Gluu

Databehandleraftale

Med henblik på artikel 28, stk. 3, i forordning 2016/679 (GDPR)

Denne Databehandleraftale (DPA) udgør Gluu (“Databehandleren”) og Kundens (“den Dataansvarlige”) hver især en “part”; tilsammen ‘parterne’, forpligtelser vedrørende databehandling og er en del af aftalen.

Kunde/Dataansvarlig, i henhold til Vilkår & Betingelser er du som kontoejer, der bruger Gluu’s Services.

ER BLEVET enige om følgende kontraktbestemmelser (klausulerne) for at opfylde kravene i GDPR og for at sikre beskyttelsen af den registreredes rettigheder.

1. Indholdsfortegnelse

2. Præambel
3. Den registeransvarliges rettigheder og forpligtelser
4. Databehandleren handler efter instruks
5. Fortrolighed
6. Sikkerhed ved behandling
7. Brug af underdatabehandlere
8. Overførsel af oplysninger til tredjelande eller internationale organisationer
9. Bistand til den dataansvarlige
10. Anmeldelse af brud på persondatasikkerheden
11. Sletning og tilbagelevering af data
12. Revision og inspektion
13. Parternes aftale om andre vilkår
14. Ikrafttræden og ophør
Tillæg A
Tillæg B
Tillæg C

2. Præambel

Disse kontraktbestemmelser (standardbestemmelserne) fastsætter den dataansvarliges og databehandlerens rettigheder og forpligtelser ved behandling af personoplysninger på vegne af den dataansvarlige.

Bestemmelserne er udformet med henblik på at sikre parternes overholdelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

I forbindelse med levering af et online Business Process Management-værktøj behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med standardbestemmelserne.

Klausulerne har forrang for lignende bestemmelser i andre aftaler mellem parterne.

Fire bilag er knyttet til standardbestemmelserne og udgør en integrerende del af bestemmelserne.

Bilag A indeholder oplysninger om behandlingen af personoplysninger, herunder formålet med og arten af behandlingen, typen af personoplysninger, kategorier af registrerede og behandlingens varighed.

Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste over underdatabehandlere, der er godkendt af den dataansvarlige.

Bilag C indeholder den dataansvarliges instruks om behandling af personoplysninger, de minimumssikkerhedsforanstaltninger, som databehandleren skal gennemføre, og hvordan revisioner af databehandleren og eventuelle underdatabehandlere skal udføres.

Bestemmelserne sammen med bilag opbevares skriftligt, herunder elektronisk, af begge parter.

Klausulerne fritager ikke databehandleren fra forpligtelser, som databehandleren er underlagt i henhold til databeskyttelsesforordningen (GDPR) eller anden lovgivning.

3. Den registeransvarliges rettigheder og forpligtelser

Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger finder sted i overensstemmelse med GDPR (se artikel 24 GDPR), de gældende EU- eller medlemsstats[1] databeskyttelsesbestemmelser og klausulerne.

Den dataansvarlige har ret og pligt til at træffe beslutninger om formålene med og midlerne til behandling af personoplysninger.

Den dataansvarlige er bl.a. ansvarlig for, at den behandling af personoplysninger, som databehandleren pålægges at foretage, har et retsgrundlag.

4. Databehandleren handler efter instruks

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt. Sådanne instrukser skal fremgå af bilag A og C. Efterfølgende instrukser kan også gives af den dataansvarlige under hele behandlingen af personoplysninger, men sådanne instrukser skal altid dokumenteres og opbevares skriftligt, herunder elektronisk, i forbindelse med standardbestemmelserne.

Databehandleren skal straks underrette den dataansvarlige, hvis instruktioner fra den dataansvarlige, efter databehandlerens opfattelse, strider mod GDPR eller de gældende EU- eller medlemsstatsdatabeskyttelsesbestemmelser.

5. Fortrolighed

Databehandleren giver kun adgang til de personoplysninger, der behandles på vegne af den dataansvarlige, til personer under databehandlerens myndighed, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt og kun på et need to know-grundlag. Listen over personer, der har fået adgang, tages regelmæssigt op til revision. På grundlag af denne gennemgang kan en sådan adgang til personoplysninger trækkes tilbage, hvis adgang ikke længere er nødvendig, og personoplysninger derfor ikke længere er tilgængelige for disse personer.

Databehandleren skal på anmodning af den dataansvarlige påvise, at de berørte personer under databehandlerens myndighed er underlagt ovennævnte fortrolighed.

6. Sikkerhed ved behandling

Artikel 32 GDPR fastsætter, at den dataansvarlige og databehandleren under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og arten, omfanget, konteksten og formålene med behandlingen samt risikoen af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der står i forhold til risikoen. Den dataansvarlige evaluerer de risici for fysiske personers rettigheder og frihedsrettigheder, der er forbundet med behandlingen, og gennemfører foranstaltninger til at begrænse disse risici. Afhængigt af deres relevans kan foranstaltningerne omfatte følgende:

(a) Pseudonymisering og kryptering af personoplysninger;

b) evnen til at sikre behandlingssystemers og -tjenesters fortsatte fortrolighed, integritet, tilgængelighed og modstandsdygtighed

c) evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

d) en proces for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.

I henhold til artikel 32 GDPR skal databehandleren også – uafhængigt af den dataansvarlige – evaluere risiciene for fysiske personers rettigheder og frihedsrettigheder, der er forbundet med behandlingen, og gennemføre foranstaltninger til at afbøde disse risici. Med henblik herpå giver den dataansvarlige databehandleren alle oplysninger, der er nødvendige for at identificere og evaluere sådanne risici.

Endvidere skal databehandleren bistå den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i henhold til artikel 32 i GDPR ved at blandt andet at give den dataansvarlige oplysninger om de tekniske og organisatoriske foranstaltninger, som databehandleren allerede har implementeret i henhold til artikel 32 GDPR, sammen med alle andre oplysninger, der er nødvendige for, at den dataansvarlige kan overholde den dataansvarliges forpligtelse i henhold til artikel 32 GDPR. Hvis efterfølgende – efter den dataansvarliges vurdering – afbødning af de identificerede risici kræver yderligere foranstaltninger implementeret af databehandleren end dem, der allerede er implementeret af databehandleren i henhold til artikel 32 GDPR, skal den dataansvarlige specificere disse yderligere foranstaltninger, der skal implementeres i bilag C.

7. Brug af underdatabehandlere

Databehandleren skal opfylde kravene i artikel 28, stk. 2 og 4, GDPR for at engagere en anden databehandler (en underdatabehandler).

Databehandleren må derfor ikke engagere en anden databehandler (underdatabehandler) til opfyldelse af standardbestemmelserne uden forudgående generel skriftlig tilladelse fra den dataansvarlige.

Databehandleren har den dataansvarliges generelle tilladelse til ansættelse af underdatabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle påtænkte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere mindst 20 dage i forvejen, hvorved den dataansvarlige får mulighed for at gøre indsigelse mod sådanne ændringer forud for ansættelsen af den eller de berørte underdatabehandlere. Længere frister for forudgående varsel for specifikke udliciteringstjenester kan fastsættes i tillæg B. Listen over underdatabehandlere, der allerede er godkendt af den dataansvarlige, findes i bilag B.

Hvis databehandleren engagerer en underdatabehandler til at udføre specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges den pågældende underkontraherede registerfører de samme databeskyttelsesforpligtelser som fastsat i standardbestemmelserne ved en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, idet der navnlig gives tilstrækkelige garantier for at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i klausulerne og GDPR. Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder de forpligtelser, som databehandleren er underlagt i henhold til standardbestemmelserne og GDPR.

En kopi af en sådan underdatabehandleraftale og efterfølgende ændringer skal – på den dataansvarliges anmodning – indsendes til den dataansvarlige, hvorved den dataansvarlige får mulighed for at sikre, at de samme databeskyttelsesforpligtelser, som fremgår af standardbestemmelserne, pålægges underdatabehandleren. Klausuler om forretningsrelaterede spørgsmål, der ikke påvirker det juridiske databeskyttelsesindhold i underdatabehandleraftalen, kræver ikke indsendelse til den dataansvarlige.

Databehandleren skal aftale en tredjepartsløfteklausul med underdatabehandleren, hvor den dataansvarlige – i tilfælde af databehandlerens konkurs – skal være en tredjemandsbegunstiget i henhold til underdatabehandleraftalen og skal have ret til at håndhæve aftalen over for den underdatabehandler, som databehandleren har ansat, f.eks. ved at give den dataansvarlige mulighed for at pålægge underdatabehandleren at slette eller tilbagelevere personoplysningerne.

Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for så vidt angår opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder i henhold til GDPR – navnlig dem, der er omhandlet i artikel 79 og 82 GDPR – over for den dataansvarlige og databehandleren, herunder underdatabehandleren.

8. Overførsel af oplysninger til tredjelande eller internationale organisationer

Alle databehandlerens oplysninger opbevares udelukkende inden for EU (Nordeuropa, f.eks. Dublin og Amsterdam). Backup, storage og redundans håndteres alt sammen lokalt i Microsofts nordeuropæiske datacentre.

Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer foretaget af databehandleren må kun ske på grundlag af dokumenterede instrukser fra den dataansvarlige og skal altid ske i overensstemmelse med kapitel V GDPR.

Hvis videregivelse til tredjelande eller internationale organisationer, som databehandleren ikke er blevet pålagt at udføre af den dataansvarlige, er påkrævet i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav forud for behandlingen, medmindre denne lovgivning forbyder sådanne oplysninger af hensyn til vigtige samfundsinteresser.

Uden dokumenteret instruks fra den dataansvarlige kan databehandleren derfor ikke inden for rammerne af standardbestemmelserne:(a) overføre personoplysninger til en dataansvarlig eller en databehandler i et tredjeland eller i en international organisation(b) overføre behandlingen af personoplysninger til en underdatabehandler i et tredjeland(c)få personoplysningerne behandlet af databehandleren i et tredjeland

Den dataansvarliges instrukser vedrørende overførsel af personoplysninger til et tredjeland, herunder, hvis det er relevant, overførselsværktøjet i henhold til kapitel V i GDPR, som de er baseret på, skal fremgå af tillæg C.6.

Klausulerne må ikke forveksles med standarddatabeskyttelsesklausuler i henhold til artikel 46, stk. 2, litra c) og d), GDPR, og parterne kan ikke påberåbe sig klausulerne som et overførselsværktøj i henhold til kapitel V GDPR.

9. Bistand til den dataansvarlige

Under hensyntagen til behandlingens karakter bistår databehandleren så vidt muligt den dataansvarlige med passende tekniske og organisatoriske foranstaltninger med opfyldelsen af den dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af den registreredes rettigheder i henhold til kapitel III GDPR. Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige med den dataansvarliges overholdelse af:
a) retten til at blive informeret, når personoplysninger indsamles fra den registrerede
b) retten til at blive underrettet, når personoplysninger ikke er indhentet fra den registrerede
c) den registreredes ret til indsigt
d) retten til berigtigelse
e) retten til sletning (“retten til at blive glemt”)
f) retten til begrænsning af behandling
g) underretningspligt vedrørende berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
h) retten til dataportabilitet
i) retten til indsigelse
j) retten til ikke at være genstand for en afgørelse, der udelukkende er baseret på automatisk behandling, herunder profilering

Ud over databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til pkt. 6.3. skal databehandleren endvidere under hensyntagen til behandlingens karakter og de oplysninger, som databehandleren har til rådighed, bistå den dataansvarlige med at sikre overholdelse af:

Den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer efter at være blevet bekendt hermed at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre bruddet på persondatasikkerheden sandsynligvis ikke vil indebære en risiko for fysiske personers rettigheder og frihedsrettigheder;

den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om bruddet på persondatasikkerheden, når bruddet på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder

den dataansvarliges forpligtelse til at foretage en vurdering af de planlagte behandlingsaktiviteters indvirkning på beskyttelsen af personoplysninger (en konsekvensanalyse vedrørende databeskyttelse)

den dataansvarliges pligt til at høre den kompetente tilsynsmyndighed, Datatilsynet, forud for behandling, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil medføre en høj risiko, hvis den dataansvarlige ikke træffer foranstaltninger til at mindske risikoen.

Parterne definerer i bilag C de passende tekniske og organisatoriske foranstaltninger, hvormed databehandleren er forpligtet til at bistå den dataansvarlige, samt omfanget og omfanget af den nødvendige bistand. Dette gælder for de forpligtelser, der er fastsat i punkt 9.1. og 9.2.

10. Anmeldelse af brud på persondatasikkerheden

I tilfælde af brud på persondatasikkerheden skal databehandleren uden unødig forsinkelse efter at være blevet bekendt hermed underrette den dataansvarlige om bruddet på persondatasikkerheden.

Databehandlerens anmeldelse til den dataansvarlige skal så vidt muligt ske inden 72 timer efter, at databehandleren er blevet bekendt med bruddet på persondatasikkerheden, således at den dataansvarlige kan opfylde den dataansvarliges forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. Artikel 33 GDPR.

I henhold til § 9, stk. 2, litra a, skal databehandleren bistå den dataansvarlige med at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, hvilket betyder, at databehandleren er forpligtet til at bistå med at indhente nedenstående oplysninger, som i henhold til artikel 33, stk. 3, GDPR skal fremgå af den dataansvarliges anmeldelse til den kompetente tilsynsmyndighed:

personoplysningernes art, herunder, hvor det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte personoplysningsregistreringer

de sandsynlige konsekvenser af bruddet på persondatasikkerheden

de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvor det er relevant, foranstaltninger til at afbøde dets mulige negative virkninger.

Parterne definerer i tillæg C alle de elementer, som databehandleren skal fremlægge, når han bistår den dataansvarlige med at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.

11. Sletning og tilbagelevering af data

Ved ophør af leveringen af databehandlingstjenester er databehandleren forpligtet til at slette alle personoplysninger, der behandles på vegne af den dataansvarlige, og bekræfte over for den dataansvarlige, at denne har gjort det, medmindre EU-retten eller medlemsstaternes nationale ret kræver opbevaring af personoplysningerne.

12. Revision og inspektion

Databehandleren skal stille alle oplysninger, der er nødvendige for at påvise overholdelse af forpligtelserne i artikel 28 og standardbestemmelserne, til rådighed for den dataansvarlige og give mulighed for og bidrage til revisioner, herunder inspektioner, der udføres af den dataansvarlige eller en anden revisor, der er bemyndiget af den dataansvarlige.

Procedurer for den dataansvarliges revisioner, herunder inspektioner, af databehandleren og underdatabehandlerne fremgår af bilag C.7. og C.8.

Databehandleren er forpligtet til at give tilsynsmyndigheder, som i henhold til gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der handler på vegne af sådanne tilsynsmyndigheder, adgang til databehandlerens fysiske faciliteter mod forevisning af passende identifikation.

13. Parternes aftale om andre vilkår

Parterne kan aftale andre klausuler vedrørende levering af personoplysningsbehandlingstjenesten, der specificerer f.eks. ansvar, så længe de ikke direkte eller indirekte strider mod standardbestemmelserne eller skader den registreredes grundlæggende rettigheder eller friheder og den beskyttelse, der ydes af GDPR.

14. Ikrafttræden og ophør

Klausulerne træder i kraft på datoen for oprettelsen af Kundens/Controllerens konto.

Begge parter har ret til at kræve standardbestemmelserne genforhandlet, hvis lovændringer eller hensigtsmæssigheden af klausulerne skulle give anledning til en sådan genforhandling.

Standardbestemmelserne gælder, så længe der leveres tjenester til behandling af personoplysninger. Så længe leveringen af tjenester til behandling af personoplysninger varer, kan standardbestemmelserne ikke opsiges, medmindre parterne har aftalt andre bestemmelser om levering af tjenester til behandling af personoplysninger.

Hvis leveringen af databehandlingstjenester ophører, og personoplysningerne slettes eller returneres til den dataansvarlige i henhold til punkt 11.1. og Bilag C.4., kan bestemmelserne opsiges ved skriftlig meddelelse fra begge parter.

På vegne af databehandleren

NavnSøren Pommer
PositionCEO
Mobil+45 5049 8938
E-mailspommer@gluu.biz

15. Kontaktpersoner/kontaktpunkter for dataansvarlig og databehandler

Parterne kan kontakte hinanden ved hjælp af følgende kontakter/kontaktpunkter, jf. punkt 13. Ikrafttræden og ophør

Parterne er forpligtet til løbende at underrette hinanden om ændringer i kontakter/kontaktpunkter.

Bilag A: Oplysninger om behandlingen

A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er:

A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige skal primært vedrøre (behandlingens karakter):

A.3. Behandlingen omfatter følgende typer personoplysninger om registrerede:

A.4. Behandling omfatter følgende kategorier af registrerede:

A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan udføres, når Klausulerne træder i kraft. Behandling har følgende varighed:

Varigheden af processen er så længe den dataansvarlige har en konto på online Gluu systemet.


Bilag B: Autoriserede underdatabehandlere

B.1. Godkendte underdatabehandlere

Ved ikrafttrædelsen af standardbestemmelserne giver den dataansvarlige tilladelse til ansættelse af følgende underdatabehandlere:

NavnAdresseBeskrivelse af behandlingen
Microsoft Data Center-South County Business ParkOne Microsoft Place, Carmanhall and Leopardstown, Dublin, D18 P521, IrlandGæstfrihed
Dataansvarlige ejer data
Dataprocessorer interne data
Intercom3rd Floor, Stephens Ct. 18-21 St. Stephen’s Green, Dublin 2, IrlandOnline support
Dataprocessorer interne data
Stribe inc185 Berry Street, Suite 550, San Francisco, CA 94107, USAFaktureringssystem
Dataprocessorer interne data
MailChimp / Mandrill675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USAE-mail marketing
Dataprocessorer interne data
Pipedrive OÜPaldiski mnt 80, Tallinn 10617, EstlandCRM-system
Dataprocessorer interne data

Alle underdatabehandlere anvendes til Databehandlerens interne databehandling. Den dataansvarlige skal ved ikrafttrædelsen af standardbestemmelserne tillade brug af ovennævnte underdatabehandlere til den behandling, der er beskrevet for den pågældende part. Databehandleren er ikke berettiget til – uden den dataansvarliges udtrykkelige skriftlige tilladelse – at antage en underdatabehandler til en “anden” behandling end den, der er aftalt, eller lade en anden underdatabehandler udføre den beskrevne behandling.

B.2. Forudgående meddelelse om godkendelse af underdatabehandlere

Den dataansvarlige kan acceptere eller afvise nye underdatabehandlere inden for 7 kalenderdage efter modtagelse af anmodningen. Svaret skal indeholde en gyldig forretningsrodfæstet årsag.

Bilag C: Instruks vedrørende brug af personoplysninger

C.1. Emnet for/instruktion til behandlingen

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige foretages af databehandleren, der udfører følgende:

C.2. Sikkerhed ved behandling

Ved fastsættelsen af sikkerhedsniveauet tages der hensyn til:

Dette anses for at have et meget lavt sikkerhedsniveau.

Den dataansvarlige har ingen krav om kryptering eller pseudoanonymitet, da databehandleren har meget begrænset adgang til eventuelle følsomme personoplysninger.

C.3. Bistand til den dataansvarlige

Databehandleren skal så vidt muligt – inden for rammerne og omfanget af den bistand, der er angivet nedenfor – bistå den dataansvarlige i overensstemmelse med pkt. 9.1. og 9.2.

C.4. Opbevaringsperiode/sletteprocedurer

Personoplysninger opbevares i hele Enterprise-kontraktens løbetid og yderligere 3 år, hvorefter personoplysningerne automatisk slettes af databehandleren.

Ved ophør af levering af behandling af personoplysninger skal databehandleren enten slette eller returnere personoplysningerne i overensstemmelse med punkt 11.1., medmindre den dataansvarlige – efter kontraktens underskrivelse – har ændret den dataansvarliges oprindelige valg. En sådan ændring skal dokumenteres og opbevares skriftligt, herunder elektronisk, i forbindelse med standardbestemmelserne.

C.5. Behandlingssted

Behandling af personoplysninger i henhold til standardbestemmelserne kan ikke udføres andre steder end følgende uden den dataansvarliges forudgående skriftlige tilladelse: Europa.

C.6. Instruks om overførsel af personoplysninger til tredjelande

Databehandleren må kun overføre personoplysninger til tredjelande med forudgående skriftligt samtykke fra den Dataansvarlige (f.eks. Kunden).

Hvis den dataansvarlige ikke i Klausulerne eller efterfølgende giver dokumenterede instrukser vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af Klausulerne at foretage en sådan overførsel.

C.7. Procedurer for den dataansvarliges revisioner, herunder inspektioner, af den behandling af personoplysninger, der udføres af databehandleren

Den dataansvarlige eller den dataansvarliges repræsentant foretager en fysisk inspektion af de steder, hvor behandlingen af personoplysninger foretages af databehandleren, herunder fysiske faciliteter samt systemer, der anvendes til og er relateret til behandlingen for at sikre databehandlerens overholdelse af GDPR, de gældende EU- eller medlemsstatsdatabeskyttelsesbestemmelser og klausulerne.

Ud over den planlagte inspektion kan den dataansvarlige foretage en inspektion hos databehandleren, når den dataansvarlige finder det nødvendigt.

Den dataansvarliges eventuelle omkostninger til fysisk inspektion afholdes af den dataansvarlige. Databehandleren er dog forpligtet til at afsætte de ressourcer (primært tid), der er nødvendige for, at den dataansvarlige kan udføre inspektionen.

[1] Henvisninger til “medlemsstater” i hele standardbestemmelserne skal forstås som henvisninger til “EØS-medlemsstater”.