Common use of Instruks vedrørende overførsel af personoplysninger til tredjelande Clause in Contracts

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Den dataansvarlige giver instruks til, at personoplysninger behandles af de underdatabehandlere, der er nævnt i bilag B, samt på de pågældende lokationer heri. Hvis den dataansvarlige ikke i disse Bestemmelser bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser bestemmelser at foretage sådanne overførsler. Databehandleren fremsender indhenter årligt revisionserklæringer en revisionserklæring fra de datacentreunderdatabehandler som er leverandør af databehandlerens mainframe (lønproduktionsmiljø BS2000 og hostingmiljø (fronted og CRM)). Erklæringen er udarbejdet af en uafhængig tredjepart vedrørende databehandlerens og underdatabehandlerens overholdelse af databeskyttelsesforordningen, der databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæring kan anvendes i forbindelse overensstemmelse med leverance af ydelsendisse bestemmelser: ● ISAE 3402-erklæring ● ISAE 3402 erklæringer på lønproduktionsmiljø (BS2000) og hostingmiljø (frontend, CRM) kan fremsendes til den dataansvarlige til orientering. Derudover henvises der til Q&A, som findes på xxx.Xxxxxxx.xx. Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelserbestemmelser. Parterne skal blive enige om eventuelle yderligere foranstaltninger. Databehandleren er berettiget til at opsige Aftalen mellem parterne, hvis en aftale ikke kan opnås. Den dataansvarlige afholder udgiften alle udgifter i forbindelse med yderligere kontrol, herunder betaling af databehandlerens tidsforbrug. For at anmode om at foretage en kontrol skal den dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingdatabehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover derudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføreskun gennemføres efter aftale mellem parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, når giver den dataansvarlige finder det nødvendigtdatabehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter databehandlers valg. Den dataansvarliges eventuelle udgifter dataansvarlige afholder alle omkostninger forbundet med sådanne inspektioner. I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i forbindelse med en fysisk inspektion afholdes medfør af den dataansvarlige selvdatabehandlers politikker, og må ikke på urimelig måde gribe forstyrrende ind i databehandlers forretningsdrift. Databehandleren er dog forpligtet Et eventuelt særskilt vederlag til at afsætte de ressourcer (hovedsageligt den tid)databehandleren i henhold til det ovenstående beregnes på grundlag af det tidsforbrug, der er nødvendig(e) fordatabehandleren anvender på fremskaffelsen af informationen, samt databehandlerens almindeligt gældende timesatser, og databehandleren har derudover krav på, at den dataansvarlige kan gennemføre sin inspektiondækker eventuelle eksterne omkostninger afholdt af databehandleren til fremskaffelse af informationen, herunder omkostninger afholdt til eventuelt fornøden bistand fra underdatabehandlere. Databehandleren fremsender indhenter på baggrund af en risikovurdering årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen dokumentation for relevante underdatabehandleres overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelserbestemmelser. Den dataansvarlige afholder udgiften Der er enighed mellem parterne om, at proces for gennemførelse, og tilstrækkeligheden heraf, dokumenteres via den dataansvarliges revision af databehandleren jf. C.7. Hvis ydeligere information vedrørende underdatabehandleres overholdes af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse bestemmelser skal leveres til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant den dataansvarlige, vil databehandleren, for den dataansvarlige har herudover adgang til at foretage inspektionerdataansvarliges regning, herunder fysiske inspektionerindhente den, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysningerefter aftale, herunder fysiske lokaliteter fornødne og systemer, der benyttes til eller i forbindelse med behandlingentilgængelige dokumentation hos underdatabehandlere. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.I Mit ProLøn og ProArkiv slettes data efter følgende regler:

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis LIFE må anvende underdatabehandlere, der befinder sig i EU eller sikre tredjelande eller underleverandører, der har underskrevet EU Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande. Den dataansvarlige bemyndiger LIFE til at indgå EU-Kommissionens standardkontraktbestemmelser for over- førsel af personoplysninger til underdatabehandlere i tredjelande på vegne af den dataansvarlige. LIFE indestår således for, at de anvendte underdatabehandlere enten er etableret i et sikkert tredjeland eller har underskrevet EU Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande. Ud over hvad der følger af dette punkt C.6 eller inden for rammerne af disse Bestemmelser, er databehand- leren ikke berettiget til at foretage sådanne overførsler, medmindre den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførelse af personoplysninger til et tredjeland. I tilfælde af, at retsgrundlaget for overførslen af personligoplysninger angivet i dette punkt C.6 ikke stemmer overens med den gældende datebeskyttelseslovgivning og er databehandleren erstattet eller på anden måde ikke berettiget længere betragtes som værende et gyldigt retsgrundlag for overførslen af personoplysninger uden for EU/EØS, vil Parterne sammen og uden unødig forsinkelse finde og aftale et andet retsgrundlag for overførslen af person- oplysninger uden for EU/EØS. LIFE er forpligtet til inden at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de krav, der følger af denne Aftale. Institutionen, en repræsentant for rammerne af disse Bestemmelser Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreinspektioner og revision, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget stille spørgsmål til at anmode om gennemførelse af yderligere foranstaltninger og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Er- klæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området, og skal omfatte både Leverandørens og eventuelle underdatabehandleres databehandling. En sådan erklæ- ring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der foretages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underle- verandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerinspek- tioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerper- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(enødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre tilsyn med de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid)un- derdatabehandlere, der er nødvendig(eangivet i bilag B. Et sådant tilsyn kan være i form af modtagelsen af en revisions- erklæring, eksempelvis en ISAE 3000 revisionserklæring, fra de(n) for, at den dataansvarlige kan gennemføre sin inspektionpågældende underdatabehandler(e).

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis LIFE må anvende underdatabehandlere, der befinder sig i EU eller sikre tredjelande eller un- derleverandører, der har underskrevet EU Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande. Den dataansvarlige bemyndiger LIFE til at indgå EU-Kommissionens standardkontraktbe- stemmelser for overførsel af personoplysninger til underdatabehandlere i tredjelande på vegne af den dataansvarlige dataansvarlige. LIFE indestår således for, at de anvendte underdatabehandlere enten er etableret i et sikkert tredjeland eller har underskrevet EU Kommissionens standardkontraktbestemmelser for over- førsel af personoplysninger til tredjelande. Ud over hvad der følger af dette punkt C.6 eller inden for rammerne af disse Bestemmelser, er databehandleren ikke i disse Bestemmelser eller berettiget til at foretage sådanne overførsler, medmindre den data- ansvarlige efterfølgende giver en dokumenteret instruks vedrørende overførsel overførelse af personoplysninger personop- lysninger til et tredjeland. I tilfælde af, at retsgrundlaget for overførslen af personligoplysninger angivet i dette punkt C.6 ikke stemmer overens med den gældende datebeskyttelseslovgivning og er databehandleren erstattet eller på anden måde ikke berettiget længere betragtes som værende et gyldigt retsgrundlag for overførslen af personoplysninger uden for EU/EØS, vil Parterne sammen og uden unødig forsinkelse finde og aftale et andet retsgrundlag for overførslen af personoplysninger uden for EU/EØS. LIFE er forpligtet til inden at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de krav, der følger af denne Aftale. Institutionen, en repræsentant for rammerne af disse Bestemmelser Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreinspektioner og revision, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget stille spørgsmål til at anmode om gennemførelse af yderligere foranstaltninger og få udleveret doku- mentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af databeskyttelsesforordningendenne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandar- der på området, og skal omfatte både Leverandørens og eventuelle underdatabehandleres databehandling. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæ- ring, der dækker den behandling, der foretages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, øn- sker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underleverandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en au- toriseret uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttel- sesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale nati- onale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt hovedsa- geligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre til- syn med de underdatabehandlere, der anvendes er angivet i forbindelse med leverance bilag B. Et sådant tilsyn kan være i form af ydelsen. Baseret på resultaterne modtagelsen af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenen revisionserklæring, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsereksempelvis en ISAE 3000 revisionserklæring, fra de(n) pågældende underdatabehandler(e). Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant kan med rimeligt forudgående varsel forlange at LIFE udleverer doku- mentation for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, det udførte tilsyn med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidunderdatabehandlere(n), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender skal årligt revisionserklæringer fra de datacentrefremsende en statusrapport til den dataansvarlige, der anvendes dækker alle de krav der er beskrevet i forbindelse databehandleraftalen, og andre relevante områder (f.eks. organisatoriske eller produktmæssige ændringer). Databehandleren afholder selv eventuelle udgifter, der måtte være forbundet med leverance udarbejdelsen af ydelsenstatusrapport(er). Baseret på resultaterne af revisionserklæringerne er Databehandleren fremsender al relevant tilsynsmateriale til den dataansvarlige berettiget via kontaktpersonen, angivet i pkt. 15. Første statusrapport skal sendes til at anmode om gennemførelse den dataansvarlige senest 6 måneder efter indgåelse af yderligere foranstaltninger databehandleraftalen. Dækker statusrapporten ikke alle krav der er beskrevet i databehandleraftalen, kan den dataansvarlige eller en repræsentant for den dataansvarlige foretage skriftlig inspektion, f.eks. i form af spørgeskema, af databehandlerens behandling af personoplysninger, med henblik på at sikre overholdelsen fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigtDenne aftale. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk skriftlig inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin skriftlige inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlereDen dataansvarlige forbeholder sig retten til at eskalere sit tilsyn med databehandleren i overensstemmelse med tilsynskoncepter 4-6, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er hvis den dataansvarlige berettiget via informationer i pressen, tilsynsrapporter eller egne erfaringer med sikkerhedsbrud, evt. får indtryk af problemer hos databehandleren. Hvis den dataansvarlige vælger at eskalere sin tilsynsform med databehandleren til at anmode om gennemførelse et andet tilsynskoncept, efter tilsynskoncept 4-6, skal rammerne for tilsynet udarbejdes som et tillæg til den eksisterende databehandleraftale. Databehandleren træffer som udgangspunkt valg om, hvordan revision af yderligere foranstaltninger med henblik på at sikre overholdelsen underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerunderdatabehandleraftalen foretages, herunder fysiske inspektionerhvilket format, med lokaliteterne hvorfra underdatabehandleren foretager der vælges, herunder for eksempel revisionserklæring, inspektionsrapport, tro- og loveerklæring og/eller besvarelse af spørgsmål. Typen og omfanget af revisionen skal afspejle karakteren af den behandling af personoplysninger, herunder fysiske lokaliteter som underdatabehandleren foretager, og systemertilsynet med underdatabehandleren skal være i overensstemmelse med anbefalingerne fra Datatilsynet, der benyttes til eller i forbindelse jf. Datatilsynets ’Vejledning om tilsyn med behandlingendatabehandlere – Pointskala og seks tilsynskoncepter’ fra oktober 2021. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse Databehandleren skal sikre tilstrækkeligt tilsyn med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionunderdatabehandlere.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Den dataansvarlige giver instruks til, at personoplysninger behandles af de underdatabehandlere, der er nævnt i bilag B, samt på de pågældende lokationer heri. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreDer er enighed mellem parterne om, der at følgende typer af revisionserklæring kan anvendes i forbindelse overensstemmelse med leverance af ydelsendisse Bestemmelser: ISAE 3402-erklæring ISAE 3402 erklæringer på lønproduktionsmiljø (BS2000) og hostingmiljø (frontend, CRM) kan fremsendes til den dataansvarlige til orientering. Derudover henvises der til Q&A, som findes på xxx.Xxxxxxx.xx. Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Parterne skal blive enige om eventuelle yderligere foranstaltninger. Databehandleren er berettiget til at opsige Aftalen mellem Parterne, hvis en aftale ikke kan opnås. Den dataansvarlige afholder udgiften alle udgifter i forbindelse med yderligere kontrol, herunder betaling for databehandlerens tidsforbrug. For at anmode om at foretage en kontrol skal den dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingdatabehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan kun gennemføres, når efter aftale mellem parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den dataansvarlige finder det nødvendigtdatabehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter databehandlers valg. Den dataansvarliges eventuelle udgifter dataansvarlige afholder alle omkostninger forbundet med sådanne inspektioner. I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i forbindelse med en fysisk inspektion afholdes medfør af den dataansvarlige selvdatabehandlers politikker og må ikke på urimelig måde gribe forstyrrende ind i databehandlers forretningsdrift. Databehandleren er dog forpligtet Et eventuelt særskilt vederlag til at afsætte de ressourcer (hovedsageligt den tid)databehandleren i henhold til det ovenstående beregnes på grundlag af det tidsforbrug, der er nødvendig(e) fordatabehandleren anvender på fremskaffelsen af informationen, samt databehandlerens almindeligt gældende timesatser, og databehandleren har derudover krav på, at den dataansvarlige kan gennemføre sin inspektiondækker eventuelle eksterne omkostninger afholdt af databehandleren til fremskaffelse af informationen, herunder omkostninger afholdt til eventuelt fornøden bistand fra underdatabehandlere. Databehandleren fremsender indhenter på baggrund af en risikovurdering årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen dokumentation for relevante underdatabehandleres overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften Der er enighed mellem parterne om at proces for, gennemførelse og tilstrækkelighed heraf dokumenteres via den dataansvarliges revision af databehandleren jf C.7. Hvis ydeligere information vedrørende underdatabehandleres overholdes af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser skal leveres til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant den dataansvarlige, vil databehandleren, for den dataansvarlige har herudover adgang til at foretage inspektionerdataansvarliges regning, herunder fysiske inspektionerindhente den, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysningerefter aftale, herunder fysiske lokaliteter fornødne og systemer, der benyttes til eller i forbindelse med behandlingentilgængelige dokumentation hos underdatabehandlere. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.I Mit ProLøn og ProArkiv slettes data efter følgende regler:

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren overfører ikke personoplysninger til tredjelande, undtagen til de generelt godkendte underdatabehandlere listet i Bilag B Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender skal 1 gang årligt revisionserklæringer for egen regning indhente en erklæring/inspektionsrapport fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at der kan anvendes følgende type af erklæring ”Underskrevne uafhængige tredjepart (Navn, adresse, kontaktperson, telefon, email, evt. DPO med angivelse af navn, adresse, tlf og mail bekræfter at have gennemgået de datacentretekniske og organisatoriske sikkerhedsforanstaltninger, der anvendes som databehandleren har oplyst til den dataansvarlige i forbindelse med leverance indgåelse af ydelsendenne databehandleraftale.” Erklæringen/inspektionsrapporten synliggøres/fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rammerne for og/eller metoden i erklæringen/inspektionsrapporten og kan i sådanne tilfælde anmode om en ny erklæring/inspektionsrapport under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af revisionserklæringerne erklæringen/inspektionsrapporten, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med af lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigtnødvendig, Vurderingen skal bero på fakta og ikke fornemmelse. Fysisk inspektion kræver forudgående aftale med databehandlerne, og med et forudgående varsel på 3 uger, så databehandleren er forberedt på at kunne afsætte de nødvendige ressourcer til det.” Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Databehandlerens revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til underdatabehandleren sker på samme måde som den dataansvarliges revisioner hos databehandleren, se punkt C.7. Se den mellem parterne indgåede hovedaftale/kontrakt. Brud på datasikkerheden: Hvis der sker brud på datasikkerheden, skal databehandler medsende dokumentation for de underdatabehandlerefaktiske omstændigheder ved bruddet, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningendets virkninger, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret de trufne afhjælpende foranstaltninger, og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige hvis databehandleren har herudover adgang fået bemyndigelse til at foretage inspektionerunderretning til de registrerede, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), oplyse om der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionforetaget underretning til de registrerede og i givet fald hvorledes.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren må ikke overføre personoplysninger til tredjelande, hvilket vil sige lande udenfor EØS, herunder Storbritannien. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender Den Dataansvarlige eller en repræsentant for den Dataansvarlige kan på forlangende foretage et årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse tilsyn med leverance Databehandlerens overholdelse af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret databeskyttelseslovgivningen og disse BestemmelserAftalen. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingDataansvarlige fastsætter selv rammerne for, hvordan tilsynet udføres. ”Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at kan på forlangende foretage inspektioneren fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Ud over det planlagte tilsyn, kan den dataansvarlige gennemføre en inspektion hos databehandleren, når den dataansvarlige finder det nødvendigt, dog maksimalt én gang årligt.” ”Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige afholder udgiften selv.” Al bistand og besvarelse som følge af forespørgsler fra den dataansvarlige, vedrørende databehandling, faktureres til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandlingden dataansvarlige med 1.250 kroner ekskl. Den dataansvarlige moms, per påbegyndt time. ”Databehandleren eller en repræsentant for den dataansvarlige har herudover adgang til at databehandleren kan på forlangende foretage inspektioneren årlig fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner Ud over det planlagte tilsyn, kan gennemføresdatabehandleren gennemføre en inspektion med underdatabehandleren, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt, dog maksimalt én gang årligt. Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarliges eventuelle udgifter dataansvarlige kan anfægte rammerne for og/eller metoden af inspektionen og kan i forbindelse med sådanne tilfælde anmode om gennemførelsen af en fysisk ny inspektion afholdes under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af tilsynet, er den dataansvarlige selv. Underdatabehandleren er dog forpligtet berettiget til at afsætte de ressourcer (hovedsageligt den tid)anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelse af databeskyttelsesforordningen, der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektiondatabeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.”

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis Når den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende tilmelder sig WAYF-tjeneste godkender den dataansvarlige overførsel af brugerens personoplysninger til et tredjeland ved log-in processen, når en SP (Service Provider) befinder sig i et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften har pligt til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingat oplyse brugeren om overførsel og sikrer hjemmel til overførsel. WAYF viser på log-in tidspunktet en generel oplysningsside, som muligvis er egnet til at varetage oplysningspligten og evt. indhentelsen af samtykke til overførsel. Der er enighed mellem parterne om, at følgende typer af tilsyn og certificeringer kan anvendes uden meromkostninger for den dataansvarlige: • Internt tilsyn • ISO 27001-certificering Det interne tilsyn vil blive gennemført hvert 2. år, og dette interne tilsyn er ment som en udvidet service, som kan sidestilles med og udgøre dataansvarliges eget tilsyn. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang kan i forlængelse af det interne af tilsyn stille yderligere uddybende spørgsmål til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigtWAYF efter behov. Den dataansvarliges eventuelle dataansvarlige kan gennemføre andre former for tilsyn eller inspektion og afholder alle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selvforbundet hermed. Databehandleren er dog forpligtet til at afsætte de ressourcer i rimeligt omfang (hovedsageligt den tid), der er nødvendig(e) fornødvendige, for at den dataansvarlige kan gennemføre sin sit tilsyn eller inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, I tilfælde af der anvendes stilles uforholdsvis stort krav til databehandleren om at afsætte ressourcer i forbindelse med leverance dataansvarliges tilsyn eller inspektion, kan databehandleren forlange at få sine omkostninger dækket af ydelsenden dataansvarlige. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenRimeligt omfang måles i forhold til, databeskyttelsesbestemmelser hvad der i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller almindelighed efterspørges i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse et tilsyn med en fysisk eller inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionlignende virksomheder udført af Datatilsynet eller revisorvirksomheder.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Alle overførsler af personoplysninger til lande uden for EU/EØS-området skal baseres på de standardkontraktmæssige klausuler (SCC’ere), der er godkendt af EU-Kommissionen som kontraktuelt grundlag for overførsler af personoplysninger. Databehandler skal kun anvende SCC'er, der er relevante og passende for den specifikke overførsel af personoplysninger, og som opfylder GDPR's krav til beskyttelse af personoplysninger. Databehandler sikrer, at alle modtagere af personoplysninger i lande uden for EU/EØS-området overholder de forpligtelser, der er fastsat i SCC'en og i GDPR's bestemmelser for beskyttelse af personoplysninger. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra Databehandler udfører årlig intern revision af sin GDPR-overholdelse samt overholdelse af instrukserne i databehandleraftaler. Undersøgelsen ledes og koordineres af databehandlers databeskyttelsesrådgiver (DPO). Processen kører sideløbende med databehandlers årlige interne audit af sin ISO 27001 modenhed. Resultatet er en erklæring som vil tjene som den dataansvarliges tilsyn med databehandleren. Erklæringen kan fremsendes på dataansvarliges anmodning. Revisionen omfatter en analyse af databehandlers behandlingsaktiviteter for at sikre, at de datacentreer i overensstemmelse med databehandlingsaftalerne. Der evalueres på de tekniske og organisatoriske sikkerhedsforanstaltninger, som er på plads for at beskytte personoplysninger. Risikovurderingerne som danner grundlag for denne evaluering genbesøges samtidigt, og det aktuelle trusselsbillede samt eventuelle hændelser tages med ind i vurderingen. Efter revisionen udarbejder databehandler en erklæring, der anvendes præsenterer resultaterne og identificerer eventuelle mangler eller områder, der kræver forbedring. Databehandlerens ledelse gennemgår rapporten og rådgives i forbindelse med leverance at træffe beslutninger om nødvendige tiltag for at sikre fortsat overholdelse af ydelsenGDPR og databehandleraftalerne. Baseret på resultaterne af revisionserklæringerne den interne revision er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang Hvis underdatabehandlere er forpligtet gennem aftaler, til at foretage inspektionerudarbejde revisionserklæringer, herunder fysiske inspektionerindhenter databehandler disse årligt. Revisionserklæringerne tjener som en ekstern, med lokaliteterne hvorfra databehandleren foretager behandling uafhængig vurdering af databehandlerens overholdelse af GDPR samt deres evne til at beskytte og sikre personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren driver derudover procedurer for tilsyn med underdatabehandlere ved udsendelsen af et standardiseret spørgeskema. Spørgeskemaet skal udfyldes og returneres til databehandler og er dog forpligtet designet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionevaluere underdatabehandlernes GDPR-compliance. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget Dette tjener til at anmode vurdere, om gennemførelse af yderligere underdatabehandleren har implementeret passende tekniske og organisatoriske foranstaltninger med henblik på for at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af beskytte personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. [BESKRIV INSTRUKSEN VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER] [ANGIV GRUNDLAGET FOR OVERFØRSLEN SOM OMHANDLET I DATABESKYTTELSESFORORDNINGENS KAPITEL V] Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. [BESKRIV PROCEDURERNE FOR DEN DATAANSVARLIGES REVISIONER, HERUNDER INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVERLADT TIL DATABEHANDLEREN] [EKSEMPELVIS] ”Databehandleren fremsender årligt revisionserklæringer skal [ANGIV TIDSPERIODE] for [EGEN/DEN DATAANSVARLIGES] regning indhente en [REVISIONSERKLÆRING/INSPEKTIONSRAPPORT] fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. [ELLER] ”Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerforetager [ANGIV TIDSPERIODE] en fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner kan gennemføres[OG, når den dataansvarlige finder det nødvendigt. HVIS RELEVANT] ”Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. .” [BESKRIV PROCEDURERNE FOR DATABEHANDLERENS REVISIONER, HERUNDER INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVERLADT TIL UNDERDATABEHANDLEREN] [EKSEMPELVIS] ”Databehandleren fremsender årligt revisionserklæringer skal [ANGIV TIDSPERIODE] for [EGEN/UNDERDATABEHANDLERENS] regning indhente en [REVISIONSERKLÆRING/INSPEKTIONSRAPPORT] fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen en uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige [ELLER] ”Databehandleren eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerdatabehandleren foretager [ANGIV TIDSPERIODE] en fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner [OG, HVIS RELEVANT] “Den dataansvarlige kan gennemføres– hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, når hvis den dataansvarlige finder det nødvendigtvurderer, at databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker I overensstemmelse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges [OG, HVIS RELEVANT] ”Databehandlerens og underdatabehandlerens eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af underdatabehandlerens lokaliteter er den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at uvedkommende – uanset om den dataansvarlige kan gennemføre sin har initieret og deltaget i en sådan inspektion.”

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel vedrø- rende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne ram- merne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra LIFE er forpligtet til at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de datacentrekrav, der anvendes i forbindelse med leverance følger af ydelsendenne aftale. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget Institutionen, en repræsentant for Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at anmode om gennemførelse af yderligere foranstaltninger foretage inspektioner og revision, stille spørgsmål til og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der fore- tages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underle- verandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling be- handling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(enødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre tilsyn med de underdatabehandlereun- derdatabehandlere, der anvendes er angivet i forbindelse med leverance bilag B. Et sådant tilsyn kan være i form af ydelsen. Baseret på resultaterne modtagelsen af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenen revisions- erklæring, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsereksempelvis en ISAE 3000 revisionserklæring, fra de(n) pågældende underdatabehandler(e). Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant kan med rimeligt forudgående varsel forlange at LIFE udleverer dokumentation for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, det udførte tilsyn med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidunderdatabehandlere(n), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Den dataansvarlige giver instruks til, at personoplysninger behandles af de underdatabehandlere, der er nævnt i bilag B, samt på de pågældende lokationer heri. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreDer er enighed mellem parterne om, der at følgende typer af revisionserklæring kan anvendes i forbindelse overensstemmelse med leverance af ydelsendisse Bestemmelser: ISAE 3402-erklæring ISAE 3402 erklæringer på lønproduktionsmiljø (BS2000) og hostingmiljø (frontend, CRM) kan fremsendes til den dataansvarlige til orientering. Derudover henvises der til Q&A, som findes på xxx.Xxxxxxx.xx. Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Parterne skal blive enige om eventuelle yderligere foranstaltninger. Databehandleren er berettiget til at opsige Aftalen mellem Parterne, hvis en aftale ikke kan opnås. Den dataansvarlige afholder udgiften alle udgifter i forbindelse med yderligere kontrol, herunder betaling for databehandlerens tidsforbrug. For at anmode om at foretage en kontrol skal den dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingdatabehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan kun gennemføres, når efter aftale mellem parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den dataansvarlige finder det nødvendigtdatabehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter databehandlers valg. Den dataansvarliges eventuelle udgifter dataansvarlige afholder alle omkostninger forbundet med sådanne inspektioner. I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i forbindelse med en fysisk inspektion afholdes medfør af den dataansvarlige selvdatabehandlers politikker og må ikke på urimelig måde gribe forstyrrende ind i databehandlers forretningsdrift. Databehandleren er dog forpligtet Et eventuelt særskilt vederlag til at afsætte de ressourcer (hovedsageligt den tid)databehandleren i henhold til det ovenstående beregnes på grundlag af det tidsforbrug, der er nødvendig(e) fordatabehandleren anvender på fremskaffelsen af informationen, samt databehandlerens almindeligt gældende timesatser, og databehandleren har derudover krav på, at den dataansvarlige kan gennemføre sin inspektiondækker eventuelle eksterne omkostninger afholdt af databehandleren til fremskaffelse af informationen, herunder omkostninger afholdt til eventuelt fornøden bistand fra underdatabehandlere. Databehandleren fremsender indhenter på baggrund af en risikovurdering årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen dokumentation for relevante underdatabehandleres overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til Der er enighed mellem parterne om at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) proces for, at gennemførelse og tilstrækkelighed heraf dokumenteres via den dataansvarlige kan gennemføre sin inspektiondataansvarliges revision af databehandleren jf C.7.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren må anvende Microsoft Azure til hostning og back-up, og der kan såle- des ske overførsel af personoplysninger til tredjelande. Grundlaget for overførslen sker efter standardkontraktsbestemmelserne. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender Den dataansvarlige eller en repræsentant for den dataansvarlige kan årligt revisionserklæringer fra de datacentreforetage en fysisk inspektion af lokaliteterne, hvorfra databehandleren foretager behandling af personoplysnin- ger, herunder fysiske lokaliteter og systemer, der anvendes benyttes til eller i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger behand- lingen, med henblik på at sikre overholdelsen fastslå databehandlerens overholdelse af databeskyttelsesforordningendatabeskyttelsesforord- ningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for Ud over det planlagte tilsyn, kan den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføresgennemføre en inspektion hos databe- handleren, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt hovedsa- geligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender skal årligt revisionserklæringer for egen regning indhente en revisionserklæring fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen en uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den overensstemmelse med disse bestemmelser: • ISO27001 Erklæringen fremvises den dataansvarlige afholder udgiften efter anmodning til orientering. Baseret på resultaterne af erklæringen, kan den dataansvarlige være berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af da- tabeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemssta- ternes nationale ret og disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandlingBestemmelser. Den dataansvarlige Databehandleren eller en repræsentant for den dataansvarlige databehandleren har herudover adgang til at foretage fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren underdatabehand- leren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Data behandles i EU/EØS på lokaliteter nævnt i afsnit C.5. Den dataansvarlige er bekendt med at data behandles af underdatabehandleren Amazon på sin lokalitet i Frankfurt og er indforstået med de særlige forhold vedrørende potentiel overførsel af personoplysninger til tredjelande som gælder for denne underdatabehandler (xxxxx://x0.xxxxxxxxx.xxx/xxxxx/xxx-xxxx/XXX_XXXX_XXX.xxx). Den dataansvarlige vil således holde den dataansvarlige skadesløs såfremt, der sker overførsel af personoplysninger til tredjelande i det særtilfælde, som gælder for Amazon. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender skal sikre at den dataansvarlige årligt revisionserklæringer fra de datacentrefår rådighed over dokumentation for databehandlers egen compliance, der anvendes fx i form af en intern tilsynsrapport. Den dataansvarlig kan i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget et tilsyn skriftligt stille spørgsmål til dokumentationen eller andet der har til hensigt, at anmode om gennemførelse af yderligere foranstaltninger med henblik på fastslå at sikre overholdelsen databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelserret. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller kan yderligere anmode om, at der gennemføres en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerfysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når Omkostningerne ved at gennemføre et tilsyn afholdes af parterne selv. Xxxxxxxxx rapporter eller andet hvor den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af stiller krav til databehandleren, der ligger uden for opgavens normale omfang, kan databehandleren forlange at få refunderet hos den dataansvarlige selvdataansvarlige. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at databehandleren kan hvert andet år foretage inspektioneret skriftligt tilsyn eller en fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner kan gennemføres, når Baseret på resultaterne af tilsynet er den dataansvarlige finder det nødvendigtberettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af Udgifterne for særskilte rapporter eller andet hvor den dataansvarlige selv. Underdatabehandleren er dog forpligtet stiller krav til at afsætte de ressourcer (hovedsageligt den tid)databehandleren, der er nødvendig(e) forligger uden for opgavens normale omfang, kan databehandleren forlange at få refunderet hos den dataansvarlige kan gennemføre sin inspektiondataansvarlige.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren og de godkendte underdatabehandlere, jf. Bilag B.1, overfører ikke personoplysninger til tred- jelande. Ved ændring af lokationer for databehandlerens behandling af personoplysninger, som vil medføre overførsel til usikre tredjelande, er databehandleren forpligtet til skriftligt at oplyse den dataansvarlige med mindst 3 måneders skriftligt varsel, hvorved den dataansvarlige får mulig-hed for at gøre indsigelse mod overførsel, jf. Bilag C.5. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende vedrø- rende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerkan udbede sig skriftlig bekræftelse eller fore- tage en fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner Ud over det planlagte tilsyn, kan gennemføresden dataansvarlige gennemføre et skriftligt tilsyn eller en inspektion hos data- behandleren, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlereDen dataansvarlige kan – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er hvis den dataansvarlige berettiget til vurderer, at anmode om gennemførelse af yderligere foranstaltninger databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker i overensstemmelse med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyttelsesbestem- melser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter deltagelse i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) forhos underdatabehandleren ændrer ikke ved, at den dataansvarlige kan gennemføre sin inspektiondata- behandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelsesfor- ordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestem- melser.

Instruks vedrørende overførsel af personoplysninger til tredjelande. [Beskriv instruksen vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer] [Angiv grundlaget for overførslen som omhandlet i databeskyttelsesforordningens kapitel V] Hvis den dataansvarlige Dataansvarlige ikke i disse Bestemmelser denne databehandleraftale eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren Databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser denne databehandleraftale at foretage sådanne overførsler. [Beskriv procedurerne for den Dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til Databehandleren] [Eksempelvis] ”Databehandleren fremsender årligt revisionserklæringer skal [angiv tidsperiode] for [egen/den Dataansvarliges] regning indhente en [revisionserklæring/inspektionsrapport] fra de datacentreen uafhængig tredjepart vedrørende Databehandlerens overholdelse af databeskyttelsesforordningen, der databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne databehandleraftale. Der er enighed mellem Parterne om, at følgende typer af [revisionserklæringer/inspektionsrapport] kan anvendes i forbindelse overensstemmelse med leverance denne databehandleraftale: [Beskriv aftalte revisionserklæringer/inspektionsrapporter] [Revisionserklæringen/ inspektionsrapporter] fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden i [erklæringen/rapporten] og kan i sådanne tilfælde anmode om en ny [revisionserklæring/ inspektionsrapport] under andre rammer og/eller under anvendelse af ydelsenanden metode. Baseret på resultaterne af revisionserklæringerne [erklæringen/rapporten], er den dataansvarlige Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelserdenne databehandleraftale. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige Dataansvarlige eller en repræsentant for den dataansvarlige Dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren Databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige Dataansvarlige finder det nødvendigt.” [Eller] ”Den Dataansvarlige eller en repræsentant for den Dataansvarlige foretager [angiv tidsperiode] en fysisk inspektion af lokaliteterne, hvorfra Databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå Databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne databehandleraftale. Ud over det planlagte tilsyn, kan den Dataansvarlige gennemføre en inspektion hos Databehandleren, når den Dataansvarlige finder det nødvendigt.” [Og, hvis relevant] ”Den dataansvarliges Dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige Dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige Dataansvarlige kan gennemføre sin inspektion.” [Beskriv procedurerne for Databehandlerens revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til underdatabehandleren] [Eksempelvis] ”Databehandleren skal [angiv tidsperiode] for [egen/underdatabehandlerens] regning indhente en [revisionserklæring/inspektionsrapport] fra en uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne databehandleraftale. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlereDer er enighed mellem Parterne om, der at følgende typer af [revisionserklæringer/inspektionsrapporter] kan anvendes i forbindelse overensstemmelse med leverance denne databehandleraftale: [Beskriv aftalte revisionserklæringer/inspektionsrapporter] [Revisionserklæringen/inspektionsrapport] fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden i [erklæringen/rapporten] og kan i sådanne tilfælde anmode om en ny [revisionserklæring/inspektionsrapport] under andre rammer og/eller under anvendelse af ydelsenanden metode. Baseret på resultaterne af revisionserklæringerne [erklæringen/rapporten], er den dataansvarlige Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelserdenne databehandleraftale. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige Databehandleren eller en repræsentant for den dataansvarlige Databehandleren har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når Databehandleren (eller den dataansvarlige Dataansvarlige) finder det nødvendigt. Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den dataansvarliges Dataansvarlige kan anfægte rammerne for og/eller metoden af inspektionen og kan i sådanne tilfælde anmode om gennemførelsen af en ny inspektion under andre rammer og/eller under anvendelse af anden metode.” [Eller] ”Databehandleren eller en repræsentant for Databehandleren foretager [angiv tidsperiode] en fysisk inspektion af lokaliteterne, hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne databehandleraftale. Ud over det planlagte tilsyn, kan Databehandleren gennemføre en inspektion med underdatabehandleren, når Databehandleren (eller den Dataansvarlige) finder det nødvendigt. Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden af inspektionen og kan i sådanne tilfælde anmode om gennemførelsen af en ny inspektion under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af tilsynet, er den Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne databehandleraftale.” [Og, hvis relevant] “Den Dataansvarlige kan – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, hvis den Dataansvarlige vurderer, at Databehandlerens inspektion hos underdatabehandleren ikke har givet den Dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker i overensstemmelse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne databehandleraftale. Den Dataansvarliges eventuelle deltagelse i en inspektion hos underdatabehandleren ændrer ikke ved, at Databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne databehandleraftale.” [Og, hvis relevant] ”Databehandlerens og underdatabehandlerens eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af underdatabehandlerens lokaliteter er den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt Dataansvarlige uvedkommende – uanset om den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin Dataansvarlige har initieret og deltaget i en sådan inspektion.”

Instruks vedrørende overførsel af personoplysninger til tredjelande. Der må ikke overføres til tredjelande uden foregående aftale med den Dataansvarlige. Hvis den dataansvarlige Dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren Databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de C.7 Procedurer for den Dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren Databehandler gennemfører en årlig, ekstern revision af datacentre, der anvendes procedurer, dokumentation og politikker i forbindelse overensstemmelse med leverance ISAE-3402 type 2 baseret på ISO 27001. Netic skal omkostningsfrit, og ikke senere end to uger efter modtagelsen af ydelsenden eksterne revisors ISAE-3402 type 2-rapport, udstyre den Dataansvarlige med en kopi heraf. Endvidere skal Netic årligt omkostningsfrit stille en ISAE 3000-rapport omhandlende Netics overholdelse af behandlingssikkerhed for persondata i relation til Netics serviceydelser til rådighed for den Dataansvarlige. Rapporten fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden i rapporten, og kan i sådanne tilfælde anmode om en ny rapport - betalt af den Dataansvarlige - under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af revisionserklæringerne rapporten, er den dataansvarlige Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften Databehandleren er berettiget til disse at fakturere den Dataansvarlige for de faktiske forbrugte timer og omkostninger som er forbundet med gennemførelse af yderligere foranstaltninger medmindre de skyldes mangler i databehandlerens behandlinghenhold til den aftalte timepris jf. Hovedaftalen. Den dataansvarlige Dataansvarlige, eller en repræsentant for den dataansvarlige Dataansvarlige, har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren Databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige Dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreParterne er enige om at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der anvendes i forbindelse Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med leverance den i Bilag B punkt B.2 og B.3 anførte proces og nærværende punkt C.6. Såfremt Databehandleren skal indhente en revisionsrapport af ydelsen. Baseret på resultaterne typen ISAE 3402 eller af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen typen ISAE 3000 eller tilsvarende fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser, sker dette for den dataansvarliges regning. Den dataansvarlige afholder udgiften Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Bestemmelserne, til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingrådighed for den dataansvarlige. Den Databehandleren giver herunder mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en repræsentant for anden revisor, som er bemyndiget af den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling dataansvarlige. Udføres revision af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af anden end den dataansvarlige selv, skal denne anden revisor være uafhængig og ikke- konkurrerende i forhold til databehandleren og i øvrigt være underlagt fortroligheds- og tavshedspligt enten som følge af lov eller som følge af en fortrolighedsaftale, hvorpå Databehandleren kan støtte ret direkte over for den pågældende anden revisor. Databehandleren underretter omgående den dataansvarlige, hvis en instruks om at stille oplysninger til rådighed eller give mulighed for revisioner og inspektioner efter databehandlerens mening er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse strid med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, persondataforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsernational ret. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler skal godtgøre databehandlerens tid og omkostninger i underdatabehandlerens behandlingforbindelse med tilsyn (f.eks. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling skriftlig informationsindsamling og besvarelse af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidspørgeskemaer), der er nødvendig(e) forog aftaler parterne ikke andet, at den dataansvarlige kan gennemføre sin inspektion.så afregnes databehandlerens medvirken til tilsyn efter medgået tid og materialer, jf. bilag D.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Den dataansvarlige instruerer databehandleren i at foretage overførsel af oplysninger til tredjelande, under forudsætning af, at behandlingen er nødvendig af hensyn til levering af tjenesterne som omfattet af disse Bestemmelser, og at modtageren af personoplysningerne er en godkendt underdatabehandler, jf. bilag B. Enhver overførsel af personoplysninger til et tredjeland skal være underlagt de til enhver tid gældende regler, som følger af Databeskyttelsesforordningen. Afhængigt af det pågældende tredjeland kan overførslen ske på baggrund af følgende overførselsgrundlag: ▪ EU Kommissionens afgørelse om et tilstrækkeligt beskyttelsesniveau, jf. databeskyttelsesforordningens art. 45 o Herunder EU-U.S. Data Privacy Framework ( EU-U.S. DPF), som alene kan anvendes til at overføre personoplysninger til virksomheder/organisationen fra USA der er certificeret igennem EU-U.S. DPF, listen over de certificerede organisationer kan findes her. ▪ Fornødne garantier baseret på EU Kommissionens standardkontraktbestemmelser, jf. databeskyttelsesforordningens art. 46, stk. 2, litra c). Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreC.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren Den dataansvarlige (eller dennes repræsentant) er berettiget til at foretage skriftlige og/eller fysiske inspektioner med databehandlerens faciliteter og sikkerhedsforanstaltninger med henblik på at kontrollere, at behandlingen af personoplysninger, der anvendes er overladt til databehandleren, sker i forbindelse overensstemmelse med leverance disse Bestemmelser. Følgende revisioner, herunder inspektioner, kan gennemføres: • Den dataansvarlige kan til enhver tid rekvirere den seneste erklæring fra databehandlerens direktion, som erklærer overholdelse af ydelsendisse Bestemmelser. Denne direktionserklæring er baseret på en omfattende egenkontrol, som databehandleren udfører årligt. Erklæringen udarbejdes én gang årligt af databehandleren og offentliggøres på databehandlerens hjemmeside. Erklæringen kan til enhver tid tilgås via følgende link: xxxxx://xxxxxxxxxxx.xx/xxxxxxxxxx/XXXX-xxxxxxxxxxxxx. • Databehandleren kan på den dataansvarliges anmodning indhente en inspektionsrapport fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Såfremt den dataansvarlige kræver en sådan inspektionsrapport, afholder den dataansvarlige omkostningerne hertil. • Den dataansvarlige (eller dennes repræsentant) kan efter aftale med databehandleren foretage fysiske inspektioner med databehandlerens faciliteter og sikkerhedsforanstaltninger, der er direkte relaterede til behandlingen af personoplysninger under disse Bestemmelser. Fysiske inspektioner kan gennemføres af den dataansvarlige (eller dennes repræsentant), såfremt databehandleren har modtaget skriftligt varsel herom senest 21 dage forinden, medmindre andet er påkrævet af en tilsynsmyndighed. I det omfang den dataansvarlige ønsker at gennemføre sådanne fysiske inspektioner, er den dataansvarlige forpligtet til at vederlægge databehandleren for den herved anvendte (medgåede) tid med de af databehandleren til enhver tid anvendte timesatser. Baseret på resultaterne af revisionserklæringerne den/de gennemførte inspektioner, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis Databehandler overfører ikke data til tredjelande. Databehandleraftalen danner rammerne for, hvad der føres tilsyn med. Databehandleren udarbejder en rapport, som gøres tilgængelig for den dataansvarlige ikke til inspektion én gang om året og tidligst 1 år efter aftales ikrafttræden. Tilsynet gennemføres i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførslersamarbejde med databehandleres databeskyttelsesrådgiver. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes Den dataansvarlige kan i forbindelse med leverance tilsynet stille spørgsmål til databehandlerens overholdelse af ydelsendatabeskyttelsesforordningen og databeskyttelsesloven. Baseret på resultaterne På baggrund af revisionserklæringerne er rapporten, kan den dataansvarlige berettiget til anmode om, at anmode om gennemførelse af yderligere der træffes videre foranstaltninger med henblik på for at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. registreres rettigheder Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren databehandle-ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt hovedsa-geligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra gennemfører, på baggrund af risikovurdering, samt under hensyntagen til omfattede behandlingsaktiviteter tilsyn med underdatabehandlere. Der er enighed mellem parterne om, at Det Danske Filminstitut som databehandler har ansvaret for at føre tilsyn med de underdatabehandlere, der anvendes er angivet i forbindelse med leverance bilag B. Et sådant tilsyn kan være i form af ydelsen. Baseret på resultaterne modtagelsen af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenen revisions-erklæring, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsereksempelvis en ISAE 3000 revisionserklæring, fra de(n) pågældende underdatabehandler(e). Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler kan med rimeligt forudgående varsel forlange at Det Danske Filminstitut udleverer dokumentation for det udførte tilsyn med underdatabehandlere(n). Databehandlerens tilsyn med underdatabehandlere indgår ligeledes i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionafsnit C.7 beskrevne rapport.

Instruks vedrørende overførsel af personoplysninger til tredjelande. [BESKRIV INSTRUKSEN VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER] Den dataansvarlige giver med Bestemmelserne sin generelle godkendelse til brug af under- databehandlere, herunder underdatabehandlere placeret i tredjelande, i det omfang brugen af underdatabehandlere sker i medfør af Bestemmelsernes punkt 7 og EU-kommissionens stan- dardkontrakt for overførsel af personoplysninger til tredjelande. Tilladelsen er betinget af, at underdatabehandleren i et tredjeland alene er tilladt at opnå adgang til databehandlerens sy- stemer via VPN eller tilsvarende adgang med samme sikkerhedsstandard. [ANGIV GRUNDLAGET FOR OVERFØRSLEN SOM OMHANDLET I DATABESKYTTELSES- FORORDNINGENS KAPITEL V] Grundlaget for overførslen er GDPR, artikel 46, stk. 2, litra c om EU-Kommissionens standard- kontrakt. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVER- LADT TIL DATABEHANDLEREN] Databehandleren fremsender årligt skal minimum én gang om året for egen regning indhente en revisionser- klæring fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databe- skyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstater- nes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæringer fra de datacentre, der kan anvendes i forbindelse overensstemmelse med leverance disse Bestemmelser: Revisionserklæringen gøres tilgængelig på databehandlerens hjemmeside og/eller fremsen- des uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan an- fægte rammerne for og/eller metoden i revisionserklæringen og kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af ydelsenanden metode. I så fald afholder den dataansvarlige omkostningerne til revisionserklæringen. Baseret på resultaterne af revisionserklæringerne revisionserklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenda- tabeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes medlemssta- ternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner[BESKRIV PROCEDURERNE FOR DATABEHANDLERENS REVISIONER, herunder fysiske inspektionerHERUNDER IN- SPEKTIONER, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerMED BEHANDLINGEN AF PERSONOPLYSNINGER, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.SOM ER OVERLADT TIL UNDERDATABEHANDLEREN]

Instruks vedrørende overførsel af personoplysninger til tredjelande. Den dataansvarlige giver instruks til, at personoplysninger behandles af de underdatabehandlere, der er nævnt i bilag B, samt på de pågældende lokationer heri. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender indhenter årligt revisionserklæringer en revisionserklæring fra de datacentreen uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, der databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæring kan anvendes i forbindelse overensstemmelse med leverance af ydelsendisse Bestemmelser: ● ISAE 3000 GDPR-erklæring Revisionserklæringen kan efter aftalte vilkår fremsendes til den dataansvarlige til orientering. Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Parterne skal blive enige om eventuelle yderligere foranstaltninger. Databehandleren er berettiget til at opsige Aftalen mellem Parterne, hvis en aftale ikke kan opnås. Den dataansvarlige afholder udgiften alle udgifter i forbindelse med yderligere kontrol, herunder betaling for databehandlerens tidsforbrug. For at anmode om at foretage en kontrol skal den dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingdatabehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan kun gennemføres, når efter aftale mellem parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den dataansvarlige finder det nødvendigtdatabehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter databehandlers valg. Den dataansvarliges eventuelle udgifter dataansvarlige afholder alle omkostninger forbundet med sådanne inspektioner. I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i forbindelse med en fysisk inspektion afholdes medfør af den dataansvarlige selvdatabehandlers politikker og må ikke på urimelig måde gribe forstyrrende ind i databehandlers forretningsdrift. Databehandleren er dog forpligtet Et eventuelt særskilt vederlag til at afsætte de ressourcer (hovedsageligt den tid)databehandleren i henhold til det ovenstående beregnes på grundlag af det tidsforbrug, der er nødvendig(e) fordatabehandleren anvender på fremskaffelsen af informationen, samt databehandlerens almindeligt gældende timesatser, og databehandleren har derudover krav på, at den dataansvarlige kan gennemføre sin inspektiondækker eventuelle eksterne omkostninger afholdt af databehandleren til fremskaffelse af informationen, herunder omkostninger afholdt til eventuelt fornøden bistand fra underdatabehandlere. Databehandleren fremsender indhenter på baggrund af risikovurderinger årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen dokumentation for relvante underdatabehandleres overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften Der er enighed mellem parterne om at proces for, gennemførelse og tilstrækkelighed heraf dokumenteres via den dataansvarliges revision af databehandleren jf. C.7. Hvis ydeligere information vedrørende underdatabehandleres overholdes af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser skal leveres til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant den dataansvarlige, vil databehandleren, for den dataansvarlige har herudover adgang til at foretage inspektionerdataansvarliges regning, herunder fysiske inspektionerindhente den, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysningerefter aftale, herunder fysiske lokaliteter fornødne og systemer, der benyttes til eller i forbindelse med behandlingentilgængelige dokumentation hos underdatabehandlere. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.I DataLøn og E-arkiv slettes data efter følgende regler:

Instruks vedrørende overførsel af personoplysninger til tredjelande. udenfor EØS, herunder Storbritannien. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender Den Dataansvarlige eller en repræsentant for den Dataansvarlige kan på forlangende foretage et årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse tilsyn med leverance Databehandlerens overholdelse af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret databeskyttelseslovgivningen og disse BestemmelserAftalen. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingDataansvarlige fastsætter selv rammerne for, hvordan tilsynet udføres. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at kan på forlangende foretage inspektioneren fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner Ud over det planlagte tilsyn, kan gennemføresden dataansvarlige gennemføre en inspektion hos databehandleren, når den dataansvarlige finder det nødvendigt, dog maksimalt én gang årligt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet Al bistand og besvarelse som følge af forespørgsler fra den dataansvarlige, vedrørende databehandling, faktureres til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionmed 1.250 kroner ekskl. moms, per påbegyndt time. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at databehandleren kan på forlangende foretage inspektioneren årlig fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner Ud over det planlagte tilsyn, kan gennemføresdatabehandleren gennemføre en inspektion med underdatabehandleren, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt, dog maksimalt én gang årligt. Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarliges eventuelle udgifter dataansvarlige kan anfægte rammerne for og/eller metoden af inspektionen og kan i forbindelse med sådanne tilfælde anmode om gennemførelsen af en fysisk ny inspektion afholdes under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af tilsynet, er den dataansvarlige selv. Underdatabehandleren er dog forpligtet berettiget til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, anmode om gennemførelse af yderligere foranstaltninger med henblik på at den dataansvarlige kan gennemføre sin inspektionsikre overholdelse af medlemsstaternes nationale ret og disse Bestemmelser.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsleroverførsler til tredjelande beliggende uden for EU/EØS, medmindre der er tale om et såkaldt sikkert tredjeland på bag- grund af EU-Kommissionens beslutning om, at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, jf. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsendatabeskyttelsesordningens art. Baseret på resultaterne af revisionserklæringerne er 45. Den dataansvarlige eller en repræsentant for den dataansvarlige er berettiget til at anmode om gennemførelse af yderligere foranstaltninger foretage en skriftlig kontrol med databehandleren med henblik på at sikre overholdelsen fastslå databehandlerens overhol- delse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige er berettiget til at foretage fysisk inspektion af lokaliteterne, hvorfra databehandleren foretager behandling af personop- lysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med be- handlingen med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesfor- ordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige skal give databehandleren besked om, at en fysisk inspektion vil finde sted mindst 60 dage før inspektionsdatoen. Den dataansvarlige afholder samtlige den dataansvarliges udgifter i forbindelse med en fysisk inspektion eller skriftlig kontrol. Databehandlerens bistand i forbindelse med skriftlig eller fysisk kontrol være omfattet af databehandlerens supportydelser og blive afregnet i overensstem- melse med hovedaftalens pkt. 4. Databehandleren indhenter én gang årligt for databehandlerens eller underdatabehandlerens regning en egeninspektionsrapport eller en revisionserklæring vedrørende underdatabehand- lerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Revisionserklæringen eller inspektionsrapporten fremsendes uden unødig forsinkelse til den dataansvarlige på den dataansvarliges opfordring. Den dataansvarlige kan anfægte rammerne for og/eller metoden i erklæringen eller rapporten, og kan i sådanne tilfælde for egen regning anmode om en ny en revisionserklæring eller inspektionsrapport under andre rammer og/eller under anvendelse af anden metode. Databehandleren eller en repræsentant for databehandleren har herudover adgang til at foretage fore- tage inspektioner, herunder fysiske inspektioner, med inspektioner på lokaliteterne hvorfra databehandleren underdatabehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige databehandleren finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser denne aftale eller efterfølgende giver en dokumenteret instruks vedrørende vedrø- rende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser denne aftale at foretage sådanne overførsler, medmindre en sådan overførsel sker til en af de autoriseret underdatabehandlere nævnt i Bilag B. Overførselsgrundlag anvendes i hen- hold til Databeskyttelsesforordningens Kapitel V om overførsler af personoplysninger til tredje- lande eller internationale organisationer. De specifikke overførselsgrundlag følger af gældende Bi- lag B. Databehandleren fremsender stiller sig mindst 1 gang årligt revisionserklæringer fra til rådighed for den dataansvarlige med henblik på dennes kontrol af databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttel- sesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og denne aftale. Den dataansvarlige kan, mod betaling, anfægte rammerne for og/eller metoden i egenkontrollen og kan i sådanne tilfælde anmode om en ny egenkontrol under andre rammer og/eller under an- vendelse af anden metode. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover, adgang til at fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren fore- tager behandling af personoplysninger. Sådanne inspektioner kan gennemføres, når den dataan- svarlige finder det nødvendigt, men skal tilrettelægges så de datacentre, der anvendes er til mindst mulig gene for databe- handleren. Den dataansvarliges eventuelle udgifter i forbindelse med leverance en fysisk og/eller skriftlig inspektion af- holdes af ydelsenden dataansvarlige selv. Databehandleren er forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspek- tion, hvad enten denne er fysisk og/eller skriftlig. Baseret på resultaterne af revisionserklæringerne den dataansvarliges tilsyn med databehandleren, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller el- ler medlemsstaternes nationale ret og disse Bestemmelserdenne aftale. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant Databehandleren skal årligt for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, egen regning udføre tilsyn med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter som er overladt til underdatabehandlere. Tilsynet skal vedrøre underdatabehandlerens overhol- delse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller med- lemsstaternes nationale ret og systemerdenne aftale. Databehandlerens tilsyn med underdatabehandlere skal databehandleren tilrettelægges på en måde, så der benyttes opnås en tilstrækkelig indsigt i og kontrol af underdatabehandlernes overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstater- nes nationale ret og denne aftale. Tilsynet kan bestå i indhentelse af en revisionserklæring eller inspektionsrapport fra en uafhængig tredjepart, inspektioner, og/eller skriftlige spørgsmål. Databehandleren har som udgangspunkt valgfrihed i forhold til metoden, hvormed der føres tilsyn med underdatabehandlere. Den dataan- svarlige kan dog, såfremt der er rimeligt belæg herfor, anfægte rammerne for og/eller metoden af tilsynet og kan i forbindelse sådanne tilfælde anmode om gennemførelsen af et nyt tilsyn under andre rammer og/eller under anvendelse af anden metode. Den dataansvarlige kan – hvis det findes nødvendigt – vælge at bistå med behandlingenkontrollen af underdata- behandleren. Sådanne inspektioner Dette kan gennemføresblive aktuelt, når hvis den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes vurderer, at databehandlerens kon- trol af underdatabehandleren ikke har givet den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) tilstrækkelig sikkerhed for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes be- handlingen hos underdatabehandleren sker i forbindelse overensstemmelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningendatabeskyttelsesforordnin- gen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektiondenne aftale.

Instruks vedrørende overførsel af personoplysninger til tredjelande. TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER] [BESKRIV INSTRUKSEN VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL FORORDNINGENS KAPITEL V] [ANGIV GRUNDLAGET FOR OVERFØRSLEN SOM OMHANDLET I DATABESKYTTELSES- Eksempel på tekst: Der vil ikke ske en overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. LADT TIL DATABEHANDLEREN] [BESKRIV PROCEDURERNE FOR DEN DATAANSVARLIGES REVISIONER, HERUNDER INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVER- [EKSEMPELVIS] Databehandleren fremsender skal en gang årligt revisionserklæringer for egen regning indhente en revisionserklæring fra de datacentre, der anvendes i forbindelse med leverance en uafhængig tredjepart vedrørende databehandlerens overholdelse af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningendatabeskyttelsesforord- ningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæringer kan anvendes i overensstemmelse med disse Bestemmelser: ISAE 3000 og ISAE 3402. Revisionserklæringen fremsendes uden unødig forsinkelse til den dataansvarlige til oriente- ring. Den dataansvarlige afholder udgiften kan anfægte rammerne for og/eller metoden i erklæringen og kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af erklæringen, er den dataansvarlige berettiget til at anmode om gen- nemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyt- telsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes na- tionale ret og disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingBestemmelser. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der den dataansvarlige finder det nødvendigt. benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når [OG, HVIS RELEVANT] [BESKRIV PROCEDURERNE FOR DATABEHANDLERENS REVISIONER, HERUNDER IN- SPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVERLADT TIL UNDERDATABEHANDLEREN] [EKSEMPELVIS] uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelses- forordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale revisionserklæring egen en gang årligt Databehandleren skal for regning indhente en fra en ret og disse Bestemmelser. ISAE 3000 og ISAE 3402. revisionserklæringer Der er enighed mellem parterne om, at følgende typer af overensstemmelse med disse bestemmelser: kan anvendes i Revisionserklæringen fremsendes uden unødig forsinkelse til den dataansvarlige til oriente- ring. Den dataansvarlige kan anfægte rammerne for og/eller metoden i erklæringen og kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af anden metode. nemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyt- telsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes na- erklæringen Baseret på resultaterne af , er den dataansvarlige berettiget til at anmode om gen- tionale ret og disse Bestemmelser. Databehandleren eller en repræsentant for databehandleren har herudover adgang til at fore- tage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehand- leren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt. andre rammer og/eller under anvendelse af anden metode. Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataan- svarlige til orientering. Den dataansvarliges eventuelle udgifter dataansvarlige kan anfægte rammerne for og/eller metoden af in- spektionen og kan i forbindelse sådanne tilfælde anmode om gennemførelsen af en ny inspektion under [ELLER] [OG, HVIS RELEVANT] [OG, HVIS RELEVANT] der efter medgået tid med en fysisk inspektion afholdes den følgende timesats: xxx kr. af den dataansvarlige selvdataansvarliges behandlingssikkerhed, jf. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid)databehandleraftalens Bilag C.2, der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen afregnes delse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret jf. databehandleraftalens punkt 9, eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for med vurdering I den udstrækning databehandleren bistår den dataansvarlige med sidstnævntes overhol- punkt 2.3, har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektiondenne forrang.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis Den dataansvarlige bemyndiger og instruerer hermed databehandleren til at overføre person- oplysninger til de tredjelande, hvor databehandlerens underdatabehandlere er baseret, jf. bilag B. Ved overførsel til tredjelande, der ikke er godkendt af EU-Kommissionen som sikre tredje- lande, træffer databehandleren de nødvendige foranstaltninger for at sikre tilstedeværelsen af et gyldigt overførselsgrundlag, såsom EU-Kommissionens standardkontrakter. I forhold til kravet om at træffe supplerende foranstaltninger for at sikre, at den registrerede i alt væsentligt har samme beskyttelse, når data eksporteres til tredjelande, som hvis data var forblevet inden for EU, har databehandleren foranstaltet • at data er krypteret med en kryptering, der generelt anses for ”stærk” • at krypteringsnøglen opbevares sikkert inden for EU, og • at krypteringsalgoritme, nøglelængde og andre faktorer ændres, såfremt den tekno- logiske udvikling tilsiger, at dette er nødvendigt for, at krypteringen til stadighed kan anses for ”stærk”. Dette er efter databehandlerens opfattelse tilstrækkeligt til at sikre de registrerede den påkræ- vede beskyttelse. I henhold til databeskyttelsesforordningen påhviler der den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger et selvstændigt an- svar for at vurdere behovet for yderligere supplerende foranstaltninger til et tredjelandsikring af, er databehandleren ikke berettiget at over- førslen til inden for rammerne af disse Bestemmelser at foretage sådanne overførslerpågældende tredjelande lovligt kan finde sted. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget Life Peaks lægger derfor til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) forgrund, at den dataansvarlige kan gennemføre sin inspektionhar foretaget en sådan vurdering og i påkommende fald har truffet sådanne yderligere foranstaltninger, således at instruksen om overførsel til tredjelande dermed er lovlig. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance stiller hvert år inden udgangen af ydelsen. Baseret på resultaterne august en revisorattesteret erklæring af revisionserklæringerne er den dataansvarlige berettiget typen ISAE 3000 til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant rådighed for den dataansvarlige har herudover adgang dataansvarlige. Erklæringen omfatter databehandlerens overholdelse af dennes forpligtelser i henhold til nær- værende aftale. Databehandleren indhenter en gang årligt en revisionserklæring fra sine underdatabehand- lere. Som udgangspunkt indhentes revisionserklæringer for første led af underdatabehand- lere, og kun hvor konkrete omstændigheder vurderes at foretage inspektionermedføre behov herfor, herunder fysiske inspektionerindhentes ma- teriale vedrørende underdatabehandleres underdatabehandlere. Databehandleren gennemgår det indhentede materiale og træffer de foranstaltninger, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysningersom materialet måtte give anledning til, herunder fysiske lokaliteter og systemer, der benyttes henset til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes karakteren af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt behandling, den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionenkelte under- databehandler varetager for databehandleren.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Al data der opbevares af databehandler opbevares indenfor Danmarks grænser. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer skal for egen regning indhente en revisorerklæring fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den Der er ved aftalens indgåelse enighed mellem parterne om, at følgende type af revisorerklæring kan anvendes i overensstemmelse med disse Bestemmelser: ISAE 3000. Revisorerklæring fremsendes på opfordring til den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i orientering. Ønsker den dataansvarlige at databehandler besvarer yderligere spørgsmål, udfylder kontrolskemaer m.m. er databehandler berettiget til at fakturere den dataansvarlige med sin sædvanlige timetakst for al databehandlerens behandlingarbejdstid, som sådan en besvarelse måtte medføre for databehandleren. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerén årlig inspektion, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Den dataansvarlige skal altid give databehandleren et varsel på mindst 30 dage inden inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for fakturere den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) sin sædvanlige timetakst for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den Den dataansvarlige ikke i disse Bestemmelser eller efterfølgende bemyndiger og instruerer hermed databehandleren til at overføre personoplysnin- ger til de tredjelande, hvor databehandlerens underdatabehandlere er baseret, jf. bilag B. Den dataansvarlige giver en dokumenteret instruks vedrørende samtidig databehandleren fuldmagt til på sine vegne at indgå aftale med re- levante underdatabehandlere om overførsel af personoplysninger til et tredjelandtredjelande, er databehandleren ikke berettiget baseret på EU-Kom- missionens standardkontrakter. I forhold til kravet om at træffe supplerende foranstaltninger for at sikre, at den registrerede i alt væ- sentligt har samme beskyttelse, når data eksporteres til tredjelande, som hvis data var forblevet inden for rammerne af disse Bestemmelser EU, har databehandleren foranstaltet • at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentredata er krypteret med en kryptering, der anvendes i forbindelse med leverance af ydelsengenerelt anses for ”stærk” • at krypteringsnøglen opbevares sikkert inden for EU, og • at krypteringsalgoritme, nøglelængde og andre faktorer ændres, såfremt den teknologiske udvikling tilsiger, at dette er nødvendigt for, at krypteringen til stadighed kan anses for ”stærk”. Baseret på resultaterne af revisionserklæringerne Dette er efter databehandlerens opfattelse tilstrækkeligt til at sikre de registrerede den påkrævede beskyttelse. I henhold til databeskyttelsesforordningen påhviler der den dataansvarlige berettiget et selvstændigt ansvar for at vurdere behovet for yderligere supplerende foranstaltninger til sikring af, at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelseroverførslen til pågæl- dende tredjelande lovligt kan finde sted. Den dataansvarlige afholder udgiften Life Peaks lægger derfor til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) forgrund, at den dataansvarlige kan gennemføre sin inspektionhar foretaget en sådan vurdering og i påkommende fald har truffet sådanne yderligere foranstaltninger, således at instruksen om overførsel til tredjelande dermed er lovlig. Databehandleren fremsender årligt revisionserklæringer stiller inden for 30 kalenderdage efter anmodning fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget oplysninger til rådighed, som sætter den dataansvarlige i stand til at anmode om gennemførelse påse, at databehandleren har overholdt sine forpligtelser efter denne aftale. Dette materiale omfatter – med mindre andet er særskilt aftalt mellem parterne: • Bekræftelse af yderligere foranstaltninger med henblik på at sikre overholdelsen alle medarbejdere hos databehandleren er underlagt tavshedspligt • Beskrivelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid)sikkerhedsforanstaltninger, der er nødvendig(e) foriværksat af databehandleren i henhold til databeskyttelsesforordningens artikel 32, idet det – henset til omfanget og karakteren af personoplysninger om de enkelte registrerede – lægges til grund, at risikoen for de registre- redes rettigheder og frihedsrettigheder som følge af en kompromittering af personoplysnin- gernes fortrolighed, tilgængelighed eller integritet er ”lav”. • Bekræftelse af at databehandleren i de seneste 12 måneder har underrettet den dataansvar- lige om alle udskiftninger og tilføjelser af databehandlere og underdatabehandlere • Kopi af de dele af databehandlerens databehandleraftaler med underdatabehandlere, som er nødvendig for at den dataansvarlige kan gennemføre sin inspektionpåse, at databehandleren har overholdt sine for- pligtelser i henhold til databeskyttelsesforordningens artikel 28 stk. 4. • Bekræftelse af, at databehandleren har underrettet den dataansvarlige i overensstemmelse med denne aftales bestemmelse 10. o Bekræftelse af, at alle oplysninger, der i henhold til slettefristerne angivet i punkt C.4 ovenfor skulle være slettet, er rettidigt slettet. Databehandleren indhenter en gang årligt en revisionserklæring fra sine underdatabehandlere. Som udgangspunkt indhentes revisionserklæringer for første led af underdatabehandlere, og kun hvor kon- krete omstændigheder vurderes at medføre behov herfor, indhentes materiale vedrørende underda- tabehandleres underdatabehandlere. Databehandleren gennemgår det indhentede materiale og træffer de foranstaltninger, som materialet måtte give anledning til, henset til karakteren af den behandling, den enkelte underdatabehandler varetager for databehandleren.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren har ret til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelsen af underdatabehandlere i tredjelande kan kun ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et gyldigt overførselsgrundlag på vegne af den dataansvarlige. Af den i bilag B punkt B.1 omtalte oversigt fremgår de underdatabehandlere i tredjelande, som den dataansvarlige har godkendt, og som databehandleren dermed er berettiget til at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den/de EU standardkontraktbestemmelser som er knyttet til Aftalen. Dette kan ske som følge af ændringer i databeskyttelseslovgivningen, herunder nye standardkontraktbestemmelser fra EU. Eventuelle ændringer vil alene blive gennemført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontraktsbestemmelser kan udleveres af databehandleren efter anmodning fra den dataansvarlige eller den registrerede. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreParterne er enige om at følge den i Bilag B punkt B.2 og B.3 anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der anvendes i forbindelse Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med leverance den i Bilag B punkt B.2 og B.3 anførte proces og nærværende punkt C.6. Databehandleren skal hvert år for egen regning indhente en revisionsrapport af ydelsen. Baseret på resultaterne typen ISAE 3402 eller af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen typen ISAE 3000 eller tilsvarende fra en uafhængig tredje-part vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser data-beskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Bestemmelserne, til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingrådighed for den dataansvarlige. Den Databehandleren giver herunder mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en repræsentant for anden revisor, som er bemyndiget af den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling dataansvarlige. Udføres revision af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af anden end den dataansvarlige selv, skal denne anden revisor være uafhængig og ikke- konkurrerende i forhold til databehandleren og i øvrigt være underlagt fortroligheds- og tavshedspligt enten som følge af lov eller som følge af en fortrolighedsaftale, hvorpå Databehandleren kan støtte ret direkte over for den pågældende anden revisor. Databehandleren underretter omgående den dataansvarlige, hvis en instruks om at stille oplysninger til rådighed eller give mulighed for revisioner og inspektioner efter databehandlerens mening er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse strid med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, persondataforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsernational ret. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler skal godtgøre databehandlerens tid og omkostninger i underdatabehandlerens behandlingforbindelse med tilsyn (f.eks. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling skriftlig informationsindsamling og besvarelse af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidspørgeskemaer), der er nødvendig(e) forog aftaler parterne ikke andet, at den dataansvarlige kan gennemføre sin inspektion.så afregnes databehandlerens medvirken til tilsyn efter medgået tid og materialer, jf. bilag D.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Der overføres ikke personoplysninger til tredjelande Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer skal hvert år for egen regning indhente en certificering fra de datacentreen uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, der databeskyttelsesbestemmelser i an- den EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af certifikat kan anvendes i forbindelse overensstemmelse med leverance disse Bestemmelser: Såfremt der ønskes udarbejdet en ISAE3000 eller ISAE3402 revisorerklæring sker dette for den dataansvarliges regning. Certifikatet fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rammerne for og/eller metoden i auditeringen og kan i sådanne tilfælde anmode om en ny auditering for egen regning under andre rammer og/eller under anvendelse af ydelsenanden metode. Baseret på resultaterne af revisionserklæringerne auditeringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerper- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt og med minimum 30 dages varsel.” Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel vedrø- rende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne ram- merne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra LIFE er forpligtet til at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de datacentrekrav, der anvendes i forbindelse med leverance følger af ydelsendenne aftale. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget Institutionen, en repræsentant for Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at anmode om gennemførelse af yderligere foranstaltninger foretage inspektioner og revision, stille spørgsmål til og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der fore- tages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underleverandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerinspek- tioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerper- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(enødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre tilsyn med de underdatabehandlereun- derdatabehandlere, der anvendes er angivet i forbindelse med leverance bilag B. Et sådant tilsyn kan være i form af ydelsen. Baseret på resultaterne modtagelsen af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenen revisions- erklæring, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsereksempelvis en ISAE 3000 revisionserklæring, fra de(n) pågældende underdatabehandler(e). Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant kan med rimeligt forudgående varsel forlange at LIFE udleverer dokumentation for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, det udførte tilsyn med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidunderdatabehandlere(n), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren er ingenlunde berettiget til at lade databehandling foregå uden for EØS uden den Dataansvarliges skriftlige samtykke, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Listen over underdatabehandlere (inklusive adresser) omfatter tre virksomheder med placering i USA. Deres systemer benyttes til at servicere dialogen mellem aftalens parter inklusive den Dataansvarliges medlemmer (både medlemsforeninger og politikere). Her indgår der ikke håndtering af personhenførbare data. Såfremt der konstateres et brud på persondatasikkerheden, uanset om det forårsages af den Dataansvarlige eller Databehandleren, skal indeværende aftales pkt. 10 følges. Som udgangspunkt fører både den Dataansvarlige og Databehandleren fremsender årligt revisionserklæringer selv tilsyn, herunder af underdatabehandlere, på baggrund af egen selvstændig risikovurdering. Tilsynsfrekvensen vurderes til at være lav på baggrund af det langvarige samarbejdsforhold mellem Bestemmelsernes parter, som hver især har ansvaret for at holde sin egen risikovurdering ajour og udbede sig et tilsyn såfremt behovet opstår. Begge parter skal være særligt opmærksomme på, hvorvidt de respektive services i Bestemmelserne udføres stabilt og uden eller få ikke-alvorlige sikkerhedsbrud. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige informationer til, at denne kan påse, at Databehandleren overholder persondataforordningens artikel 28 og Databehandleraftalen. I det omfang den Dataansvarlige tillige ønsker, at dette skal omfatte den behandling, som sker hos underdatabehandlere, oplyses Databehandleren om dette. Databehandleren indhenter herefter tilstrækkelige oplysninger fra de datacentreunderdatabehandleren. Såfremt den Dataansvarlige ønsker at foretage tilsyn, der anvendes som anført i dette pkt. 8, skal den Dataansvarlige altid give Databehandleren et varsel på mindst 30 dage i sådan forbindelse. Den Dataansvarlige afholder alle omkostninger i forbindelse med leverance tilsyn af ydelsensikkerhedsforhold hos Databehandleren samt i forhold til underdatabehandlere, såfremt den Dataansvarlige ikke finder Databehandlerens eget tilsyn tilstrækkeligt og udbeder sig et opfølgende tilsyn. Baseret på resultaterne af revisionserklæringerne Databehandleren er den dataansvarlige berettiget til at anmode om gennemførelse fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådant tilsyn måtte medføre for Databehandleren, herunder eventuel betaling til underdatabehandlere for opfølgende tilsyn på vegne af yderligere den Dataansvarlige. Databehandleren i disse bestemmelser fører selv tilsyn med sine databehandlere (og dermed Bestemmelsernes underdatabehandlere) efter samme retningslinjer, som er beskrevet i bilag C pkt. 7. Databehandleren udfører løbende risikovurderinger af underdatabehandleres aktiviteter og systemer for at identificere potentielle trusler og sårbarheder og træffe passende foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsertil risikominimering. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige Databehandleren eller en repræsentant for den dataansvarlige har herudover adgang databehandleren forbeholder sig retten til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid)lokaliteterne, der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner kan gennemføresHerudover forbeholder Databehandleren sig ret til at gennemføre en inspektion med underdatabehandleren, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt. Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarliges eventuelle udgifter dataansvarlige kan anfægte rammerne for og/eller metoden af inspektionen og kan i sådanne tilfælde anmode om gennemførelsen af en ny inspektion under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af tilsynet, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den Dataansvarlige afholder alle omkostninger i forbindelse med en fysisk inspektion afholdes anmodet tilsyn af sikkerhedsforhold hos underdatabehandlere. Databehandleren er berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådant tilsyn måtte medføre for Databehandleren, herunder eventuel betaling til underdatabehandlere for opfølgende tilsyn på vegne af den dataansvarlige Dataansvarlige. Øvrige omkostninger i forbindelse med Databehandlerens egne tilsyn af underdatabehandlere dækkes af Databehandleren selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Der må ikke overføres personoplysninger til tredjelande uden den dataansvarliges samtykke, med mindre en sådan overførsel klart er forudsat ved godkendelse af de benyttede underda- tabehandlere, der er opregnet i bilag B. Det er under alle omstændigheder databehandleren, der er ansvarlig for at sikre, at der fore- ligger det fornødne overførselsgrundlag i overensstemmelse med GDPR, kapitel V, og data- behandleren skal dokumentere grundlaget efter anmodning fra den dataansvarlige. Som ud- gangspunkt EU standardkontraktklausuler blive anvendt, hvis leverandøren ikke er omfattet af et anden overførselsgrundlag som f.eks. EU-US Privacy Shield. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreDen dataansvarlige eller en repræsentant for den dataansvarlige er berettiget til at foretage en fysisk inspektion af lokaliteterne, hvorfra databehandleren foretager behandling af personop- lysninger, herunder fysiske lokaliteter og systemer, der anvendes benyttes til eller i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger be- handlingen, med henblik på at sikre overholdelsen fastslå databehandlerens overholdelse af databeskyttelsesforordningendatabeskyttelsesfor- ordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingPlanlagte tilsyn kan højst gennemføres én gang årligt. Den dataansvarlige eller en repræsentant for Ud over det planlagte tilsyn, kan den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføresgennemføre en inspektion hos databe- handleren, når den dataansvarlige finder det nødvendigt, f.eks. i forbindelse med konstaterede databrud. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt hovedsa- geligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt I det omfang underdatabehandlere – herunder datacentre – tilbyder revisionserklæringer til deres kunder, er databehandleren – efter anmodning fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget – forpligtet til at anmode om gennemførelse af yderligere foranstaltninger rekvirere og videresende sådanne erklæringer til den dataansvarlige. Den dataansvarlige kan endvidere – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren, i det omfang databehandlerens aftale med henblik på underdatabehandleren tillader dette. Dette kan blive aktuelt, hvis den dataansvarlige vurderer, at sikre overholdelsen databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker I overensstem- melse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges eventuelle deltagelse I en inspektion hos underdatabehandleren ændrer ikke ved, at databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i Databehandlerens og underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af underdatabehandlerens lokaliteter er den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at uvedkommende – uan- set om den dataansvarlige kan gennemføre sin har initieret og deltaget i en sådan inspektion. Den dataansvarlige bærer egne udgifter ved inspektionen og eventuelle deltagende rådgivere/revisorer.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til ret til, at foretage inspektioneret årligt fysisk tilsyn vedrørende overholdelsen af denne databehandleraftale hos databehandleren. Udover det planlagte tilsyn, herunder fysiske inspektioner, kan der føres tilsyn med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføresdatabehandleren, når der efter den dataansvarlige finder det nødvendigtdataansvarliges vurdering opstår et behov herfor. Den dataansvarliges eventuelle udgifter i forbindelse med en et fysisk inspektion tilsyn afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt hovedsaligt den tid), der er nødvendig(e) nødvendig for, at den dataansvarlige kan gennemføre sin inspektionsit tilsyn. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes Den dataansvarlige betaler for databehandlerens tidsforbrug i forbindelse med leverance af ydelsentilsyn. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige Databehandleren eller en repræsentant for databehandleren vurderer årligt, om der er behov for et fysisk tilsyn vedrørende overholdelsen af denne databehandleraftale hos underdatabehandleren. Udover det planlagte tilsyn, kan der føres tilsyn med underdatabehandleren, når der efter databehandle- rens (eller den dataansvarliges) vurdering opstår et behov herfor. Dokumentation for de afholdte tilsyn kan efter anmodning udleveres til orientering hos den dataansvarlige. Den dataansvarlige kan – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, såfremt den dataansvarlige vurderer, at databehand- lerens tilsyn med underdatabehandleren ikke har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når givet den dataansvarlige finder det nødvendigttilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker i overensstemmelse med denne databehandleraftale. Den dataansvarliges eventuelle deltagelse i et tilsyn hos underdatabehandleren ændrer ikke ved, at da- tabehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyt- telseslovgivningen og denne databehandleraftale. Databehandlerens og underdatabehandleres eventuelle udgifter i forbindelse med afholdes af et fysisk tilsyn/en fysisk inspektion hos underdatabehandleren afholdes af den dataansvarlige selvdataansvarlige. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt Såfremt inspektion og eller kontrol som medfører udgifter initieres af databehandleren, skal dette være godkendt af den tid)dataansvar- lige på forhånd, der er nødvendig(e) for, for at den dataansvarlige kan gennemføre sin inspektionpålægges at afholde disse udgifter.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret dokumen- teret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren databehand- leren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Version 1.8.2023 Side 15/17 Databehandleren fremsender årligt revisionserklæringer fra er forpligtet til uden ugrundet ophold at give den dataansvarlige nødvendige oplysninger til, at dataansvarlige til enhver tid kan sikre sig, at databehandleren overholder de datacentrekrav, der anvendes følger af disse Bestemmelser. Dataansvarlige vil løbende føre tilsyn med databehandlerens overholdelse af disse Bestemmelser. Tilsyn kan ske ved besøg på de lokaler hvorfra personoplysningerne behandles eller ved skriftlige tilsyn (spørgsmål, udlevering af dokumentation m.v.) eller en kombination af disse. Tilsyn tilrettelægges så de er til mindst mulig ulempe for databehandleren, og besøg foretages kun efter forudgående aftale med databehandleren. Dataansvarlige har ret til at udpege en ekstern repræsentant til at udføre tilsynet med databehandleren på vegne af den dataansvarlige. Databehandler skal på forlangende, vederlagsfrit og uden ophør give den dataansvarlige adgang til at gennemføre eget tilsyn med databehandlingen. Dette tilsyn kan evt. gennemføres skriftligt. Databehandleren skal én gang årligt vederlagsfrit til dataansvarlige fremsende en generel erklæring om overholdelsen af disse Bestemmelser. Databehandleren skal til myndigheder, herunder Datatilsynet, give alle ønskede oplysninger i relation til udførelsen af databehandlingsopgaven, i det omfang at oplysningerne er nødvendige for disses opgavevaretagelse i medfør af EU-retten eller lovgivningen i en medlemsstat. Hvis databehandleren anvender underdatabehandlere i relation til denne aftale, skal databehandleren i forbindelse med leverance af ydelsentilsyn tilsvarende redegøre for underdatabehandlerens databehandling. Baseret Databehandleren skal på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen forlangende og mindst 1 gang årligt for egen regning indhente dokumentation for underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den Dokumentation fremsendes på forlangende uden unødig forsinkelse til den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingorientering. Den dataansvarlige eller en repræsentant kan for egen regning – hvis det findes nødvendigt – vælge at initiere et tilsyn med underdatabehandleren. Version 1.8.2023 Side 16/17 Dette kan blive aktuelt, hvis den dataansvarlige vurderer, at databehandleren ikke har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når givet den dataansvarlige finder det nødvendigttilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker i overensstemmelse med databeskyttelses-forordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges eventuelle udgifter i forbindelse tilsyn med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) forunderdatabehandleren ændrer ikke ved, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige Parterne har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling ikke aftalt regulering af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionandre forhold.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren er berettiget til at anvende underdatabehandlere beliggende i tredjelande til opfyldelse af databehandlerens forpligtelser overfor den dataansvarlige. Anvendelse af underdatabehandlere beliggende i tredjelande kan alene ske, hvis (i) overførslen er baseret på en afgørelse fra EU Kommissionen om tilstrækkelighed af beskyttelsesniveau, herunder f.eks. at det pågældende tredjeland mv. har et tilstrækkeligt beskyttelsesniveau, (ii) overførslen er omfattet af fornødne garantier, som f.eks. EU Kommissionens Standardkontraktsbestemmelser eller iii) overførslen er omfattet af relevante bindende virksomhedsregler. Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den dataansvarlige er direkte part i overførselsgrundlaget, skal databehandleren anses for bemyndiget til at etablere og indgå dette på vegne af den dataansvarlige. Databehandleren er berettiget til at overdrage denne bemyndigelse til underdatabehandlere, således at underdatabehandlerne kan etablere og indgå et retligt overførselsgrundlag på vegne af den dataansvarlige. Af punkt B.1. i bilag B fremgår de underdatabehandlere i tredjelande med tilhørende overførselsgrundlag, som den dataansvarlige har godkendt brugen af, og som databehandleren dermed er berettiget til – og instrueret om - at overføre personoplysninger til, ved Bestemmelsernes ikrafttræden. Såfremt der som overførselsgrundlag anvendes EU Kommissionens Standardkontraktsbestemmelser, vedlægges kopi af de af databehandleren på vegne af den dataansvarlige indgåede EU Kommissionens Standardkontraktsbestemmelser (EU standardkontrakt) i et ”Bilag C - underbilag 1” til dette bilag C. EU standardkontrakten vil alene finde anvendelse for den del af ydelserne og behandlingen under Hovedaftalen, der udføres i henhold til EU standardkontraktsbestemmelserne. Øvrigt indhold i nærværende Bestemmelser skal ikke anses for at ændre på indholdet af den vedlagte EU standardkontrakt i Bilag C - underbilag 1. Databehandleren er af den dataansvarlige bemyndiget til at indgå aftale om ændringer til den i Bilag C - underbilag 1 indeholdte EU standardkontrakt som følge af ændringer i databeskyttelseslovgivningen som disse implementeres af databehandleren eller underdatabehandleren i tredjelandet. Eventuelle ændringer vil alene blive udført i overensstemmelse med de til enhver tid gældende EU-regler for brug af EU Kommissionens Standardkontraktsbestemmelser. Den til enhver tid gældende version af den indgåede EU standardkontrakt kan udleveres efter anmodning til databehandleren. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreParterne er enige om at følge den i punkt B.2 i bilag B anførte proces vedrørende tilføjelse eller udskiftning af underdatabehandlere i tredjelande. Den dataansvarliges instruks omfatter således også overførsel af personoplysninger til nye underdatabehandlere i tredjelande, der anvendes i forbindelse Bestemmelsernes løbetid antages af databehandleren i overensstemmelse med leverance den i punkt B.2 i bilag B anførte proces og nærværende punkt C.6. Databehandleren er certificeret efter ISO27001-standarden og har implementeret en kontrolramme i overensstemmelse med ISO27002 og databeskyttelsesforordningen. Databehandleren sender på den dataansvarliges anmodning kopi af ydelsensit SoA dokument (Statement of Applicability) til den dataansvarlige til orientering. Alternativt kan databehandleren vælge at stille SoA-dokumentet elektronisk til rådighed. Databehandleren får for egen regning hvert år udarbejdet en erklæring fra en uafhængig statsautoriseret revisor om databehandlerens overholdelse af generelle it-kontroller. Erklæringen vedrører generelle it-kontroller i f.t. databehandlerens standard processer og ydelser i Danmark. Erklæringen er en ISAE 3402 type 2-erklæring, eller erklæringer der måtte træde i stedet for denne. Databehandleren får endvidere for egen regning hvert år udarbejdet en generel erklæring fra en uafhængig statsautoriseret revisor vedrørende databehandlerens behandlingssikkerhed i relation til persondata. Erklæringen vedrører udførte kontroller i f.t. databehandlerens standardprocesser og -ydelser i Danmark og med udgangspunkt i databehandlerens standard databehandleraftale. Erklæringen bliver udarbejdet som en ISAE 3000-erklæring type 2-erklæring, eller erklæringer der måtte træde i stedet for denne. Databehandleren sender vederlagsfrit på den dataansvarliges anmodning uden unødig forsinkelse disse revisionserklæringer til den dataansvarlige til orientering. Alternativt kan databehandleren vælge at stille revisionserklæringerne elektronisk til rådighed. Baseret på resultaterne af revisionserklæringerne databehandlerens revisionserklæringer, jf. ovenfor, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler Sådanne anmodninger håndteres i databehandlerens behandlingoverensstemmelse med punkt C.2 i nærværende bilag ovenfor. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, efter forudgående aftale med databehandleren og normalt med et skriftligt varsel på mindst 10 arbejdsdage, når den dataansvarlige finder det nødvendigt, dog makismalt én gang årligt. Hvor den dataansvarlige besigtiger databehandlerens lokationer, skal den dataansvarlige acceptere databehandlerens rimelige krav til sikkerhed og fortrolighed. Hvor den dataansvarlige anvender tredjepart til inspektion, indestår den dataansvarlige for, at tredjeparten accepterer og overholder databehandlerens rimelige krav til sikkerhed og fortrolighed. Den dataansvarliges eventuelle udgifter dataansvarlige kan ikke anvende tredjeparter til inspektion uden databehandlerens godkendelse. Databehandleren må alene nægte godkendelse af saglige årsager, herunder men ikke begrænset til, at tredjeparten er en konkurrent. Den dataansvarlige skal godtgøre databehandlerens tid og omkostninger i forbindelse med tilsyn (f.eks. fysiske inspektioner, skriftlig informationsindsamling og besvarelse af spørgeskemaer), og aftaler parterne ikke andet, så afregnes databehandlerens medvirken til tilsyn efter medgået tid og materialer, jf. bilag D. Tilsyn kan f.eks. ske ved skriftlig informationsindsamling eller i form af en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid)lokaliteterne, der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner Ud over det planlagte tilsyn, kan gennemføresdatabehandleren gennemføre en inspektion, fx i form af skriftlig informationsindsamling eller fysisk besøg, med underdatabehandleren, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt. Den Såfremt underdatabehandleren får udarbejdet en årlig revisionserklæring fra en uafhængig tredjepart angående underdatabehandlerens overholdelse af underdatabehandleratalen og de heri aftalte tekniske og organisatoriske sikkerhedsforanstaltninger, skal databehandleren modtage kopi heraf. Databehandleren gennemgår revisionserklæringen og følger op på eventuelle forhold, der giver anledning til yderligere undersøgelser. Databehandleren dokumenterer afholdte tilsyn. Dokumentation for afholdte tilsyn udmøntes normalt i en tilsynsrapport indeholdende beskrivelse af scope, væsentlige findings og plan for eventuelle mitigerende foranstaltninger. På den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes anmodning fremsendes kort opsummering af tilsynet uden unødig forsinkelse til den dataansvarlige selvtil orientering. Underdatabehandleren er dog forpligtet Alternativt kan databehandleren vælge at stille kort opsummering af tilsynet elektronisk til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionrådighed.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Ikke relevant. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreProcedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren Den dataansvarlige eller en repræsentant for den dataansvarlige foretager 1-2 gange hvert andet år en fysisk eller skriftlig inspektion af databehandleren, herunder fysiske lokaliteter og systemer, der anvendes benyttes til eller i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger behandlingen, med henblik på at sikre overholdelsen fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for Ud over det planlagte tilsyn, kan den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføresgennemføre en inspektion hos databehandleren, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk eller skriftlig inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne inspektionen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den Alternativt kan databehandleren for egen regning indhente en revisionserklæring fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæringer kan anvendes i overensstemmelse med disse Bestemmelser: Uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale med [Dataansvarlig]” Revisionserklæringen fremsendes uden unødig forsinkelse til den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandlingorientering til e-mailadressen xxx_xxx@xxxxxx.xx. Den dataansvarlige kan anfægte rammerne for og/eller metoden erklæringen og kan i sådanne tilfælde anmode om en repræsentant for ny revisionserklæring under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af ERKLÆRINGEN, er den dataansvarlige har herudover adgang berettiget til at foretage inspektioneranmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Procedurer for revisioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter som er overladt til underdatabehandlere Databehandleren skal årligt føre kontrol med sine underdatabehandlere, eksempelvis ved at indhente en revisionserklæring fra en uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og systemerdisse Bestemmelser. Ved dataansvarliges revision af databehandler, der benyttes til eller i forbindelse med behandlingenskal dokumentationen for databehandlerens kontrol af underdatabehandlere fremgå. Sådanne inspektioner kan gennemføresBaseret på resultaterne af tilsynet, når er den dataansvarlige finder berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige kan – hvis det nødvendigtfindes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, hvis den dataansvarlige vurderer, at databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker i overensstemmelse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges eventuelle deltagelse i en inspektion hos underdatabehandleren ændrer ikke ved, at databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Databehandlerens og underdatabehandlerens eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af underdatabehandlerens lokaliteter er den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at uvedkommende – uanset om den dataansvarlige kan gennemføre sin har initieret og deltaget i en sådan inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er skal databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren Databehandleren fremsender årligt revisionserklæringer fra skal på skriftlig anmodning forsyne Den dataansvarlige med dokumentation for de datacentretekniske og organisatoriske foranstaltninger, der anvendes er gennemført for at sikre et passende sikkerhedsniveau, samt anden information, der er nødvendig for at dokumentere, Databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige har ret til for egen regning at indhente en revisionserklæring én gang om året af en uafhængig tredjepart. Den dataansvarlige skal dække alle udgifter i forbindelse med leverance revisionen, og Databehandleren har krav på kompensation for alle omkostninger, der opstår som følge af ydelsenrevisionen, herunder kompensation til Databehandleren for rimelig medgået tid for Databehandleren og dennes medarbejdere for bistand under revisionen. Databehandleren skal dog dække sådanne omkostninger, hvis en revision afdækker væsentlige mangler ved opfyldelsen af de forpligtelser, der fremgår af disse Bestemmelser eller Persondatalovgivningen. Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra LIFE er forpligtet til at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de datacentrekrav, der anvendes i forbindelse med leverance følger af ydelsendenne aftale. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget Institutionen, en repræsentant for Institutionen eller dennes revision (såvel intern som eks- tern) har adgang til at anmode om gennemførelse af yderligere foranstaltninger foretage inspektioner og revision, stille spørgsmål til og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af databeskyttelsesforordningendenne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestan- darder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 er- klæring, der dækker den behandling, der foretages i henhold til databehandleraftalen, jf. af- grænsningen i C.2.1.2. Den første erklæring skal foreligge senest den 1. januar 2021. I forhold til dokumentationen for de organisatoriske foranstaltninger til overholdelse af data- behandleraftalen, der ligger i LIFEs egen organisation, jf. C.2.1.2, aflægger LIFE årligt en skriftlig status, svarende til Datatilsynets tilsynskoncept 3. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underleverandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en au- toriseret uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttel- sesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale nati- onale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt ho- vedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionin- spektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre til- syn med de underdatabehandlere, der anvendes er angivet i forbindelse bilag B. Et sådant tilsyn kan være i form af modtagelsen af en revisionserklæring, eksempelvis en ISAE 3000 revisionserklæring, fra de(n) pågældende underdatabehandler(e). Den dataansvarlige kan med leverance af ydelsenrimeligt forudgående varsel forlange at LIFE udleverer doku- mentation for det udførte tilsyn med underdatabehandlere(n). Baseret på resultaterne af revisionserklæringerne Den dataansvarlige er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger foranstaltnin- ger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyttel- sesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionBestemmel- ser.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behand- lingen af personoplysninger, som er overladt til databehandleren Databehandleren fremsender skal årligt revisionserklæringer fra de datacentrefor egen regning indsende en skriftlig erklæring med en spørger- amme svarende til en ISAE 3000 erklæring vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, der anvendes databeskyttelsesbestemmelser i forbindelse med leverance anden EU-ret eller medlems- staternes nationale ret og disse Bestemmelser. Databehandleren har ret til selv at udføre er- klæringen eller vælge at få denne lavet af ydelsenen uafhængig tredjepart. Den skriftlige erklæring fremsendes uden unødig forsinkelse til den dataansvarlige til oriente- ring. 3 xxxxx://xxxxxxxx.xx/xxxxxxxxxxxxxxxxxx/ Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningendatabe- skyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes medlemsstater- nes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. .” Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt hovedsa- geligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren og de godkendte underdatabehandlere, jf. Bilag B.1, overfører ikke personoplysninger til tredjelande. Ved ændring af lokationer for databehandlerens behandling af personoplysninger, som vil medføre overførsel til usikre tredjelande, er databehandleren forpligtet til skriftligt at oplyse den dataansvarlige med mindst 3 måneders skriftligt var- sel, hvorved den dataansvarlige får mulighed for at gøre indsigelse mod overførsel, jf. Bilag C.5. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overfør- sel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at kan udbede sig skriftlig bekræftelse, fx Uafhængig revi- sorerklæring eller foretage inspektioneren fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerperson- oplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigtmed henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU- ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren Data- behandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige dataan- svarlige kan gennemføre sin inspektion. Databehandleren fremsender Den dataansvarlige kan en gang årligt revisionserklæringer fra de underdatabehandlerefremsende tilsynsskema til databehandleren. Evt. omkostninger til udfyldelse af skriftlig tilsyn, der anvendes i forbindelse med leverance afholdes af ydelsendatabehandler. Baseret på resultaterne af revisionserklæringerne er Ud over det planlagte tilsyn, kan den dataansvarlige berettiget til gennemføre et yderligere skriftligt tilsyn eller en inspektion hos data- behandleren, såfremt den dataansvarlige finder det nødvendigt. Databehandleren skal føre tilstrækkeligt tilsyn med dennes underdatabehandleres overholdelse af databeskyttelseslov- givningen, og indgåede databehandler aftaler. Dette tilsyn kan være et tilsynsskema, en uafhængig revisorerklæring eller et fysisk tilsyn. Den dataansvarlige kan – hvis det findes nødvendigt – vælge at anmode om gennemførelse af yderligere foranstaltninger initiere og deltage på en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, hvis den dataansvarlige vurderer, at databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabe- handleren sker i overensstemmelse med henblik på databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret el- ler medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarliges eventuelle deltagelse i en inspektion hos underdatabehandleren ændrer ikke ved, at sikre overholdelsen databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra LIFE er forpligtet til at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de datacentrekrav, der anvendes i forbindelse med leverance følger af ydelsendenne aftale. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget Institutionen, en repræsentant for Institutionen eller dennes revision (såvel intern som eks- tern) har adgang til at anmode om gennemførelse af yderligere foranstaltninger foretage inspektioner og revision, stille spørgsmål til og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af databeskyttelsesforordningendenne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestan- darder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 er- klæring, der dækker den behandling, der foretages i henhold til databehandleraftalen, jf. af- grænsningen i C.2.1.2. Den første erklæring skal foreligge senest den 1. januar 2021. I forhold til dokumentationen for de organisatoriske foranstaltninger til overholdelse af data- behandleraftalen, der ligger i LIFEs egen organisation, jf. C.2.1.2, aflægger LIFE årligt en skriftlig status, svarende til Datatilsynets tilsynskoncept 3. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underleverandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en au- toriseret uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttel- sesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale nati- onale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren databehandle- ren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt ho- vedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionin- spektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre til- syn med de underdatabehandlere, der anvendes er angivet i forbindelse bilag B. Et sådant tilsyn kan være i form af modtagelsen af en revisionserklæring, eksempelvis en ISAE 3000 revisionserklæring, fra de(n) pågældende underdatabehandler(e). Den dataansvarlige kan med leverance af ydelsenrimeligt forudgående varsel forlange at LIFE udleverer doku- mentation for det udførte tilsyn med underdatabehandlere(n). Baseret på resultaterne af revisionserklæringerne Den dataansvarlige er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger foranstaltnin- ger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyttel- sesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektionBestemmel- ser.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser denne databehandleraftale eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser denne databehandleraftale at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer skal en gang om året for egen regning indhente en revisorerklæring ISAE3000 fra de datacentreen uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, der anvendes databeskyttelsesbestemmelser i forbindelse med leverance anden EU-ret eller medlemsstaternes nationale ret og denne databehandleraftale. Ved anmodning vil den seneste version af ydelsenrevisorerklæringen ISAE3000 blive gjort tilgængelig for den dataansvarlige. Baseret på resultaterne af revisionserklæringerne revisorerklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelserdenne databehandleraftale. Anmodningen om yderligere foranstaltninger vil blive gennemført, hvis de passer ind i leveringen af databehandlerens standard selvbetjeningssystem til administration af den dataansvarliges arrangementer og dermed er til gavn for alle databehandlerens kunder. Om yderligere foranstaltninger bliver gennemført vurderes derfor af databehandleren ud fra den overordnede vurdering af risiciene og konsekvenserne for fysiske personers rettigheder, som beskrevet i denne databehandleraftales punkt 6.2. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige dataansvarlige, eller en repræsentant for den dataansvarlige dataansvarlige, har herudover efter nærmere aftale adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlereer, når der anvendes ikke er tale om den udarbejdede revisorerklæring, berettiget til en kompensation for dennes medarbejderes tid, i forbindelse med leverance inspektion og revision initieret af ydelsen. Baseret den dataansvarlige, medmindre dette sker på resultaterne grundlag af revisionserklæringerne er den dataansvarlige berettiget til at anmode en henvendelse fra tilsynsmyndigheden, om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen databehandlerens manglende efterlevelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelserret. Den dataansvarlige afholder udgiften er endvidere berettiget til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandlingfor egen regning at lade databehandlerens behandling af personoplysninger underkaste en årlig revision af en uafhængig tredjepart efter den dataansvarliges valg. Den dataansvarlige Inspektioner og revisioner der medfører adgang til forretningshemmeligheder og tekniske detaljer af opsætningen foretaget af andre end dem der er bestilt af databehandleren, kan kun gennemføres af personer som er blevet sikkerhedsgodkendt af databehandleren eller en tredjepart som databehandleren bruger til sikkerhedsgodkendelser. Databehandleren skal en gang om året for egen regning foretage inspektioner, herunder efter behov foretage fysiske inspektioner, vedrørende overholdelsen af denne databehandleraftale hos underdatabehandlere. Databehandleren eller en repræsentant for den dataansvarlige databehandleren har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren underdatabehandlere foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt. Dokumentation for databehandlerens seneste foretagede inspektioner hos underdatabehandlere fremsendes ved anmodning til den dataansvarlige. Den dataansvarlige kan - hvis det findes nødvendigt - vælge at initiere og deltage på en fysisk inspektion hos en underdatabehandler. Dette kan blive aktuelt, hvis den dataansvarlige vurderer, at databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker i overensstemmelse med denne databehandleraftale. Den dataansvarliges eventuelle deltagelse i en inspektion hos en underdatabehandler ændrer ikke ved, at databehandleren også herefter har det fulde ansvar for en underdatabehandlers overholdelse af denne databehandleraftale. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren Databehandleren og underdatabehandlere er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren er berettiget til en kompensation for dennes medarbejderes tid i forbindelse med inspektion og revision hos en underdatabehandler initieret af den dataansvarlige, medmindre dette sker på grundlag af en henvendelse fra tilsynsmyndigheden om databehandlerens manglende efterlevelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. Eventuelle udgifter til underdatabehandleren i forbindelse med inspektion og revision hos underdatabehandleren initieret af den dataansvarlig afholdes af den dataansvarlige.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren overfører ikke personoplysninger til tredjelande, undtagen til de generelt godkendte underdatabehandlere listet i Bilag B Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender skal 1 gang årligt revisionserklæringer for egen regning indhente en erklæring/inspektionsrapport fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at der kan anvendes følgende type af erklæring ”Underskrevne uafhængige tredjepart (Navn, adresse, kontaktperson, telefon, email, evt. DPO med angivelse af navn, adresse, tlf og mail bekræfter at have gennemgået de datacentretekniske og organisatoriske sikkerhedsforanstaltninger, der anvendes som databehandleren har oplyst til den dataansvarlige i forbindelse med leverance indgåelse af ydelsendenne databehandleraftale.” Erklæringen/inspektionsrapporten synliggøres/fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rammerne for og/eller metoden i erklæringen/inspektionsrapporten og kan i sådanne tilfælde anmode om en ny erklæring/inspektionsrapport under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af revisionserklæringerne erklæringen/inspektionsrapporten, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med af lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigtnødvendig, Vurderingen skal bero på fakta og ikke fornemmelse. Fysisk inspektion kræver forudgående aftale med databehandlerne, og med et forudgående varsel på 3 uger, så databehandleren er forberedt på at kunne afsætte de nødvendige ressourcer til det.” Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerDatabehandlerens revisioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling behandlingen af personoplysninger, herunder fysiske lokaliteter og systemersom er overladt til underdatabehandleren sker på samme måde som den dataansvarliges revisioner hos databehandleren, der benyttes til eller i forbindelse med behandlingense punkt C.7. Sådanne inspektioner kan gennemføres, når Se den dataansvarlige finder det nødvendigtmellem parterne indgåede hovedaftale/kontrakt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.Brud på datasikkerheden:

Instruks vedrørende overførsel af personoplysninger til tredjelande. På tidspunktet for indgåelse af databehandleraftalen, overfører LIFE ikke personoplysninger til tredjelande. Hvis LIFE fremover påtænker at iværksætte tredjelandsoverførsler, vil det involvere en ændring i kredsen af underdatabehandlere ifht., hvad der fremgår af bilag B. I så fald iværksætter LIFE den i pkt. 7.3 beskrevne procedure med tilhørende 30-dages varsel for implementering af ændringen (tredjelandsoverførslen) med henblik på den dataansvarlige ikke godkendelse af den påtænkte tredjelandsoverførsel. Proceduren i disse Bestemmelser eller efterfølgende giver pkt. 7.3 følges i det hele. Som led i ovennævnte procedure beskriver LIFE overfor den dataansvarlige 1) det påtænkte overførsels- grundlag, 2) hvorvidt det påtænkte tredjeland har et tilstrækkeligt beskyttelsesniveau, samt 3) hvilke eventulle nødvendige supplerende foranstaltninger, der kan etableres for at sikre et tilstrækkeligt sikkerhedsniveau. Den dataansvarlige har herefter adgang til at komme med rimelige indsigelser, jf. B.2. LIFE er opmærksom på, at support, der er tiltænkt at ske fra en dokumenteret instruks vedrørende fysisk lokalitet i et tredjeland og hvor der er mulighed for, at supportmedarbejderne kan tilgå personoplysninger, er en overførsel af personoplysninger til et tredjeland. LIFE tilstræber at sikre, at underdatabehandleres tekniske support i tredjelande ikke får til- sendt/adgang til personoplysninger, men derimod kun fuldt ud anonymiserede oplysninger samt tekniske data. LIFE er databehandleren ikke berettiget forpligtet til inden at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de krav, der følger af denne aftale. Institutionen, en repræsentant for rammerne af disse Bestemmelser Institutionen eller dennes revision (såvel intern som ekstern) har adgang til at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreinspektioner og revision, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget stille spørgsmål til at anmode om gennemførelse af yderligere foranstaltninger og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der fore- tages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underle- verandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerinspek- tioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerper- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(enødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre tilsyn med de underdatabehandlere, der anvendes er angivet i forbindelse med leverance bilag B. Et sådant tilsyn kan være i form af ydelsen. Baseret på resultaterne modtagelsen af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenen revisionserklæring, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller eksempelvis en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerISAE 3000 revisionserklæring, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidfra de(n) pågældende underdatabe- handler(e), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerforetager hvert andet år en fysisk inspektion af lokaliteterne, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens over- holdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Sådanne inspektioner Ud over det planlagte tilsyn, kan gennemføresden dataansvarlige gennemføre en inspektion hos databehandleren, når den dataansvarlige data- ansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender skal årligt revisionserklæringer for egen regning indhente en revisionserklæring/inspektionsrapport fra de underdatabehandlereen uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, der databeskyttelsesbe- stemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af REVISIONSERKLÆRINGER/INSPEKTIONSRAPPORTER kan anvendes i forbindelse overensstemmelse med leverance disse bestemmelser: ISAE 3000, ISAE 3402, ISRS 4400 eller tilsvarende Rapporten vil være tilgængelige på databehandlerens hjemmeside, hvor de årligt opdateres med den nyeste ind- hentede version. Den dataansvarlige kan anfægte rammerne for og/eller metoden i rapporten og kan i sådanne tilfælde anmode om en ny rapport under andre rammer og/eller under anvendelse af ydelsenanden metode. Baseret på resultaterne af revisionserklæringerne rapporten, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyttelsesbestem- melser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Databehandleren må ikke overføre oplysninger til tredjeland. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer skal i hele Hovedaftalens løbetid for egen regning deltage i Den dataansvarliges tilsyn hos Databehandleren. Den dataansvarlige gennemfører som udgangspunkt fysiske tilsyn, men er ikke begrænset hertil. Tilsyn kan derfor også foretages på skriftligt grundlag. Der gennemføres som udgangspunkt tilsyn én gang årligt, men Den dataansvarlige er ikke begrænset hertil. Den dataansvarlige føre tilsyn med udgangspunkt i: - De krav til Databehandleren, som er opstillet i Databehandleraftalen. - Adgangen til data, herunder hvilken adgang de forskellige adgange medarbejdere fra de datacentreDatabehandleren har, og om der anvendes er udarbejdet procedurer for adgangen til personoplysninger, brug af login/ koder mv. - Dataopbevaring, herunder håndtering af data, fx print og sletning af print og sletning af oplysninger generelt. - Observationer, herunder observationer af arbejdsmiljø/ kontormiljø. Her ses der fx på om der fysisk ligger dokumenter indeholdende personoplysninger, muligheden for at uvedkommende kan tilgå oplysningerne og om arbejdspladsens indretning sikre, at uvedkommende ikke kan få adgang til oplysninger, fx password og automatisk lås af computere. - Sikkerhedsbrud. Her føres her tilsyn med Databehandlerens procedurer for sikkerhedsbrud. - Underdatabehandlere. Her tænkes der på Databehandlerens brug af underdatabehandlere, jf. databehandleraftalens bilag 2. Der føres tilsyn med, at Databehandleren gennemfører det tilsyn, som Databehandleren er forpligtiget til, jf. dette bilags punkt 6. Databehandleren skal i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen hele rammeaftalens løbetid for egen regning indhente en inspektionsrapport vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre Databehandlerens tilsyn skal som minimum tage udgangspunkt i de skyldes mangler punkter, som er nævnt i databehandlerens behandlingpunkt 5. Den dataansvarlige Kommune kan fremsætte krav om yderligere tilsynspunkter. Databehandleren eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når databehandleren (eller den dataansvarlige dataansvarlige) finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataansvarlige selvtil orientering. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den Den dataansvarlige kan gennemføre sin inspektionanfægte rammerne for og/eller metoden af inspektionen og kan i sådanne tilfælde anmode om gennemførelsen af en ny inspektion under andre rammer og/eller under anvendelse af anden metode.

Instruks vedrørende overførsel af personoplysninger til tredjelande. På tidspunktet for indgåelse af databehandleraftalen, overfører LIFE ikke personoplysninger til tredjelande. Hvis LIFE fremover påtænker at iværksætte tredjelandsoverførsler, vil det involvere en ændring i kredsen af underdatabehandlere ifht., hvad der fremgår af bilag B. I så fald iværksætter LIFE den i pkt. 7.3 beskrevne procedure med tilhørende 30-dages varsel for implemen- tering af ændringen (tredjelandsoverførslen) med henblik på den dataansvarlige ikke godkendelse af den på- tænkte tredjelandsoverførsel. Proceduren i disse Bestemmelser pkt. 7.3 følges i det hele. Som led i ovennævnte procedure beskriver LIFE overfor den dataansvarlige 1) det påtænkte over- førselsgrundlag, 2) hvorvidt det påtænkte tredjeland har et tilstrækkeligt beskyttelsesniveau, samt 3) hvilke eventulle nødvendige supplerende foranstaltninger, der kan etableres for at sikre et tilstrækkeligt sikkerheds- niveau. Den dataansvarlige har herefter adgang til at komme med rimelige indsigelser, jf. B.2. LIFE er forpligtet til at give Institutionen nødvendige oplysninger til, at Institutionen til enhver tid kan sikre sig, at LIFE overholder de krav, der følger af denne aftale. Institutionen, en repræsentant for Institutionen eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger dennes revision (såvel intern som ekstern) har adgang til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreinspektioner og revision, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget stille spørgsmål til at anmode om gennemførelse af yderligere foranstaltninger og få udleveret dokumentation med henblik på at sikre overholdelsen kontrollere, at LIFE overholder de krav, der følger af denne aftale. LIFE fremsender én gang årligt en erklæring til Institutionen om overholdelse af denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området. En sådan erklæring forelægges ved, at LIFE indhenter en ISAE 3000 erklæring, der dækker den behandling, der fore- tages i henhold til databehandleraftalen. Den første erklæring skal foreligge senest den 1. januar 2021. I tilfælde af, at Institutionen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter LIFE og LIFEs underle- verandører sig til at stille tid og ressourcer til rådighed herfor. Såfremt Institutionen vurderer, at der er behov for at anvende eksterne ressourcer i denne inspektion, så afholder Institutionen alle udgifter hertil. Den dataansvarlige kan årligt med 30 dages varsel indhente en revisionserklæring fra en autoriseret uaf- hængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerinspek- tioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysningerper- sonoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. nødvendigt Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(enødven- dig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra Der er enighed mellem parterne om, at LIFE som databehandler har ansvaret for at føre tilsyn med de underdatabehandlereun- derdatabehandlere, der anvendes er angivet i forbindelse med leverance bilag B. Et sådant tilsyn kan være i form af ydelsen. Baseret på resultaterne modtagelsen af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenen revisions- erklæring, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelsereksempelvis en ISAE 3000 revisionserklæring, fra de(n) pågældende underdatabehandler(e). Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant kan med rimeligt forudgående varsel forlange at LIFE udleverer dokumentation for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, det udførte tilsyn med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tidunderdatabehandlere(n), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis Databehandleren og dens eventuelle underdatabehandler(e) kan overføre personoplysninger, som behandles på den dataansvarliges vegne, ud af EU/EØS med tredive (30) dages forudgående skriftlig meddelelse til den dataansvarlige, i det omfang den dataansvarlige ikke i disse Bestemmelser gør indsigelse mod over- førslen skriftligt efter et sådant varsel. Databehandleren overholder alle krav, som er fastlagt af tilsynsmyndigheder eller efterfølgende andre offentlige myndigheder, der er nødvendige for at give sådanne myn- digheder godkendelse til overførsel af personoplysninger uden for EU/EØS. Databehandleren sikrer et overførselsgrundlag for overførsel af personoplysninger. Den dataansvar- lige giver en dokumenteret instruks vedrørende databehandleren tilladelse til at anvende EU-Kommissionens standardkontraktbestemmel- ser for overførsel af personoplysninger til underdatabehandlere etableret i tredjelande på vegne af den dataansvarlige. I tilfælde af at et tredjelandretsgrundlag for overførsel af personoplysninger ikke er i overensstemmelse med den gældende databeskyttelseslovgivning og erstattes eller på anden måde ikke længere anses for at være et gyldigt overførselsgrundlag vil parterne sammen uden unødig forsinkelse finde og anvende et andet retsgrundlag for overførsel af personoplysninger fra EU/EØS. Databehandleren skal på skriftlig anmodning dokumentere overfor den dataansvarlige, er databehandleren ikke berettiget at databe- handleren overholder sine forpligtelser efter disse Bestemmelser for så vidt angår personoplysnin- gerne, som behandles på den dataansvarliges vegne. Databehandlerens dokumentation skal sendes til den dataansvarlige inden for rammerne rimelig tid efter mod- tagelse af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes i forbindelse med leverance af ydelsenanmodning herom. Baseret på resultaterne af revisionserklæringerne en sådan revision / rapport / sikkerhedsspørgeskema er den dataansvarlige dataansvar- lige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektionerdataansvarliges omkostninger, herunder fysiske inspektionerhvis det er relevant, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af- holdes af den dataansvarlige selvdataansvarlige. Databehandleren er dog imidlertid forpligtet til at afsætte de ressourcer (hovedsageligt den hovedsagelig tid), der er nødvendig(e) forsom måtte kræves, for at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektioninspektionen.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Den dataansvarlige giver instruks til, at personoplysninger behandles af de underdata- behandlere, der er nævnt i bilag B, samt på de pågældende lokationer heri. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender indhenter årligt revisionserklæringer en revisionserklæring fra de datacentreen uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, der databeskyttelses- bestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæring kan anvendes i forbindelse overensstemmelse med leverance af ydelsendisse Bestemmelser: ● ISAE 3000 GDPR-erklæring Revisionserklæringen kan efter aftalte vilkår fremsendes til den dataansvarlige til orientering. Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes medlems- staternes nationale ret og disse Bestemmelser. Parterne skal blive enige om eventuelle yderligere foranstaltninger. Databehandleren er berettiget til at opsige Aftalen mellem Parterne, hvis en aftale ikke kan opnås. Den dataansvarlige afholder udgiften alle udgifter i forbindelse med yderligere kontrol, herunder betaling for databehandlerens tidsforbrug. For at anmode om at foretage en kontrol skal den dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingdatabehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren data- behandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan kun gennemføres, når efter aftale mellem parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den dataansvarlige finder det nødvendigtdata behandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter databehandlers valg. Den dataansvarliges eventuelle udgifter dataansvarlige afholder alle omkostninger forbundet med sådanne inspektioner. I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i forbindelse med en fysisk inspektion afholdes medfør af den dataansvarlige selvdatabehandlers politikker og må ikke på urimelig måde gribe forstyrrende ind i databehandlers forretningsdrift. Databehandleren er dog forpligtet Et eventuelt særskilt vederlag til at afsætte de ressourcer (hovedsageligt den tid)databehandleren i henhold til det ovenstående beregnes på grundlag af det tidsforbrug, der er nødvendig(e) fordatabehandleren anvender på fremskaffelsen af informationen, samt databehandlerens almindeligt gældende timesatser, og databehandleren har derudover krav på, at den dataansvarlige kan gennemføre sin inspektiondækker eventuelle eksterne omkostninger afholdt af databehandleren til fremskaffelse af informationen, herunder omkostninger afholdt til eventuelt fornøden bistand fra underdatabehandlere. Databehandleren fremsender indhenter på baggrund af risikovurderinger årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen dokumentation for relvante underdatabehandleres overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser databeskyttelses- bestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til Der er enighed mellem parterne om at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) proces for, at gennemførelse og tilstrækkelighed heraf dokumenteres via den dataansvarlige kan gennemføre sin inspektiondataansvarliges revision af databehandleren jf. C.7.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis Tjenesten overfører ikke data til tredjelande. Overførelse til tredjeland er kun muligt hvis bru- gere giver adgang til filer til organisationer/ personer, der befinder sig i tredjelande. Brugeres overførelse til tredjelande er derfor underlagt instruks fra den dataansvarlige. Databehandleren udarbejder årligt en intern tilsynsrapport om alle væsentlige faktorer der vedrører Filsender tjenesten. Den dataansvarlige kan i løbet af året stille spørgsmål om tje- nesten, som den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser ønsker at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentre, der anvendes få behandlet i forbindelse med leverance det interne tilsyn. Disse spørgsmål kan tages op af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til tilsynet, hvis det vurderes at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelservære relevant. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandling. Den dataansvarlige dataansvarlige, eller en repræsentant for den dataansvarlige, kan efterspørge yderligere dokumentation, eller foretage et fysisk tilsyn vedrørende overholdelsen af denne databe- handleraftale hos databehandleren. Den dataansvarlige har herudover adgang til at foretage inspektionerskal dog betale de udgifter, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren databe- handleren i den forbindelse bliver påført. Databehandleren foretager behandling årligt en revision af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller underdatabehandlere. Den Dataansvarlige vil i forbindelse med behandlingenden årlige revision af Filesender bliver informeret om, hvis der i forbindelse med revisionen af underdatabehandleren er fundet afvigelser i behandlinger eller andet det kan påvirke Filesender. Sådanne inspektioner Den dataansvarlige kan gennemføresi forbindelse med det årlige tilsyn hos Filesender stille uddybende spørgsmål om underdatabehandlerne, når den indenfor rammerne af Filesenders tjeneste. Den dataansvarlige finder det nødvendigtkan for egen regning selv foranstalte et tilsyn hos underdatabehandle- ren. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes tilsyn hos underdatabehandleren ændrer ikke ved data- behandlerens ansvar for underdatabehandlerens overholdelse af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer fra de underdatabehandlere, der anvendes i forbindelse med leverance af ydelsen. Baseret på resultaterne af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret databeskyttelseslovgivnin- gen og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektiondenne databehandleraftale.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer fra de datacentreInstruksen omfatter også forbud mod at anvende underdatabehandlere i EU, EØS eller tredjelande, der anvendes opfylder EU-kommissionens tilstrækkelighedsvurdering, når disse er koncernforbundne med moderselskaber i forbindelse ikke sikre tredjelande. Såfremt databehandler, på baggrund af en konkret, forudgående udtrykkelig og skriftlig aftale med leverance den dataansvarlige, overfører personoplysninger til et tredjeland, må disse oplysninger alene Enten overføres til lande, der efter EU-Kommissionens tilstrækkelighedsvurdering, jf. art. 45 er erklærede sikre. Se EU-Kommissionens liste over de til enhver tid værende sikre tredjelande: Adequacy decisions | Europa-Kommissionen. Databehandleren er ansvarlig for løbende af ydelsenfølge op på landets status og straks orientere den dataansvarlige, hvis tilstrækkelighedsvurderingen ikke kan fastholdes samt træffe foranstaltninger til at sikre persondata overført til behandling i EU, EØS eller andet sikkert tredje land. Eller have et til enhver tid værende gyldigt overførselsgrundlag som dokumenteres i tabellen under C.5 samt bilag E. Databehandleren skal overfor den Dataansvarlige dokumentere beslutningsgrundlag, overvejelser og konklusioner samt foranstaltninger i overensstemmelse med EDPB’s “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Versions 2.0. Adopted on 18.06.2021” punkt 43 samt 43.1-43.3 Databehandleren og dennes underdatabehandlere skal anfægte enhver anmodning om videregivelse af data fra et hvilket som helst lands myndigheder og er hver især selvstændig ansvarlige for straks at underrette den dataansvarlige om anmodningen. Begge skal endvidere informere om hvorvidt de, trods anfægtelsen har imødekommet anmodningen. Såfremt databehandleren eller underdatabehandlere er bundet af det pågældende lands lovgivning om tavshedspligt, skal de pågældende i stedet straks oplyse den dataansvarlige om, at de misligholder nærværende aftale. En sådan misligholdelse er at betragte som væsentlig. Databehandleren erklærer med sin underskrift på nærværende kontrakt, at hæfte for alle tab og omkostninger, som hver enkelt registrerede måtte lide, som følge af databehandlerens eller dennes underdatabehandleres udlevering af personoplysninger i strid med EU's databeskyttelsesregler (GDPR) eller nærværende kontrakt. Revisorerklæring (TLP RØD): Databehandleren skal én gang årligt vederlagsfrit, fremsende en revisorerklæring om overholdelse af Denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder inden for erklæringer omhandlende overholdelse af databeskyttelsesforordningen, og skal være af typen ISAE 3000 efter helhedsmetoden, og med høj grad af sikkerhed. Den første erklæring skal foreligge senest 12 måneder efter indgåelse af Denne aftale, og kan være et øjebliksbillede (Point In Time). Efterfølgende revisorerklæringer skal dække perioden fra senest afgivne rapport og frem til et valgt tidspunkt. Varigheden af perioden for erklæringen må ikke overskride 13 måneder. Revisorerklæringen fremsendes uden unødig forsinkelse til den dataansvarlige til orientering, efter udarbejdelsen. Den dataansvarlige kan anfægte rammerne for og/eller metoden i revisorerklæringen og kan i sådanne tilfælde anmode om en ny revisorerklæring under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af revisionserklæringerne revisorerklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingDenne aftale. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at må foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager skriftlig eller fysisk inspektion af databehandlerens behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. ELLER 2: Databehandlere, der kun opbevarer data - Revisorerklæring (TLP RØD) Databehandleren skal én gang årligt vederlagsfrit, fremsende en revisorerklæring omkring generelle it-kontroller, som er relevante for de ydelser der leveres i relation til denne aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder inden for informationssikkerhed og skal være af typen ISAE 3000 og/eller ISAE 3402 efter helhedsmetoden. Den første erklæring skal foreligge senest 12 måneder efter indgåelse af Denne aftale, og kan være et øjebliksbillede (Point In Time). Efterfølgende revisorerklæringer skal dække perioden fra senest afgivne rapport og frem til et valgt tidspunkt. Varigheden af perioden for erklæringen må ikke overskride 13 måneder. Revisorerklæringen fremsendes uden unødig forsinkelse til den dataansvarlige til orientering, efter udarbejdelsen. Den dataansvarlige kan anfægte rammerne for og/eller metoden i revisorerklæringen og kan i sådanne tilfælde anmode om en ny revisorerklæring under andre rammer og/eller under anvendelse af anden metode. Baseret på resultaterne af revisorerklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og Denne aftale. Den dataansvarlige eller en repræsentant for den dataansvarlige må foretage skriftlig eller fysisk inspektion af databehandlerens behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt. TLP GUL – Skriftligt tilsynDatabehandleren skal årligt levere en rapport på overholdelse af forholdene i indeværende aftale. Rapporten kan udarbejdes af en intern medarbejder, herunder af databehandlerens DPO. Såfremt dataansvarlige ikke finder at rapporten er fyldestgørende, kan databehandleren eller en repræsentant for den dataansvarlige foretage skriftligt tilsyn med databehandleren. Såfremt dataanvarlige gennem persondatabrud eller gennem pålidelig kilde mistænker misligholdelse af indeværende databehandleraftale, kan Dataanvarlige eller en repræsentant for den dataansvarlige foretage skriftlig eller fysisk inspektion af databehandlerens behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og Denne aftale. Databehandleren kan som alternativ til ovenstående levere en revisionserklæring med høj eller begrænset sikkerhed, såfremt denne dækker væsentlige forhold i indeværende aftale. [OG, HVIS RELEVANT] Den dataansvarliges eventuelle udgifter i forbindelse med en inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. TLP Grøn Databehandleren skal årligt levere en skriftlig status på overholdelse af væsentlige forhold i indeværende aftale. Rapporten kan udarbejdes af en intern medarbejder, og kan med fordel udarbejdes af databehandlerens DPO. Såfremt dataansvarlige ikke finder at rapporten er fyldestgørende, kan databehandleren eller en repræsentant for den dataansvarlige foretage skriftligt tilsyn med databehandleren. Såfremt dataanvarlige gennem persondatabrud eller gennem pålidelig kilde mistænker misligholdelse af indeværende databehandleraftale, kan Dataanvarlige eller en repræsentant for den dataansvarlige foretage skriftlig eller fysisk inspektion af databehandlerens behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og Denne aftale. Den dataansvarliges eventuelle udgifter i forbindelse med en inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender kan som alternativ til ovenstående levere en revisionserklæring med høj eller begrænset sikkerhed, såfremt denne dækker væsentlige forhold i indeværende aftale. Revisionserklæring kan afgives som periodeerklæring eller som point in time. TLP Hvid Databehandleren skal årligt revisionserklæringer fra de underdatabehandlereafgive skriftlig bekræftelse på, at punkterne i indeværende aftale er overholdt. Såfremt der anvendes er forhold i indeværende aftale der ikke er overholdt forpligter databehandleren sig til at levere en udbedringsplan i forbindelse med leverance udsendelse af ydelsenstatusrapporten. Baseret på resultaterne Såfremt dataanvarlige gennem persondatabrud eller gennem pålidelig kilde mistænker misligholdelse af revisionserklæringerne er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningenindeværende databehandleraftale, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandling. Den dataansvarlige kan Dataanvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager skriftlig eller fysisk inspektion af databehandlerens behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigtmed henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og Denne aftale. Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Underdatabehandleren Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

Instruks vedrørende overførsel af personoplysninger til tredjelande. Hvis den dataansvarlige Dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren Databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler. Databehandleren fremsender årligt revisionserklæringer skal hvert år for egen regning indhente en revisionserklæring fra de datacentreen uafhængig tredjepart vedrørende Databehandlerens overholdelse af databeskyttelsesforordningen, der databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæring kan anvendes i forbindelse overensstemmelse med leverance disse Bestemmelser: ISAE 3000. [Erklæringen skal suppleres med ISAE 3402] Revisionserklæringen/erne fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden i erklæringen og kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af ydelsenanden metode. Baseret på resultaterne af revisionserklæringerne erklæringen, er den dataansvarlige Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i databehandlerens behandlingDenne ret er uden beregning for den Dataansvarlige. Den dataansvarlige Dataansvarlige eller en repræsentant for den dataansvarlige Dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren Databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige Dataansvarlige finder det nødvendigt. Denne ret er uden beregning for den Dataansvarlige. Den dataansvarliges Dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige Dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige Dataansvarlige kan gennemføre sin inspektion. Databehandleren fremsender årligt revisionserklæringer skal hvert år for egen eller Underdatabehandlerens regning indhente en revisionserklæring fra de underdatabehandlereen uafhængig tredjepart vedrørende Underdatabehandlerens overholdelse af databeskyttelsesforordningen, der databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om, at følgende typer af revisionserklæring kan anvendes i forbindelse overensstemmelse med leverance disse bestemmelser: ISAE 3000. Erklæringen skal suppleres med ISAE 3402 Revisionserklæringen/- erne fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den Dataansvarlige kan anfægte rammerne for og/eller metoden i erklæringen og kan i sådanne tilfælde anmode om en ny revisionserklæring under andre rammer og/eller under anvendelse af ydelsenanden metode. Baseret på resultaterne af revisionserklæringerne erklæringen/-erne er den dataansvarlige Dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den dataansvarlige afholder udgiften til disse foranstaltninger medmindre de skyldes mangler i underdatabehandlerens behandlingDenne ret er uden beregning for den Dataansvarlige. Den dataansvarlige Databehandleren eller en repræsentant for den dataansvarlige Databehandleren har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren Underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når Databehandleren (eller den dataansvarlige Dataansvarlige) finder det nødvendigt. Denne ret er uden beregning for den dataansvarslige. Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den Dataansvarlige til orientering. Den dataansvarliges Dataansvarlige kan anfægte rammerne for og/eller metoden af inspektionen og kan i sådanne tilfælde anmode om gennemførelsen af en ny inspektion under andre rammer og/eller under anvendelse af anden metode. Den Dataansvarlige kan – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos Underdatabehandleren. Dette kan blive aktuelt, hvis den Dataansvarlige vurderer, at Databehandlerens inspektion hos Underdatabehandleren ikke har givet den Dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos Underdatabehandleren sker I overensstemmelse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Den Dataansvarliges eventuelle deltagelse i en inspektion hos Underdatabehandleren ændrer ikke ved, at Databehandleren også herefter har det fulde ansvar for Underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Databehandlerens og Underdatabehandlerens eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af Underdatabehandlerens lokaliteter er den dataansvarlige selv. Underdatabehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt Dataansvarlige uvedkommende – uanset om den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin Dataansvarlige har initieret og deltaget i en sådan inspektion.