Contract
Databehandlingsvilkår for EQS Cloud Services (i henhold til GDPR artikel 28) – Baseret på standardkontraktbestemmelser udstedt af EU-Kommissionen jf. Gennemførelsesafgørelse (EU) 2021/915
Data Processing Exhibit for EQS Cloud Services (pursuant to Art. 28 GDPR) – Based on Standard Contractual Clauses issued by EU Commission Implementation Decision (EU) 2021/915
1 Formål og anvendelsesområde 1. Purpose and scope
(a) Formålet med disse standardkontraktbestemmelser (herefter Bestemmelserne) er at sikre overholdelse af artikel 28, stk. 3 og 4, i Europa- Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
(b) De dataansvarlige og databehandlerne, der er opført i bilag I, har accepteret disse Bestemmelser for at sikre overholdelse af artikel 28, stk. 3 og 4, i Forordning (EU) 2016/679 og artikel 29, stk. 3 og 4, i Forordning (EU) 2018/1725.
(c) Disse Bestemmelser finder anvendelse på behandling af personoplysninger som anført i bilag II.
(d) Bilag I-III er en integrerende del af Bestemmelserne.
(e) Disse Bestemmelser berører ikke de forpligtelser, som den dataansvarlige er underlagt i henhold til Forordning (EU) 2016/679 og/eller Forordning (EU) 2018/1725.
(f) Disse Bestemmelser sikrer ikke i sig selv, at forpligtelserne vedrørende internationale overførsler i henhold til kapitel V i Forordning (EU) 2016/679 og/eller Forordning (EU) 2018/1725 overholdes.
(a) The purpose of these Standard Contractual Clauses (the Clauses) is to ensure compliance with Article 28(3) and (4) of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).
(b) The controllers and processors listed in Annex I have agreed to these Clauses in order to ensure compliance with Article 28(3) and (4) of Regulation (EU) 2016/679 and/or Article 29(3) and (4) of Regulation (EU) 2018/1725
(c) These Clauses apply to the processing of personal data as specified in Xxxxx XX.
(d) Annexes I to III are an integral part of the Clauses.
(e) These Clauses are without prejudice to obligations to which the controller is subject by virtue of Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725.
(f) These Clauses do not by themselves ensure compliance with obligations related to international transfers in accordance with Chapter V of Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725.
2 Bestemmelsernes uforanderlighed 2 Invariability of the Clauses
(a) Parterne forpligter sig til ikke at ændre Bestemmelserne, bortset fra at tilføje oplysninger til bilagene eller ajourføre oplysninger i dem.
(b) Dette forhindrer ikke parterne i at medtage de standardkontraktbestemmelser, der er fastsat i disse Bestemmelser, i en bredere kontrakt eller i at tilføje andre bestemmelser eller yderligere garantier, forudsat at de ikke direkte eller indirekte er i strid med Bestemmelserne eller indskrænker de registreredes grundlæggende rettigheder eller frihedsrettigheder.
(a) The Parties undertake not to modify the Clauses, except for adding information to the Annexes or updating information in them.
(b) This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a broader contract, or from adding other clauses or additional safeguards provided that they do not directly or indirectly contradict the Clauses or detract from the fundamental rights or freedoms of data subjects.
3 Fortolkning 3 Interpretation
(a) Hvor disse Bestemmelser anvender de udtryk, der er defineret i henholdsvis Forordning (EU) 2016/679 eller Forordning (EU) 2018/1725, har disse udtryk samme betydning som i nævnte Forordning.
(b) Disse Bestemmelser skal læses og fortolkes i lyset af bestemmelserne i henholdsvis Forordning (EU) 2016/679 eller Forordning (EU) 2018/1725.
(c) Disse Bestemmelser må ikke fortolkes på en måde, der strider mod de rettigheder og forpligtelser, der er fastsat i Forordning (EU) 2016/679/Forordning (EU) 2018/1725, eller på en måde, som berører de registreredes grundlæggende rettigheder eller frihedsrettigheder.
(a) Where these Clauses use the terms defined in Regulation (EU) 2016/679 or Regulation (EU) 2018/1725 respectively, those terms shall have the same meaning as in that Regulation.
(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679 or Regulation(EU) 2018/1725 respectively.
(c) These Clauses shall not be interpreted in a way that runs counter to the rights and obligations provided for in Regulation (EU) 2016/679 / Regulation (EU) 2018/1725 or in a way that prejudices the fundamental rights or freedoms of the data subjects.
4 Hierarki 4 Hierarchy
I tilfælde af uoverensstemmelse mellem disse Bestemmelser og bestemmelserne i tilknyttede aftaler mellem Parterne, der eksisterer på det tidspunkt, hvor disse Bestemmelser aftales eller indgås, har disse Bestemmelser forrang.
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties existing at the time when these Clauses are agreed or entered into thereafter, these Clauses shall prevail.
5 Docking-klausul 5 Docking clause
(a) Enhver enhed, der ikke er Part i disse Bestemmelser, kan efter aftale med alle Parterne til enhver tid tiltræde disse Bestemmelser som dataansvarlig eller databehandler ved at udfylde bilagene og underskrive bilag I.
(b) Når bilagene nævnt i punkt (a) er udfyldt og underskrevet, behandles den tiltrædende enhed som Part i disse Bestemmelser og har de rettigheder og forpligtelser, der tilkommer en dataansvarlig eller databehandler i overensstemmelse med udpegelsen af denne i bilag I.
(c) Den tiltrædende enhed har ingen rettigheder eller forpligtelser som følge af disse Bestemmelser fra den periode, der går forud for enhedens tiltrædelse som Part.
(a) Any entity that is not a Party to these Clauses may, with the agreement of all the Parties, accede to these Clauses at any time as a controller or a processor by completing the Annexes and signing Xxxxx X.
(b) Once the Annexes in (a) are completed and signed, the acceding entity shall be treated as a Party to these Clauses and have the rights and obligations of a controller or a processor, in accordance with its designation in Annex I.
(c) The acceding entity shall have no rights or obligations resulting from these Clauses from the period prior to becoming a Party.
6 Beskrivelse af behandlingen/behandlingerne 6 Description of processing(s)
Nærmere oplysninger om behandlingsaktiviteterne, navnlig de kategorier af personoplysninger og formålene med den behandling, hvortil personoplysningerne behandles på vegne af den dataansvarlige, er anført i bilag II.
The details of the processing operations, in particular the categories of personal data and the purposes of processing forwhich the personal data is processed on behalf of the controller, are specified in Annex II.
7 Parternes forpligtelser 7 Obligations of the Parties
7.1 Instrukser
(a) Databehandleren behandler kun personoplysninger efter dokumenterede instrukser fra den dataansvarlige, medmindre dette kræves i henhold til EU- retten eller medlemsstaternes nationale ret, som databehandleren er underlagt. I så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre loven forbyder dette af hensyn til vigtige samfundsinteresser. Efterfølgende instrukser kan også gives af den
7.1 Instructions
(a) The processor shall process personal data only on documented instructions from the controller, unless required to do so by Union or Member State law to which the processor is subject. In this case, the processor shall inform the controller of that legal requirement before processing, unless the law prohibits this on important grounds of public
dataansvarlige under hele behandlingen af personoplysninger. Disse instrukser skal altid dokumenteres.
(b) Databehandleren underretter straks den dataansvarlige, hvis instrukser fra den dataansvarlige efter databehandlerens opfattelse er i strid med Forordning (EU) 2016/679/Forordning (EU) 2018/1725 eller de gældende databeskyttelsesbe stemmelser i anden EU-ret eller medlemsstaternes nationale ret.
interest. Subsequent instructions may also be given by the controller throughout the duration of the processing of personal data. These instructions shall always be documented.
(b) The processor shall immediately inform the controller if, in the processor’s opinion, instructions given by the controller infringe Regulation (EU) 2016/679 / Regulation (EU) 2018/1725 or the applicable Union or Member State data protection provisions.
7.2 Formålsbegrænsning
Databehandleren må kun behandle personoplysningerne til det eller de specifikke formål med behandlingen, som er fastsat i bilag II, medmindre han modtager yderligere instrukser fra den dataansvarlige.
7.2 Purpose limitation
The processor shall process the personal data only for the specific purpose(s) of the processing, as set out in Annex II,unless it receives further instructions from the controller.
7.3 Varigheden af behandlingen af personoplysninger
Behandlingen foretaget af databehandleren må kun finde sted i den periode, der er anført i bilag II.
7.3 Duration of the processing of personal data
Processing by the processor shall only take place for the duration specified in Annex II.
7.4 Behandlingssikkerhed
(a) Databehandleren gennemfører som minimum de tekniske og organisatoriske foranstaltninger, der er anført i bilag III, for at garantere personoplysningernes sikkerhed. Dette omfatter beskyttelse af data mod brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til oplysningerne (brud på persondatasikkerheden). Ved vurderingen af det passende sikkerhedsniveau tager Parterne behørigt hensyn til det aktuelle tekniske niveau, gennemførelsesomkostningerne, behandlingens karakter, omfang, kontekst og formål samt de risici, der består for de registrerede.
(b) Databehandleren giver kun sine medarbejdere adgang til personoplysninger, der behandles, i det omfang, det er strengt nødvendigt for gennemførelsen, forvaltningen og overvågningen af kontrakten. Databehandleren sikrer, at de personer, der er bemyndiget til at behandle de modtagne personoplysninger, har forpligtet sig til at iagttage fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
7.4 Security of processing
(a) The processor shall at least implement the technical and organisational measures specified in Annex III to ensure the security of the personal data. This includes protecting the data against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to the data (personal data breach). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purposes of processing and the risks involved for the data subjects.
(b) The processor shall grant access to the personal data undergoing processing to members of its personnel only to the extent strictly necessary for implementing, managing and monitoring of the contract. The processor shall ensure that persons authorised to process the personal data received have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
7.5 Følsomme oplysninger
Hvis behandlingen omfatter personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data eller biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en persons seksuelle forhold eller seksuelle orientering eller oplysninger om straffedomme og lovovertrædelser (»følsomme oplysninger«), anvender databehandleren specifikke begrænsninger og/eller supplerende garantier.
7.5 Sensitive data
If the processing involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (“sensitive data”), the processor shall apply specific restrictions and/or additional safeguards.
7.6 Dokumentation og overholdelse
(a) Parterne skal kunne påvise, at de overholder disse Bestemmelser.
(b) Databehandleren behandler omgående og fyldestgørende forespørgsler fra den dataansvarlige om behandlingen af data i henhold til disse Bestemmelser.
(c) Databehandleren stiller alle de oplysninger til rådighed for den dataansvarlige, der er nødvendige for at påvise overholdelse af de forpligtelser, der er fastsat i disse Bestemmelser, og som følger direkte af Forordning (EU) 2016/679 og/eller Forordning (EU) 2018/1725. På den dataansvarliges anmodning skal databehandleren også tillade og bidrage til revisioner af de behandlingsaktiviteter, der er omfattet af disse Bestemmelser, med rimelige mellemrum, eller hvis der er tegn på manglende overholdelse. Når den dataansvarlige træffer afgørelse om en gennemgang eller revision, kan denne tage hensyn til relevante certificeringer, som databehandleren er i besiddelse af.
(d) Den dataansvarlige kan vælge selv at gennemføre revisionen eller bemyndige en uafhængig revisor. Revisionen kan også omfatte inspektioner i databehandlerens lokaler eller fysiske faciliteter og skal, hvor det er relevant, gennemføres med et rimeligt varsel.
(e) Parterne stiller på anmodning de oplysninger, der er omhandlet i denne Bestemmelse, herunder resultaterne af eventuelle revisioner, til rådighed for de(n) kompetente tilsynsmyndighed(er).
7.6 Documentation and compliance
(a) The Parties shall be able to demonstrate compliance with these Clauses.
(b) The processor shall deal promptly and adequately with inquiries from the controller about the processing of data in accordance with these Clauses.
(c) The processor shall make available to the controller all information necessary to demonstrate compliance with the obligations that are set out in these Clauses and stem directly from Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725. At the controller’s request, the processor shall also permit and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or an audit, the controller may take into account relevant certifications held by the processor.
(d) The controller may choose to conduct the audit by itself or mandate an independent auditor. Audits may also include inspections at the premises or physical facilities of the processor and shall, where appropriate, be carried out with reasonable notice.
(e) The Parties shall make the information referred to in this Clause, including the results of any audits, available to the competent supervisory authority/ies on request.
7.7 Anvendelse af underdatabehandlere
(a) Databehandleren har den dataansvarliges generelle godkendelse til at indgå aftale med underdatabehandlere fra en aftalt liste. Databehandleren underretter specifikt den dataansvarlige skriftligt om eventuelle påtænkte ændringer af denne liste som følge af, at underdatabehandlere tilføjes til listen eller erstattes, mindst 30 dage på forhånd og giver derved den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer, inden aftale indgås med den eller de pågældende underdatabehandler(e). Databehandleren giver den dataansvarlige de oplysninger, der er nødvendige for, at den dataansvarlige kan udøve sin indsigelsesret.
(b) Hvis databehandleren indgår aftale med en underdatabehandler med henblik på at udføre specifikke behandlingsaktiviteter (på vegne af den dataansvarlige), skal databehandleren gøre dette i form af en kontrakt, der i det væsentlige pålægger underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der pålægges databehandleren i overensstemmelse med disse Bestemmelser. Databehandleren skal sikre, at underdatabehandleren opfylder de forpligtelser, som databehandleren er
7.7 Use of sub-processors
(a) The processor has the controller’s general authorisation for the engagement of sub-processors from an agreed list. The processor shall specifically inform in writing the controller of any intended changes of that list through the addition or replacement of sub-processors at least 30 days in advance, thereby giving the controller sufficient time to be able to object to such changes prior to the engagement of the concerned sub-processor(s). The processor shall provide the controller with the information necessary to enable the controller to exercise the right to object.
(b) Where the processor engages a sub-processor for carrying out specific processing activities (on behalf of the controller), it shall do so by way of a contract which imposes on the sub-processor, in substance, the same data protection obligations as the ones imposed on the data processor in accordance with these Clauses. The processor shall ensure that the sub- processor complies with the obligations to which the processor is subject pursuant to these Clauses and to Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725.
underlagt i henhold til disse Bestemmelser og til Forordning (EU) 2016/679 og/eller Forordning (EU) 2018/1725.
(c) Databehandleren forelægger på den dataansvarliges anmodning en kopi af en sådan aftale med en underdatabehandler og eventuelle efterfølgende ændringer for den dataansvarlige. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan databehandleren redigere aftaleteksten, inden kopien videregives.
(d) Databehandleren forbliver fuldt ud ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser i henhold til dennes kontrakt med databehandleren. Databehandleren underretter den dataansvarlige om enhver manglende opfyldelse fra underdatabehandlerens side af dennes kontraktlige forpligtelser.
(e) Databehandleren indgår en aftale om tredjemandsløfte med underdatabehandleren, hvorefter den dataansvarlige — i tilfælde af at databehandleren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent — har ret til at opsige kontrakten med underdatabehandleren og til at give underdatabehandleren en instruks om at slette eller tilbagelevere personoplysningerne.
7.8 Internationale overførsler
(a) Databehandlerens overførsel af oplysninger til et tredjeland eller en international organisation må kun ske på grundlag af dokumenterede instrukser fra den dataansvarlige eller for at opfylde et specifikt krav i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt, og skal finde sted i overensstemmelse med kapitel V i Forordning (EU) 2016/679 eller Forordning (EU) 2018/1725.
(b) Den dataansvarlige er enig i, at hvis databehandleren gør brug af en underdatabehandler i overensstemmelse med Bestemmelse 7.7 til at udføre specifikke behandlingsaktiviteter (på vegne af den dataansvarlige), og disse behandlingsaktiviteter indebærer en overførsel af personoplysninger som omhandlet i kapitel V i Forordning (EU) 2016/679, kan databehandleren og underdatabehandleren sikre overensstemmelse med kapitel V i Forordning (EU) 2016/679 ved hjælp af standardkontraktbestemmelser vedtaget af Kommissionen i overensstemmelse med artikel 46, stk. 2, i Forordning (EU) 2016/679, forudsat at betingelserne for anvendelse af disse standardkontraktbestemmelser er opfyldt.
(c) At the controller’s request, the processor shall provide a copy of such a sub- processor agreement and any subsequent amendments to the controller. To the extent necessary to protect business secret or other confidential information, including personal data, the processor may redact the text of the agreement prior to sharing the copy.
(d) The processor shall remain fully responsible to the controller for the performance of the sub-processor’s obligations in accordance with its contract with the processor. The processor shall notify the controller of any failure by the sub- processor to fulfil its contractual obligations.
(e) The processor shall agree a third party beneficiary clause with the sub- processor whereby - in the event the processor has factually disappeared, ceased to exist in law or has become insolvent - the controller shall have the right to terminate the sub-processor contract and to instruct the sub- processor to erase or return the personal data.
7.8 International transfers
(a) Any transfer of data to a third country or an international organisation by the processor shall be done only on the basis of documented instructions from the controller or in order to fulfil a specific requirement under Union or Member State law to which the processor is subject and shall take place in compliance with Chapter V of Regulation (EU) 2016/679 or Regulation (EU) 2018/1725.
(b) The controller agrees that where the processor engages a sub-processor in accordance with Clause 7.7. for carrying out specific processing activities (on behalf of the controller) and those processing activities involve a transfer of personal data within the meaning of Chapter V of Regulation (EU) 2016/679, the processor and the sub-processor can ensure compliance with Chapter V of Regulation (EU) 2016/679 by using standard contractual clauses adopted by the Commission in accordance with of Article 46(2) of Regulation (EU) 2016/679, provided the conditions for the use of those standard contractual clauses are met.
8 Bistand til den dataansvarlige 8 Assistance to the controller
(a) Databehandleren underretter straks den dataansvarlige om enhver anmodning, han har modtaget fra den registrerede. Databehandleren må ikke selv besvare anmodningen, medmindre den dataansvarlige har givet tilladelse hertil.
(b) Databehandleren bistår den dataansvarlige med at opfylde dennes forpligtelse til at besvare registreredes anmodninger om udøvelse af deres rettigheder under hensyntagen til behandlingens karakter. Ved opfyldelsen af sine forpligtelser i henhold til punkt (a) og (b) skal databehandleren overholde den dataansvarliges instrukser.
(c) Ud over databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til bestemmelse 8, punkt (b), bistår databehandleren desuden den dataansvarlige med at sikre overholdelse af følgende forpligtelser under hensyntagen til databehandlingens karakter og de oplysninger, som databehandleren har til rådighed:
(1) forpligtelsen til at foretage en vurdering af de påtænkte behandlingsaktiviteters indvirkning på beskyttelsen af personoplysninger (en »konsekvensanalyse vedrørende databeskyttelse«), hvis en type behandling sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder;
(2) forpligtelsen til at høre de(n) kompetente tilsynsmyndighed(er) forud for behandling, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil medføre en høj risiko, hvis den dataansvarlige ikke træffer foranstaltninger til at mindske risikoen;
(3) forpligtelsen til at sikre, at personoplysningerne er korrekte og ajourførte, ved straks at underrette den dataansvarlige, hvis databehandleren bliver opmærksom på, at de personoplysninger, der behandles, er ukorrekte eller er blevet forældede;
(4) forpligtelserne i artikel 32 i Forordning (EU) 2016/679.
(d) Parterne fastsætter i bilag III de passende tekniske og organisatoriske foranstaltninger, som databehandleren skal anvende til at bistå den dataansvarlige ved anvendelsen af denne Bestemmelse, samt anvendelsesområdet for og omfanget af den nødvendige bistand.
(a) The processor shall promptly notify the controller of any request it has received from the data subject. It shall not respond to the request itself, unless authorised to do so by the controller.
(b) The processor shall assist the controller in fulfilling its obligations to respond to data subjects’ requests to exercise their rights, taking into account the nature of the processing. In fulfilling its obligations in accordance with (a) and (b), the processor shall comply with the controller’s instructions.
(c) In addition to the processor’s obligation to assist the controller pursuant to Clause 8(b), the processor shall furthermore assist the controller in ensuring compliance with the following obligations, taking into account the nature of the data processing and the information available to the processor:
(1) the obligation to carry out an assessment of the impact of the envisaged processing operations on the protection of personal data (a ‘data protection impact assessment’) where a type of processing is likely to result in a high risk to the rights and freedoms of natural persons;
(2) the obligation to consult the competent supervisory authority/ies prior to processing where a data protection impact assessment indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk;
(3) the obligation to ensure that personal data is accurate and up to date, by informing the controller without delay if the processor becomes aware that the personal data it is processing is inaccurate or has become outdated;
(4) the obligations in Article 32 of Regulation (EU) 2016/679.
(d) The Parties shall set out in Annex III the appropriate technical and organisational measures by which the processor is required to assist the controller in the application of this Clause as well as the scope and the extent of the assistance required.
9 Anmeldelse af brud på persondatasikkerheden 9 Notification of personal data breaches
I tilfælde af brud på persondatasikkerheden samarbejder databehandleren med og bistår den dataansvarlige med henblik på, at den dataansvarlige opfylder sine forpligtelser i henhold til artikel 33 og 34 i Forordning (EU) 2016/679 eller i henhold til artikel 34 og 35 i Forordning (EU) 2018/1725, hvor det er relevant, under hensyntagen til behandlingens karakter og de oplysninger, som databehandleren har adgang til.
In the event of a personal data breach, the processor shall cooperate with and assist the controller for the controller to comply with its obligations under Articles 33 and 34 of Regulation (EU) 2016/679 or under Articles 34 and 35 of Regulation (EU) 2018/1725, where applicable, taking into account the nature of processing and the information availableto the processor.
9.1 Brud på datasikkerheden vedrørende oplysninger, der behandles af den dataansvarlige
I tilfælde af brud på persondatasikkerheden vedrørende oplysninger, der behandles af den dataansvarlige, bistår databehandleren den dataansvarlige:
9.1 Data breach concerning data processed by the controller
In the event of a personal data breach concerning data processed by the controller, the processor shall assist the controller:
(a) in notifying the personal data breach to the competent supervisory authority/ies, without undue delay after the controller has become aware of
(a) med at anmelde bruddet på persondatasikkerheden til de(n) kompetente tilsynsmyndighed(er) uden unødig forsinkelse, efter at den dataansvarlige har fået kendskab til det, hvis det er relevant (medmindre bruddet på persondatasikkerheden sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder);
(b) med at indhente følgende oplysninger, som i henhold til artikel 33, stk. 3, i Forordning (EU) 2016/ 679 skal angives i den dataansvarliges meddelelse, og skal som minimum omfatte:
(1) personoplysningernes art, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte personoplysninger;
(2) de sandsynlige konsekvenser af bruddet på persondatasikkerheden;
(3) de foranstaltninger, som den dataansvarlige har truffet eller foreslår at træffe for at afhjælpe bruddet på persondata sikkerheden, herunder, hvor det er relevant, foranstaltninger til at afbøde dets mulige negative virkninger.
Hvis og i det omfang det ikke er muligt at give alle disse oplysninger samtidig, skal den oprindelige anmeldelse indeholde de oplysninger, der er til rådighed, og yderligere oplysninger skal efterfølgende gives uden unødig forsinkelse, i takt med at de foreligger.
(c) i henhold til artikel 34 i Forordning (EU) 2016/679 med at overholde forpligtelsen til uden unødig forsinkelse at underrette den registrerede om bruddet på persondatasikkerheden, hvis bruddet på persondatasikkerheden sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
it, where relevant/(unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons);
(b) in obtaining the following information which, pursuant to Article 33(3) of Regulation (EU) 2016/679, shall be stated in the controller’s notification, and must at least include:
(1) the nature of the personal data including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;
(2) the likely consequences of the personal data breach;
(3) the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.
Where, and insofar as, it is not possible to provide all this information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
(c) in complying, pursuant to Article 34 of Regulation (EU) 2016/679, with the obligation to communicate without undue delay the personal data breach to the data subject, when the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons.
9.2 Brud på datasikkerheden vedrørende oplysninger, der behandles af databehandleren
I tilfælde af brud på persondatasikkerheden vedrørende oplysninger, der behandles af databehandleren, underretter databehandleren uden unødig forsinkelse den dataansvarlige, efter at databehandleren har fået kendskab til bruddet. Meddelelsen skal som minimum indeholde:
(a) en beskrivelse af overtrædelsens art (herunder om muligt kategorierne og det omtrentlige antal berørte registrerede og berørte personoplysninger);
(b) nærmere oplysninger om et kontaktpunkt, hvor der kan indhentes flere oplysninger om bruddet på persondatasikkerheden;
(c) dets sandsynlige konsekvenser og de foranstaltninger, der er truffet eller foreslås truffet for at afhjælpe bruddet, herunder for at afbøde dets eventuelle negative virkninger.
Hvis og i det omfang det ikke er muligt at give alle disse oplysninger samtidig, skal den oprindelige anmeldelse indeholde de oplysninger, der er til rådighed, og yderligere oplysninger skal efterfølgende gives uden unødig forsinkelse, i takt med at de foreligger.
Parterne fastsætter i bilag III alle andre elementer, som databehandleren skal fremlægge, når denne bistår den dataansvarlige i overensstemmelse med den dataansvarliges forpligtelser i henhold til artikel 33 og 34 i Forordning (EU) 2016/679.
9.2 Data breach concerning data processed by the processor
In the event of a personal data breach concerning data processed by the processor, the processor shall notify the controller without undue delay after the processor having become aware of the breach. Such notification shall contain, at least:
(a) a description of the nature of the breach (including, where possible, the categories and approximate number of data subjects and data records concerned);
(b) the details of a contact point where more information concerning the personal data breach can be obtained;
(c) its likely consequences and the measures taken or proposed to be taken to address the breach, including to mitigate its possible adverse effects.
Where, and insofar as, it is not possible to provide all this information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
The Parties shall set out in Annex III all other elements to be provided by the processor when assisting the controller in the compliance with the controller’s obligations under Articles 33 and 34 of Regulation (EU) 2016/679.
10 Manglende overholdelse af bestemmelserne og ophævelse 10. Non-compliance with the Clauses and termination
(a) Med forbehold af eventuelle bestemmelser i Forordning (EU) 2016/679 og/eller Forordning (EU) 2018/1725 kan den dataansvarlige i tilfælde af, at databehandleren misligholder sine forpligtelser i henhold til disse Bestemmelser, give databehandleren en instruks om at suspendere behandlingen af personoplysninger, indtil sidstnævnte overholder disse Bestemmelser, eller kontrakten ophæves. Databehandleren underretter straks den dataansvarlige, hvis denne af en eller anden grund ikke er i stand til at overholde disse Bestemmelser.
(b) Den dataansvarlige har ret til at opsige kontrakten, for så vidt den vedrører behandling af personoplysninger i henhold til disse bestemmelser, hvis:
(1) databehandlerens behandling af personoplysninger er blevet suspenderet af den dataansvarlige i henhold til punkt a), og hvis overholdelsen af disse Bestemmelser ikke er blevet genoprettet inden for en rimelig frist og under alle omstændigheder senest en måned efter suspensionen;
(2) databehandleren i væsentlig eller vedvarende grad misligholder disse Bestemmelser eller sine forpligtelser i henhold til Forordning (EU) 2016/679 og/eller Forordning (EU) 2018/1725;
(3) databehandleren ikke overholder en bindende afgørelse fra en kompetent domstol eller de(n) kompetente tilsynsmyndighed(er) vedrørende sine forpligtelser i henhold til disse Bestemmelser eller til Forordning (EU) 2016/679 og/eller Forordning (EU) 2018/1725.
(c) Databehandleren har ret til at opsige kontrakten, for så vidt den vedrører behandling af personoplysninger i henhold til disse Bestemmelser, hvis den dataansvarlige efter at være blevet underrettet om, at dennes instrukser er i strid med gældende retlige krav i overensstemmelse med Bestemmelse 7.1, punkt (b), insisterer på, at instrukserne overholdes.
(d) Når kontrakten er bragt til ophør, sletter databehandleren efter den dataansvarliges valg alle personoplysninger, som denne har behandlet på vegne af den dataansvarlige, og attesterer over for den dataansvarlige, at oplysningerne er blevet slettet, eller tilbageleverer alle personoplysninger til den dataansvarlige og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret kræver, at personoplysningerne gemmes.
(a) Without prejudice to any provisions of Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725, in the event that the processor is in breach of its obligations under these Clauses, the controller may instruct the processor to suspend the processing of personal data until the latter complies with these Clauses or the contract is terminated. The processor shall promptly inform the controller in case it is unable to comply with these Clauses, for whatever reason.
(b) The controller shall be entitled to terminate the contract insofar as it concerns processing of personal data in accordance with these Clauses if:
(1) the processing of personal data by the processor has been suspended by the controller pursuant to point (a) and if compliance with these Clauses is not restored within a reasonable time and in any event within one month following suspension;
(2) the processor is in substantial or persistent breach of these Clauses or its obligations under Regulation (EU) 2016/679 and/or Regulation (EU) 2018/1725;
(3) the processor fails to comply with a binding decision of a competent court or the competent supervisory authority/ies regarding its obligations pursuant to these Clauses or to Regulation (EU) 2016/679 and/orRegulation (EU) 2018/1725.
(c) The processor shall be entitled to terminate the contract insofar as it concerns processing of personal data under these Clauses where, after having informed the controller that its instructions infringe applicable legal requirements in accordance with Clause 7.1 (b), the controller insists on compliance with the instructions.
(d) Following termination of the contract, the processor shall, at the choice of the controller, delete all personal data processed on behalf of the controller and certify to the controller that it has done so, or, return all the personal data to the controller and delete existing copies unless Union or Member State law requires storage of the personal data. Until the data is deleted or returned, the processor shall continue to ensure compliance with these Clauses.
Indtil oplysningerne er slettet eller leveret tilbage, skal databehandleren fortsat sikre, at disse Bestemmelser overholdes. | |
11 Øvrige bestemmelser | 11. Miscellaneous |
(a) Inden en revision påbegyndes, skal dataansvarlige og databehandleren i fællesskab aftale omfanget, tidspunktet og varigheden af revisionen og det vederlag, der skal betales af den dataansvarlige, samt indgå en passende fortrolighedsaftale. Dataansvarlige skal straks underrette databehandleren om eventuelle overtrædelser, der konstateres under en revision. (b) Den aftalte liste over databehandlerens underdatabehandlere, jf. punkt 7.7, kan findes på xxx.xxx.xxx/xxxxxxxxxxxx. Eventuelle ændringer af denne aftalte liste kan meddeles i tekstform eller på et websted. Hvis den dataansvarlige gør indsigelse mod en ny underdatabehandler inden for den 30 dages varselsperioden, vil databehandleren gøre en rimelig indsats, (1) at stille en ændring af den berørte Cloud Service til rådighed for dataansvarlige, eller (2) anbefale en kommercielt rimelig ændring i dataansvarlige konfiguration eller brug af den berørte Cloud Service for at undgå, at den afviste nye underleverandør behandler personoplysninger uden at belaste dataansvarlige urimeligt. Hvis databehandleren ikke er i stand til at stille en sådan ændring til rådighed inden for varselsperioden, kan dataansvarlige opsige den pågældende Cloud Service, som ikke kan leveres af databehandleren uden brug af den nye underdatabehandler, som der er gjort indsigelse mod, ved at give skriftlig meddelelse til databehandleren. Den dataansvarlige skal modtage en refusion af eventuelle forudbetalte vederlag/licenser for perioden efter den effektive opsigelsesdato med hensyn til en sådan opsagt Cloud Service. (c) Databehandleren kan opkræve den dataansvarlige for enhver assistance, der ydes i henhold til disse Bestemmelser, efter databehandlerens standard timetakster. Databehandleren er dog ikke berettiget til et gebyr i forbindelse med: (1) databehandlerens overtrædelse af disse Bestemmelser og/eller gældende lovgivning, (2) brud på personoplysninger hos databehandleren som anført i Punkt 9.2, og (3) forespørgsler og inspektioner foretaget af en ansvarlig tilsynsmyndighed. Disse Databehandlingsvilkår for EQS Cloud Services er udarbejdet på både dansk og engelsk. I tilfælde af uoverensstemmelse gælder den engelske version og er bindende for parterne. | (a) Prior to the commencement of any audit, the controller and processor shall jointly agree the scope, time, duration of the audit and the compensation to be paid by the controller as well as conclude an appropriate confidentiality agreement. The controller shall inform processor immediately of any infringements found during an audit. (b) The agreed list of processor’s sub-processors as set out in Clause 7.7 can be found at xxx.xxx.xxx/xxxxxxxxxxxx. Any changes to this agreed list may be notified in text form or on a website. If the controller objects to a new sub-processor within the 30 day notice period, processor will make reasonable efforts, (1) to make available to the controller a change in the affected Cloud Service, or (2) recommend a commercially reasonable change in the controller’s configuration or use of the Cloud Service to avoid the processing of personal data by the rejected new sub-processor without unreasonably burdening the controller. If processor is unable to make available such a change within the notice period, the controller may terminate the applicable Cloud Service which cannot be provided by processor without the use of the objected-to new sub-processor, by providing written notice to processor. The controller shall receive a refund of any prepaid fees for the period following the effective date of termination in respect of such terminated Cloud Service. (c) Processor may charge controller for any assistance provided under these Clauses per processor’s standard hourly rates. However, processor shall not be entitled to a fee in connection with: (1) breaches of these Clauses and/or applicable law by the processor, (2) personal data breaches of processor as set out in Clause 9.2, and (3) inquiries and inspections conducted by a responsible supervisory authority. This Data Processing Exhibit for EQS Cloud Services has been prepared in both Danish and English. In the event of any inconsistency, the English version shall apply and be binding upon the parties. |
BILAG I Liste over parter Se venligst de parter, der er anført i den relevante underliggende “Agreement ” (“Aftale ”). Kunden er den dataansvarlige og EQS Group er databehandleren. | ANNEX I List of parties Please see the parties listed in the applicable underlying Agreement. The Customer being the controller and EQS Group being the processor. |
BILAG I I Beskrivelse af behandlingen | ANNEX I I Description of the processing |
1. Kategorier af registrerede, hvis personoplysninger behandles a) kunder b) medarbejdere c) interesserede parter d) abonnenter e) detaljer om kontaktpersoner f) For whistleblowing-løsning: indberettere og andre involverede personer 2. Kategorier af personoplysninger, der behandles a) Personlige (xxxxxxx, efternavn, organisatoriske data) b) Kommunikationsdata (f.eks. telefon, e-mail, adresse, adresse) c) For produktet EQS Insider Manager yderligere oplysninger, herunder fødselsdato og ID- numre d) For whistleblowing-løsning: oplysninger om (potentielle) straffelovsovertrædelser eller mistanke herom samt andre indberetningsdata 3. Følsomme oplysninger, der behandles (hvis relevant) og anvendte begrænsninger eller garantier, der fuldt ud tager hensyn til oplysningernes art og de involverede risici, f.eks. streng formålsbegrænsning, adgangsbegrænsninger (herunder kun adgang for personale, der har fulgt en specialuddannelse), registrering af adgangen til oplysningerne, begrænsninger for videreoverførsel eller yderligere sikkerhedsforanstaltninger. a) For whistleblowing-løsning: eventuelt 4. Behandlingens art Arten af den behandling af personoplysninger, som databehandleren foretager på den dataansvarliges vegne, er beskrevet i disse Databehandlingsvilkår for EQS Cloud Services og i Aftalen. 5. Formål, hvortil personoplysningerne behandles på vegne af den dataansvarlige Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er anført i disse Databehandlingsvilkår for EQS Cloud Services og i Aftalen. 6. Behandlingens varighed I Aftalens løbetid 7. Ved behandling af (under)databehandlere angives også behandlingens genstand, art og varighed Genstanden for underdatabehandleres behandling af personoplysninger er anført i listen over underdatabehandlere. Arten og formålet med underdatabehandlerens behandling af personoplysninger er anført i disse Databehandlingsvilkår for EQS Cloud Services og i Aftalen. XXXXX XXX Xxxxxxxx og organisatoriske foranstaltninger, herunder tekniske og organisatoriske foranstaltninger til sikring af datasikkerheden De tekniske og organisatoriske foranstaltninger er beskrevet i dokumentet Technical and Organizational Measures for EQS Cloud Services, der findes på xxx.xxx.xxx. De tekniske og organisatoriske foranstaltninger er underlagt yderligere udvikling, og det er tilladt for databehandleren at implementere alternative passende foranstaltninger, forudsat at der opretholdes et tilsvarende eller forbedret sikkerhedsniveau. Behandler accepterer at forblive ISO 27001-certificeret. | 1. Categories of data subjects whose personal data is processed a) clients b) employees c) interested parties d) subscribers e) contact person with details f) For whistleblowing solution: reporters and other involved persons 2. Categories of personal data processed a) Personal (first name, surname, organizational data) b) Communication data (e.g. telephone, e-mail, address) c) For the product EQS Insider Manager additional information including date of birth and ID numbers d) For whistleblowing solution: information on (potential) criminal offences or suspicion thereof as well as other reporting data 3. Sensitive data processed (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures. a) For whistleblowing solution: possible 4. Nature of the processing The nature of the processing of personal data by processor on behalf of the controller are set out in this Data Processing Exhibit for EQS Cloud Services and in the Agreement. 5. Purpose(s) for which the personal data is processed on behalf of the controller The purpose of the processing of personal data by processor on behalf of the controller are set out in this Data Processing Exhibit for EQS Cloud Services and in the Agreement. 6. Duration of the processing During the term of the Agreement 7. For processing by (sub-) processors, also specify subject matter, nature and duration of the processing The subject matter of the processing of personal data by subprocessors are set out in the list of subprocessors. The nature and purpose of the processing of personal data by subprocessor are set out in this Data Processing Exhibit for EQS Cloud Services and in the Agreement. ANNEX III Technical and organisational measures including technical and organisational measures to ensure the security of the data The technical and organizational measures are described in processors Technical and Organizational Measures for EQS Cloud Services document, available on xxx.xxx.xxx. The technical and organizational measures are subject to further development and processor is permitted to implement alternative adequate measures, subject to keeping an equal or improved security level. Processor agrees to remain ISO 27001 certified. |