den personuppgiftsansvariges rättigheter och skyldigheter

 

1. Den personuppgiftsansvarige ansvarar för att behandlingen av personuppgifter sker i compliance med dataskyddsförordningen (se artikel 24 i dataskyddsförordningen), EU:s eller medlemsstaternas tillämpliga eller medlemsstatens dataskyddsbestämmelser och Klausulerna.

 

1. Den personuppgiftsansvarige har rätt och skyldighet att fatta beslut om ändamålen med och medlen för behandlingen av personuppgifter.

 

1. Den personuppgiftsansvarige ska bland annat ansvara för att den behandling av personuppgifter som personuppgiftsbiträdet instrueras att utföra har en rättslig grund. 

• Personuppgiftsbiträdet agerar i enlighet med instruktioner

 

1. Personuppgiftsbiträdet ska endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, såvida inte detta krävs enligt unionsrätten eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av. Sådana instruktioner ska anges i bilagorna A och C. Efterföljande instruktioner kan också ges av den personuppgiftsansvarige under hela behandlingen av personuppgifter, men sådana instruktioner ska alltid dokumenteras och bevaras skriftligen, inklusive elektroniskt, i samband med Klausulerna. 

 

1. Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om instruktioner som ges av den personuppgiftsansvarige, enligt personuppgiftsbiträdets uppfattning, strider mot GDPR eller tillämpliga EU- eller medlemsstatsbestämmelser om dataskydd.

 

1. Vidare ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige med att säkerställa att denne compliance sina skyldigheter enligt artikel 32 i GDPR, bland annat genom att förse den Personuppgiftsansvarige med information om de tekniska och organisatoriska åtgärder som Personuppgiftsbiträdet redan har vidtagit enligt artikel 32 i GDPR, samt all annan information som är nödvändig för att den Personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt artikel 32 i GDPR.
2. Om det senare - enligt den personuppgiftsansvariges bedömning - för att minska de identifierade riskerna krävs att personuppgiftsbiträdet vidtar ytterligare åtgärder än de som redan vidtagits av personuppgiftsbiträdet i enlighet med artikel 32 i GDPR, ska den personuppgiftsansvarige ange dessa ytterligare åtgärder i Bilaga C.

• Konfidentialitet

 

1. Personuppgiftsbiträdet ska endast ge tillgång till de personuppgifter som behandlas för den personuppgiftsansvariges räkning till personer under personuppgiftsbiträdets ledning som har åtagit sig att iaktta sekretess eller som omfattas av en lämplig lagstadgad sekretessförpliktelse, och endast på behovsbasis. Förteckningen över de personer som har beviljats tillgång ska regelbundet ses över. På grundval av denna översyn kan sådan åtkomst till personuppgifter återkallas, om åtkomst inte längre är nödvändig, och personuppgifter ska följaktligen inte längre vara tillgängliga för dessa personer.

 

1. Personuppgiftsbiträdet ska på begäran av den personuppgiftsansvarige visa att de berörda personerna under personuppgiftsbiträdets ledning omfattas av ovan nämnda sekretess.

• Säkerhet vid behandling 

 

1. Enligt artikel 32 i GDPR ska den personuppgiftsansvarige och personuppgiftsbiträdet, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

 

Den personuppgiftsansvarige ska utvärdera de risker för fysiska personers rättigheter och friheter som är förenade med behandlingen och vidta åtgärder för att minska dessa risker. Beroende på deras relevans kan åtgärderna omfatta följande:

1. Pseudonymisering och kryptering av personuppgifter;

 

1. förmågan att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos system och tjänster för behandling;

 

1. förmågan att återställa tillgängligheten och åtkomsten till personuppgifter i tid i händelse av en fysisk eller teknisk incident;

 

1. en process för att regelbundet testa, bedöma och utvärdera effektiviteten i de tekniska och organisatoriska åtgärderna för att säkerställa säkerheten i behandlingen.

 

1. Enligt artikel 32 i GDPR ska personuppgiftsbiträdet också - oberoende av den personuppgiftsansvarige - utvärdera de risker för fysiska personers rättigheter och friheter som är förenade med behandlingen och genomföra åtgärder för att minska dessa risker. För detta ändamål ska den personuppgiftsansvarige förse personuppgiftsbiträdet med all information som är nödvändig för att identifiera och utvärdera sådana risker.

 

1. Vidare ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med att säkerställa compliance av den personuppgiftsansvariges skyldigheter enligt artikel 32 i GDPR genom att bland annat förse den personuppgiftsansvarige med information om de tekniska och organisatoriska åtgärder som redan har genomförts av personuppgiftsbiträdet i enlighet med artikel 32 i GDPR samt all annan information som är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt artikel 32 i GDPR.

 

Om det senare, enligt den personuppgiftsansvariges bedömning, för att minska de identifierade riskerna krävs ytterligare åtgärder som ska genomföras av personuppgiftsbiträdet, utöver de åtgärder som redan har genomförts av personuppgiftsbiträdet i enlighet med artikel 32 i GDPR, ska den personuppgiftsansvarige ange dessa ytterligare åtgärder som ska genomföras i tillägg C.

• Användning av underbiträden

 

1. Personuppgiftsbiträdet ska uppfylla de krav som anges i artikel 28.2 och 28.4 i GDPR för att kunna anlita ett annat personuppgiftsbiträde (ett underbiträde).

 

1. Personuppgiftsbiträdet får därför inte anlita ett annat personuppgiftsbiträde (underbiträde) för uppfyllandet av klausulerna utan föregående särskilt skriftligt tillstånd från den personuppgiftsansvarige.

 

1. Personuppgiftsbiträdet får anlita underbiträden endast efter särskilt förhandstillstånd från den personuppgiftsansvarige. Personuppgiftsbiträdet ska lämna in begäran om särskilt tillstånd minst 30 dagar innan den berörda underentreprenören anlitas. Förteckningen över underbiträden som redan har godkänts av den personuppgiftsansvarige finns i tillägg B.

 

1. Om personuppgiftsbiträdet anlitar ett underbiträde för att utföra specifika behandlingsaktiviteter för den personuppgiftsansvariges räkning, ska samma dataskyddsskyldigheter som anges i klausulerna åläggas detta underbiträde genom ett avtal eller annan rättsakt enligt EU-rätten eller medlemsstaternas nationella rätt, särskilt genom att tillhandahålla tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i klausulerna och GDPR.

 

Personuppgiftsbiträdet ska därför ansvara för att kräva att underbiträdet åtminstone uppfyller de skyldigheter som personuppgiftsbiträdet omfattas av enligt Klausulerna och GDPR.

 

1. En kopia av ett sådant underbiträdesavtal och senare ändringar ska - på den registeransvariges begäran - lämnas till den registeransvarige, vilket ger den registeransvarige möjlighet att se till att underbiträdet åläggs samma skyldigheter i fråga om uppgiftsskydd som anges i klausulerna. Klausuler om affärsrelaterade frågor som inte påverkar det rättsliga dataskyddsinnehållet i avtalet med underbiträdet ska inte behöva lämnas till den registeransvarige.  

 

1. Personuppgiftsbiträdet ska avtala med underbiträdet om en klausul om tredje parts förmånstagare, enligt vilken den personuppgiftsansvarige - om personuppgiftsbiträdet faktiskt har försvunnit, upphört att existera rättsligt eller blivit insolvent - ska ha rätt att säga upp avtalet med underbiträdet och instruera underbiträdet att radera eller återlämna personuppgifterna.

 

1. Om underbiträdet inte fullgör sina skyldigheter i fråga om uppgiftsskydd ska personuppgiftsbiträdet förbli fullt ansvarigt gentemot den personuppgiftsansvarige när det gäller fullgörandet av underbiträdets skyldigheter. Detta påverkar inte de registrerades rättigheter enligt dataskyddsförordningen - särskilt de som anges i artiklarna 79 och 82 i dataskyddsförordningen - gentemot den personuppgiftsansvarige och personuppgiftsbiträdet, inklusive underbiträdet.

• Överföring av uppgifter till tredje land eller internationella organisationer

 

1. Personuppgiftsbiträdets eventuella överföring av personuppgifter till tredje land eller internationella organisationer ska endast ske på grundval av dokumenterade instruktioner från den personuppgiftsansvarige och ska alltid ske i compliance med kapitel V i GDPR. 

 

1. Om överföringar till tredje land eller internationella organisationer, som personuppgiftsbiträdet inte har fått i uppdrag att utföra av den personuppgiftsansvarige, krävs enligt EU-lagstiftning eller medlemsstaternas lagstiftning som personuppgiftsbiträdet omfattas av, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om detta rättsliga krav före behandlingen, såvida inte denna lagstiftning förbjuder sådan information av viktiga skäl som rör allmänintresset.

 

1. Utan dokumenterade instruktioner från den personuppgiftsansvarige kan personuppgiftsbiträdet därför inte agera inom ramen för Klausulerna:

 

1. överföra personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett tredje land eller i en internationell organisation

 

1. överföra behandlingen av personuppgifter till ett underbiträde i tredje land 

 

1. låta personuppgifterna behandlas av personuppgiftsbiträdet i ett tredje land

 

1. Den personuppgiftsansvariges instruktioner om överföring av personuppgifter till ett tredjeland, inklusive, i tillämpliga fall, det överföringsverktyg enligt kapitel V i GDPR som de grundar sig på, ska anges i bilaga C.6.

 

1. Klausulerna ska inte förväxlas med standardiserade dataskyddsbestämmelser i den mening som avses i artikel 46.2 c och d i GDPR, och parterna kan inte åberopa Klausulerna som ett överföringsverktyg enligt kapitel V i GDPR.

• Bistånd till den personuppgiftsansvarige

 

1. Med beaktande av behandlingens art ska personuppgiftsbiträdet bistå den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, vid fullgörandet av den personuppgiftsansvariges skyldigheter att besvara förfrågningar om utövande av den registrerades rättigheter enligt kapitel III i GDPR.

Detta innebär att personuppgiftsbiträdet, i den mån det är möjligt, ska bistå den personuppgiftsansvarige i dennes compliance av utövandet av följande av den registrerades rättigheter:

 

1. rätten att bli informerad vid insamling av personuppgifter från den registrerade
2. rätten att bli informerad när personuppgifter inte har erhållits från den registrerade
3. den registrerades rätt till tillgång
4. rätt till rättelse
5. rätten till radering ("rätten att bli bortglömd")
6. rätten till begränsning av behandling
7. anmälningsskyldighet avseende rättelse eller radering av personuppgifter eller begränsning av behandling
8. rätten till dataportabilitet
9. rätten att göra invändningar 
10. rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering

 

1. Utöver personuppgiftsbiträdets skyldighet att bistå den personuppgiftsansvarige enligt punkt 8.1 ska personuppgiftsbiträdet dessutom, med beaktande av behandlingens art och den information som är tillgänglig för personuppgiftsbiträdet, bistå den personuppgiftsansvarige med att säkerställa compliance av:

 

1. Den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål och, om det är möjligt, senast 72 timmar efter att ha fått kännedom om personuppgiftsincidenten, anmäla denna till den behöriga tillsynsmyndigheten, Den behöriga nationella dataskyddsmyndigheten ska underrättas - i Danmark den danska dataskyddsmyndigheten - såvida det inte är osannolikt att personuppgiftsincidenten leder till en risk för fysiska personers rättigheter och friheter.

 

1. den personuppgiftsansvariges skyldighet att utan onödigt dröjsmål underrätta den registrerade om personuppgiftsincidenten, när personuppgiftsincidenten sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter;

 

1. den personuppgiftsansvariges skyldighet att göra en bedömning av den planerade behandlingens inverkan på skyddet av personuppgifter (en konsekvensbedömning avseende dataskydd);

 

1. den personuppgiftsansvariges skyldighet att samråda med den behöriga tillsynsmyndigheten, Den behöriga nationella dataskyddsmyndigheten ska underrättas - i Danmark den danska dataskyddsmyndigheten - före behandling om en konsekvensbedömning avseende dataskydd visar att behandlingen skulle leda till en hög risk om den personuppgiftsansvarige inte vidtar åtgärder för att minska risken.

 

1. Parterna ska i tillägg C definiera de lämpliga tekniska och organisatoriska åtgärder genom vilka personuppgiftsbiträdet ska bistå den personuppgiftsansvarige samt omfattningen och räckvidden av det bistånd som krävs. Detta gäller för de skyldigheter som anges i punkterna 9.1 och 9.2.

 

• Anmälan om personuppgiftsincident

 

1. Vid en personuppgiftsincident ska personuppgiftsbiträdet, utan onödigt dröjsmål efter att ha fått kännedom om den, underrätta den personuppgiftsansvarige om personuppgiftsincidenten.

 

1. Personuppgiftsbiträdets anmälan till den personuppgiftsansvarige ska om möjligt ske inom 24 efter det att personuppgiftsbiträdet har fått kännedom om personuppgiftsincidenten för att den personuppgiftsansvarige ska kunna fullgöra sin skyldighet att anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten, jfr artikel 33 GDPR.

 

1. I enlighet med klausul 9.2 ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med att anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten, vilket innebär att personuppgiftsbiträdet ska bistå med att inhämta den information som anges nedan och som enligt artikel 33.3 i GDPR ska anges i den personuppgiftsansvariges anmälan till den behöriga tillsynsmyndigheten:  

 

1. Personuppgifternas art, inklusive, om möjligt, kategorierna och det ungefärliga antalet berörda registrerade samt kategorierna och det ungefärliga antalet berörda personuppgiftsregister; 

 

1. de sannolika konsekvenserna av personuppgiftsincidenten;

 

1. De åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inklusive, om så är lämpligt, åtgärder för att mildra dess eventuella negativa effekter. 

 

1. Parterna ska i tillägg C fastställa alla de uppgifter som personuppgiftsbiträdet ska tillhandahålla när det bistår den personuppgiftsansvarige med att anmäla en personuppgiftsincident till den behöriga tillsynsmyndigheten.

 

• Radering och återlämnande av data

 

1. När tillhandahållandet av tjänster för behandling av personuppgifter upphör ska personuppgiftsbiträdet vara skyldigt att att radera alla personuppgifter som behandlats för den registeransvariges räkning och intyga för den registeransvarige att så har skett.

 

• Revision och inspektion

 

1. Personuppgiftsbiträdet ska göra all information tillgänglig för den personuppgiftsansvarige som är nödvändig för att visa att de skyldigheter som fastställs i artikel 28 och klausulerna compliance och tillåta och bidra till revisioner, inklusive inspektioner, som utförs av den personuppgiftsansvarige eller en annan revisor som utsetts av den personuppgiftsansvarige.

 

1. De förfaranden som gäller för den personuppgiftsansvariges revisioner, inklusive inspektioner, av personuppgiftsbiträdet och underbiträdena anges i bilagorna C.7 och C.8.    

 

1. Personuppgiftsbiträdet ska vara skyldigt att ge de tillsynsmyndigheter som enligt tillämplig lagstiftning har tillgång till den personuppgiftsansvariges och personuppgiftsbiträdets anläggningar, eller företrädare som agerar på uppdrag av sådana tillsynsmyndigheter, tillgång till personuppgiftsbiträdets fysiska anläggningar mot uppvisande av lämplig identifikation och i enlighet med unionens eller medlemsstaternas processrätt. 

• Parternas överenskommelse om övriga villkor 

 

1. Parterna kan komma överens om andra klausuler om tillhandahållandet av tjänsten för behandling av personuppgifter, t.ex. om ansvar, så länge de inte direkt eller indirekt strider mot klausulerna eller påverkar den registrerades grundläggande rättigheter eller friheter och det skydd som ges av GDPR.

• Inledande och avslutande

 

1. Klausulerna ska träda i kraft den dag de undertecknas av båda parter.

 

1. Båda parter ska ha rätt att begära omförhandling av Klausulerna om lagändringar eller olämplighet av Klausulerna skulle föranleda sådan omförhandling. 

 

1. Klausulerna ska gälla under hela den tid som tjänsterna för behandling av personuppgifter tillhandahålls. Under den tid som tjänsterna för behandling av personuppgifter tillhandahålls kan Klausulerna inte sägas upp om inte parterna har kommit överens om andra Klausuler som reglerar tillhandahållandet av tjänsterna för behandling av personuppgifter.

 

• Om tillhandahållandet av tjänster för behandling av personuppgifter upphör och personuppgifterna raderas eller återlämnas till den personuppgiftsansvarige i enlighet med punkt 11.1 och bilaga C.4, kan klausulerna sägas upp genom skriftligt meddelande från endera parten.

• Underskrift

 

På uppdrag av personuppgiftsbiträdet

 

Namn: Kristian Boe Kristian Boe Helweg Hansen

Titel: Chef för kundframgång och Compliance

Mobil: +45 +45 60843418

E-postadress kbhh@dataandmore.com

 

Signature Date: {{rawTimestamp}}

 

På uppdrag av användaren (den personuppgiftsansvarige)

 

FÖRETAG

NAMN

TIDSSTÄMPEL
ANVÄNDARENS IP
E-POST

• Kontaktpersoner/kontaktpunkter för personuppgiftsansvarig och personuppgiftsbiträde

 

1. Parterna kan kontakta varandra genom att använda följande kontaktpersoner/kontaktpunkter:

 

1. Parterna är skyldiga att fortlöpande informera varandra om förändringar av kontaktpersoner/kontaktpunkter.

 

Namn: Kristian Boe Kristian Boe Helweg Hansen

Titel: Chef för kundframgång och Compliance

Mobil: +45 +45 60843418

E-postadress kbhh@dataandmore.com

 

För support vid tekniska frågor kontakta: 

 

E-postadress support@dataandmore.com

 

Bilaga A Information om bearbetningen

 

1. Ändamålet med Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning är:

   1. Följande syften utgör grunden för Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning: Behandlingen av personuppgifter utförs för att rensa upp och hjälpa till att få en visuell översikt över data som innehåller personlig identifierbar information (PII-data) som är onödig eller föråldrad i syfte att radera uppgifterna. Personuppgiftsbiträdet tillhandahåller support samt underhåll och service av Data & More Compliance Server som finns på personuppgiftsbiträdets anläggning. 
      1. Dessutom utförs behandlingen av personuppgifter för att uppfylla följande syften: Personuppgiftsbiträdet tillhandahåller konsulttjänster för att stödja underhåll och service av Data & More Compliance Server som finns på personuppgiftsbiträdets eller den personuppgiftsansvariges anläggning. 

2. Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning ska huvudsakligen avse (behandlingens art):

 

1. Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning ska huvudsakligen avse (behandlingens art): Hämtning och strukturering av olika kategorier av känsliga personuppgifter som samlats in i samband med tillhandahållandet av tjänsten. Sådan hämtning ska ske i enlighet med den personuppgiftsansvariges instruktioner och kommer huvudsakligen att avse ostrukturerade datamängder, inklusive men inte begränsat till e-postkonton, fildelningsenheter eller motsvarande system. 
2. När personuppgiftsbiträdet tillhandahåller konsulttjänster omfattar behandlingen av personuppgifter vanligtvis begränsade och specifika aktiviteter som är nödvändiga för att fullgöra de avtalsenliga skyldigheter som överenskommits med den personuppgiftsansvarige. Dessa aktiviteter kan inkludera: Personuppgiftsbiträdet tillhandahåller support samt underhåll och service av Data & More Compliance Server som finns på personuppgiftsbiträdets anläggning. 
3. Åtkomst till uppgifter vid behov: Personuppgiftsbiträdet kan få tillgång till personuppgifter för att analysera, diagnostisera eller lösa problem relaterade till de system eller tjänster som de underhåller eller förbättrar, alltid enligt den personuppgiftsansvariges instruktioner. 
4. Utföra teknisk support: Konsulttjänster kan kräva att personuppgiftsbiträdet interagerar med system som lagrar eller behandlar personuppgifter för att ge vägledning, genomföra ändringar eller säkerställa funktionalitet. Denna behandling är begränsad till vad som är absolut nödvändigt för att leverera tjänsten. 
5. Compliance med instruktioner: Personuppgiftsbiträdets roll är endast att agera enligt den personuppgiftsansvariges dokumenterade instruktioner. Personuppgiftsbiträdet bestämmer inte syftet med eller medlen för behandlingen utan säkerställer att de tjänster som tillhandahålls överensstämmer med den personuppgiftsansvariges instruktioner och med detta avtal. 
6. Implementering av skyddsåtgärder: Personuppgifter som hanteras under konsulttjänster behandlas på ett säkert sätt, med åtgärder på plats för att skydda dess konfidentialitet, integritet och tillgänglighet. Detta inkluderar säker åtkomstkontroll, kryptering och andra tekniska och organisatoriska åtgärder som krävs enligt GDPR och enligt bestämmelserna i detta avtal. 
7. Tillfällig datainteraktion: Behandlingen kan vara tillfällig, t.ex. vid felsökning eller konfigurationsuppgifter. Personuppgiftsbiträdet säkerställer att inga uppgifter lagras utöver tjänstens omfattning, såvida inte detta uttryckligen överenskommits med den personuppgiftsansvarige. 
8. Sammantaget omfattar personuppgiftsbiträdets konsulttjänster strikt nödvändig och kontrollerad behandling av personuppgifter för att uppfylla de mål som definierats av den personuppgiftsansvarige, i full compliance med GDPR-principerna och avtalsöverenskommelserna. 

1. Behandlingen omfattar följande typer av personuppgifter om registrerade personer:

   1. adress, bankuppgifter (kortuppgifter eller kontouppgifter), fakturerings- och bokföringsunderlag, födelsedatum, e-post, information om användarens använda enhet, IP-adress, namn, lösenord till ett eller flera system, telefonnummer, personnummer, användarnamn till ett eller flera system, olika personuppgifter i kundens system till vilka åtkomst beviljas, olika personuppgifter som tillhandahålls eller registreras av kunden eller kundens kunder utan organisationens aktiva behandling och identifiering av dessa, olika personuppgifter som registreras i samband med leverans av tjänsten och som inte kan definieras exakt
   2. personnummer, födelsedatum, bankuppgifter (kortuppgifter eller kontoinformation), fakturerings- och bokföringsunderlag, lösenord till ett eller flera system, användarnamn till ett eller flera system, e-post, adress, telefonnummer, namn, IP-adress, information om användarens använda enhet, olika personuppgifter som tillhandahålls eller registreras av kunden eller kundens kunder utan organisationens aktiva behandling och identifiering av dessa, olika personuppgifter på kundens system till vilka åtkomst beviljas, olika personuppgifter som registreras i samband med leverans av tjänsten och som inte kan definieras exakt. 
   3. Olika känsliga personuppgifter som registreras i samband med tillhandahållandet av tjänsten och som inte kan definieras exakt. Olika personuppgifter som rör lön och betalning som registreras i samband med tillhandahållandet av tjänsten och som inte kan definieras exakt.

2. Behandlingen omfattar följande kategorier av registrerade

   1. Nuvarande anställda, tidigare anställda, sökande eller potentiella personer för rekrytering och anställning, kunder som är konsumenter eller ensamföretagare, kunders anställda och partners.
   2. (när kunderna är företag), kundernas kunder och deras anställda (till exempel till CRM-leverantörer), leverantörer som är personer eller enskilda firmor, leverantörernas anställda (när leverantörerna är företag), dotterbolag som är personer eller enskilda firmor, dotterbolagets anställda (när dotterbolag är företag), olika kategorier som inte kan identifieras på förhand

3. Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning får utföras när Klausulerna börjar gälla. Behandlingen har följande varaktighet:

   1. Behandlingen av personuppgifter ska ske till dess att Personuppgiftsbiträdets tjänster har upphört, varefter personuppgifterna raderas i enlighet med punkt 10.1. Personuppgiftsbiträdets behandling av personuppgifter sker så länge som det eller de underliggande kommersiella avtalen består.

Bilaga B Auktoriserade underbiträden

1. Godkända underbiträden

 

1.1 Vid ikraftträdandet av klausulerna godkänner den personuppgiftsansvarige att följande underbiträden anlitas:

Hetzner Online GmbH

DE812871812 Industriestr. 25,

91710 Gunzenhausen,

Tyskland

Back up / Hosting center Är serverhostingpartner för Data & More ApS

 

1.2 Den Personuppgiftsansvarige ska när Klausulerna börjar tillämpas ge tillstånd till att ovan nämnda underbiträden används för den behandling som beskrivs för den Parten. Personuppgiftsbiträdet ska inte ha rätt att - utan den Personuppgiftsansvariges uttryckliga skriftliga tillstånd - anlita ett underbiträde för en "annan" behandling än den som har avtalats eller låta ett annat underbiträde utföra den beskrivna behandlingen.

Bilaga C Instruktion avseende användning av personuppgifter

 

• Föremålet för/instruktionen för behandlingen

 

1. Personuppgiftsbiträdet behandlar personuppgifter som konsult för den personuppgiftsansvariges räkning för att underlätta den personuppgiftsansvariges användning av IT-systemet Data & More Compliance Server, som hanteras av personuppgiftsbiträdet. Enligt detta personuppgiftsbiträdesavtal har personuppgiftsbiträdet rätt att få åtkomst till Data & More Compliance Server för att utföra underhålls-, konfigurations- och kvalitetssäkringsuppgifter som kan kräva behandling av personuppgifter som rör den personuppgiftsansvariges anställda, kunder och partner, i det enda syftet att utföra dessa uppgifter.

 

• Säkerhet vid behandling

 

1. Säkerhetsnivån ska ta hänsyn till:

1. Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers fri- och rättigheter måste personuppgiftsbiträdet införa en lämplig säkerhetsnivå.
2. Personuppgiftsbiträdet ska härefter ha rätt och skyldighet att fatta beslut om vilka tekniska och organisatoriska säkerhetsåtgärder som ska vidtas för att skapa den nödvändiga (och avtalade) nivån av datasäkerhet.
3. Personuppgiftsbiträdet ska dock - under alla omständigheter och som ett minimum - genomföra följande åtgärder som har överenskommits med den Personuppgiftsansvarige:

 

Organisatorisk säkerhet 

Personuppgiftsbiträdet ska genomföra följande organisatoriska säkerhetsåtgärder: 

1. Alla anställda hos Personuppgiftsbiträdet omfattas av sekretessförpliktelser som gäller för all behandling av personuppgifter. 
2. Medarbetare med tillgång till känsliga personuppgifter eller kritiska IT-system har genomgått en säkerhetsprövning innan de anställdes. 
3. De anställdas tillgång till personuppgifter är begränsad, så att endast de relevanta anställda har tillgång till nödvändiga personuppgifter. 
4. De anställda hos Personuppgiftsbiträdet som har tillgång till "känslig" personlig information eller kritiska IT-system har genomgått en säkerhetsprövning innan de anställdes. 
5. Den behandling av personuppgifter som utförs av anställda hos Personuppgiftsbiträdet loggas och kan kontrolleras vid behov. 
6. Personuppgiftsbiträdet har en IT-säkerhetspolicy. 
7. Personuppgiftsbiträdet har dokumenterbara processbeskrivningar för personuppgiftsincidenter, vilka granskas minst en gång per år. 
8. Personuppgiftsbiträdet har etablerat rutiner som säkerställer korrekt radering eller fortsatt sekretess när hårdvaran repareras, servas eller kasseras. i) Personuppgiftsbiträdet har möjlighet att reagera på anställdas brott mot personuppgiftsbiträdets datasäkerhet eller brott mot instruktioner om behandling av personuppgifter enligt arbetsrättslig lagstiftning. 
9. Personuppgiftsbiträdets anställda dokumenterar och rapporterar regelbundet överträdelser av säkerheten för personuppgifter eller risker för detta. 

 

Fysisk säkerhet

Personuppgiftsbiträdet ska genomföra följande fysiska säkerhetsåtgärder:

1. Processorns kontorsutrymme kan låsas.
2. Processorn använder larmsystem för att upptäcka och förhindra inbrott.
3. Processorn använder brandlarm och rökdetektorer för att upptäcka och förhindra bränder.
4. Processorn har testat beredskaps- och evakueringsplanen för nödsituationer.
5. Processorns enheter (inklusive datorer, servrar etc.) är skyddade bakom låsta dörrar.
6. Processorn och besökare etc. identifieras med hjälp av identifieringskort.
7. Personuppgiftsbiträdets lokaler och anläggningar eller tillträdesvägar är föremål för video- eller bildövervakning.
8. Personuppgiftsbiträdet använder en verifieringsprocess eller ett verifieringssystem för att kontrollera besökarnas identitet.
9. Personuppgiftsbiträdet använder nyckelhantering, dvs. tillhandahåller nycklar till relevanta och nödvändiga anställda etc.
10. Receptionen är bemannad 24/7 eller så finns det ett vaktbolag utanför kontorstid.
11. Processorns byggnad/byggnader är indelade i tillträdeszoner, varefter tillträdeskort krävs för tillträde till zonerna.
12. Ett protokoll förs över processorns besökare.
13. Processorns anställda är skyldiga att bära identitetskort.

Säkerhetsnivån ska ta hänsyn till den stora omfattningen av de personuppgifter som behandlas.

samt den höga sekretessen för den behandlade informationen och kräver därför en hög säkerhetsnivå.

Teknisk säkerhet: Tillgång till och skydd av it-system

Personuppgiftsbiträdet ska genomföra följande tekniska säkerhetsåtgärder avseende åtkomst till och skydd av it-system:

1. Processorn använder logisk åtkomstkontroll med användarnamn och lösenord eller annan unik auktorisering.
2. Processorn använder antivirusprogram som uppdateras regelbundet.
3. Processorn loggar och kontrollerar obehöriga eller upprepade misslyckade inloggningsförsök.
4. Personuppgiftsbiträdet kräver att anställda använder individuella lösenord.
5. Bearbetningsföretagets datorer har automatiskt åtkomstskydd vid inaktivitet, dvs.

låst skärmsläckare.

1. Personuppgiftsbiträdet har policyer för lösenord, inklusive minimikrav.
2. Det finns rutiner för att återkalla behörigheter när en medarbetare slutar eller byter avdelning.
3. Det finns rutiner för tilldelning av behörigheter till IT-system vid nyanställning av medarbetare.

Säkerhetsnivån ska ta hänsyn till den stora omfattningen av de personuppgifter som behandlas samt den höga sekretessen för den behandlade informationen och kräver därför en hög säkerhetsnivå.

Teknisk säkerhet: Tillgång till personuppgifter

Personuppgiftsbiträdet ska genomföra följande tekniska säkerhetsåtgärder avseende åtkomst till personuppgifter:

1. Personuppgiftsbiträdet granskar regelbundet systemkontroller.
2. Personuppgiftsbiträdet ger enskilda personer eller grupper av användare behörighet att få tillgång till, ändra och radera behandlade personuppgifter.
3. Processorn har procedur(er) för att återställa data från backup.
4. Processorn granskar och verifierar regelbundet användarbehörigheter för specifika system.
5. Personuppgiftsbiträdet loggar och kontrollerar obehöriga eller upprepade misslyckade försök att radera data.
6. Personuppgiftsbiträdet loggar och kontrollerar obehöriga eller upprepade misslyckade försök att komma åt data.
7. Personuppgiftsbiträdet har spårbarhet för åtkomst, ändring och radering av uppgifter av enskilda användare.

Säkerhetsnivån ska ta hänsyn till den stora omfattningen av de personuppgifter som behandlas samt den höga sekretessen för den behandlade informationen och kräver därför en hög säkerhetsnivå.

Teknisk säkerhet: Kryptering

Personuppgiftsbiträdet ska genomföra följande tekniska säkerhetsåtgärder avseende kryptering:

1. Lösenord som lagras på bearbetningsföretagets datorer etc. är krypterade.
2. Innehåll på externa hårddiskar och USB-nycklar etc. krypteras när sådana medier innehåller personlig eller känslig personlig information.
3. Nätverket är krypterat.
4. Processorns datorer har krypterade hårddiskar.
5. Personuppgiftsbiträdet krypterar personuppgifter i system och/eller på enheter.
6. Personuppgiftsbiträdet krypterar känsliga personuppgifter i system och/eller på enheter.
7. Personuppgiftsbiträdets webbplatser och webbformulär använder SSL-certifikat / HTTPS (Hyper Text Transfer Protocol Secure).

Se ytterligare dokument om DAM:s säkerhetspolicy för nätverk.

Teknisk säkerhet: Skydd av personuppgifter under överföring

Personuppgiftsbiträdet ska vidta följande tekniska säkerhetsåtgärder avseende skydd av personuppgifter under överföring:

1. Personuppgiftsbiträdet använder och har riktlinjer för säker e-post.
2. Utgående e-post med känsliga personuppgifter eller information om rent privata angelägenheter krypteras.
3. Processorn har riktlinjer för användningen av e-postmeddelanden i arbetet, inklusive användning för privat bruk, lämplig användning, kryptering, säker användning etc.

Teknisk säkerhet: Tillgänglighet och robusthet

Personuppgiftsbiträdet ska genomföra följande tekniska säkerhetsåtgärder avseende tillgänglighet och robusthet:

1. Tillgänglighet och robusthet i personuppgiftsbiträdets system och servrar säkras av en tredje part som personuppgiftsbiträdet har avtal med.
2. Endast auktoriserade medarbetare har tillgång till processorns egna servrar.
3. Serverrummen har brandvarnare och brandsläckare.
4. Serverrummet har luftkonditioneringssystem.
5. Det finns regler och riktlinjer för säkerhetskopiering av data.
6. Det finns regler och riktlinjer för återställning av data från säkerhetskopiering.
7. Säkerhetskopior görs regelbundet (antingen internt eller hos leverantör).
8. Aktiv varning vid obehöriga försök att komma åt serverrum och/eller bearbetningssystem och data.
9. Avbrottsfri strömförsörjning (UPS) används.
10. Övervakning av temperatur och luftfuktighet i serverrum.
11. Personuppgiftsbiträdet har rutinbeskrivningar för personuppgiftsincidenter som granskas minst en gång per år.

1. Assistans till den personuppgiftsansvarige

 

3.1 Personuppgiftsbiträdet ska så långt det är möjligt - inom ramen för och omfattningen av det biträde som anges nedan - biträda den Personuppgiftsansvarige i enlighet med punkterna 8.1, 9.1 och 9.2 genom att vidta följande tekniska och organisatoriska åtgärder:

 

1. Om den personuppgiftsansvarige mottar en begäran om utövande av någon av de registrerades rättigheter i enlighet med tillämplig dataskyddslagstiftning och ett korrekt svar på begäran kräver hjälp från personuppgiftsbiträdet, ska personuppgiftsbiträdet bistå den personuppgiftsansvarige med nödvändig och relevant information och dokumentation samt lämpliga tekniska och organisatoriska säkerhetsåtgärder.
2. Om den personuppgiftsansvarige behöver personuppgiftsbiträdets hjälp för att kunna besvara en begäran från en registrerad, ska den personuppgiftsansvarige skicka en skriftlig begäran om hjälp till personuppgiftsbiträdet och personuppgiftsbiträdet ska svara med att tillhandahålla nödvändig hjälp eller dokumentation så snart som möjligt och senast 7 kalenderdagar efter att ha mottagit begäran.
3. Om Personuppgiftsbiträdet mottar en begäran om utövande av rättigheter enligt tillämplig dataskyddslagstiftning från andra personer än den Personuppgiftsansvarige, och begäran avser personuppgifter som behandlas för den Personuppgiftsansvariges räkning, ska Personuppgiftsbiträdet utan onödigt dröjsmål vidarebefordra begäran till den Personuppgiftsansvarige.

 

4. Lagringsperiod/förfaranden för utplåning

4.1 När tillhandahållandet av tjänster för behandling av personuppgifter upphör ska personuppgiftsbiträdet radera personuppgifterna i enlighet med punkt 10.1, såvida inte den personuppgiftsansvarige - efter undertecknandet av avtalet - har ändrat den personuppgiftsansvariges ursprungliga val. Sådan ändring ska dokumenteras och förvaras skriftligen, inklusive elektroniskt, i anslutning till Klausulerna.

5. Plats för bearbetning

5.1 Behandling av personuppgifter enligt dessa bestämmelser får inte ske på andra platser än följande utan föregående skriftligt tillstånd från den personuppgiftsansvarige:

Hetzner Online GmbH,

Momsregistreringsnr. Nr: DE812871812 Industriestr. 25

91710 Gunzenhausen i Tyskland

6. Instruktion om överföring av personuppgifter till tredje land

6.1 Personuppgifter behandlas endast av Personuppgiftsbiträdet på de platser som anges i punkt C.5. Personuppgiftsbiträdet överför inte personuppgifter till tredje land eller internationella organisationer.

6.2 Om den personuppgiftsansvarige inte i dessa villkor eller senare lämnar en dokumenterad instruktion om överföring av personuppgifter till ett tredje land, har personuppgiftsbiträdet inte rätt att utföra sådana överföringar inom ramen för dessa villkor.

6.3 Överföring av personuppgifter får i samtliga fall endast ske i enlighet med dessa Villkor, efter instruktioner från den Personuppgiftsansvarige och i den utsträckning som tillåts enligt tillämplig dataskyddslagstiftning.

6.4 Om Personuppgiftsbiträdet i enlighet med dessa klausuler överför personuppgifter till underbiträden i tredje land utanför EU/EES måste Personuppgiftsbiträdet på egen hand säkerställa en rättslig grund för överföringen i enlighet med kapitel 5 i GDPR.

7. Förfaranden för den personuppgiftsansvariges revisioner, inklusive inspektioner, av den behandling av personuppgifter som utförs av personuppgiftsbiträdet

7.1 Personuppgiftsbiträdet ska på den Personuppgiftsansvariges skriftliga begäran dokumentera för den Personuppgiftsansvarige att Personuppgiftsbiträdet

7.1.1 fullgör sina skyldigheter enligt dessa Villkor och Instruktionen, och

7.1.2 med de relevanta artiklarna i GDPR med avseende på de personuppgifter som behandlas för den personuppgiftsansvariges räkning.

 

7.2 Enligt paragraf C.7.1 Personuppgiftsbiträdets dokumentation ska skickas till den Personuppgiftsansvarige inom rimlig tid efter att begäran mottagits.

 

7.3 Personuppgiftsbiträdet måste förse den personuppgiftsansvarige med dokumentation om kontinuerlig compliance av bestämmelserna. Dessa självgranskningsrapporter måste utarbetas minst en gång om året och ska följa principerna och kontrollmålen i revisionsstandarden ISAE 3000, som fastställts av Common Strategic Framework (CSF) - Danish Auditors och den danska dataskyddsstyrelsen och ISAE 3402 (och/eller alternativt internationellt erkända standarder som ISO/IEC 27701:2019). Självgranskningsrapporter kan genomföras som en del av den personuppgiftsansvariges informationsinsamling och måste undertecknas av personuppgiftsbiträdets ledning. För att tillgodose den personuppgiftsansvariges behov av insyn i och försäkran om personuppgiftsbiträdets säkra behandling av personuppgifterna måste personuppgiftsbiträdet var 12:e månad granska personuppgiftsbiträdets compliance av klausulerna, inklusive de angivna implementerade säkerhetsåtgärderna, av en extern oberoende tredje part och skicka de fullständiga dokumenten till den personuppgiftsansvarige.

 

7.4 Oberoende av paragraf C.7.3ska Personuppgiftsbiträdet vidare tillhandahålla och bidra till revisioner och inspektioner, utförda av revisorer utsedda av den Personuppgiftsansvarige, de offentliga myndigheterna i den behöriga jurisdiktionen, i den utsträckning som krävs för att verifiera Personuppgiftsbiträdets compliance av dessa Klausuler och tillämplig dataskyddslagstiftning. Revisorn i fråga måste vara föremål för sekretess enligt lag eller avtal. Den Personuppgiftsansvarige måste skriftligen meddela revisionerna inom 14 kalenderdagar.

8. Förfaranden för revisioner, inklusive inspektioner, av den behandling av personuppgifter som utförs av underbiträden.

 

8.1 Personuppgiftsbiträdet ska minst var 12:e månad, på egen bekostnad, genomföra en revision av Personuppgiftsbiträdets underbiträden och överlämna dokumentation för denna revision till Personuppgiftsansvarig.

8.2 Parterna är överens om att den oberoende revisorns ISAE 3000 revisionsberättelse kan användas för detta ändamål.

 

C.8. [OM TILLÄMPLIGT] Förfaranden för revisioner, inklusive inspektioner, av den behandling av personuppgifter som utförs av underbiträden

Personuppgiftsbiträdet ska årligen på personuppgiftsbiträdets bekostnad erhålla en [REVISIONSRAPPORT/INSPEKTIONSRAPPORT] från en oberoende tredje part om underbiträdets compliance av dataskyddsförordningen, EU:s eller medlemsstaternas tillämpliga dataskyddsbestämmelser och klausulerna.

Parterna har kommit överens om att följande typer av [REVISORS RAPPORT/INSPEKTIONSRAPPORT] får användas i compliance med Klausulerna:

• Hetzner TUEV revisionsberättelse 
• Uppdaterade ISO/IEC 27001:2013-certifikat
• Hetzner_GDPR compliance Art 28 och 32 dokumentation

REVISIONSRAPPORTEN ska utan onödigt dröjsmål lämnas till den registeransvarige för information. Den personuppgiftsansvarige kan bestrida rapportens omfattning och/eller metod och kan i sådana fall begära en ny revision/inspektion med en reviderad omfattning och/eller annan metod.

Baserat på resultaten av en sådan revision/inspektion kan den personuppgiftsansvarige begära att ytterligare åtgärder vidtas för att säkerställa compliance av GDPR, tillämpliga EU- eller medlemsstatsbestämmelser om dataskydd och klausulerna.

Personuppgiftsbiträdet eller personuppgiftsbiträdets representant ska dessutom ha tillgång till att inspektera, inklusive fysiskt inspektera, de platser där behandlingen av personuppgifter utförs av underbiträdet, inklusive fysiska anläggningar samt system som används för och är relaterade till behandlingen. En sådan inspektion ska utföras när personuppgiftsbiträdet (eller den personuppgiftsansvarige) anser att det krävs.

Dokumentationen för sådana inspektioner ska utan dröjsmål lämnas till den registeransvarige för kännedom. Den registeransvarige kan bestrida rapportens omfattning och/eller metodik och kan i sådana fall begära en ny inspektion med en reviderad omfattning och/eller annan metodik."

Den personuppgiftsansvarige kan - om så krävs - välja att initiera och delta i en fysisk inspektion av underbiträdet. Detta kan bli aktuellt om den personuppgiftsansvarige bedömer att personuppgiftsbiträdets övervakning av underbiträdet inte har gett den personuppgiftsansvarige tillräcklig dokumentation för att fastställa att underbiträdets behandling utförs i enlighet med Klausulerna.

Den personuppgiftsansvariges deltagande i en inspektion av underbiträdet ska inte ändra det faktum att personuppgiftsbiträdet därefter fortsätter att bära det fulla ansvaret för underbiträdets compliance av GDPR, EU:s eller medlemsstaternas tillämpliga dataskyddsbestämmelser och klausulerna."

Personuppgiftsbiträdets och underbiträdets kostnader i samband med fysisk tillsyn/inspektion i underbiträdets anläggningar ska inte belasta den personuppgiftsansvarige - oavsett om den personuppgiftsansvarige har tagit initiativ till och deltagit i en sådan inspektion.    

• Personuppgiftsbiträdesavtalet reglerar inte andra frågor.