Common use of Instruks vedrørende overførsel af personoplysninger til tredjelande Clause in Contracts

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis LIFE må anvende underdatabehandlere, der befinder sig i EU eller sikre tredjelande eller un- derleverandører, der har underskrevet EU Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande. Den dataansvarlige bemyndiger LIFE til at indgå EU-Kommissionens standardkontraktbe- stemmelser for overførsel af personoplysninger til underdatabehandlere i tredjelande på vegne af den dataansvarlige dataansvarlige. LIFE indestår således for, at de anvendte underdatabehandlere enten er etableret i et sikkert tredjeland eller har underskrevet EU Kommissionens standardkontraktbestemmelser for over- førsel af personoplysninger til tredjelande. Ud over hvad der følger af dette punkt C.6 eller inden for rammerne af disse Bestemmelser, er databehandleren ikke i disse Bestemmelser eller berettiget til at foretage sådanne overførsler, medmindre den data- ansvarlige efterfølgende giver en dokumenteret instruks vedrørende overførsel overførelse af personoplysninger personop- lysninger til et tredjeland. I tilfælde af, at retsgrundlaget for overførslen af personligoplysninger angivet i dette punkt C.6 ikke stemmer overens med den gældende datebeskyttelseslovgivning og er databehandleren erstattet eller på anden måde ikke berettiget længere betragtes som værende et gyldigt retsgrundlag for overførslen af personoplysninger uden for EU/EØS, vil Parterne sammen og uden unødig forsinkelse finde og aftale et andet retsgrundlag for overførslen af personoplysninger uden for EU/EØS. LIFE er forpligtet til inden at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de krav, der følger af denne Aftale. Institutionen, en repræsentant for rammerne af disse Bestemmelser Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreinspektioner og revision, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget stille spørgsmål til at anmode om gennemførelse af yderligere foranstaltninger og få udleveret doku- mentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af databeskyttelsesforordningendenne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandar- der på området, og skal omfatte både Leverandørens og eventuelle underdatabehandleres databehandling. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæ- ring, der dækker den behandling, der foretages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, øn- sker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underleverandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en au- toriseret uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttel- sesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale nati- onale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt hovedsa- geligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre til- syn med de underdatabehandlere, der anvendes er angivet i forbindelse med leverance bilag B. Et sådant tilsyn kan være i form af ydelsen. Baseret på resultaterne modtagelsen af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenen revisionserklæring, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsereksempelvis en ISAE 3000 revisionserklæring, fra de(n) pågældende underdatabehandler(e). Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant kan med rimeligt forudgående varsel forlange at LIFE udleverer doku- mentation for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, det udførte tilsyn med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidunderdatabehandlere(n), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis LIFE må anvende underdatabehandlere, der befinder sig i EU eller sikre tredjelande eller underleverandører, der har underskrevet EU Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande. Den dataansvarlige bemyndiger LIFE til at indgå EU-Kommissionens standardkontraktbestemmelser for over- førsel af personoplysninger til underdatabehandlere i tredjelande på vegne af den dataansvarlige. LIFE indestår således for, at de anvendte underdatabehandlere enten er etableret i et sikkert tredjeland eller har underskrevet EU Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande. Ud over hvad der følger af dette punkt C.6 eller inden for rammerne af disse Bestemmelser, er databehand- leren ikke berettiget til at foretage sådanne overførsler, medmindre den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførelse af personoplysninger til et tredjeland. I tilfælde af, at retsgrundlaget for overførslen af personligoplysninger angivet i dette punkt C.6 ikke stemmer overens med den gældende datebeskyttelseslovgivning og er databehandleren erstattet eller på anden måde ikke berettiget længere betragtes som værende et gyldigt retsgrundlag for overførslen af personoplysninger uden for EU/EØS, vil Parterne sammen og uden unødig forsinkelse finde og aftale et andet retsgrundlag for overførslen af person- oplysninger uden for EU/EØS. LIFE er forpligtet til inden at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de krav, der følger af denne Aftale. Institutionen, en repræsentant for rammerne af disse Bestemmelser Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreinspektioner og revision, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget stille spørgsmål til at anmode om gennemførelse af yderligere foranstaltninger og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Er- klæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området, og skal omfatte både Leverandørens og eventuelle underdatabehandleres databehandling. En sådan erklæ- ring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der foretages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underle- verandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerinspek- tioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerper- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(enødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre tilsyn med de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid)un- derdatabehandlere, der er nødvendig(eangivet i bilag B. Et sådant tilsyn kan være i form af modtagelsen af en revisions- erklæring, eksempelvis en ISAE 3000 revisionserklæring, fra de(n) for, at den dataansvarlige kan gennemføre sin inspektionpågældende underdatabehandler(e).

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren er berettiget til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelse af underdatabehandlere beliggende i tredjelande kan alene ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland mv. har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at etablere og indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et retligt overførselsgrundlag på vegne af den dataansvarlige. Af punkt B.1. i bilag B fremgår de underdatabehandlere i tredjelande med tilhørende overførselsgrundlag, som den dataansvarlige har godkendt brugen af, og som databehandleren dermed er berettiget til – og instrueret om - at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Såfremt der som overførselsgrundlag anvendes EU Kommissionens Standardkontraktsbestemmelser, vedlægges kopi af de af databehandleren på vegne af den dataansvarlige indgåede EU Kommissionens Standardkontraktsbestemmelser (EU standardkontrakt) i et ”Bilag C - underbilag 1” til dette bilag C. EU standardkontrakten vil alene finde anvendelse for den del af ydelserne og behandlingen under Hovedaftalen, der udføres i henhold til EU standardkontraktsbestemmelserne. Øvrigt indhold i nærværende Bestemmelser skal ikke anses for at ændre på indholdet af den vedlagte EU standardkontrakt i Bilag C - underbilag 1. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den i Bilag C - underbilag 1 indeholdte EU standardkontrakt som følge af ændringer i databeskyttelseslovgivningen som disse implementeres af databehandleren eller underdatabehandleren i tredjelandet. Eventuelle ændringer vil alene blive udført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU Kommissionens Standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontrakt kan udleveres efter anmodning til databehandleren. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreParterne er enige om at følge den i punkt B.2 i bilag B anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der anvendes i forbindelse Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med leverance den i punkt B.2 i bilag B anførte proces og nærværende punkt C.6. Databehandleren er certificeret efter ISO27001-standarden og har implementeret en kontrolramme i overensstemmelse med ISO27002 og databeskyttelsesforordningen. Databehandleren sender på den dataansvarliges anmodning kopi af ydelsensit SoA dokument (Statement of Applicability) til den dataansvarlige til orientering. Alternativt kan databehandleren vælge at stille SoA-dokumentet elektronisk til rådighed. Databehandleren får for egen regning hvert år udarbejdet en erklæring fra en uafhængig statsautoriseret revisor om databehandlerens overholdelse af generelle it-kontroller. Erklæringen vedrører generelle it-kontroller i f.t. databehandlerens standard processer og ydelser i Danmark. Erklæringen er en ISAE 3402 type 2-erklæring, eller erklæringer der måtte træde i stedet for denne. Databehandleren får endvidere for egen regning hvert år udarbejdet en generel erklæring fra en uafhængig statsautoriseret revisor vedrørende databehandlerens behandlingssikkerhed i relation til persondata. Erklæringen vedrører udførte kontroller i f.t. databehandlerens standardprocesser og -ydelser i Danmark og med udgangspunkt i databehandlerens standard databehandleraftale. Erklæringen bliver udarbejdet som en ISAE 3000-erklæring type 2-erklæring, eller erklæringer der måtte træde i stedet for denne. Databehandleren sender vederlagsfrit på den dataansvarliges anmodning uden unødig forsinkelse disse revisionserklæringer til den dataansvarlige til orientering. Alternativt kan databehandleren vælge at stille revisionserklæringerne elektronisk til rådighed. Baseret på resultaterne af revisionserklæringerne databehandlerens revisionserklæringer, jf. ovenfor, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler Sådanne anmodninger håndteres i databehandlerens behandlingoverensstemmelse med punkt C.2 i nærværende bilag ovenfor. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, efter forudgående aftale med databehandleren og normalt med et skriftligt varsel på mindst 10 arbejdsdage, når den dataansvarlige finder det nødvendigt, dog makismalt én gang årligt. Hvor den dataansvarlige besigtiger databehandlerens lokationer, skal den dataansvarlige acceptere databehandlerens rimelige krav til sikkerhed og fortrolighed. Hvor den dataansvarlige anvender tredjepart til inspektion, indestår den dataansvarlige for, at tredjeparten accepterer og overholder databehandlerens rimelige krav til sikkerhed og fortrolighed. Den dataansvarliges eventuelle udgifter dataansvarlige kan ikke anvende tredjeparter til inspektion uden databehandlerens godkendelse. Databehandleren må alene nægte godkendelse af saglige årsager, herunder men ikke begrænset til, at tredjeparten er en konkurrent. Den dataansvarlige skal godtgøre databehandlerens tid og omkostninger i forbindelse med tilsyn (f.eks. fysiske inspektioner, skriftlig informationsindsamling og besvarelse af spørgeskemaer), og aftaler parterne ikke andet, så afregnes databehandlerens medvirken til tilsyn efter medgået tid og materialer, jf. bilag D. Tilsyn kan f.eks. ske ved skriftlig informationsindsamling eller i form af en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid)lokaliteterne, der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner Ud over det planlagte tilsyn, kan gennemføresdatabehandleren gennemføre en inspektion, fx i form af skriftlig informationsindsamling eller fysisk besøg, med underdatabehandleren, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt. Den Såfremt underdatabehandleren får udarbejdet en årlig revisionserklæring fra en uafhængig tredjepart angående underdatabehandlerens overholdelse af underdatabehandleratalen og de heri aftalte tekniske og organisatoriske sikkerhedsforanstaltninger, skal databehandleren modtage kopi heraf. Databehandleren gennemgår revisionserklæringen og følger op på eventuelle forhold, der giver anledning til yderligere undersøgelser. Databehandleren dokumenterer afholdte tilsyn. Dokumentation for afholdte tilsyn udmøntes normalt i en tilsynsrapport indeholdende beskrivelse af scope, væsentlige findings og plan for eventuelle mitigerende foranstaltninger. På den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes anmodning fremsendes kort opsummering af tilsynet uden unødig forsinkelse til den dataansvarlige selvtil orientering. Underdatabehandleren er dog forpligtet Alternativt kan databehandleren vælge at stille kort opsummering af tilsynet elektronisk til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionrådighed.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Der må ikke overføres personoplysninger til tredjelande uden den dataansvarliges samtykke, med mindre en sådan overførsel klart er forudsat ved godkendelse af de benyttede underda- tabehandlere, der er opregnet i bilag B. Det er under alle omstændigheder databehandleren, der er ansvarlig for at sikre, at der fore- ligger det fornødne overførselsgrundlag i overensstemmelse med GDPR, kapitel V, og data- behandleren skal dokumentere grundlaget efter anmodning fra den dataansvarlige. Som ud- gangspunkt EU standardkontraktklausuler blive anvendt, hvis leverandøren ikke er omfattet af et anden overførselsgrundlag som f.eks. EU-US Privacy Shield. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreDen dataansvarlige eller en repræsentant for den dataansvarlige er berettiget til at foretage en fysisk inspektion af lokaliteterne, hvorfra databehandleren foretager behandling af personop- lysninger, herunder fysiske lokaliteter og systemer, der anvendes benyttes til eller i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger be- handlingen, med henblik på at sikre overholdelsen fastslå databehandlerens overholdelse af databeskyttelsesforordningendatabeskyttelsesfor- ordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingPlanlagte tilsyn kan højst gennemføres én gang årligt. Den dataansvarlige eller en repræsentant for Ud over det planlagte tilsyn, kan den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføresgennemføre en inspektion hos databe- handleren, når den dataansvarlige finder det nødvendigt, f.eks. i forbindelse med konstaterede databrud. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt hovedsa- geligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt I det omfang underdatabehandlere – herunder datacentre – tilbyder revisionserklæringer til deres kunder, er databehandleren – efter anmodning fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget – forpligtet til at anmode om gennemførelse af yderligere foranstaltninger rekvirere og videresende sådanne erklæringer til den dataansvarlige. Den dataansvarlige kan endvidere – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren, i det omfang databehandlerens aftale med henblik på underdatabehandleren tillader dette. Dette kan blive aktuelt, hvis den dataansvarlige vurderer, at sikre overholdelsen databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker I overensstem- melse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges eventuelle deltagelse I en inspektion hos underdatabehandleren ændrer ikke ved, at databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i Databehandlerens og underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af underdatabehandlerens lokaliteter er den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at uvedkommende – uan- set om den dataansvarlige kan gennemføre sin har initieret og deltaget i en sådan inspektion. Den dataansvarlige bærer egne udgifter ved inspektionen og eventuelle deltagende rådgivere/revisorer.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Al data der opbevares af databehandler opbevares indenfor Danmarks grænser. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer skal for egen regning indhente en revisorerklæring fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den Der er ved aftalens indgåelse enighed mellem parterne om, at følgende type af revisorerklæring kan anvendes i overensstemmelse med disse Bestemmelser: ISAE 3000. Revisorerklæring fremsendes på opfordring til den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i orientering. Ønsker den dataansvarlige at databehandler besvarer yderligere spørgsmål, udfylder kontrolskemaer m.m. er databehandler berettiget til at fakturere den dataansvarlige med sin sædvanlige timetakst for al databehandlerens behandlingarbejdstid, som sådan en besvarelse måtte medføre for databehandleren. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerén årlig inspektion, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Den dataansvarlige skal altid give databehandleren et varsel på mindst 30 dage inden inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for fakturere den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) sin sædvanlige timetakst for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den Den dataansvarlige ikke i disse Bestemmelser eller efterfølgende bemyndiger og instruerer hermed databehandleren til at overføre personoplysnin- ger til de tredjelande, hvor databehandlerens underdatabehandlere er baseret, jf. bilag B. Den dataansvarlige giver en dokumenteret instruks vedrørende samtidig databehandleren fuldmagt til på sine vegne at indgå aftale med re- levante underdatabehandlere om overførsel af personoplysninger til et tredjelandtredjelande, er databehandleren ikke berettiget baseret på EU-Kom- missionens standardkontrakter. I forhold til kravet om at træffe supplerende foranstaltninger for at sikre, at den registrerede i alt væ- sentligt har samme beskyttelse, når data eksporteres til tredjelande, som hvis data var forblevet inden for rammerne af disse Bestemmelser EU, har databehandleren foranstaltet • at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentredata er krypteret med en kryptering, der anvendes i forbindelse med leverance af ydelsengenerelt anses for ”stærk” • at krypteringsnøglen opbevares sikkert inden for EU, og • at krypteringsalgoritme, nøglelængde og andre faktorer ændres, såfremt den teknologiske udvikling tilsiger, at dette er nødvendigt for, at krypteringen til stadighed kan anses for ”stærk”. Baseret på resultaterne af revisionserklæringerne Dette er efter databehandlerens opfattelse tilstrækkeligt til at sikre de registrerede den påkrævede beskyttelse. I henhold til databeskyttelsesforordningen påhviler der den dataansvarlige berettiget et selvstændigt ansvar for at vurdere behovet for yderligere supplerende foranstaltninger til sikring af, at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelseroverførslen til pågæl- dende tredjelande lovligt kan finde sted. Den dataansvarlige afholder udgiften Life Peaks lægger derfor til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) forgrund, at den dataansvarlige kan gennemføre sin inspektionhar foretaget en sådan vurdering og i påkommende fald har truffet sådanne yderligere foranstaltninger, således at instruksen om overførsel til tredjelande dermed er lovlig. Databehandleren fremsender årligt revisionserklæringer stiller inden for 30 kalenderdage efter anmodning fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget oplysninger til rådighed, som sætter den dataansvarlige i stand til at anmode om gennemførelse påse, at databehandleren har overholdt sine forpligtelser efter denne aftale. Dette materiale omfatter – med mindre andet er særskilt aftalt mellem parterne: • Bekræftelse af yderligere foranstaltninger med henblik på at sikre overholdelsen alle medarbejdere hos databehandleren er underlagt tavshedspligt • Beskrivelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid)sikkerhedsforanstaltninger, der er nødvendig(e) foriværksat af databehandleren i henhold til databeskyttelsesforordningens artikel 32, idet det – henset til omfanget og karakteren af personoplysninger om de enkelte registrerede – lægges til grund, at risikoen for de registre- redes rettigheder og frihedsrettigheder som følge af en kompromittering af personoplysnin- gernes fortrolighed, tilgængelighed eller integritet er ”lav”. • Bekræftelse af at databehandleren i de seneste 12 måneder har underrettet den dataansvar- lige om alle udskiftninger og tilføjelser af databehandlere og underdatabehandlere • Kopi af de dele af databehandlerens databehandleraftaler med underdatabehandlere, som er nødvendig for at den dataansvarlige kan gennemføre sin inspektionpåse, at databehandleren har overholdt sine for- pligtelser i henhold til databeskyttelsesforordningens artikel 28 stk. 4. • Bekræftelse af, at databehandleren har underrettet den dataansvarlige i overensstemmelse med denne aftales bestemmelse 10. o Bekræftelse af, at alle oplysninger, der i henhold til slettefristerne angivet i punkt C.4 ovenfor skulle være slettet, er rettidigt slettet. Databehandleren indhenter en gang årligt en revisionserklæring fra sine underdatabehandlere. Som udgangspunkt indhentes revisionserklæringer for første led af underdatabehandlere, og kun hvor kon- krete omstændigheder vurderes at medføre behov herfor, indhentes materiale vedrørende underda- tabehandleres underdatabehandlere. Databehandleren gennemgår det indhentede materiale og træffer de foranstaltninger, som materialet måtte give anledning til, henset til karakteren af den behandling, den enkelte underdatabehandler varetager for databehandleren.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige Dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren Databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer skal hvert år for egen regning indhente en revisionserklæring fra de datacentreen uafhængig tredjepart vedrørende Databehandlerens overholdelse af databeskyttelsesforordningen, der databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæring kan anvendes i forbindelse overensstemmelse med leverance disse Bestemmelser: ISAE 3000. [Erklæringen skal suppleres med ISAE 3402] Revisionserklæringen/erne fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden i erklæringen og kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af ydelsenanden metode. Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingDenne ret er uden beregning for den Dataansvarlige. Den dataansvarlige Dataansvarlige eller en repræsentant for den dataansvarlige Dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren Databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige Dataansvarlige finder det nødvendigt. Denne ret er uden beregning for den Dataansvarlige. Den dataansvarliges Dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige Dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige Dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer skal hvert år for egen eller Underdatabehandlerens regning indhente en revisionserklæring fra de underdatabehandlereen uafhængig tredjepart vedrørende Underdatabehandlerens overholdelse af databeskyttelsesforordningen, der databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæring kan anvendes i forbindelse overensstemmelse med leverance disse bestemmelser: ISAE 3000. Erklæringen skal suppleres med ISAE 3402 Revisionserklæringen/- erne fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden i erklæringen og kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af ydelsenanden metode. Baseret på resultaterne af revisionserklæringerne erklæringen/-erne er den dataansvarlige Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandlingDenne ret er uden beregning for den Dataansvarlige. Den dataansvarlige Databehandleren eller en repræsentant for den dataansvarlige Databehandleren har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren Underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når Databehandleren (eller den dataansvarlige Dataansvarlige) finder det nødvendigt. Denne ret er uden beregning for den dataansvarslige. Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den dataansvarliges Dataansvarlige kan anfægte rammerne for og/eller metoden af inspektionen og kan i sådanne tilfælde anmode om gennemførelsen af en ny inspektion under andre rammer og/eller under anvendelse af anden metode. Den Dataansvarlige kan – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos Underdatabehandleren. Dette kan blive aktuelt, hvis den Dataansvarlige vurderer, at Databehandlerens inspektion hos Underdatabehandleren ikke har givet den Dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos Underdatabehandleren sker I overensstemmelse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den Dataansvarliges eventuelle deltagelse i en inspektion hos Underdatabehandleren ændrer ikke ved, at Databehandleren også herefter har det fulde ansvar for Underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Databehandlerens og Underdatabehandlerens eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af Underdatabehandlerens lokaliteter er den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt Dataansvarlige uvedkommende – uanset om den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin Dataansvarlige har initieret og deltaget i en sådan inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. [BESKRIV INSTRUKSEN VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER] [ANGIV GRUNDLAGET FOR OVERFØRSLEN SOM OMHANDLET I DATABESKYTTELSESFORORDNINGENS KAPITEL V] Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. [BESKRIV PROCEDURERNE FOR DEN DATAANSVARLIGES REVISIONER, HERUNDER INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVERLADT TIL DATABEHANDLEREN] [EKSEMPELVIS] ”Databehandleren fremsender årligt revisionserklæringer skal [ANGIV TIDSPERIODE] for [EGEN/DEN DATAANSVARLIGES] regning indhente en [REVISIONSERKLÆRING/INSPEKTIONSRAPPORT] fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. [ELLER] ”Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerforetager [ANGIV TIDSPERIODE] en fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner kan gennemføres[OG, når den dataansvarlige finder det nødvendigt. HVIS RELEVANT] ”Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. .” [BESKRIV PROCEDURERNE FOR DATABEHANDLERENS REVISIONER, HERUNDER INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVERLADT TIL UNDERDATABEHANDLEREN] [EKSEMPELVIS] ”Databehandleren fremsender årligt revisionserklæringer skal [ANGIV TIDSPERIODE] for [EGEN/UNDERDATABEHANDLERENS] regning indhente en [REVISIONSERKLÆRING/INSPEKTIONSRAPPORT] fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen en uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige [ELLER] ”Databehandleren eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerdatabehandleren foretager [ANGIV TIDSPERIODE] en fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner [OG, HVIS RELEVANT] “Den dataansvarlige kan gennemføres– hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, når hvis den dataansvarlige finder det nødvendigtvurderer, at databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker I overensstemmelse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges [OG, HVIS RELEVANT] ”Databehandlerens og underdatabehandlerens eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af underdatabehandlerens lokaliteter er den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at uvedkommende – uanset om den dataansvarlige kan gennemføre sin har initieret og deltaget i en sådan inspektion.”

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel vedrø- rende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne ram- merne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra LIFE er forpligtet til at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de datacentrekrav, der anvendes i forbindelse med leverance følger af ydelsendenne aftale. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget Institutionen, en repræsentant for Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at anmode om gennemførelse af yderligere foranstaltninger foretage inspektioner og revision, stille spørgsmål til og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der fore- tages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underle- verandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling be- handling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(enødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre tilsyn med de underdatabehandlereun- derdatabehandlere, der anvendes er angivet i forbindelse med leverance bilag B. Et sådant tilsyn kan være i form af ydelsen. Baseret på resultaterne modtagelsen af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenen revisions- erklæring, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsereksempelvis en ISAE 3000 revisionserklæring, fra de(n) pågældende underdatabehandler(e). Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant kan med rimeligt forudgående varsel forlange at LIFE udleverer dokumentation for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, det udførte tilsyn med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidunderdatabehandlere(n), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Ikke relevant. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreProcedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren Den dataansvarlige eller en repræsentant for den dataansvarlige foretager 1-2 gange hvert andet år en fysisk eller skriftlig inspektion af databehandleren, herunder fysiske lokaliteter og systemer, der anvendes benyttes til eller i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger behandlingen, med henblik på at sikre overholdelsen fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for Ud over det planlagte tilsyn, kan den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføresgennemføre en inspektion hos databehandleren, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk eller skriftlig inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne inspektionen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den Alternativt kan databehandleren for egen regning indhente en revisionserklæring fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæringer kan anvendes i overensstemmelse med disse Bestemmelser: Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig]” Revisionserklæringen fremsendes uden unødig forsinkelse til den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandlingorientering til e-mailadressen xxx_xxx@xxxxxx.xx. Den dataansvarlige kan anfægte rammerne for og/eller metoden erklæringen og kan i sådanne tilfælde anmode om en repræsentant for ny revisionserklæring under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af ERKLÆRINGEN, er den dataansvarlige har herudover adgang berettiget til at foretage inspektioneranmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Procedurer for revisioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter som er overladt til underdatabehandlere Databehandleren skal årligt føre kontrol med sine underdatabehandlere, eksempelvis ved at indhente en revisionserklæring fra en uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og systemerdisse Bestemmelser. Ved dataansvarliges revision af databehandler, der benyttes til eller i forbindelse med behandlingenskal dokumentationen for databehandlerens kontrol af underdatabehandlere fremgå. Sådanne inspektioner kan gennemføresBaseret på resultaterne af tilsynet, når er den dataansvarlige finder berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige kan – hvis det nødvendigtfindes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, hvis den dataansvarlige vurderer, at databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker i overensstemmelse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges eventuelle deltagelse i en inspektion hos underdatabehandleren ændrer ikke ved, at databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Databehandlerens og underdatabehandlerens eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af underdatabehandlerens lokaliteter er den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at uvedkommende – uanset om den dataansvarlige kan gennemføre sin har initieret og deltaget i en sådan inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er skal databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren Databehandleren fremsender årligt revisionserklæringer fra skal på skriftlig anmodning forsyne Den dataansvarlige med dokumentation for de datacentretekniske og organisatoriske foranstaltninger, der anvendes er gennemført for at sikre et passende sikkerhedsniveau, samt anden information, der er nødvendig for at dokumentere, Databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige har ret til for egen regning at indhente en revisionserklæring én gang om året af en uafhængig tredjepart. Den dataansvarlige skal dække alle udgifter i forbindelse med leverance revisionen, og Databehandleren har krav på kompensation for alle omkostninger, der opstår som følge af ydelsenrevisionen, herunder kompensation til Databehandleren for rimelig medgået tid for Databehandleren og dennes medarbejdere for bistand under revisionen. Databehandleren skal dog dække sådanne omkostninger, hvis en revision afdækker væsentlige mangler ved opfyldelsen af de forpligtelser, der fremgår af disse Bestemmelser eller Persondatalovgivningen. Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren må ikke overføre personoplysninger til tredjelande, hvilket vil sige lande udenfor EØS, herunder Storbritannien. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender Den Dataansvarlige eller en repræsentant for den Dataansvarlige kan på forlangende foretage et årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse tilsyn med leverance Databehandlerens overholdelse af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret databeskyttelseslovgivningen og disse BestemmelserAftalen. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingDataansvarlige fastsætter selv rammerne for, hvordan tilsynet udføres. ”Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at kan på forlangende foretage inspektioneren fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Ud over det planlagte tilsyn, kan den dataansvarlige gennemføre en inspektion hos databehandleren, når den dataansvarlige finder det nødvendigt, dog maksimalt én gang årligt.” ”Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige afholder udgiften selv.” Al bistand og besvarelse som følge af forespørgsler fra den dataansvarlige, vedrørende databehandling, faktureres til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandlingden dataansvarlige med 1.250 kroner ekskl. Den dataansvarlige moms, per påbegyndt time. ”Databehandleren eller en repræsentant for den dataansvarlige har herudover adgang til at databehandleren kan på forlangende foretage inspektioneren årlig fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner Ud over det planlagte tilsyn, kan gennemføresdatabehandleren gennemføre en inspektion med underdatabehandleren, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt, dog maksimalt én gang årligt. Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarliges eventuelle udgifter dataansvarlige kan anfægte rammerne for og/eller metoden af inspektionen og kan i forbindelse med sådanne tilfælde anmode om gennemførelsen af en fysisk ny inspektion afholdes under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af tilsynet, er den dataansvarlige selv. Underdatabehandleren er dog forpligtet berettiget til at afsætte de ressourcer (hovedsageligt den tid)anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelse af databeskyttelsesforordningen, der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektiondatabeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.”

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behand- lingen af personoplysninger, som er overladt til databehandleren Databehandleren fremsender skal årligt revisionserklæringer fra de datacentrefor egen regning indsende en skriftlig erklæring med en spørger- amme svarende til en ISAE 3000 erklæring vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, der anvendes databeskyttelsesbestemmelser i forbindelse med leverance anden EU-ret eller medlems- staternes nationale ret og disse Bestemmelser. Databehandleren har ret til selv at udføre er- klæringen eller vælge at få denne lavet af ydelsenen uafhængig tredjepart. Den skriftlige erklæring fremsendes uden unødig forsinkelse til den dataansvarlige til oriente- ring. 3 xxxxx://xxxxxxxx.xx/xxxxxxxxxxxxxxxxxx/ Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningendatabe- skyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes medlemsstater- nes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. .” Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt hovedsa- geligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER] [BESKRIV INSTRUKSEN VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL FORORDNINGENS KAPITEL V] [ANGIV GRUNDLAGET FOR OVERFØRSLEN SOM OMHANDLET I DATABESKYTTELSES- Eksempel på tekst: Der vil ikke ske en overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. LADT TIL DATABEHANDLEREN] [BESKRIV PROCEDURERNE FOR DEN DATAANSVARLIGES REVISIONER, HERUNDER INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVER- [EKSEMPELVIS] Databehandleren fremsender skal en gang årligt revisionserklæringer for egen regning indhente en revisionserklæring fra de datacentre, der anvendes i forbindelse med leverance en uafhængig tredjepart vedrørende databehandlerens overholdelse af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningendatabeskyttelsesforord- ningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæringer kan anvendes i overensstemmelse med disse Bestemmelser: ISAE 3000 og ISAE 3402. Revisionserklæringen fremsendes uden unødig forsinkelse til den dataansvarlige til oriente- ring. Den dataansvarlige afholder udgiften kan anfægte rammerne for og/eller metoden i erklæringen og kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af erklæringen, er den dataansvarlige berettiget til at anmode om gen- nemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyt- telsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes na- tionale ret og disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingBestemmelser. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der den dataansvarlige finder det nødvendigt. benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når [OG, HVIS RELEVANT] [BESKRIV PROCEDURERNE FOR DATABEHANDLERENS REVISIONER, HERUNDER IN- SPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVERLADT TIL UNDERDATABEHANDLEREN] [EKSEMPELVIS] uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelses- forordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale revisionserklæring egen en gang årligt Databehandleren skal for regning indhente en fra en ret og disse Bestemmelser. ISAE 3000 og ISAE 3402. revisionserklæringer Der er enighed mellem parterne om, at følgende typer af overensstemmelse med disse bestemmelser: kan anvendes i Revisionserklæringen fremsendes uden unødig forsinkelse til den dataansvarlige til oriente- ring. Den dataansvarlige kan anfægte rammerne for og/eller metoden i erklæringen og kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af anden metode. nemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyt- telsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes na- erklæringen Baseret på resultaterne af , er den dataansvarlige berettiget til at anmode om gen- tionale ret og disse Bestemmelser. Databehandleren eller en repræsentant for databehandleren har herudover adgang til at fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehand- leren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt. andre rammer og/eller under anvendelse af anden metode. Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataan- svarlige til orientering. Den dataansvarliges eventuelle udgifter dataansvarlige kan anfægte rammerne for og/eller metoden af in- spektionen og kan i forbindelse sådanne tilfælde anmode om gennemførelsen af en ny inspektion under [ELLER] [OG, HVIS RELEVANT] [OG, HVIS RELEVANT] der efter medgået tid med en fysisk inspektion afholdes den følgende timesats: xxx kr. af den dataansvarlige selvdataansvarliges behandlingssikkerhed, jf. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid)databehandleraftalens Bilag C.2, der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen afregnes delse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret jf. databehandleraftalens punkt 9, eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for med vurdering I den udstrækning databehandleren bistår den dataansvarlige med sidstnævntes overhol- punkt 2.3, har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektiondenne forrang.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel vedrø- rende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne ram- merne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra LIFE er forpligtet til at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de datacentrekrav, der anvendes i forbindelse med leverance følger af ydelsendenne aftale. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget Institutionen, en repræsentant for Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at anmode om gennemførelse af yderligere foranstaltninger foretage inspektioner og revision, stille spørgsmål til og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der fore- tages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underleverandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerinspek- tioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerper- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(enødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre tilsyn med de underdatabehandlereun- derdatabehandlere, der anvendes er angivet i forbindelse med leverance bilag B. Et sådant tilsyn kan være i form af ydelsen. Baseret på resultaterne modtagelsen af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenen revisions- erklæring, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsereksempelvis en ISAE 3000 revisionserklæring, fra de(n) pågældende underdatabehandler(e). Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant kan med rimeligt forudgående varsel forlange at LIFE udleverer dokumentation for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, det udførte tilsyn med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidunderdatabehandlere(n), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreParterne er enige om at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der anvendes i forbindelse Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med leverance den i Bilag B punkt B.2 og B.3 anførte proces og nærværende punkt C.6. Databehandleren skal hvert år for egen regning indhente en revisionsrapport af ydelsen. Baseret på resultaterne typen ISAE 3402 eller af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen typen ISAE 3000 eller tilsvarende fra en uafhængig tredje-part vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser data-beskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Bestemmelserne, til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingrådighed for den dataansvarlige. Den Databehandleren giver herunder mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en repræsentant for anden revisor, som er bemyndiget af den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling dataansvarlige. Udføres revision af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af anden end den dataansvarlige selv, skal denne anden revisor være uafhængig og ikke- konkurrerende i forhold til databehandleren og i øvrigt være underlagt fortroligheds- og tavshedspligt enten som følge af lov eller som følge af en fortrolighedsaftale, hvorpå Databehandleren kan støtte ret direkte over for den pågældende anden revisor. Databehandleren underretter omgående den dataansvarlige, hvis en instruks om at stille oplysninger til rådighed eller give mulighed for revisioner og inspektioner efter databehandlerens mening er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse strid med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, persondataforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsernational ret. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler skal godtgøre databehandlerens tid og omkostninger i underdatabehandlerens behandlingforbindelse med tilsyn (f.eks. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling skriftlig informationsindsamling og besvarelse af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidspørgeskemaer), der er nødvendig(e) forog aftaler parterne ikke andet, at den dataansvarlige kan gennemføre sin inspektion.så afregnes databehandlerens medvirken til tilsyn efter medgået tid og materialer, jf. bilag D.

Instruks vedrørende overførsel af personoplysninger til tredjelande. [BESKRIV INSTRUKSEN VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER] Den dataansvarlige giver med Bestemmelserne sin generelle godkendelse til brug af under- databehandlere, herunder underdatabehandlere placeret i tredjelande, i det omfang brugen af underdatabehandlere sker i medfør af Bestemmelsernes punkt 7 og EU-kommissionens stan- dardkontrakt for overførsel af personoplysninger til tredjelande. Tilladelsen er betinget af, at underdatabehandleren i et tredjeland alene er tilladt at opnå adgang til databehandlerens sy- stemer via VPN eller tilsvarende adgang med samme sikkerhedsstandard. [ANGIV GRUNDLAGET FOR OVERFØRSLEN SOM OMHANDLET I DATABESKYTTELSES- FORORDNINGENS KAPITEL V] Grundlaget for overførslen er GDPR, artikel 46, stk. 2, litra c om EU-Kommissionens standard- kontrakt. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVER- LADT TIL DATABEHANDLEREN] Databehandleren fremsender årligt skal minimum én gang om året for egen regning indhente en revisionser- klæring fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databe- skyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstater- nes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæringer fra de datacentre, der kan anvendes i forbindelse overensstemmelse med leverance disse Bestemmelser: Revisionserklæringen gøres tilgængelig på databehandlerens hjemmeside og/eller fremsen- des uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan an- fægte rammerne for og/eller metoden i revisionserklæringen og kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af ydelsenanden metode. I så fald afholder den dataansvarlige omkostningerne til revisionserklæringen. Baseret på resultaterne af revisionserklæringerne revisionserklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenda- tabeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes medlemssta- ternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner[BESKRIV PROCEDURERNE FOR DATABEHANDLERENS REVISIONER, herunder fysiske inspektionerHERUNDER IN- SPEKTIONER, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerMED BEHANDLINGEN AF PERSONOPLYSNINGER, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.SOM ER OVERLADT TIL UNDERDATABEHANDLEREN]

Instruks vedrørende overførsel af personoplysninger til tredjelande. Den dataansvarlige giver instruks til, at personoplysninger behandles af de underdatabehandlere, der er nævnt i bilag B, samt på de pågældende lokationer heri. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreDer er enighed mellem parterne om, der at følgende typer af revisionserklæring kan anvendes i forbindelse overensstemmelse med leverance af ydelsendisse Bestemmelser: ISAE 3402-erklæring ISAE 3402 erklæringer på lønproduktionsmiljø (BS2000) og hostingmiljø (frontend, CRM) kan fremsendes til den dataansvarlige til orientering. Derudover henvises der til Q&A, som findes på xxx.Xxxxxxx.xx. Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Parterne skal blive enige om eventuelle yderligere foranstaltninger. Databehandleren er berettiget til at opsige Aftalen mellem Parterne, hvis en aftale ikke kan opnås. Den dataansvarlige afholder udgiften alle udgifter i forbindelse med yderligere kontrol, herunder betaling for databehandlerens tidsforbrug. For at anmode om at foretage en kontrol skal den dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingdatabehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan kun gennemføres, når efter aftale mellem parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den dataansvarlige finder det nødvendigtdatabehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter databehandlers valg. Den dataansvarliges eventuelle udgifter dataansvarlige afholder alle omkostninger forbundet med sådanne inspektioner. I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i forbindelse med en fysisk inspektion afholdes medfør af den dataansvarlige selvdatabehandlers politikker og må ikke på urimelig måde gribe forstyrrende ind i databehandlers forretningsdrift. Databehandleren er dog forpligtet Et eventuelt særskilt vederlag til at afsætte de ressourcer (hovedsageligt den tid)databehandleren i henhold til det ovenstående beregnes på grundlag af det tidsforbrug, der er nødvendig(e) fordatabehandleren anvender på fremskaffelsen af informationen, samt databehandlerens almindeligt gældende timesatser, og databehandleren har derudover krav på, at den dataansvarlige kan gennemføre sin inspektiondækker eventuelle eksterne omkostninger afholdt af databehandleren til fremskaffelse af informationen, herunder omkostninger afholdt til eventuelt fornøden bistand fra underdatabehandlere. Databehandleren fremsender indhenter på baggrund af en risikovurdering årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen dokumentation for relevante underdatabehandleres overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til Der er enighed mellem parterne om at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) proces for, at gennemførelse og tilstrækkelighed heraf dokumenteres via den dataansvarlige kan gennemføre sin inspektiondataansvarliges revision af databehandleren jf C.7.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren må anvende Microsoft Azure til hostning og back-up, og der kan såle- des ske overførsel af personoplysninger til tredjelande. Grundlaget for overførslen sker efter standardkontraktsbestemmelserne. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender Den dataansvarlige eller en repræsentant for den dataansvarlige kan årligt revisionserklæringer fra de datacentreforetage en fysisk inspektion af lokaliteterne, hvorfra databehandleren foretager behandling af personoplysnin- ger, herunder fysiske lokaliteter og systemer, der anvendes benyttes til eller i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger behand- lingen, med henblik på at sikre overholdelsen fastslå databehandlerens overholdelse af databeskyttelsesforordningendatabeskyttelsesforord- ningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for Ud over det planlagte tilsyn, kan den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføresgennemføre en inspektion hos databe- handleren, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt hovedsa- geligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender skal årligt revisionserklæringer for egen regning indhente en revisionserklæring fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen en uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den overensstemmelse med disse bestemmelser: • ISO27001 Erklæringen fremvises den dataansvarlige afholder udgiften efter anmodning til orientering. Baseret på resultaterne af erklæringen, kan den dataansvarlige være berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af da- tabeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemssta- ternes nationale ret og disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandlingBestemmelser. Den dataansvarlige Databehandleren eller en repræsentant for den dataansvarlige databehandleren har herudover adgang til at foretage fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren underdatabehand- leren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Data behandles i EU/EØS på lokaliteter nævnt i afsnit C.5. Den dataansvarlige er bekendt med at data behandles af underdatabehandleren Amazon på sin lokalitet i Frankfurt og er indforstået med de særlige forhold vedrørende potentiel overførsel af personoplysninger til tredjelande som gælder for denne underdatabehandler (xxxxx://x0.xxxxxxxxx.xxx/xxxxx/xxx-xxxx/XXX_XXXX_XXX.xxx). Den dataansvarlige vil således holde den dataansvarlige skadesløs såfremt, der sker overførsel af personoplysninger til tredjelande i det særtilfælde, som gælder for Amazon. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender skal sikre at den dataansvarlige årligt revisionserklæringer fra de datacentrefår rådighed over dokumentation for databehandlers egen compliance, der anvendes fx i form af en intern tilsynsrapport. Den dataansvarlig kan i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget et tilsyn skriftligt stille spørgsmål til dokumentationen eller andet der har til hensigt, at anmode om gennemførelse af yderligere foranstaltninger med henblik på fastslå at sikre overholdelsen databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelserret. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller kan yderligere anmode om, at der gennemføres en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerfysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når Omkostningerne ved at gennemføre et tilsyn afholdes af parterne selv. Xxxxxxxxx rapporter eller andet hvor den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af stiller krav til databehandleren, der ligger uden for opgavens normale omfang, kan databehandleren forlange at få refunderet hos den dataansvarlige selvdataansvarlige. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at databehandleren kan hvert andet år foretage inspektioneret skriftligt tilsyn eller en fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner kan gennemføres, når Baseret på resultaterne af tilsynet er den dataansvarlige finder det nødvendigtberettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af Udgifterne for særskilte rapporter eller andet hvor den dataansvarlige selv. Underdatabehandleren er dog forpligtet stiller krav til at afsætte de ressourcer (hovedsageligt den tid)databehandleren, der er nødvendig(e) forligger uden for opgavens normale omfang, kan databehandleren forlange at få refunderet hos den dataansvarlige kan gennemføre sin inspektiondataansvarlige.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Der må ikke overføres til tredjelande uden foregående aftale med den Dataansvarlige. Hvis den dataansvarlige Dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren Databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de C.7 Procedurer for den Dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren Databehandler gennemfører en årlig, ekstern revision af datacentre, der anvendes procedurer, dokumentation og politikker i forbindelse overensstemmelse med leverance ISAE-3402 type 2 baseret på ISO 27001. Netic skal omkostningsfrit, og ikke senere end to uger efter modtagelsen af ydelsenden eksterne revisors ISAE-3402 type 2-rapport, udstyre den Dataansvarlige med en kopi heraf. Endvidere skal Netic årligt omkostningsfrit stille en ISAE 3000-rapport omhandlende Netics overholdelse af behandlingssikkerhed for persondata i relation til Netics serviceydelser til rådighed for den Dataansvarlige. Rapporten fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden i rapporten, og kan i sådanne tilfælde anmode om en ny rapport - betalt af den Dataansvarlige - under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af revisionserklæringerne rapporten, er den dataansvarlige Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften Databehandleren er berettiget til disse at fakturere den Dataansvarlige for de faktiske forbrugte timer og omkostninger som er forbundet med gennemførelse af yderligere foranstaltninger medmindre de skyldes mangler i databehandlerens behandlinghenhold til den aftalte timepris jf. Hovedaftalen. Den dataansvarlige Dataansvarlige, eller en repræsentant for den dataansvarlige Dataansvarlige, har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren Databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige Dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis Når den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende tilmelder sig WAYF-tjeneste godkender den dataansvarlige overførsel af brugerens personoplysninger til et tredjeland ved log-in processen, når en SP (Service Provider) befinder sig i et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften har pligt til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingat oplyse brugeren om overførsel og sikrer hjemmel til overførsel. WAYF viser på log-in tidspunktet en generel oplysningsside, som muligvis er egnet til at varetage oplysningspligten og evt. indhentelsen af samtykke til overførsel. Der er enighed mellem parterne om, at følgende typer af tilsyn og certificeringer kan anvendes uden meromkostninger for den dataansvarlige: • Internt tilsyn • ISO 27001-certificering Det interne tilsyn vil blive gennemført hvert 2. år, og dette interne tilsyn er ment som en udvidet service, som kan sidestilles med og udgøre dataansvarliges eget tilsyn. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang kan i forlængelse af det interne af tilsyn stille yderligere uddybende spørgsmål til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigtWAYF efter behov. Den dataansvarliges eventuelle dataansvarlige kan gennemføre andre former for tilsyn eller inspektion og afholder alle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selvforbundet hermed. Databehandleren er dog forpligtet til at afsætte de ressourcer i rimeligt omfang (hovedsageligt den tid), der er nødvendig(e) fornødvendige, for at den dataansvarlige kan gennemføre sin sit tilsyn eller inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, I tilfælde af der anvendes stilles uforholdsvis stort krav til databehandleren om at afsætte ressourcer i forbindelse med leverance dataansvarliges tilsyn eller inspektion, kan databehandleren forlange at få sine omkostninger dækket af ydelsenden dataansvarlige. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenRimeligt omfang måles i forhold til, databeskyttelsesbestemmelser hvad der i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller almindelighed efterspørges i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse et tilsyn med en fysisk eller inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionlignende virksomheder udført af Datatilsynet eller revisorvirksomheder.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Den dataansvarlige giver instruks til, at personoplysninger behandles af de underdatabehandlere, der er nævnt i bilag B, samt på de pågældende lokationer heri. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreDer er enighed mellem parterne om, der at følgende typer af revisionserklæring kan anvendes i forbindelse overensstemmelse med leverance af ydelsendisse Bestemmelser: ISAE 3402-erklæring ISAE 3402 erklæringer på lønproduktionsmiljø (BS2000) og hostingmiljø (frontend, CRM) kan fremsendes til den dataansvarlige til orientering. Derudover henvises der til Q&A, som findes på xxx.Xxxxxxx.xx. Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Parterne skal blive enige om eventuelle yderligere foranstaltninger. Databehandleren er berettiget til at opsige Aftalen mellem Parterne, hvis en aftale ikke kan opnås. Den dataansvarlige afholder udgiften alle udgifter i forbindelse med yderligere kontrol, herunder betaling for databehandlerens tidsforbrug. For at anmode om at foretage en kontrol skal den dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingdatabehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan kun gennemføres, når efter aftale mellem parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den dataansvarlige finder det nødvendigtdatabehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter databehandlers valg. Den dataansvarliges eventuelle udgifter dataansvarlige afholder alle omkostninger forbundet med sådanne inspektioner. I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i forbindelse med en fysisk inspektion afholdes medfør af den dataansvarlige selvdatabehandlers politikker og må ikke på urimelig måde gribe forstyrrende ind i databehandlers forretningsdrift. Databehandleren er dog forpligtet Et eventuelt særskilt vederlag til at afsætte de ressourcer (hovedsageligt den tid)databehandleren i henhold til det ovenstående beregnes på grundlag af det tidsforbrug, der er nødvendig(e) fordatabehandleren anvender på fremskaffelsen af informationen, samt databehandlerens almindeligt gældende timesatser, og databehandleren har derudover krav på, at den dataansvarlige kan gennemføre sin inspektiondækker eventuelle eksterne omkostninger afholdt af databehandleren til fremskaffelse af informationen, herunder omkostninger afholdt til eventuelt fornøden bistand fra underdatabehandlere. Databehandleren fremsender indhenter på baggrund af en risikovurdering årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen dokumentation for relevante underdatabehandleres overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften Der er enighed mellem parterne om at proces for, gennemførelse og tilstrækkelighed heraf dokumenteres via den dataansvarliges revision af databehandleren jf C.7. Hvis ydeligere information vedrørende underdatabehandleres overholdes af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser skal leveres til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant den dataansvarlige, vil databehandleren, for den dataansvarlige har herudover adgang til at foretage inspektionerdataansvarliges regning, herunder fysiske inspektionerindhente den, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysningerefter aftale, herunder fysiske lokaliteter fornødne og systemer, der benyttes til eller i forbindelse med behandlingentilgængelige dokumentation hos underdatabehandlere. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.I Mit ProLøn og ProArkiv slettes data efter følgende regler:

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreParterne er enige om at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der anvendes i forbindelse Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med leverance den i Bilag B punkt B.2 og B.3 anførte proces og nærværende punkt C.6. Såfremt Databehandleren skal indhente en revisionsrapport af ydelsen. Baseret på resultaterne typen ISAE 3402 eller af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen typen ISAE 3000 eller tilsvarende fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser, sker dette for den dataansvarliges regning. Den dataansvarlige afholder udgiften Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Bestemmelserne, til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingrådighed for den dataansvarlige. Den Databehandleren giver herunder mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en repræsentant for anden revisor, som er bemyndiget af den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling dataansvarlige. Udføres revision af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af anden end den dataansvarlige selv, skal denne anden revisor være uafhængig og ikke- konkurrerende i forhold til databehandleren og i øvrigt være underlagt fortroligheds- og tavshedspligt enten som følge af lov eller som følge af en fortrolighedsaftale, hvorpå Databehandleren kan støtte ret direkte over for den pågældende anden revisor. Databehandleren underretter omgående den dataansvarlige, hvis en instruks om at stille oplysninger til rådighed eller give mulighed for revisioner og inspektioner efter databehandlerens mening er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse strid med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, persondataforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsernational ret. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler skal godtgøre databehandlerens tid og omkostninger i underdatabehandlerens behandlingforbindelse med tilsyn (f.eks. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling skriftlig informationsindsamling og besvarelse af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidspørgeskemaer), der er nødvendig(e) forog aftaler parterne ikke andet, at den dataansvarlige kan gennemføre sin inspektion.så afregnes databehandlerens medvirken til tilsyn efter medgået tid og materialer, jf. bilag D.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreInstruksen omfatter også forbud mod at anvende underdatabehandlere i EU, EØS eller tredjelande, der anvendes opfylder EU-kommissionens tilstrækkelighedsvurdering, når disse er koncernforbundne med moderselskaber i forbindelse ikke sikre tredjelande. Såfremt databehandler, på baggrund af en konkret, forudgående udtrykkelig og skriftlig aftale med leverance den dataansvarlige, overfører personoplysninger til et tredjeland, må disse oplysninger alene Enten overføres til lande, der efter EU-Kommissionens tilstrækkelighedsvurdering, jf. art. 45 er erklærede sikre. Se EU-Kommissionens liste over de til enhver tid værende sikre tredjelande: Adequacy decisions | Europa-Kommissionen. Databehandleren er ansvarlig for løbende af ydelsenfølge op på landets status og straks orientere den dataansvarlige, hvis tilstrækkelighedsvurderingen ikke kan fastholdes samt træffe foranstaltninger til at sikre persondata overført til behandling i EU, EØS eller andet sikkert tredje land. Eller have et til enhver tid værende gyldigt overførselsgrundlag som dokumenteres i tabellen under C.5 samt bilag E. Databehandleren skal overfor den Dataansvarlige dokumentere beslutningsgrundlag, overvejelser og konklusioner samt foranstaltninger i overensstemmelse med EDPB’s “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Versions 2.0. Adopted on 18.06.2021” punkt 43 samt 43.1-43.3 Databehandleren og dennes underdatabehandlere skal anfægte enhver anmodning om videregivelse af data fra et hvilket som helst lands myndigheder og er hver især selvstændig ansvarlige for straks at underrette den dataansvarlige om anmodningen. Begge skal endvidere informere om hvorvidt de, trods anfægtelsen har imødekommet anmodningen. Såfremt databehandleren eller underdatabehandlere er bundet af det pågældende lands lovgivning om tavshedspligt, skal de pågældende i stedet straks oplyse den dataansvarlige om, at de misligholder nærværende aftale. En sådan misligholdelse er at betragte som væsentlig. Databehandleren erklærer med sin underskrift på nærværende kontrakt, at hæfte for alle tab og omkostninger, som hver enkelt registrerede måtte lide, som følge af databehandlerens eller dennes underdatabehandleres udlevering af personoplysninger i strid med EU's databeskyttelsesregler (GDPR) eller nærværende kontrakt. Revisorerklæring (TLP RØD): Databehandleren skal én gang årligt vederlagsfrit, fremsende en revisorerklæring om overholdelse af Denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder inden for erklæringer omhandlende overholdelse af databeskyttelsesforordningen, og skal være af typen ISAE 3000 efter helhedsmetoden, og med høj grad af sikkerhed. Den første erklæring skal foreligge senest 12 måneder efter indgåelse af Denne aftale, og kan være et øjebliksbillede (Point In Time). Efterfølgende revisorerklæringer skal dække perioden fra senest afgivne rapport og frem til et valgt tidspunkt. Varigheden af perioden for erklæringen må ikke overskride 13 måneder. Revisorerklæringen fremsendes uden unødig forsinkelse til den dataansvarlige til orientering, efter udarbejdelsen. Den dataansvarlige kan anfægte rammerne for og/eller metoden i revisorerklæringen og kan i sådanne tilfælde anmode om en ny revisorerklæring under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af revisionserklæringerne revisorerklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingDenne aftale. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at må foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager skriftlig eller fysisk inspektion af databehandlerens behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. ELLER 2: Databehandlere, der kun opbevarer data - Revisorerklæring (TLP RØD) Databehandleren skal én gang årligt vederlagsfrit, fremsende en revisorerklæring omkring generelle it-kontroller, som er relevante for de ydelser der leveres i relation til denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder inden for informationssikkerhed og skal være af typen ISAE 3000 og/eller ISAE 3402 efter helhedsmetoden. Den første erklæring skal foreligge senest 12 måneder efter indgåelse af Denne aftale, og kan være et øjebliksbillede (Point In Time). Efterfølgende revisorerklæringer skal dække perioden fra senest afgivne rapport og frem til et valgt tidspunkt. Varigheden af perioden for erklæringen må ikke overskride 13 måneder. Revisorerklæringen fremsendes uden unødig forsinkelse til den dataansvarlige til orientering, efter udarbejdelsen. Den dataansvarlige kan anfægte rammerne for og/eller metoden i revisorerklæringen og kan i sådanne tilfælde anmode om en ny revisorerklæring under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af revisorerklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og Denne aftale. Den dataansvarlige eller en repræsentant for den dataansvarlige må foretage skriftlig eller fysisk inspektion af databehandlerens behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. TLP GUL – Skriftligt tilsynDatabehandleren skal årligt levere en rapport på overholdelse af forholdene i indeværende aftale. Rapporten kan udarbejdes af en intern medarbejder, herunder af databehandlerens DPO. Såfremt dataansvarlige ikke finder at rapporten er fyldestgørende, kan databehandleren eller en repræsentant for den dataansvarlige foretage skriftligt tilsyn med databehandleren. Såfremt dataanvarlige gennem persondatabrud eller gennem pålidelig kilde mistænker misligholdelse af indeværende databehandleraftale, kan Dataanvarlige eller en repræsentant for den dataansvarlige foretage skriftlig eller fysisk inspektion af databehandlerens behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og Denne aftale. Databehandleren kan som alternativ til ovenstående levere en revisionserklæring med høj eller begrænset sikkerhed, såfremt denne dækker væsentlige forhold i indeværende aftale. [OG, HVIS RELEVANT] Den dataansvarliges eventuelle udgifter i forbindelse med en inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. TLP Grøn Databehandleren skal årligt levere en skriftlig status på overholdelse af væsentlige forhold i indeværende aftale. Rapporten kan udarbejdes af en intern medarbejder, og kan med fordel udarbejdes af databehandlerens DPO. Såfremt dataansvarlige ikke finder at rapporten er fyldestgørende, kan databehandleren eller en repræsentant for den dataansvarlige foretage skriftligt tilsyn med databehandleren. Såfremt dataanvarlige gennem persondatabrud eller gennem pålidelig kilde mistænker misligholdelse af indeværende databehandleraftale, kan Dataanvarlige eller en repræsentant for den dataansvarlige foretage skriftlig eller fysisk inspektion af databehandlerens behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og Denne aftale. Den dataansvarliges eventuelle udgifter i forbindelse med en inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender kan som alternativ til ovenstående levere en revisionserklæring med høj eller begrænset sikkerhed, såfremt denne dækker væsentlige forhold i indeværende aftale. Revisionserklæring kan afgives som periodeerklæring eller som point in time. TLP Hvid Databehandleren skal årligt revisionserklæringer fra de underdatabehandlereafgive skriftlig bekræftelse på, at punkterne i indeværende aftale er overholdt. Såfremt der anvendes er forhold i indeværende aftale der ikke er overholdt forpligter databehandleren sig til at levere en udbedringsplan i forbindelse med leverance udsendelse af ydelsenstatusrapporten. Baseret på resultaterne Såfremt dataanvarlige gennem persondatabrud eller gennem pålidelig kilde mistænker misligholdelse af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenindeværende databehandleraftale, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige kan Dataanvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager skriftlig eller fysisk inspektion af databehandlerens behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigtmed henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og Denne aftale. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren må ikke overføre oplysninger til tredjeland. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer skal i hele Hovedaftalens løbetid for egen regning deltage i Den dataansvarliges tilsyn hos Databehandleren. Den dataansvarlige gennemfører som udgangspunkt fysiske tilsyn, men er ikke begrænset hertil. Tilsyn kan derfor også foretages på skriftligt grundlag. Der gennemføres som udgangspunkt tilsyn én gang årligt, men Den dataansvarlige er ikke begrænset hertil. Den dataansvarlige føre tilsyn med udgangspunkt i: - De krav til Databehandleren, som er opstillet i Databehandleraftalen. - Adgangen til data, herunder hvilken adgang de forskellige adgange medarbejdere fra de datacentreDatabehandleren har, og om der anvendes er udarbejdet procedurer for adgangen til personoplysninger, brug af login/ koder mv. - Dataopbevaring, herunder håndtering af data, fx print og sletning af print og sletning af oplysninger generelt. - Observationer, herunder observationer af arbejdsmiljø/ kontormiljø. Her ses der fx på om der fysisk ligger dokumenter indeholdende personoplysninger, muligheden for at uvedkommende kan tilgå oplysningerne og om arbejdspladsens indretning sikre, at uvedkommende ikke kan få adgang til oplysninger, fx password og automatisk lås af computere. - Sikkerhedsbrud. Her føres her tilsyn med Databehandlerens procedurer for sikkerhedsbrud. - Underdatabehandlere. Her tænkes der på Databehandlerens brug af underdatabehandlere, jf. databehandleraftalens bilag 2. Der føres tilsyn med, at Databehandleren gennemfører det tilsyn, som Databehandleren er forpligtiget til, jf. dette bilags punkt 6. Databehandleren skal i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen hele rammeaftalens løbetid for egen regning indhente en inspektionsrapport vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre Databehandlerens tilsyn skal som minimum tage udgangspunkt i de skyldes mangler punkter, som er nævnt i databehandlerens behandlingpunkt 5. Den dataansvarlige Kommune kan fremsætte krav om yderligere tilsynspunkter. Databehandleren eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataansvarlige selvtil orientering. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den Den dataansvarlige kan gennemføre sin inspektionanfægte rammerne for og/eller metoden af inspektionen og kan i sådanne tilfælde anmode om gennemførelsen af en ny inspektion under andre rammer og/eller under anvendelse af anden metode.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis Databehandleren og dens eventuelle underdatabehandler(e) kan overføre personoplysninger, som behandles på den dataansvarliges vegne, ud af EU/EØS med tredive (30) dages forudgående skriftlig meddelelse til den dataansvarlige, i det omfang den dataansvarlige ikke i disse Bestemmelser gør indsigelse mod over- førslen skriftligt efter et sådant varsel. Databehandleren overholder alle krav, som er fastlagt af tilsynsmyndigheder eller efterfølgende andre offentlige myndigheder, der er nødvendige for at give sådanne myn- digheder godkendelse til overførsel af personoplysninger uden for EU/EØS. Databehandleren sikrer et overførselsgrundlag for overførsel af personoplysninger. Den dataansvar- lige giver en dokumenteret instruks vedrørende databehandleren tilladelse til at anvende EU-Kommissionens standardkontraktbestemmel- ser for overførsel af personoplysninger til underdatabehandlere etableret i tredjelande på vegne af den dataansvarlige. I tilfælde af at et tredjelandretsgrundlag for overførsel af personoplysninger ikke er i overensstemmelse med den gældende databeskyttelseslovgivning og erstattes eller på anden måde ikke længere anses for at være et gyldigt overførselsgrundlag vil parterne sammen uden unødig forsinkelse finde og anvende et andet retsgrundlag for overførsel af personoplysninger fra EU/EØS. Databehandleren skal på skriftlig anmodning dokumentere overfor den dataansvarlige, er databehandleren ikke berettiget at databe- handleren overholder sine forpligtelser efter disse Bestemmelser for så vidt angår personoplysnin- gerne, som behandles på den dataansvarliges vegne. Databehandlerens dokumentation skal sendes til den dataansvarlige inden for rammerne rimelig tid efter mod- tagelse af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsenanmodning herom. Baseret på resultaterne af revisionserklæringerne en sådan revision / rapport / sikkerhedsspørgeskema er den dataansvarlige dataansvar- lige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerdataansvarliges omkostninger, herunder fysiske inspektionerhvis det er relevant, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af- holdes af den dataansvarlige selvdataansvarlige. Databehandleren er dog imidlertid forpligtet til at afsætte de ressourcer (hovedsageligt den hovedsagelig tid), der er nødvendig(e) forsom måtte kræves, for at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektioninspektionen.

Instruks vedrørende overførsel af personoplysninger til tredjelande. På tidspunktet for indgåelse af databehandleraftalen, overfører LIFE ikke personoplysninger til tredjelande. Hvis LIFE fremover påtænker at iværksætte tredjelandsoverførsler, vil det involvere en ændring i kredsen af underdatabehandlere ifht., hvad der fremgår af bilag B. I så fald iværksætter LIFE den i pkt. 7.3 beskrevne procedure med tilhørende 30-dages varsel for implementering af ændringen (tredjelandsoverførslen) med henblik på den dataansvarlige ikke godkendelse af den påtænkte tredjelandsoverførsel. Proceduren i disse Bestemmelser eller efterfølgende giver pkt. 7.3 følges i det hele. Som led i ovennævnte procedure beskriver LIFE overfor den dataansvarlige 1) det påtænkte overførsels- grundlag, 2) hvorvidt det påtænkte tredjeland har et tilstrækkeligt beskyttelsesniveau, samt 3) hvilke eventulle nødvendige supplerende foranstaltninger, der kan etableres for at sikre et tilstrækkeligt sikkerhedsniveau. Den dataansvarlige har herefter adgang til at komme med rimelige indsigelser, jf. B.2. LIFE er opmærksom på, at support, der er tiltænkt at ske fra en dokumenteret instruks vedrørende fysisk lokalitet i et tredjeland og hvor der er mulighed for, at supportmedarbejderne kan tilgå personoplysninger, er en overførsel af personoplysninger til et tredjeland. LIFE tilstræber at sikre, at underdatabehandleres tekniske support i tredjelande ikke får til- sendt/adgang til personoplysninger, men derimod kun fuldt ud anonymiserede oplysninger samt tekniske data. LIFE er databehandleren ikke berettiget forpligtet til inden at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de krav, der følger af denne aftale. Institutionen, en repræsentant for rammerne af disse Bestemmelser Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreinspektioner og revision, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget stille spørgsmål til at anmode om gennemførelse af yderligere foranstaltninger og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der fore- tages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underle- verandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerinspek- tioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerper- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(enødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre tilsyn med de underdatabehandlere, der anvendes er angivet i forbindelse med leverance bilag B. Et sådant tilsyn kan være i form af ydelsen. Baseret på resultaterne modtagelsen af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenen revisionserklæring, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller eksempelvis en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerISAE 3000 revisionserklæring, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidfra de(n) pågældende underdatabe- handler(e), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser denne aftale eller efterfølgende giver en dokumenteret instruks vedrørende vedrø- rende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser denne aftale at foretage sådanne overførsler, medmindre en sådan overførsel sker til en af de autoriseret underdatabehandlere nævnt i Bilag B. Overførselsgrundlag anvendes i hen- hold til Databeskyttelsesforordningens Kapitel V om overførsler af personoplysninger til tredje- lande eller internationale organisationer. De specifikke overførselsgrundlag følger af gældende Bi- lag B. Databehandleren fremsender stiller sig mindst 1 gang årligt revisionserklæringer fra til rådighed for den dataansvarlige med henblik på dennes kontrol af databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttel- sesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne aftale. Den dataansvarlige kan, mod betaling, anfægte rammerne for og/eller metoden i egenkontrollen og kan i sådanne tilfælde anmode om en ny egenkontrol under andre rammer og/eller under an- vendelse af anden metode. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover, adgang til at fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren fore- tager behandling af personoplysninger. Sådanne inspektioner kan gennemføres, når den dataan- svarlige finder det nødvendigt, men skal tilrettelægges så de datacentre, der anvendes er til mindst mulig gene for databe- handleren. Den dataansvarliges eventuelle udgifter i forbindelse med leverance en fysisk og/eller skriftlig inspektion af- holdes af ydelsenden dataansvarlige selv. Databehandleren er forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspek- tion, hvad enten denne er fysisk og/eller skriftlig. Baseret på resultaterne af revisionserklæringerne den dataansvarliges tilsyn med databehandleren, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller el- ler medlemsstaternes nationale ret og disse Bestemmelserdenne aftale. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant Databehandleren skal årligt for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, egen regning udføre tilsyn med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter som er overladt til underdatabehandlere. Tilsynet skal vedrøre underdatabehandlerens overhol- delse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller med- lemsstaternes nationale ret og systemerdenne aftale. Databehandlerens tilsyn med underdatabehandlere skal databehandleren tilrettelægges på en måde, så der benyttes opnås en tilstrækkelig indsigt i og kontrol af underdatabehandlernes overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstater- nes nationale ret og denne aftale. Tilsynet kan bestå i indhentelse af en revisionserklæring eller inspektionsrapport fra en uafhængig tredjepart, inspektioner, og/eller skriftlige spørgsmål. Databehandleren har som udgangspunkt valgfrihed i forhold til metoden, hvormed der føres tilsyn med underdatabehandlere. Den dataan- svarlige kan dog, såfremt der er rimeligt belæg herfor, anfægte rammerne for og/eller metoden af tilsynet og kan i forbindelse sådanne tilfælde anmode om gennemførelsen af et nyt tilsyn under andre rammer og/eller under anvendelse af anden metode. Den dataansvarlige kan – hvis det findes nødvendigt – vælge at bistå med behandlingenkontrollen af underdata- behandleren. Sådanne inspektioner Dette kan gennemføresblive aktuelt, når hvis den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes vurderer, at databehandlerens kon- trol af underdatabehandleren ikke har givet den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) tilstrækkelig sikkerhed for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes be- handlingen hos underdatabehandleren sker i forbindelse overensstemmelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningendatabeskyttelsesforordnin- gen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektiondenne aftale.

Instruks vedrørende overførsel af personoplysninger til tredjelande. På tidspunktet for indgåelse af databehandleraftalen, overfører LIFE ikke personoplysninger til tredjelande. Hvis LIFE fremover påtænker at iværksætte tredjelandsoverførsler, vil det involvere en ændring i kredsen af underdatabehandlere ifht., hvad der fremgår af bilag B. I så fald iværksætter LIFE den i pkt. 7.3 beskrevne procedure med tilhørende 30-dages varsel for implemen- tering af ændringen (tredjelandsoverførslen) med henblik på den dataansvarlige ikke godkendelse af den på- tænkte tredjelandsoverførsel. Proceduren i disse Bestemmelser pkt. 7.3 følges i det hele. Som led i ovennævnte procedure beskriver LIFE overfor den dataansvarlige 1) det påtænkte over- førselsgrundlag, 2) hvorvidt det påtænkte tredjeland har et tilstrækkeligt beskyttelsesniveau, samt 3) hvilke eventulle nødvendige supplerende foranstaltninger, der kan etableres for at sikre et tilstrækkeligt sikkerheds- niveau. Den dataansvarlige har herefter adgang til at komme med rimelige indsigelser, jf. B.2. LIFE er forpligtet til at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de krav, der følger af denne aftale. Institutionen, en repræsentant for Institutionen eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger dennes revision (såvel intern som ekstern) har adgang til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreinspektioner og revision, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget stille spørgsmål til at anmode om gennemførelse af yderligere foranstaltninger og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der fore- tages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underle- verandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerinspek- tioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerper- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(enødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre tilsyn med de underdatabehandlereun- derdatabehandlere, der anvendes er angivet i forbindelse med leverance bilag B. Et sådant tilsyn kan være i form af ydelsen. Baseret på resultaterne modtagelsen af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenen revisions- erklæring, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsereksempelvis en ISAE 3000 revisionserklæring, fra de(n) pågældende underdatabehandler(e). Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant kan med rimeligt forudgående varsel forlange at LIFE udleverer dokumentation for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, det udførte tilsyn med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidunderdatabehandlere(n), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.