Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne er enige om at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandl...
Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren overfører ikke personoplysninger til tredjelande, undtagen til de generelt godkendte underdatabehandlere listet i Bilag B Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.
Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.
Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Den dataansvarlige instruerer databehandleren i at foretage overførsler til tredjelande, hvis dette findes relevant for behandlingen. Der vil kun kunne ske overførsel til en nuværende, eller i fremtiden godkendt underdatabehandler. Databehandleren er i den forbindelse forpligtet til at sikre lovligheden og sikkerheden af data der måtte overføres. Der vil være sikret et overførselsgrundlag efter GDPR-kapitel V, i form at en tilstrækkeligheds- afgørelse, Standard Contractual Clauses (SCC) og/eller Binding Corporate Rules (BCR). Ved anmodning vil databehandleren fremsende passende dokumentation på at databehand- leren overholder nærværende aftale og databeskyttelsesreglerne. Databehandleren vil frem- sende et besvaret spørgeskema, som bør betragtes som tilstrækkeligt. Ønsker den dataansvarlige yderligere dokumentation eller adgang til at føre fysisk audit, skal dette aftales direkte med databehandleren. Databehandleren forbeholder sig retten til at tage sin vanlige timepris for assistance med at fremskaffe yderligere dokumentation samt fysiske inspektioner.
Instruks vedrørende overførsel af personoplysninger til tredjelande. Der overføres ikke data til tredjelande. Data bliver som beskrevet i denne aftale bilag B, opbevare[t] i Holland & Tyskland, efter aftale med Microsoft Azure. Eventuel support fra Microsoft Azure vil ske fra deres danske support i henhold til aftalen med Microsoft Azure. …” Personoplysningerne opbevares på ExamCookie’s servers som udgangspunkt i 30 dage og i særlige tilfælde maksimalt i 3 måneder. ExamCookie kan slette data inden for maksimalt 48 timer, hvis der skulle være et ønske fra den dataansvarlige skole om dette. Endelig synkroniserer ExamCookie ugentligt sit system med Unilogin, hvorved data om elever, som ikke længere er aktive i SkoleGrunddata slettes.13 Eleven, hvis oplysninger bliver behandlet, kan få adgang til indsigt i data indsamlet fra institutionen via Unilogin på ExamCookie´s hjemmeside.14 Desuden kan den registrerede altid udøve sine rettigheder ved henvendelse til den dataansvarlige skole.
Instruks vedrørende overførsel af personoplysninger til tredjelande. 6.1 Personoplysningerne behandles kun af Databehandleren på de lokationer, som er beskrevet i Bestemmelse C.5. Databehandleren overfører ikke personoplysninger til tredjelande eller internationale organisationer.
6.2 I det omfang personoplysninger overføres til tredjelande, som ikke har været genstand for en afgørelse om tilstrækkelig sikkerhed efter GDPR,artikel 45, hvor begge parter er dataansvarlige, og denne overførsel ikke er omfattet af en eller flere af undtagelsesreglerne i artikel 49, skal retsgrundlaget ligeledes være standardkontraktbestemmelser som indeholdt i bilag E.
6.3 Hvis den Dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er Databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.
6.4 Overførsel af personoplysninger må i alle tilfælde kun ske som foreskrevet i Bestemmelserne, på den Dataansvarliges instruks, og i det omfang det er tilladt i medfør af databeskyttelseslovgivningen.
6.5 Såfremt overførslen af personoplysningerne til tredjelande udenfor EU/EØS sker ved Databehandlerens overførsel til underdatabehandlere, giver den Dataansvarlige ved Bestemmelserne fuldmagt til, at Databehandleren på vegne af den Dataansvarlige kan indgå standardkontraktbestemmelserne vedtaget af Kommissionen med Databehandlerens underdatabehandlere, forudsat at alle regler i databeskyttelseslovgivningen for overførsel og behandling i øvrigt efterleves. Såfremt den Dataansvarlige selv er databehandler, og Databehandleren optræder som underdatabehandler for personoplysningerne i forhold til den Dataansvarliges ultimative kontraktpart(er), skal den Dataansvarlige indhente fuldmagt fra den ultimative kontraktpart til Databehandlerens indgåelse af standardkontraktbestemmelserne.
6.6 Når Databehandleren, i overensstemmelse med disse bestemmelser, overfører personoplysninger omfattet af aftalen videre til underdatabehandlere eller selvstændigt dataansvarlige i tredjelande, skal Databehandleren selv sørge for at sikre, at overførslen overholder kapitel 5 i Forordning 2016/679.
Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren og de godkendte underdatabehandlere, jf. Bilag B.1, overfører ikke personoplysninger til tred- jelande. Ved ændring af lokationer for databehandlerens behandling af personoplysninger, som vil medføre overførsel til usikre tredjelande, er databehandleren forpligtet til skriftligt at oplyse den dataansvarlige med mindst 3 måneders skriftligt varsel, hvorved den dataansvarlige får mulig-hed for at gøre indsigelse mod overførsel, jf. Bilag C.5. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrø- rende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Den dataansvarlige eller en repræsentant for den dataansvarlige kan udbede sig skriftlig bekræftelse eller fore- tage en fysisk inspektion af lokaliteterne, hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Ud over det planlagte tilsyn, kan den dataansvarlige gennemføre et skriftligt tilsyn eller en inspektion hos data- behandleren, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.
Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren skal sikre, at der træffes passende beskyttelsesforanstaltninger for overførsel af per- sonoplysningerne i overensstemmelse med databeskyttelsesforordningen. Sådanne passende sikker- hedsforanstaltninger kan omfatte, men er ikke begrænset til, at Databehandleren indgår bindende af- taler med underdatabehandlere i overensstemmelse med Europa-Kommissionens standardkontrakt- klausuler for overførsel af personoplysninger til et land uden for EU/EØS. Overførsel til et land uden for EU/EØS kan også baseres på en gyldig beslutning om passende beskyttelsesniveau fra Europa-Kom- missionen Alle data, herunder personoplysninger, behandles og opbevares indenfor EU, og må ikke direkte eller indirekte helt eller delvist tilgås fra lande udenfor EU/EØS. Databehandleren indestår for, at alle data, herunder personoplysninger, som Databehandleren via alle sine underdatabehandlere behandler på vegne af den Dataansvarlige i henhold til disse Bestem- melser ikke i nogen tilfælde, hverken af tekniske eller kommercielle grunde overføres til og behand- les i tredjelande. Databehandleren garanterer, at personoplysninger ikke overføres til tredjelande i forbindelse med brug af Databehandlerens tjeneste eller levering af Databehandlerens ydelser omfattet af denne Da- tabehandleraftale eller underdatabehandlerens ydelser, uanset om sådan overførsel sker af tekniske eller kommercielle grunde. På den Dataansvarliges anmodning skal Databehandleren udlevere dokumentation af såvel tjene- stens overførelsesmuligheder samt de tekniske og procesmæssige foranstaltninger, som Databe- handleren har fastsat for at undgå utilsigtede overførsler af personoplysninger til lande udenfor EU/EØS.
Instruks vedrørende overførsel af personoplysninger til tredjelande. Den dataansvarlige bemyndiger og instruerer hermed databehandleren til at overføre person- oplysninger til de tredjelande, hvor databehandlerens underdatabehandlere er baseret, jf. bilag B. Ved overførsel til tredjelande, der ikke er godkendt af EU-Kommissionen som sikre tredje- lande, træffer databehandleren de nødvendige foranstaltninger for at sikre tilstedeværelsen af et gyldigt overførselsgrundlag, såsom EU-Kommissionens standardkontrakter. I forhold til kravet om at træffe supplerende foranstaltninger for at sikre, at den registrerede i alt væsentligt har samme beskyttelse, når data eksporteres til tredjelande, som hvis data var forblevet inden for EU, har databehandleren foranstaltet • at data er krypteret med en kryptering, der generelt anses for ”stærk” • at krypteringsnøglen opbevares sikkert inden for EU, og • at krypteringsalgoritme, nøglelængde og andre faktorer ændres, såfremt den tekno- logiske udvikling tilsiger, at dette er nødvendigt for, at krypteringen til stadighed kan anses for ”stærk”. Dette er efter databehandlerens opfattelse tilstrækkeligt til at sikre de registrerede den påkræ- vede beskyttelse. I henhold til databeskyttelsesforordningen påhviler der den dataansvarlige et selvstændigt an- svar for at vurdere behovet for yderligere supplerende foranstaltninger til sikring af, at over- førslen til pågældende tredjelande lovligt kan finde sted. Life Peaks lægger derfor til grund, at den dataansvarlige har foretaget en sådan vurdering og i påkommende fald har truffet sådanne yderligere foranstaltninger, således at instruksen om overførsel til tredjelande dermed er lovlig.
Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Den dataansvarlige eller en repræsentant for den dataansvarlige har ret til, at foretage et årligt fysisk tilsyn vedrørende overholdelsen af denne databehandleraftale hos databehandleren. Udover det planlagte tilsyn, kan der føres tilsyn med databehandleren, når der efter den dataansvarliges vurdering opstår et behov herfor. Den dataansvarliges eventuelle udgifter i forbindelse med et fysisk tilsyn afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsaligt den tid), der er nødvendig for, at den dataansvarlige kan gennemføre sit tilsyn. Den dataansvarlige betaler for databehandlerens tidsforbrug i forbindelse med tilsyn.