Common use of Instruks vedrørende overførsel af personoplysninger til tredjelande Clause in Contracts

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne er enige om at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med den i Bilag B punkt B.2 og B.3 anførte proces og nærværende punkt C.6.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag krævesDen dataansvarlige giver instruks til, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne personoplysninger behandles af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til de underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den der er nævnt i bilag B punkt B.1 omtalte oversigt fremgår B, samt på de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registreredepågældende lokationer heri. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne Der er enige om enighed mellem parterne om, at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning følgende typer af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandleren revisionserklæring kan anvendes i overensstemmelse med disse Bestemmelser: ISAE 3402-erklæring ISAE 3402 erklæringer på lønproduktionsmiljø (BS2000) og hostingmiljø (frontend, CRM) kan fremsendes til den dataansvarlige til orientering. Derudover henvises der til Q&A, som findes på xxx.Xxxxxxx.xx. Baseret på resultaterne af erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i Bilag B punkt B.2 anden EU-ret eller medlemsstaternes nationale ret og B.3 anførte proces disse Bestemmelser. Parterne skal blive enige om eventuelle yderligere foranstaltninger. Databehandleren er berettiget til at opsige Aftalen mellem Parterne, hvis en aftale ikke kan opnås. Den dataansvarlige afholder alle udgifter i forbindelse med yderligere kontrol, herunder betaling for databehandlerens tidsforbrug. For at anmode om at foretage en kontrol skal den dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til databehandler med beskrivelse af det foreslåede omfang, varighed og nærværende punkt C.6starttidspunkt for kontrollen. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan kun gennemføres, efter aftale mellem parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den dataansvarlige databehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter databehandlers valg. Den dataansvarlige afholder alle omkostninger forbundet med sådanne inspektioner. I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i medfør af databehandlers politikker og må ikke på urimelig måde gribe forstyrrende ind i databehandlers forretningsdrift. Et eventuelt særskilt vederlag til databehandleren i henhold til det ovenstående beregnes på grundlag af det tidsforbrug, databehandleren anvender på fremskaffelsen af informationen, samt databehandlerens almindeligt gældende timesatser, og databehandleren har derudover krav på, at den dataansvarlige dækker eventuelle eksterne omkostninger afholdt af databehandleren til fremskaffelse af informationen, herunder omkostninger afholdt til eventuelt fornøden bistand fra underdatabehandlere.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren LIFE må anvende underdatabehandlere, der befinder sig i EU eller sikre tredjelande eller underleverandører, der har ret underskrevet EU Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande. Den dataansvarlige bemyndiger LIFE til at anvende underdatabehandlere beliggende i tredjelande indgå EU-Kommissionens standardkontraktbestemmelser for over- førsel af personoplysninger til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren LIFE indestår således for, at de anvendte underdatabehandlere enten er etableret i et sikkert tredjeland eller har underskrevet EU Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande. Ud over hvad der følger af dette punkt C.6 eller inden for rammerne af disse Bestemmelser, er databehand- leren ikke berettiget til at overdrage denne bemyndigelse til underdatabehandlereforetage sådanne overførsler, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som medmindre den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførelse af personoplysninger til et tredjeland. I tilfælde af, at retsgrundlaget for overførslen af personligoplysninger angivet i dette punkt C.6 ikke stemmer overens med den gældende datebeskyttelseslovgivning og er databehandleren erstattet eller på anden måde ikke berettiget længere betragtes som værende et gyldigt retsgrundlag for overførslen af personoplysninger uden for EU/EØS, vil Parterne sammen og uden unødig forsinkelse finde og aftale et andet retsgrundlag for overførslen af person- oplysninger uden for EU/EØS. LIFE er forpligtet til inden at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de krav, der følger af denne Aftale. Institutionen, en repræsentant for rammerne af disse Bestemmelser Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at foretage sådanne overførsler. Parterne er enige om inspektioner og revision, stille spørgsmål til og få udleveret dokumentation med henblik på at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelandekontrollere, at LIFE overholder de krav, der i Bestemmelsernes løbetid antages følger af databehandleren denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Er- klæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området, og skal omfatte både Leverandørens og eventuelle underdatabehandleres databehandling. En sådan erklæ- ring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der foretages i Bilag B punkt B.2 henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og B.3 anførte proces LIFEs underle- verandører sig til at stille tid og nærværende punkt C.6ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspek- tioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af per- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag krævesDen dataansvarlige giver instruks til, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne personoplysninger behandles af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til de underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den der er nævnt i bilag B punkt B.1 omtalte oversigt fremgår B, samt på de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registreredepågældende lokationer heri. Hvis den dataansvarlige ikke i disse Bestemmelser bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser bestemmelser at foretage sådanne overførsler. Parterne Databehandleren indhenter årligt en revisionserklæring fra underdatabehandler som er enige om leverandør af databehandlerens mainframe (lønproduktionsmiljø BS2000 og hostingmiljø (fronted og CRM)). Erklæringen er udarbejdet af en uafhængig tredjepart vedrørende databehandlerens og underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse bestemmelser. Der er enighed mellem parterne om, at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning følgende typer af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandleren revisionserklæring kan anvendes i overensstemmelse med disse bestemmelser: ● ISAE 3402-erklæring ● ISAE 3402 erklæringer på lønproduktionsmiljø (BS2000) og hostingmiljø (frontend, CRM) kan fremsendes til den dataansvarlige til orientering. Derudover henvises der til Q&A, som findes på xxx.Xxxxxxx.xx. Baseret på resultaterne af erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i Bilag B punkt B.2 anden EU-ret eller medlemsstaternes nationale ret og B.3 anførte proces disse bestemmelser. Parterne skal blive enige om eventuelle yderligere foranstaltninger. Databehandleren er berettiget til at opsige Aftalen mellem parterne, hvis en aftale ikke kan opnås. Den dataansvarlige afholder alle udgifter i forbindelse med yderligere kontrol, herunder betaling af databehandlerens tidsforbrug. For at anmode om at foretage en kontrol skal den dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til databehandler med beskrivelse af det foreslåede omfang, varighed og nærværende punkt C.6starttidspunkt for kontrollen. Den dataansvarlige eller en repræsentant for den dataansvarlige har derudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan kun gennemføres efter aftale mellem parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den dataansvarlige databehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter databehandlers valg. Den dataansvarlige afholder alle omkostninger forbundet med sådanne inspektioner. I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i medfør af databehandlers politikker, og må ikke på urimelig måde gribe forstyrrende ind i databehandlers forretningsdrift. Et eventuelt særskilt vederlag til databehandleren i henhold til det ovenstående beregnes på grundlag af det tidsforbrug, databehandleren anvender på fremskaffelsen af informationen, samt databehandlerens almindeligt gældende timesatser, og databehandleren har derudover krav på, at den dataansvarlige dækker eventuelle eksterne omkostninger afholdt af databehandleren til fremskaffelse af informationen, herunder omkostninger afholdt til eventuelt fornøden bistand fra underdatabehandlere.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne Databehandleren skal årligt fremsende en statusrapport til den dataansvarlige, der dækker alle de krav der er enige om beskrevet i databehandleraftalen, og andre relevante områder (f.eks. organisatoriske eller produktmæssige ændringer). Databehandleren afholder selv eventuelle udgifter, der måtte være forbundet med udarbejdelsen af statusrapport(er). Databehandleren fremsender al relevant tilsynsmateriale til den dataansvarlige via kontaktpersonen, angivet i pkt. 15. Første statusrapport skal sendes til den dataansvarlige senest 6 måneder efter indgåelse af databehandleraftalen. Dækker statusrapporten ikke alle krav der er beskrevet i databehandleraftalen, kan den dataansvarlige eller en repræsentant for den dataansvarlige foretage skriftlig inspektion, f.eks. i form af spørgeskema, af databehandlerens behandling af personoplysninger, med henblik på at følge den fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i Bilag B punkt B.2 anden EU-ret eller medlemsstaternes nationale ret og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelandeDenne aftale. Den dataansvarliges instruks omfatter således også overførsel eventuelle udgifter i forbindelse med en skriftlig inspektion afholdes af personoplysninger den dataansvarlige selv. Databehandleren er dog forpligtet til nye underdatabehandlere i tredjelandeat afsætte de ressourcer (hovedsageligt den tid), der i Bestemmelsernes løbetid antages af er nødvendig(e) for, at den dataansvarlige kan gennemføre sin skriftlige inspektion. Den dataansvarlige forbeholder sig retten til at eskalere sit tilsyn med databehandleren i overensstemmelse med tilsynskoncepter 4-6, hvis den dataansvarlige via informationer i Bilag B punkt B.2 og B.3 anførte proces og nærværende punkt C.6pressen, tilsynsrapporter eller egne erfaringer med sikkerhedsbrud, evt. får indtryk af problemer hos databehandleren. Hvis den dataansvarlige vælger at eskalere sin tilsynsform med databehandleren til et andet tilsynskoncept, efter tilsynskoncept 4-6, skal rammerne for tilsynet udarbejdes som et tillæg til den eksisterende databehandleraftale.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren LIFE må anvende underdatabehandlere, der befinder sig i EU eller sikre tredjelande eller un- derleverandører, der har ret underskrevet EU Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande. Den dataansvarlige bemyndiger LIFE til at anvende underdatabehandlere beliggende i tredjelande indgå EU-Kommissionens standardkontraktbe- stemmelser for overførsel af personoplysninger til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren LIFE indestår således for, at de anvendte underdatabehandlere enten er etableret i et sikkert tredjeland eller har underskrevet EU Kommissionens standardkontraktbestemmelser for over- førsel af personoplysninger til tredjelande. Ud over hvad der følger af dette punkt C.6 eller inden for rammerne af disse Bestemmelser, er databehandleren ikke berettiget til at overdrage denne bemyndigelse til underdatabehandlereforetage sådanne overførsler, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af medmindre den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller data- ansvarlige efterfølgende giver en dokumenteret instruks vedrørende overførsel overførelse af personoplysninger personop- lysninger til et tredjeland. I tilfælde af, at retsgrundlaget for overførslen af personligoplysninger angivet i dette punkt C.6 ikke stemmer overens med den gældende datebeskyttelseslovgivning og er databehandleren erstattet eller på anden måde ikke berettiget længere betragtes som værende et gyldigt retsgrundlag for overførslen af personoplysninger uden for EU/EØS, vil Parterne sammen og uden unødig forsinkelse finde og aftale et andet retsgrundlag for overførslen af personoplysninger uden for EU/EØS. LIFE er forpligtet til inden at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de krav, der følger af denne Aftale. Institutionen, en repræsentant for rammerne af disse Bestemmelser Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at foretage sådanne overførsler. Parterne er enige om inspektioner og revision, stille spørgsmål til og få udleveret doku- mentation med henblik på at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelandekontrollere, at LIFE overholder de krav, der i Bestemmelsernes løbetid antages følger af databehandleren denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandar- der på området, og skal omfatte både Leverandørens og eventuelle underdatabehandleres databehandling. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæ- ring, der dækker den behandling, der foretages i Bilag B punkt B.2 henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, øn- sker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og B.3 anførte proces LIFEs underleverandører sig til at stille tid og nærværende punkt C.6ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en au- toriseret uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttel- sesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nati- onale ret og disse Bestemmelser. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsa- geligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret er berettiget til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen Anvendelse af underdatabehandlere beliggende i tredjelande kan kun alene ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland mv. har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at etablere og indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt retligt overførselsgrundlag på vegne af den dataansvarlige. Af den punkt B.1. i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelandetredjelande med tilhørende overførselsgrundlag, som den dataansvarlige har godkendtgodkendt brugen af, og som databehandleren dermed er berettiget til – og instrueret om - at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Såfremt der som overførselsgrundlag anvendes EU Kommissionens Standardkontraktsbestemmelser, vedlægges kopi af de af databehandleren på vegne af den dataansvarlige indgåede EU Kommissionens Standardkontraktsbestemmelser (EU standardkontrakt) i et ”Bilag C - underbilag 1” til dette bilag C. EU standardkontrakten vil alene finde anvendelse for den del af ydelserne og behandlingen under Hovedaftalen, der udføres i henhold til EU standardkontraktsbestemmelserne. Øvrigt indhold i nærværende Bestemmelser skal ikke anses for at ændre på indholdet af den vedlagte EU standardkontrakt i Bilag C - underbilag 1. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de den i Bilag C - underbilag 1 indeholdte EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske standardkontrakt som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EUdatabeskyttelseslovgivningen som disse implementeres af databehandleren eller underdatabehandleren i tredjelandet. Eventuelle ændringer vil alene blive gennemført udført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelserKommissionens Standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser standardkontrakt kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registreredetil databehandleren. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne er enige om at følge den i Bilag B punkt B.2 og B.3 i bilag B anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med den i Bilag B punkt B.2 og B.3 i bilag B anførte proces og nærværende punkt C.6.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige Dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren Databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne Databehandleren skal hvert år for egen regning indhente en revisionserklæring fra en uafhængig tredjepart vedrørende Databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enige om enighed mellem parterne om, at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning følgende typer af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandleren revisionserklæring kan anvendes i overensstemmelse med disse Bestemmelser: ISAE 3000. [Erklæringen skal suppleres med ISAE 3402] Revisionserklæringen/erne fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden i Bilag B punkt B.2 erklæringen og B.3 anførte proces kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af erklæringen, er den Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og nærværende punkt C.6disse Bestemmelser. Denne ret er uden beregning for den Dataansvarlige. Den Dataansvarlige eller en repræsentant for den Dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra Databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den Dataansvarlige finder det nødvendigt. Denne ret er uden beregning for den Dataansvarlige. Den Dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den Dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den Dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret Den dataansvarlige instruerer databehandleren i at foretage overførsel af oplysninger til tredjelande, under forudsætning af, at anvende underdatabehandlere beliggende i tredjelande behandlingen er nødvendig af hensyn til opfyldelse levering af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er tjenesterne som omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendtdisse Bestemmelser, og som databehandleren dermed at modtageren af personoplysningerne er berettiget en godkendt underdatabehandler, jf. bilag B. Enhver overførsel af personoplysninger til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med et tredjeland skal være underlagt de til enhver tid gældende regler, som følger af Databeskyttelsesforordningen. Afhængigt af det pågældende tredjeland kan overførslen ske på baggrund af følgende overførselsgrundlag: ▪ EU Kommissionens afgørelse om et tilstrækkeligt beskyttelsesniveau, jf. databeskyttelsesforordningens art. 45 o Herunder EU-regler for brug af U.S. Data Privacy Framework ( EU-U.S. DPF), som alene kan anvendes til at overføre personoplysninger til virksomheder/organisationen fra USA der er certificeret igennem EU-U.S. DPF, listen over de certificerede organisationer kan findes her. ▪ Fornødne garantier baseret på EU standardkontraktsbestemmelserKommissionens standardkontraktbestemmelser, jf. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerededatabeskyttelsesforordningens art. 46, stk. 2, litra c). Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er enige om overladt til databehandleren Den dataansvarlige (eller dennes repræsentant) er berettiget til at følge den i Bilag B punkt B.2 foretage skriftlige og/eller fysiske inspektioner med databehandlerens faciliteter og B.3 anførte proces vedrørende tilføjelse eller udskiftning sikkerhedsforanstaltninger med henblik på at kontrollere, at behandlingen af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelandepersonoplysninger, der i Bestemmelsernes løbetid antages af databehandleren er overladt til databehandleren, sker i overensstemmelse med disse Bestemmelser. Følgende revisioner, herunder inspektioner, kan gennemføres: • Den dataansvarlige kan til enhver tid rekvirere den seneste erklæring fra databehandlerens direktion, som erklærer overholdelse af disse Bestemmelser. Denne direktionserklæring er baseret på en omfattende egenkontrol, som databehandleren udfører årligt. Erklæringen udarbejdes én gang årligt af databehandleren og offentliggøres på databehandlerens hjemmeside. Erklæringen kan til enhver tid tilgås via følgende link: xxxxx://xxxxxxxxxxx.xx/xxxxxxxxxx/XXXX-xxxxxxxxxxxxx. • Databehandleren kan på den dataansvarliges anmodning indhente en inspektionsrapport fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i Bilag B punkt B.2 anden EU-ret eller medlemsstaternes nationale ret og B.3 anførte proces disse Bestemmelser. Såfremt den dataansvarlige kræver en sådan inspektionsrapport, afholder den dataansvarlige omkostningerne hertil. • Den dataansvarlige (eller dennes repræsentant) kan efter aftale med databehandleren foretage fysiske inspektioner med databehandlerens faciliteter og nærværende punkt C.6sikkerhedsforanstaltninger, der er direkte relaterede til behandlingen af personoplysninger under disse Bestemmelser. Fysiske inspektioner kan gennemføres af den dataansvarlige (eller dennes repræsentant), såfremt databehandleren har modtaget skriftligt varsel herom senest 21 dage forinden, medmindre andet er påkrævet af en tilsynsmyndighed. I det omfang den dataansvarlige ønsker at gennemføre sådanne fysiske inspektioner, er den dataansvarlige forpligtet til at vederlægge databehandleren for den herved anvendte (medgåede) tid med de af databehandleren til enhver tid anvendte timesatser. Baseret på resultaterne af den/de gennemførte inspektioner, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne LIFE er enige om forpligtet til at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger give Institutionen nødvendige oplysninger til, at Institutionen til nye underdatabehandlere i tredjelandeenhver tid kan sikre sig, at LIFE overholder de krav, der i Bestemmelsernes løbetid antages følger af databehandleren denne aftale. Institutionen, en repræsentant for Institutionen eller dennes revision (såvel intern som eks- tern) har adgang til at foretage inspektioner og revision, stille spørgsmål til og få udleveret dokumentation med henblik på at kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestan- darder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 er- klæring, der dækker den behandling, der foretages i Bilag B punkt B.2 henhold til databehandleraftalen, jf. af- grænsningen i C.2.1.2. Den første erklæring skal foreligge senest den 1. januar 2021. I forhold til dokumentationen for de organisatoriske foranstaltninger til overholdelse af data- behandleraftalen, der ligger i LIFEs egen organisation, jf. C.2.1.2, aflægger LIFE årligt en skriftlig status, svarende til Datatilsynets tilsynskoncept 3. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og B.3 anførte proces LIFEs underleverandører sig til at stille tid og nærværende punkt C.6ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en au- toriseret uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttel- sesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nati- onale ret og disse Bestemmelser. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (ho- vedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin in- spektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registreredeIkke relevant. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er enige om overladt til databehandleren Den dataansvarlige eller en repræsentant for den dataansvarlige foretager 1-2 gange hvert andet år en fysisk eller skriftlig inspektion af databehandleren, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at følge fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Ud over det planlagte tilsyn, kan den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelandedataansvarlige gennemføre en inspektion hos databehandleren, når den dataansvarlige finder det nødvendigt. Den dataansvarliges instruks omfatter således også overførsel eventuelle udgifter i forbindelse med en fysisk eller skriftlig inspektion afholdes af personoplysninger den dataansvarlige selv. Databehandleren er dog forpligtet til nye underdatabehandlere i tredjelandeat afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Baseret på resultaterne af inspektionen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i Bestemmelsernes løbetid antages anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Alternativt kan databehandleren for egen regning indhente en revisionserklæring fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databehandleren databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæringer kan anvendes i overensstemmelse med disse Bestemmelser: Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig]” Revisionserklæringen fremsendes uden unødig forsinkelse til den dataansvarlige til orientering til e-mailadressen xxx_xxx@xxxxxx.xx. Den dataansvarlige kan anfægte rammerne for og/eller metoden erklæringen og kan i Bilag B punkt B.2 sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af ERKLÆRINGEN, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og B.3 anførte proces disse Bestemmelser. Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til underdatabehandlere Databehandleren skal årligt føre kontrol med sine underdatabehandlere, eksempelvis ved at indhente en revisionserklæring fra en uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og nærværende punkt C.6disse Bestemmelser. Ved dataansvarliges revision af databehandler, skal dokumentationen for databehandlerens kontrol af underdatabehandlere fremgå. Baseret på resultaterne af tilsynet, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige kan – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, hvis den dataansvarlige vurderer, at databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker i overensstemmelse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges eventuelle deltagelse i en inspektion hos underdatabehandleren ændrer ikke ved, at databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Databehandlerens og underdatabehandlerens eventuelle udgifter i forbindelse med en fysisk inspektion af underdatabehandlerens lokaliteter er den dataansvarlige uvedkommende – uanset om den dataansvarlige har initieret og deltaget i en sådan inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at for så vidt angår overførsel af personoplysninger til et tredjelande eller internationale organisationer, medmindre det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det kræves i henhold til det anvendte overførselsgrundlag krævesEU-ret eller medlemsstaternes nationale ret, at som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige er direkte part i overførselsgrundlagetom dette retlige krav inden behandling, skal databehandleren anses for bemyndiget medmindre den pågældende ret forbyder en sådan underretning af hensyn til at indgå dette på vegne af den dataansvarligevigtige samfundsmæssige interesser, jf. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlereart 28, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarligestk. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande3, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. litra a. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er skal databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er enige om overladt til databehandleren Databehandleren skal på skriftlig anmodning forsyne Den dataansvarlige med dokumentation for de tekniske og organisatoriske foranstaltninger, der er gennemført for at følge den sikre et passende sikkerhedsniveau, samt anden information, der er nødvendig for at dokumentere, Databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i Bilag B punkt B.2 anden EU-ret eller medlemsstaternes nationale ret og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelandedisse Bestemmelser. Den dataansvarliges instruks omfatter således også overførsel dataansvarlige har ret til for egen regning at indhente en revisionserklæring én gang om året af personoplysninger til nye underdatabehandlere en uafhængig tredjepart. Den dataansvarlige skal dække alle udgifter i tredjelandeforbindelse med revisionen, og Databehandleren har krav på kompensation for alle omkostninger, der opstår som følge af revisionen, herunder kompensation til Databehandleren for rimelig medgået tid for Databehandleren og dennes medarbejdere for bistand under revisionen. Databehandleren skal dog dække sådanne omkostninger, hvis en revision afdækker væsentlige mangler ved opfyldelsen af de forpligtelser, der fremgår af disse Bestemmelser eller Persondatalovgivningen. Baseret på resultaterne af erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med den i Bilag B punkt B.2 anden EU-ret eller medlemsstaternes nationale ret og B.3 anførte proces og nærværende punkt C.6disse Bestemmelser.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret Der må ikke overføres personoplysninger til tredjelande uden den dataansvarliges samtykke, med mindre en sådan overførsel klart er forudsat ved godkendelse af de benyttede underda- tabehandlere, der er opregnet i bilag B. Det er under alle omstændigheder databehandleren, der er ansvarlig for at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag krævessikre, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt der fore- ligger det fornødne overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren GDPR, kapitel V, og data- behandleren skal dokumentere grundlaget efter anmodning fra den dataansvarlige eller den registrerededataansvarlige. Som ud- gangspunkt EU standardkontraktklausuler blive anvendt, hvis leverandøren ikke er omfattet af et anden overførselsgrundlag som f.eks. EU-US Privacy Shield. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne Den dataansvarlige eller en repræsentant for den dataansvarlige er enige om berettiget til at følge foretage en fysisk inspektion af lokaliteterne, hvorfra databehandleren foretager behandling af personop- lysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med be- handlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesfor- ordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Planlagte tilsyn kan højst gennemføres én gang årligt. Ud over det planlagte tilsyn, kan den dataansvarlige gennemføre en inspektion hos databe- handleren, når den dataansvarlige finder det nødvendigt, f.eks. i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelandeforbindelse med konstaterede databrud. Den dataansvarliges instruks omfatter således også overførsel eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af personoplysninger den dataansvarlige selv. Databehandleren er dog forpligtet til nye underdatabehandlere i tredjelandeat afsætte de ressourcer (hovedsa- geligt den tid), der i Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med er nødvendig(e) for, at den i Bilag B punkt B.2 og B.3 anførte proces og nærværende punkt C.6dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER] [BESKRIV INSTRUKSEN VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL FORORDNINGENS KAPITEL V] [ANGIV GRUNDLAGET FOR OVERFØRSLEN SOM OMHANDLET I DATABESKYTTELSES- Eksempel på tekst: Der vil ikke ske en overførsel af personoplysninger til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne LADT TIL DATABEHANDLEREN] [BESKRIV PROCEDURERNE FOR DEN DATAANSVARLIGES REVISIONER, HERUNDER INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVER- [EKSEMPELVIS] Databehandleren skal en gang årligt for egen regning indhente en revisionserklæring fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforord- ningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enige om enighed mellem parterne om, at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning følgende typer af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandleren revisionserklæringer kan anvendes i overensstemmelse med disse Bestemmelser: ISAE 3000 og ISAE 3402. Revisionserklæringen fremsendes uden unødig forsinkelse til den dataansvarlige til oriente- ring. Den dataansvarlige kan anfægte rammerne for og/eller metoden i Bilag B punkt B.2 erklæringen og B.3 anførte proces kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af erklæringen, er den dataansvarlige berettiget til at anmode om gen- nemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyt- telsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes na- tionale ret og nærværende punkt C.6.disse Bestemmelser. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der den dataansvarlige finder det nødvendigt. benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når [OG, HVIS RELEVANT]

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret Alle overførsler af personoplysninger til at lande uden for EU/EØS-området skal baseres på de standardkontraktmæssige klausuler (SCC’ere), der er godkendt af EU-Kommissionen som kontraktuelt grundlag for overførsler af personoplysninger. Databehandler skal kun anvende underdatabehandlere beliggende i tredjelande til opfyldelse SCC'er, der er relevante og passende for den specifikke overførsel af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendtpersonoplysninger, og som databehandleren dermed opfylder GDPR's krav til beskyttelse af personoplysninger. Databehandler sikrer, at alle modtagere af personoplysninger i lande uden for EU/EØS-området overholder de forpligtelser, der er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er fastsat i SCC'en og i GDPR's bestemmelser for beskyttelse af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registreredepersonoplysninger. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne Databehandler udfører årlig intern revision af sin GDPR-overholdelse samt overholdelse af instrukserne i databehandleraftaler. Undersøgelsen ledes og koordineres af databehandlers databeskyttelsesrådgiver (DPO). Processen kører sideløbende med databehandlers årlige interne audit af sin ISO 27001 modenhed. Resultatet er enige om en erklæring som vil tjene som den dataansvarliges tilsyn med databehandleren. Erklæringen kan fremsendes på dataansvarliges anmodning. Revisionen omfatter en analyse af databehandlers behandlingsaktiviteter for at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelandesikre, der i Bestemmelsernes løbetid antages af databehandleren at de er i overensstemmelse med databehandlingsaftalerne. Der evalueres på de tekniske og organisatoriske sikkerhedsforanstaltninger, som er på plads for at beskytte personoplysninger. Risikovurderingerne som danner grundlag for denne evaluering genbesøges samtidigt, og det aktuelle trusselsbillede samt eventuelle hændelser tages med ind i vurderingen. Efter revisionen udarbejder databehandler en erklæring, der præsenterer resultaterne og identificerer eventuelle mangler eller områder, der kræver forbedring. Databehandlerens ledelse gennemgår rapporten og rådgives i at træffe beslutninger om nødvendige tiltag for at sikre fortsat overholdelse af GDPR og databehandleraftalerne. Baseret på resultaterne af den interne revision er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i Bilag B punkt B.2 anden EU-ret eller medlemsstaternes nationale ret og B.3 anførte proces og nærværende punkt C.6disse Bestemmelser.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne er enige om Instruksen omfatter også forbud mod at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af anvende underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i EU, EØS eller tredjelande, der opfylder EU-kommissionens tilstrækkelighedsvurdering, når disse er koncernforbundne med moderselskaber i Bestemmelsernes løbetid antages ikke sikre tredjelande. Såfremt databehandler, på baggrund af databehandleren en konkret, forudgående udtrykkelig og skriftlig aftale med den dataansvarlige, overfører personoplysninger til et tredjeland, må disse oplysninger alene Enten overføres til lande, der efter EU-Kommissionens tilstrækkelighedsvurdering, jf. art. 45 er erklærede sikre. Se EU-Kommissionens liste over de til enhver tid værende sikre tredjelande: Adequacy decisions | Europa-Kommissionen. Databehandleren er ansvarlig for løbende af følge op på landets status og straks orientere den dataansvarlige, hvis tilstrækkelighedsvurderingen ikke kan fastholdes samt træffe foranstaltninger til at sikre persondata overført til behandling i EU, EØS eller andet sikkert tredje land. Eller have et til enhver tid værende gyldigt overførselsgrundlag som dokumenteres i tabellen under C.5 samt bilag E. Databehandleren skal overfor den Dataansvarlige dokumentere beslutningsgrundlag, overvejelser og konklusioner samt foranstaltninger i overensstemmelse med EDPB’s “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Versions 2.0. Adopted on 18.06.2021” punkt 43 samt 43.1-43.3 Databehandleren og dennes underdatabehandlere skal anfægte enhver anmodning om videregivelse af data fra et hvilket som helst lands myndigheder og er hver især selvstændig ansvarlige for straks at underrette den dataansvarlige om anmodningen. Begge skal endvidere informere om hvorvidt de, trods anfægtelsen har imødekommet anmodningen. Såfremt databehandleren eller underdatabehandlere er bundet af det pågældende lands lovgivning om tavshedspligt, skal de pågældende i Bilag B punkt B.2 stedet straks oplyse den dataansvarlige om, at de misligholder nærværende aftale. En sådan misligholdelse er at betragte som væsentlig. Databehandleren erklærer med sin underskrift på nærværende kontrakt, at hæfte for alle tab og B.3 anførte proces og omkostninger, som hver enkelt registrerede måtte lide, som følge af databehandlerens eller dennes underdatabehandleres udlevering af personoplysninger i strid med EU's databeskyttelsesregler (GDPR) eller nærværende punkt C.6kontrakt.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behand- lingen af personoplysninger, som er enige om overladt til databehandleren Databehandleren skal årligt for egen regning indsende en skriftlig erklæring med en spørger- amme svarende til en ISAE 3000 erklæring vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlems- staternes nationale ret og disse Bestemmelser. Databehandleren har ret til selv at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse udføre er- klæringen eller udskiftning vælge at få denne lavet af underdatabehandlere i tredjelandeen uafhængig tredjepart. Den dataansvarliges instruks omfatter således også overførsel skriftlige erklæring fremsendes uden unødig forsinkelse til den dataansvarlige til oriente- ring. 3 xxxxx://xxxxxxxx.xx/xxxxxxxxxxxxxxxxxx/ Baseret på resultaterne af personoplysninger erklæringen, er den dataansvarlige berettiget til nye underdatabehandlere at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databe- skyttelsesforordningen, databeskyttelsesbestemmelser i tredjelandeanden EU-ret eller medlemsstater- nes nationale ret og disse Bestemmelser. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i Bestemmelsernes løbetid antages forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt.” Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af databehandleren i overensstemmelse med den i Bilag B punkt B.2 og B.3 anførte proces og nærværende punkt C.6dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsa- geligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret Der overføres ikke personoplysninger til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne Databehandleren skal hvert år for egen regning indhente en certificering fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i an- den EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enige om enighed mellem parterne om, at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning følgende typer af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandleren certifikat kan anvendes i overensstemmelse med disse Bestemmelser: Såfremt der ønskes udarbejdet en ISAE3000 eller ISAE3402 revisorerklæring sker dette for den dataansvarliges regning. Certifikatet fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rammerne for og/eller metoden i Bilag B punkt B.2 auditeringen og B.3 anførte proces kan i sådanne tilfælde anmode om en ny auditering for egen regning under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af auditeringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og nærværende punkt C.6disse Bestemmelser. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af per- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt og med minimum 30 dages varsel.” Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren Når den dataansvarlige tilmelder sig WAYF-tjeneste godkender den dataansvarlige overførsel af brugerens personoplysninger til et tredjeland ved log-in processen, når en SP (Service Provider) befinder sig i et tredjeland. Den dataansvarlige har ret pligt til at anvende underdatabehandlere beliggende i tredjelande oplyse brugeren om overførsel og sikrer hjemmel til opfyldelse overførsel. WAYF viser på log-in tidspunktet en generel oplysningsside, som muligvis er egnet til at varetage oplysningspligten og evt. indhentelsen af databehandlerens forpligtelser overfor samtykke til overførsel. Der er enighed mellem parterne om, at følgende typer af tilsyn og certificeringer kan anvendes uden meromkostninger for den dataansvarlige: • Internt tilsyn • ISO 27001-certificering Det interne tilsyn vil blive gennemført hvert 2. Anvendelsen af underdatabehandlere i tredjelande kan kun skeår, hvis (i) overførslen og dette interne tilsyn er baseret på ment som en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantierudvidet service, som f.ekskan sidestilles med og udgøre dataansvarliges eget tilsyn. EU Kommissionens Standardkontraktsbestemmelser Den dataansvarlige kan i forlængelse af det interne af tilsyn stille yderligere uddybende spørgsmål til WAYF efter behov. Den dataansvarlige kan gennemføre andre former for tilsyn eller iii) overførslen inspektion og afholder alle udgifter forbundet hermed. Databehandleren er omfattet af relevante bindende virksomhedsregler. Såfremt det dog forpligtet til at afsætte ressourcer i henhold til det anvendte overførselsgrundlag krævesrimeligt omfang (hovedsageligt den tid), der er nødvendige, for at den dataansvarlige er direkte part kan gennemføre sit tilsyn eller inspektion. I tilfælde af der stilles uforholdsvis stort krav til databehandleren om at afsætte ressourcer i overførselsgrundlagetforbindelse med dataansvarliges tilsyn eller inspektion, skal kan databehandleren anses for bemyndiget til forlange at indgå dette på vegne få sine omkostninger dækket af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den Rimeligt omfang måles i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger forhold til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne er enige om at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, hvad der i Bestemmelsernes løbetid antages almindelighed efterspørges i forbindelse med et tilsyn med eller inspektion af databehandleren i overensstemmelse med den i Bilag B punkt B.2 og B.3 anførte proces og nærværende punkt C.6lignende virksomheder udført af Datatilsynet eller revisorvirksomheder.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. [BESKRIV INSTRUKSEN VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER] [ANGIV GRUNDLAGET FOR OVERFØRSLEN SOM OMHANDLET I DATABESKYTTELSESFORORDNINGENS KAPITEL V] Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne er enige om [BESKRIV PROCEDURERNE FOR DEN DATAANSVARLIGES REVISIONER, HERUNDER INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVERLADT TIL DATABEHANDLEREN] [EKSEMPELVIS] ”Databehandleren skal [ANGIV TIDSPERIODE] for [EGEN/DEN DATAANSVARLIGES] regning indhente en [REVISIONSERKLÆRING/INSPEKTIONSRAPPORT] fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. [ELLER] ”Den dataansvarlige eller en repræsentant for den dataansvarlige foretager [ANGIV TIDSPERIODE] en fysisk inspektion af lokaliteterne, hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at følge den fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i Bilag B punkt B.2 anden EU-ret eller medlemsstaternes nationale ret og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelandedisse Bestemmelser. [OG, HVIS RELEVANT] ”Den dataansvarliges instruks omfatter således også overførsel eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af personoplysninger den dataansvarlige selv. Databehandleren er dog forpligtet til nye underdatabehandlere i tredjelandeat afsætte de ressourcer (hovedsageligt den tid), der i Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med er nødvendig(e) for, at den i Bilag B punkt B.2 og B.3 anførte proces og nærværende punkt C.6dataansvarlige kan gennemføre sin inspektion.”

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registreredeC.6.1. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. C.6.2. Parterne er enige om Den dataansvarlige giver ved indgåelsen af denne aftale skriftlig instruks til databehandleren i at følge den overføre personoplysninger til tredjelande i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning forbindelse med tilføjelser af underdatabehandlere i tredjelandedet omfang, dette er nødvendigt for leveringen af tjenesterne. Den dataansvarliges instruks omfatter således også Ved overførsel af personoplysninger til nye tredjelande er databehandleren ansvarlig for, at der foreligger et gyldigt overførselsgrundlag. Gyldigt overførselsgrundlag for overførslerne er navnlig: 1. En afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henholdt da- tabeskyttelsesforordningens artikel 45 eller 2. EU-Kommissionens standardkontraktbestemmelser i henhold til databe- skyttelsesforordningens artikel 46, når databehandleren samtidig vurde- rer – og i nødvendigt omfang implementerer supplerende foranstaltninger med henblik på at sikre – den pågældende overførelses lovlighed C.6.3. Databehandleren skal underrette den Dataansvarlige om enhver henven- delse, som Databehandleren eller dennes underdatabehandlere modtager fra en myndighed i tredjelandeet tredjeland om videregivelse af personoplysninger omfattet af disse Bestemmelser. Såfremt Databehandleren, direkte eller indirekte, modtager en anmodning om at udlevere oplysninger omfattet af disse Bestemmelser, herunder personoplysnin- ger, til en modtager, der geografisk er placeret uden for EU/EØS, er Databe- handleren til enhver tid forpligtet til at modsætte sig en sådan anmodning om udlevering, så vidt det er muligt for Databehandleren i Bestemmelsernes løbetid antages henhold til EU-ret eller medlemsstaternes nationale ret. Databehandleren skal, eventuelt i fællesskab med den pågældende underdata- behandler, udtømme enhver mulighed for at påklage anmodninger om videregi- velse af databehandleren personoplysninger omfattet af disse Bestemmelser, hvis der er tale om generelle anmodninger eller anmodninger, der ikke er i overensstemmelse med EU-retten, herunder databeskyttelsesforordningen, samt øvrig national lovgiv- ning, som supplerer databeskyttelsesforordningen. Databehandleren skal, i det omfang det er muligt, give den Dataansvarlige mu- lighed for at indtræde i Bilag B punkt B.2 klage- og B.3 anførte proces og nærværende punkt C.6retssager, med henblik på at give den Dataan- svarlige mulighed for at varetage sine egne interesser.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret Den dataansvarlige meddeler hermed instruks og bemyndigelse til databehandleren om at anvende underdatabehandlere beliggende i tredjelande overføre personoplysninger til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun sketredjelande, hvis (i) såfremt overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed nødvendig af beskyttelsesniveauhensyn til databehandlerens levering af tjenesterne i overensstemmelse med Hovedaftalen mellem parterne (jf. Bilag D.3). Databehandleren sikrer, herunder f.eksat: 1) overførsler sker til underdatabehandlere, der er etableret i et sikkert tredjeland i overensstemmelse med databeskyttelsesforordningens art. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii45, 2) overførslen overførsler til øvrige tredjelande er omfattet af fornødne garantier, som f.eksgarantier jf. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsreglerdatabeskyttelsesforordningens art. Såfremt det 46. Den dataansvarlige bemyndiger i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal denne sammenhæng databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de aftaler med underdatabehandlere i tredjelande, som de pågældende tredjelande på den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerededataansvarliges vegne. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne Den dataansvarlige (eller dennes repræsentant) er enige om berettiget til at følge den i Bilag B punkt B.2 foretage skriftlige og/eller fysiske inspektioner med databehandlerens faciliteter og B.3 anførte proces vedrørende tilføjelse eller udskiftning sikkerhedsforanstaltninger med henblik på at kontrollere, at behandlingen af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelandepersonoplysninger, der i Bestemmelsernes løbetid antages af databehandleren er overladt til databehandleren, sker i overensstemmelse med disse Bestemmelser. Følgende revisioner, herunder inspektioner, kan gennemføres: 1. Den dataansvarlige kan til enhver tid rekvirere en udtalelse fra databehandlerens ledelse, som erklærer overholdelse af disse Bestemmelser. 2. Den dataansvarlige er berettiget til for egen regning at lade databehandlerens behandling af personoplysninger underkaste en årlig revision af en uafhængig tredjepart eller på anden måde føre årligt tilsyn med databehandlerens behandling af personoplysninger omfattet af disse Bestemmelser. Den dataansvarlige er i forbindelse med en sådan revision forpligtet til at vederlægge databehandleren for den herved anvendte (medgåede) tid med de af databehandleren til enhver tid anvendte timesatser, som fremgår af bilag D.2. 3. Såfremt en skriftlig inspektion (jf. pkt. 1. og 2) ikke tilvejebringer tilfredsstillende resultater, kan den dataansvarlige (eller dennes repræsentant) efter aftale med databehandleren foretage fysiske inspektioner én gang årligt med databehandlerens faciliteter og sikkerhedsforanstaltninger, der er direkte relaterede til behandlingen af personoplysninger under disse Bestemmelser. Fysiske inspektioner kan gennemføres af den dataansvarlige (eller dennes repræsentant), såfremt databehandleren har modtaget skriftligt varsel herom senest 21 dage forinden, medmindre andet er påkrævet af en tilsynsmyndighed. I det omfang den dataansvarlige ønsker at gennemføre fysiske inspektioner, som beskrevet i Bilag B dette punkt B.2 og B.3 anførte proces og nærværende punkt C.6C.7, er den dataansvarlige forpligtet til at vederlægge databehandleren for den herved anvendte (medgåede) tid, jf. bilag D.2.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret [BESKRIV INSTRUKSEN VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER] Den dataansvarlige giver med Bestemmelserne sin generelle godkendelse til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse brug af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveauunder- databehandlere, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere placeret i tredjelande, som den dataansvarlige har godkendt, i det omfang brugen af underdatabehandlere sker i medfør af Bestemmelsernes punkt 7 og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler kommissionens stan- dardkontrakt for brug overførsel af EU standardkontraktsbestemmelserpersonoplysninger til tredjelande. Den Tilladelsen er betinget af, at underdatabehandleren i et tredjeland alene er tilladt at opnå adgang til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige databehandlerens sy- stemer via VPN eller den registreredetilsvarende adgang med samme sikkerhedsstandard. [ANGIV GRUNDLAGET FOR OVERFØRSLEN SOM OMHANDLET I DATABESKYTTELSES- FORORDNINGENS KAPITEL V] Grundlaget for overførslen er GDPR, artikel 46, stk. 2, litra c om EU-Kommissionens standard- kontrakt. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVER- LADT TIL DATABEHANDLEREN] Databehandleren skal minimum én gang om året for egen regning indhente en revisionser- klæring fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databe- skyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstater- nes nationale ret og disse Bestemmelser. Der er enige om enighed mellem parterne om, at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning følgende typer af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandleren revisionserklæringer kan anvendes i overensstemmelse med disse Bestemmelser: Revisionserklæringen gøres tilgængelig på databehandlerens hjemmeside og/eller fremsen- des uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan an- fægte rammerne for og/eller metoden i Bilag B punkt B.2 revisionserklæringen og B.3 anførte proces kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af anden metode. I så fald afholder den dataansvarlige omkostningerne til revisionserklæringen. Baseret på resultaterne af revisionserklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af da- tabeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemssta- ternes nationale ret og nærværende punkt C.6disse Bestemmelser.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne LIFE er enige om forpligtet til at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger give Institutionen nødvendige oplysninger til, at Institutionen til nye underdatabehandlere i tredjelandeenhver tid kan sikre sig, at LIFE overholder de krav, der i Bestemmelsernes løbetid antages følger af databehandleren denne aftale. Institutionen, en repræsentant for Institutionen eller dennes revision (såvel intern som eks- tern) har adgang til at foretage inspektioner og revision, stille spørgsmål til og få udleveret dokumentation med henblik på at kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestan- darder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 er- klæring, der dækker den behandling, der foretages i Bilag B punkt B.2 henhold til databehandleraftalen, jf. af- grænsningen i C.2.1.2. Den første erklæring skal foreligge senest den 1. januar 2021. I forhold til dokumentationen for de organisatoriske foranstaltninger til overholdelse af data- behandleraftalen, der ligger i LIFEs egen organisation, jf. C.2.1.2, aflægger LIFE årligt en skriftlig status, svarende til Datatilsynets tilsynskoncept 3. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og B.3 anførte proces LIFEs underleverandører sig til at stille tid og nærværende punkt C.6ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en au- toriseret uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttel- sesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nati- onale ret og disse Bestemmelser. foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (ho- vedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin in- spektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler, medmindre en sådan overførsel sker til en af de autoriseret underdatabehandlere nævnt i bilag B. Overførselsgrundlag anvendes i henhold til Databeskyttelsesforordningens Kapitel V om overførsler af personoplysnin- ger til tredjelande eller internationale organisationer. Parterne De specifikke overførselsgrundlag følger af gældende bilag B. Databehandleren skal årligt for egen regning indhente en revisionserklæring/inspektionsrapport fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesfor- ordningen, databeskyttelsesbestemmelser i anden EU-RET eller medlemsstaternes nationale ret og disse bestemmelser. der er enige om enighed mellem parterne om, at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning følgende typer af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandleren revisionserklæringer/inspektionsrapport kan anvendes i overensstemmelse med disse bestemmelser: • ISAE3000 • ISAE3402 • ISO27001 • ISO27701 • SOC2 • eller lignende revision erklæring og/eller certificering revisionserklæringen/ inspektionsrapporter fremsendes uden unødig forsinkelse til den dataan- svarlige til orientering. den dataansvarlige kan anfægte rammerne for og/eller metoden i Bilag B punkt B.2 [erklærin- gen/rapporten] og B.3 anførte proces kan i sådanne tilfælde anmode om en ny revisionserklæring/ inspektionsrapport under andre rammer og/eller under anvendelse af anden metode. baseret på resultaterne af erklæringen/rapporten, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databe- skyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-RET eller medlemsstaternes nationale ret og nærværende punkt C.6disse bestemmelser. den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren fore- tager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. sådanne inspektioner kan gennemføres, når den dataan- svarlige finder det nødvendigt.” den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den da- taansvarlige selv. databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret [Beskriv instruksen vedrørende overførsel af personoplysninger til at anvende underdatabehandlere beliggende tredjelande eller internationale organisationer] [Angiv grundlaget for overførslen som omhandlet i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. databeskyttelsesforordningens kapitel V] Hvis den dataansvarlige Dataansvarlige ikke i disse Bestemmelser denne databehandleraftale eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren Databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser denne databehandleraftale at foretage sådanne overførsler. [Beskriv procedurerne for den Dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til Databehandleren] [Eksempelvis] ”Databehandleren skal [angiv tidsperiode] for [egen/den Dataansvarliges] regning indhente en [revisionserklæring/inspektionsrapport] fra en uafhængig tredjepart vedrørende Databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne databehandleraftale. Der er enighed mellem Parterne er enige om om, at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning følgende typer af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandleren [revisionserklæringer/inspektionsrapport] kan anvendes i overensstemmelse med denne databehandleraftale: [Beskriv aftalte revisionserklæringer/inspektionsrapporter] [Revisionserklæringen/ inspektionsrapporter] fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden i Bilag B punkt B.2 [erklæringen/rapporten] og B.3 anførte proces kan i sådanne tilfælde anmode om en ny [revisionserklæring/ inspektionsrapport] under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af [erklæringen/rapporten], er den Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og nærværende punkt C.6denne databehandleraftale. Den Dataansvarlige eller en repræsentant for den Dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra Databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den Dataansvarlige finder det nødvendigt.” [Eller] ”Den Dataansvarlige eller en repræsentant for den Dataansvarlige foretager [angiv tidsperiode] en fysisk inspektion af lokaliteterne, hvorfra Databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå Databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne databehandleraftale. Ud over det planlagte tilsyn, kan den Dataansvarlige gennemføre en inspektion hos Databehandleren, når den Dataansvarlige finder det nødvendigt.” [Og, hvis relevant] ”Den Dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den Dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den Dataansvarlige kan gennemføre sin inspektion.”

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret Der må ikke overføres til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor uden foregående aftale med den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registreredeDataansvarlige. Hvis den dataansvarlige Dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren Databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne C.7 Procedurer for den Dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er enige om at følge den i Bilag B punkt B.2 overladt til databehandleren Databehandler gennemfører en årlig, ekstern revision af datacentre, procedurer, dokumentation og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der i Bestemmelsernes løbetid antages af databehandleren politikker i overensstemmelse med ISAE-3402 type 2 baseret på ISO 27001. Netic skal omkostningsfrit, og ikke senere end to uger efter modtagelsen af den eksterne revisors ISAE-3402 type 2-rapport, udstyre den Dataansvarlige med en kopi heraf. Endvidere skal Netic årligt omkostningsfrit stille en ISAE 3000-rapport omhandlende Netics overholdelse af behandlingssikkerhed for persondata i Bilag B relation til Netics serviceydelser til rådighed for den Dataansvarlige. Rapporten fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden i rapporten, og kan i sådanne tilfælde anmode om en ny rapport - betalt af den Dataansvarlige - under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af rapporten, er den Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Databehandleren er berettiget til at fakturere den Dataansvarlige for de faktiske forbrugte timer og omkostninger som er forbundet med gennemførelse af yderligere foranstaltninger i henhold til den aftalte timepris jf. Hovedaftalen. Den Dataansvarlige, eller en repræsentant for den Dataansvarlige, har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra Databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den Dataansvarlige finder det nødvendigt. 1. Den Dataansvarlige kan kræve erstatning af Databehandleren efter persondataforordningens artikel 82 samt dansk rets almindelige erstatningsregler for de tab, som kan henføres til Databehandlerens behandling af personoplysninger i strid med denne aftales Bestemmelser eller i strid med sine forpligtelser efter den til enhver tid gældende persondatalovgivning, eventuelle branchenormer, forskrifter eller anbefalinger fra tilsynsmyndigheder eller den Dataansvarliges instruks. 2. Databehandleren forpligter sig til at holde den Dataansvarlige skadesløs for enhver form for dokumenterede tab, sanktioner, erstatningskrav og rimelige forligsmæssigt aftalte beløb, som den Dataansvarlige pådrager sig eller bliver mødt med som følge af Databehandlerens krænkelse af tredjemands persondatarettigheder, medmindre krænkelsen beror på den Dataansvarliges forhold, herunder den Dataansvarliges instruks til Databehandleren. 3. Uanset hvad der er angivet i Bestemmelsernes punkt B.2 12.1 og B.3 anførte proces 12.2 er Databehandlerens samlede ansvar begrænset til maksimum DKK 1.000.000 per skade og nærværende punkt C.6.maksimalt DKK

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel vedrø- rende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne ram- merne af disse Bestemmelser at foretage sådanne overførsler. Parterne LIFE er enige om forpligtet til at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger give Institutionen nødvendige oplysninger til, at Institutionen til nye underdatabehandlere i tredjelandeenhver tid kan sikre sig, at LIFE overholder de krav, der i Bestemmelsernes løbetid antages følger af databehandleren denne aftale. Institutionen, en repræsentant for Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision, stille spørgsmål til og få udleveret dokumentation med henblik på at kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der fore- tages i Bilag B punkt B.2 henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og B.3 anførte proces LIFEs underle- verandører sig til at stille tid og nærværende punkt C.6ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager be- handling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret dokumen- teret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren databehand- leren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Parterne Version 1.8.2023 Side 15/17 Databehandleren er enige forpligtet til uden ugrundet ophold at give den dataansvarlige nødvendige oplysninger til, at dataansvarlige til enhver tid kan sikre sig, at databehandleren overholder de krav, der følger af disse Bestemmelser. Dataansvarlige vil løbende føre tilsyn med databehandlerens overholdelse af disse Bestemmelser. Tilsyn kan ske ved besøg på de lokaler hvorfra personoplysningerne behandles eller ved skriftlige tilsyn (spørgsmål, udlevering af dokumentation m.v.) eller en kombination af disse. Tilsyn tilrettelægges så de er til mindst mulig ulempe for databehandleren, og besøg foretages kun efter forudgående aftale med databehandleren. Dataansvarlige har ret til at udpege en ekstern repræsentant til at udføre tilsynet med databehandleren på vegne af den dataansvarlige. Databehandler skal på forlangende, vederlagsfrit og uden ophør give den dataansvarlige adgang til at gennemføre eget tilsyn med databehandlingen. Dette tilsyn kan evt. gennemføres skriftligt. Databehandleren skal én gang årligt vederlagsfrit til dataansvarlige fremsende en generel erklæring om overholdelsen af disse Bestemmelser. Databehandleren skal til myndigheder, herunder Datatilsynet, give alle ønskede oplysninger i relation til udførelsen af databehandlingsopgaven, i det omfang at følge den oplysningerne er nødvendige for disses opgavevaretagelse i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse medfør af EU-retten eller udskiftning af lovgivningen i en medlemsstat. Hvis databehandleren anvender underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger relation til nye underdatabehandlere i tredjelandedenne aftale, der i Bestemmelsernes løbetid antages af skal databehandleren i overensstemmelse forbindelse med den i Bilag B punkt B.2 og B.3 anførte proces og nærværende punkt C.6tilsyn tilsvarende redegøre for underdatabehandlerens databehandling.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel vedrø- rende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne ram- merne af disse Bestemmelser at foretage sådanne overførsler. Parterne LIFE er enige om forpligtet til at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger give Institutionen nødvendige oplysninger til, at Institutionen til nye underdatabehandlere i tredjelandeenhver tid kan sikre sig, at LIFE overholder de krav, der i Bestemmelsernes løbetid antages følger af databehandleren denne aftale. Institutionen, en repræsentant for Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision, stille spørgsmål til og få udleveret dokumentation med henblik på at kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der fore- tages i Bilag B punkt B.2 henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og B.3 anførte proces LIFEs underleverandører sig til at stille tid og nærværende punkt C.6ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspek- tioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af per- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser denne aftale eller efterfølgende giver en dokumenteret instruks vedrørende vedrø- rende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser denne aftale at foretage sådanne overførsler. Parterne er enige om at følge den , medmindre en sådan overførsel sker til en af de autoriseret underdatabehandlere nævnt i Bilag B punkt B.2 B. Overførselsgrundlag anvendes i hen- hold til Databeskyttelsesforordningens Kapitel V om overførsler af personoplysninger til tredje- lande eller internationale organisationer. De specifikke overførselsgrundlag følger af gældende Bi- lag B. Databehandleren stiller sig mindst 1 gang årligt til rådighed for den dataansvarlige med henblik på dennes kontrol af databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttel- sesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og B.3 anførte proces vedrørende tilføjelse denne aftale. Den dataansvarlige kan, mod betaling, anfægte rammerne for og/eller udskiftning metoden i egenkontrollen og kan i sådanne tilfælde anmode om en ny egenkontrol under andre rammer og/eller under an- vendelse af underdatabehandlere i tredjelandeanden metode. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover, adgang til at fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren fore- tager behandling af personoplysninger. Sådanne inspektioner kan gennemføres, når den dataan- svarlige finder det nødvendigt, men skal tilrettelægges så de er til mindst mulig gene for databe- handleren. Den dataansvarliges instruks omfatter således også overførsel eventuelle udgifter i forbindelse med en fysisk og/eller skriftlig inspektion af- holdes af personoplysninger den dataansvarlige selv. Databehandleren er forpligtet til nye underdatabehandlere i tredjelandeat afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspek- tion, hvad enten denne er fysisk og/eller skriftlig. Baseret på resultaterne af den dataansvarliges tilsyn med databehandleren, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med den i Bilag B punkt B.2 anden EU-ret el- ler medlemsstaternes nationale ret og B.3 anførte proces og nærværende punkt C.6denne aftale.