Databehandleraftale
i henhold til artikel 28, stk. 3 i Europa-Parlamentet og Rådets Forordning (EU) 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger, som indgået mellem
kunden, som den dataansvarlige,
og
Meneto Software, CVR nr. 39 96 50 03, Bibliotekvej 55A, 1. 2650 Hvidovre, som databehandler.
Parterne er hver især en “part” og sammen udgør de “parterne”.
Parterne har aftalt følgende standardkontraktbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder.
1. Introduction
Disse bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.
Ved anvendelse af regnskabsprogrammet Meneto Software og enhver af de tilgængelige tillægsfunktioner tilknyttet platformen (herefter “Platformen”) behandler databehandleren personoplysninger på vegne af den dataansvarlige.
Der hører tre bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige har godkendt brugen af.
Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
Det er den dataansvarlige, der er ansvarlig for behandlingen af personoplysninger på Platformen. Databehandleren behandler personoplysninger på instruks fra den dataansvarlige, samt i overensstemmelse med national databeskyttelseslovgivning, herunder databeskyttelsesforordningen, og sin egen privatlivspolitik.
Bestemmelserne anvender definitioner som defineret i databeskyttelsesforordningen og den danske databeskyttelseslov.
2. Den dataansvarliges rettigheder og forpligtelser
Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen, samt andre databeskyttelsesbestemmelser i EU-retten eller medlemsstaternes national ret og disse Bestemmelser.
Den dataansvarlige har ret og pligt til at træffe beslutnnger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger. Den dataansvarlige er endvidere ansvarlige for at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.
Den dataansvarlige bærer oplysningsforpligtelsen overfor de registrerede, som den dataansvarlige behandler personoplysninger om, samt instruerer databehandleren i at behandle. Dette indebærer også en forpligtelse til at give garantier i forbindelse med tekniske og sikkerhedsmæssige foranstaltninger for de registreredes personoplysninger.
Ved anvendelse af Platformen er den dataansvarlige ansvarlig for at tilvejebringe udelukkende de personoplysninger som er specificeret i Bilag A, og til at minimere behandlingen af særlige kategorier af personoplysninger som beskrevet i artikel 9 i databeskyttelsesforordningen. Sådan begrænsning kan gøres ved at anonymisere visse personoplysninger før overførsel til databehandleren.
3. Databehandleren handler efter instruks
Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks er specificeret i Bilag A og C. efterfølgende instruks kan gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftlig, herunder elektronisk, sammen med disse Bestemmelser.
Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommende mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. Den i BIlag C beskrevne instruks ses ikke at give grund til at tro, at gældende lovgivning forhindrer en sådan behandling af personoplysninger.
I tilfælde, hvor databehandleren vurderer, at en instruks fra den dataansvarlige er ulovlig eller i uoverensstemmelse med gældende lovgivning, skal databehandleren informere den dataasnvarlige, som skal berigtige instruksen uden unødig forsinkelse. Er den dataansvarlige ikke i stand til at berigtige instruksen er databehandleren berettiget til at ophæve servicekontrakten mellem parterne.
Databehandleren assisterer den dataansvarlige med at indføre de passende tekniske og sikkerhedsmæssige foranstaltninger, der svarer til karakteren og kategorien af de personoplysninger, som behandles.
Endvidere assisterer databehandleren den dataansvarlige ved anmodninger fra de registrerede vedrørende udøvelse af disses rettigheder som bestemt i databeskyttelsesforordningen. Databehandleren besvarer dog ikke disse anmodninger medmindre særligt aftalt med den dataansvarlige.
Ved anmodninger fra den dataansvarlige vedrørende information eller assistance i forbindelse med den dataansvarliges sikkerhedsmæssige foranstaltninger eller behandling af personoplysninger, og disse anmodninger overstiger hvad der er nødvendigt i henhold til gældende databeskyttelsesbestemmelser, er databehandleren berettiget til at kræve betaling for sådan yderligere ydelser.
4. Fortrolighed
Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang.
Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
5. Behandlingssikkerhed
Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
Begge parter skal evaluere risici for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør. Sikkerhedsmæssige foranstaltninger passende til disse risici skal implementeres af begge parter i henhold til deres respektive vurderinger.
Databehandleren assisterer den dataansvarlige i sikringen af overholdelse af forpligtelserne i artikel 32 i databeskyttelsesforordningen. Dette sker blandt andet ved, at databehandleren stiller den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til artikel 32, og al anden information, der er nødvendig for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
Hvis imødegåelse af de identificerede risici, efter den dataansvarliges vurdering, kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i Bilag C.
6. Anvendelse af underdatabehandlere
Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse bestemmelser uden forudgående generel skriftlig godkendelse fra den dataansvarlige. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere.
Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere, og giver den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e). Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af Bilag B.
Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
Databehandleren er ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
Underdatabehandleraftaler og eventuelle senere ændringer hertil sendes, efter den dataansvarliges anmodning herom, i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
Databehandleren skal i sin aftale med underdatabehandleren indføre den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandleren, som f.eks. gøre den dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig overfor den dataansvarlige for opfyldelsen af nderdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, overfor den dataansvarlige of databehandleren, herunder underdatabehandleren.
7. Overførsel til tredjelande eller internationale organisationer
Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke indenfor rammerne af disse Bestemmelser:
- overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
- overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
- behandle personoplysningerne i et tredjeland
Den dataansvarliges instruks vedrørende en overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.
Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
8. Bistand til den dataansvarlige
Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i fforbindelse med, at den dataansvarlige skal sikre overholdelsen af:
- oplysningspligten ved indsamling af personoplysninger hos den registrerede
- oplysningspligten, hvis personoplysningerne ikke er indsamlet hos den registrerede
- indsigtsretten
- retten til berigtigelse
- retten til sletning (“retten til at blive glemt”)
- retten til begrænsning af behandling
- underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsninger af behandling
- retten til dataportabilitet
- retten til indsigelse
- retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6, bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgægngelige for databehandleren, den dataansvarlige med:
- Den dataansvarliges forpligtelse til uden unødig forsinkelse og om mulig senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brug på persondatasikkerheden til den kompetente tilsynsmyndighed, det danske Datatilsyn, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
- Den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette de nregistrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigehder og frihedsrettigheder
- Den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
- Den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndigehd, det danske Datatilsyn, inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 9.
9. Underretning om brud på persondatasikkerheden
Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 36 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningen s artikel 33.
I overensstemmelse med Bestemmelse 9 skal databehandleren bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
- karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger.
- de sandsynlige konsekvenser af bruddet på persondatasikkerheden
- de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
Parterne skal i bilac C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
10. Sletning og returnering af oplysninger
Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er databehandleren forpligtet til at tilbagelevere alle personoplysningerne og slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
Ovenstående gør sig ikke gældende for de personoplysninger, som databehandleren behandler som dataansvarlig i kundeforholdet mellem databehandleren og den dataansvarlige.
11. Revision, herunder inspektion
Databehandleren stiller alle oplysninger, der er nødvendig for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmere angivet i Bilag C.
Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivning har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsyndmyndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
12. Parternes aftale om andre forhold
Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behandling af personoplysninger om f.eks. Erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider mod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder eller frihedsrettigheder, som følger af databeskyttelsesforordningen.
13. Ikrafttræden og ophør
Bestemmelserne træder i kraft på datoen for underskrift af servicekontrakten mellem parterne.
Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhenigstsmæssigheder i Bestemmelserne giver anledning hertil.
Bestemmelserne er gældende så længe tjenesten vedrørende behandling af personoplysninger varer, samt så længe servicekontrakten varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger aftales mellem parterne.
Bestemmelserne er underlagt dansk lovgivning og enhver konflikt afgøres i det danske domstolssystem.
–o0o–
Bilag A: Kategorier af registrerede og personoplysninger
A.1. Kategorier af registrerede:
- Den dataansvarliges kontaktperson(er)
- Den dataansvarliges medarbejder(e)
- Den dataansvarliges kunde(r) og deres kontaktperson(er)
- Den dataansvarliges kunde(r) og deres medarbejder(re)
- Den dataansvarliges tilknyttede bogholder eller revisor
A.2. Kategorier af personoplysninger:
- Fornavn og efternavn
- Arbejdstitel
- Telefonnummer
- E-mail adresse
- Adresse
- Betalingsoplysninger på fakturaer
- Betalingsoplysninger via online funktioner
Databehandleren behandler ikke særlige kategorier af personoplysninger medmindre den dataansvarlige giver specifik instruks herom. Såfremt særlige kategorier af personoplysninger er omfattet som en naturlig del af de ovenfor nævnte kategorier, f.eks i forbindelse med fakturering af helbredsydelser, er den dataansvarlige opfordret til at anonymisere sådanne personoplysninger forud for overførsel til databehandleren.
Bilag B: Databehandlerens underdatabehandlere
Databehandlerens software er afhængig af en række underdatabehandlere for at kunne operere. Sådanne underdatabehandlere er tredjepartsleverandører i og uden for EU/EØS. Databehandlerens underdatabehandlere er oplistet i den til enhver tid opdaterede liste nedenfor.
Den dataansvarlige har givet generel accept af databehandlerens brug af følgende underdatabehandlere:
Leverandør | Persondata-kategorier | Funktion |
Billy ApS | Behandlingen omfatter følgende kategorier af registrerede:
Behandlingen omfatter følgende kategorier af personoplysninger:
| Bogføringssystem |
Intercom Inc. | Behandlingen omfatter følgende kategorier af registrerede:
Behandlingen omfatter følgende kategorier af personoplysninger:
| Support og kommunikation |
Årsregnskabet ApS CVR: 33352514 | Behandlingen omfatter følgende kategorier af registrerede:
Behandlingen omfatter følgende kategorier af personoplysninger:
| Udarbejdelse af årsregnskaber for kunder som vælger vores Revisor Pakke. |
Slack Technologies Limited VAT ID: IE 3336483DH | Behandlingen omfatter følgende kategorier af registrerede:
Behandlingen omfatter følgende kategorier af personoplysninger:
| Intern håndtering af support |
Relatel A/S CVR: 40075291 | Behandlingen omfatter følgende kategorier af personoplysninger:
| Support |
Creditro A/S | Behandlingen omfatter følgende kategorier af personoplysninger:
| AML Tilsyn |
HubSpot Ireland Ltd
| Behandlingen omfatter følgende kategorier af personoplysninger:
| Support og CRM |
Hotjar | Behandlingen omfatter følgende kategorier af registrerede:
Behandlingen omfatter følgende kategorier af personoplysninger:
| Analyse af kundeadfærd på website og i web-app. |
Facebook Inc. | Behandlingen omfatter følgende kategorier af personoplysninger:
| Support og kommunikation |
Google LLC Products:
| Behandlingen omfatter følgende kategorier af personoplysninger:
| Dataanalyse |
Userflow Inc. | Behandlingen omfatter følgende kategorier af personoplysninger:
| Kommunikation i produktet, produkt-guides, NPS |
Stripe Payments Europe, Limited | Behandlingen omfatter følgende kategorier af personoplysninger:
| Kundebetalinger |
Upodi ApS CVR: 38558862 | Behandlingen omfatter følgende kategorier af personoplysninger:
| Billing System |
Bilag C: Instruks vedrørende behandling af personoplysninger
C.1. Behandlingens genstand og instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
Databehandleren leverer en tjeneste for mikrovirksomheder, som administrerer deres fakturering, regnskab, momsindberetninger og bogholderi.
Databehandleren behandler sådanne personoplysniner på vegne af den dataansvarlige for at kunne levere denne tjeneste, og dermed kontrakten mellem parterne, jf. Artikel 6, stk. 1, litra b, samt den dataansvarliges legitime interesse i henhold til artikel 6, stk. 1, litra f, vedrørende deres interesse i at administrere deres virksomhed.
Databehandleren behandler personoplysninger som fastslået i disse Bestemmelser med det formål at opfylde og levere den tjeneste, som den dataansvarlige har købt af databehandleren. Denne behandling indebærer formålet med at levere en platform for disse tjenester og opfyldelsen af kontrakten mellem parterne, samt levering af produktet solgt af databehandleren.
Enhver anden behandling af personoplysninger omfattet af tjenesten må aftales mellem parterne, og vil være underlagt databehandlerens betingelser og privatlivspolitikker. Personoplysninger behandlet som led i tjenesten leveret til den dataansvarlige sker dog udelukkende på den dataansvarliges instruks.
C.2. Behandlingssikkerhed
Niveauet af sikkerhed tager hensyn til behandlingens omfang, karakter, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Som udgangspunkt udgør behandlingen af personoplysninger ikke behandling af særlige kategorier af personoplysninger. Sikkerhedsniveauet afspejler dette.
Databehandleren er dog instrueret til at have implementeret sikkerhedsforanstaltninger for at undgå enhver uautoriseret adgang til personoplysningerne, uanset at karakteren af personoplysningere udgør en lav risiko. Disse foranstaltninger udgør firewall-beskyttelse, anti-virusprogrammer, mobile management og lignende beskyttelsesmetoder for alle plug-ins og kommercielle links, hvor personoplysninger bliver behandlet.
Med hensyntagen til omfanget af personoplysninger har databehandleren indført kryptering af personoplysningerne, hvor dette er passende og muligt, herunder men ikke begrænset til under transmission.
Endvidere er den dataansvarlige opfordret til at pseudonymisere særlige kategorier af personoplysninger, hvor behandlingen af sådanne oplysninger er nødvendig for databehandleren for at levere den aftalte tjeneste.
C.3. Bistand til den dataansvarlige
Databehandleren skal så vidt muligt, indenfor nedenstående omfang og udstrækning, bistå den dataansvarlige i overensstemmelse med Bestemmelserne ved at gennemføre tekniske og organisatoriske foranstaltninger.
Tekniske og organisatoriske foranstaltninger implementeret af databehandleren indebærer organisatorisk fortrolighed, krypteringer, sikkerhed i forbindelse med adgang til opbevarede personoplysninger og lignede foranstaltninger hvor dette synes nødvendigt.
C.4. Opbevaringsperiode og sletterutine
Databehandleren sletter de behandlede personoplysninger når de ikke længere er nødvendige for deres formål, herunder ved opgør av servicekontrakten mellem parterne. Databehandleren kan opbevare personoplysningerne i længere tid hvis EU-ret eller medlemsstaternes nationale ret foreskriver en sådan længere opbevaring. Idet der foreligger et kundeforhold mellem parterne, hvor databehandleren også er dataansvarlig for andre personoplysninger, vil sådanne personoplysninger opbevares i 3 år efter ophøret af servicekontrakten.
C.5. Lokalitet for behandling
Behandlingen af personoplysningerne i henhold til disse Bestemmelser må ikke behandles på andre lokationer end databehandlerens faciliteter, herunder databehandlerens underdatabehandlere. Enhver behandling udenfor disse lokationer skal godkendes af den dataansvarlige forud for behandlingen.
På grund af brugen af underdatabehandlere vil der kunne ske overførsler til tredjelande. I sådanne tilfælde har databehandleren sikret overholdelse af databeskyttelsesforordningen gennem databehandleraftaler baseret på EU-Kommissionens standardkontraktbestemmelser, samt passende organisatoriske og tekniske foranstaltninger for at sørge for behandlingssikkerheden. Databehandleren har sikret et lovlig overførselsgrundlag, såvel som de supplerende foranstaltninger som er påkrævet for at garantere behandlingssikkerheden.
C.6. Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren
Ved anmodning fra den dataansvarlige skal databehandleren indhente en inspektionsrapport fra en tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er forpligtet til at afsætte de rimelige ressourcer, herunder tid, der er nødvendig for at den dataansvarlige kan gennemføre sin inspektion.