Databehandleraftale
Timengo DPG A/S Lautrupvang 1 2750 Ballerup Denmark |
Databehandleraftale
for
Den Dataansvarlige
{$kunde_navn} CVR. {$cvr}
og Databehandler Timengo DPG CVR. 35833684
Indhold
1. Baggrund for databehandleraftalen | 8 |
2. Den dataansvarliges forpligtelser og rettigheder | 8 |
3. Databehandlerens forpligtelser | 8 |
4. Databehandleren handler efter instruks | 9 |
5. Fortrolighed | 9 |
6. Tekniske og organisatoriske sikkerhedsforanstaltninger | 10 |
7. Anvendelse af underleverandør (underdatabehandlere) | 11 |
8. Overførsel af oplysninger til andre lande | 11 |
9. Bistand til den dataansvarlige | 12 |
10. Underretning om brud på persondatasikkerhed | 12 |
11. Sletning af Data | 13 |
12. Tilsyn og revision | 13 |
13. Ændringer i aftalen | 13 |
14. Misligholdelse og tvistigheder | 14 |
15. Erstatning og forsikring | 14 |
16. Ikrafttræden og varighed | 14 |
Bilag A – Oplysninger om behandlingen | 15 |
Bilag B – tekniske og organisatoriske sikkerhedsforanstaltninger | 16 |
Bilag C – Betingelser for databehandlerens brug af underdatabehandlere | 18 |
Bilag D – Instruks vedrørende behandling af personoplysninger | 19 |
1. Baggrund for databehandleraftalen
1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Databeskyttelsesforordningen, som stiller specifikke krav til indholdet af en databehandleraftale.
3. Databehandleraftalen og ”Hovedaftalen”er indbyrdes afhængige, og kan ikke opsiges særskilt.
4. Til denne aftale hører fire bilag. Bilagene fungerer som en integreret del af databehandleraftalen.
5. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger og varighed af behandlingen.
6. Databehandleraftalens Bilag B indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren i medfør af aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandlere, som er angivet i bilag C.
7. Databehandleraftalens Bilag C indeholder den dataansvarliges betingelser for, at databehandleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere, som den dataansvarlige har godkendt.
8. Databehandleraftalens Bilag D indeholder en instruks om, hvilken behandling databehandleren skal foretage på vegne af den dataansvarlige, hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
2. Den dataansvarliges forpligtelser og rettigheder
1. Abonnenten er dataansvarlig for de personoplysninger, som abonnenten instruerer databehandleren om at behandle, samt at behandlingen er nødvendig og saglig i forhold til abonnentens opgavevaretagelse.
2. Abonnenten har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen.
3. Databehandlerens forpligtelser
1. Leverandøren er databehandler for de personoplysninger, som databehandleren behandler på vegne af den dataansvarlige. Databehandleren har som databehandler, de forpligtelser, som er pålagt
databehandleren i medfør af lovgivningen.
2. Databehandleren behandler de overladte personoplysninger efter instruks fra den dataansvarlige, og alene med henblik på opfyldelse af ”Hovedaftalen”.
3. Databehandleren skal løbende føre en fortegnelse over behandlingen af personoplysninger, samt en fortegnelse over alle sikkerhedsbrud.
4. Databehandleren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet sikkerhedsbekendtgørelsen og databeskyttelsesforordningen.
5. Databehandleren skal på opfordring fra den dataansvarlige hjælpe med at opfylde den dataansvarlige forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra registrerede om indsigt i egne oplysninger, udlevering af den registreredes oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af registreredes oplysninger, samt den dataansvarliges forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud i medfør af Databeskyttelsesforordningen.
6. Databehandleren skal hjælpe den dataansvarlige med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36, herunder:
a. Behandlingssikkerhed, jf. artikel 32
b. Anmeldelse af brud på persondatasikkerheden til kompetent tilsynsmyndighed, jf. artikel 33.
c. Underretning om brud på persondatasikkerheden til den registrerede, jf. artikel 34 1.
d. Konsekvensanalyse vedrørende databeskyttelse, jf. artikel 35. 2. Forudgående høring, jf. artikel 36
7. Databehandleren skal på opfordring fra den Dataansvarlige hjælpe med at opfylde forpligtelser i forbindelse med et tilsyn fra Datatilsynet.
8. Databehandleren kan altid opkræve et rimeligt gebyr for ekstra administrative omkostninger, som Databehandleren måtte have i forbindelse med den Dataansvarliges forpligtelser.
9. Databehandleren forpligter sig til at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Databehandlerens behandling af den Dataansvarliges personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
4. Databehandleren handler efter instruks
1. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker udelukkende efter dokumenteret instruks. Det er databehandlerens ansvar at sikre, at eventuelle underdatabehandlere, efterkommer den dataansvarliges instruks.
2. Databehandleren giver omgående besked til den dataansvarlige, hvis en instruks efter databehandlerens vurdering er i strid med Databeskyttelsesforordningen.
5. Fortrolighed
1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.
3. Databehandleren er forpligtet til at opbevare oplysninger om den dataansvarlige forsvarligt og behandle de data som fortrolige oplysninger, der ikke udleveres til andre end den dataansvarlige, medmindre databehandleren som følge af retskendelse eller lovbestemmelser har pligt til at udlevere data.
4. Databehandleren skal sikre at alle, der behandler oplysninger omfattet af aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandler forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
6. Tekniske og organisatoriske sikkerhedsforanstaltninger
1. Databehandleren skal iværksætte de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger der kræves, som følge af Persondataforordningen, for at sikre et passende sikkerhedsniveau.
2. Databehandleren skal mindst én gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget.
3. Databehandleren skal mindst én gang hvert halve år kontrollere, at alle personer, som er autoriserede til at behandle personoplysninger, har fået tildelt de korrekte rettigheder.
4. Databehandleren og den dataansvarlige skal sikre, at alle personer, som er bemyndiget til at behandle personoplysninger, er underlagt en dækkende tavshedspligt eller omfattet af en passende lovbestemt forpligtelse til fortrolighed.
5. Databehandleren og den dataansvarlige samt dennes ansatte er underlagt forbud mod at skaffe sig adgang til personoplysninger, som ikke har betydning for udførelsen af den pågældendes opgaver.
6. Databehandleren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af den dataansvarliges personoplysninger, om databehandlerens forpligtelser,
herunder bestemmelserne om tavshedspligt og fortrolighed.
7. Databehandleren er forpligtet til uden unødig forsinkelse efter at denne er blevet bekendt med dette at underrette den dataansvarlige om ethvert sikkerhedsbrud, samt ved:
a. enhver anmodning om videregivelse af personoplysninger omfattet af denne aftale fra en myndighed, medmindre orientering af den dataansvarlige er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning.
b. anden manglende overholdelse af databehandlerens, samt eventuelle underdatabehandleres forpligtelser uanset, om dette sker hos databehandleren eller hos en af databehandlerens underdatabehandlere.
7. Anvendelse af underleverandør (underdatabehandlere)
1. Typer af underdatabehandlere, som databehandleren kan antage uden at indhente samtykke fra den dataansvarlige, fremgår af bilag C Ved antagelse af nye typer af underdatabehandler, skal databehandleren, skriftligt indhente samtykke fra den dataansvarlige.
2. Databehandler kan ikke nægte at godkende tilføjelse eller udskiftning af en underdatabehandler medmindre, der foreligger en konkret saglig begrundelse herfor.
3. Hvis databehandleren overlader behandlingen af personoplysninger, som den dataansvarlige er ansvarlig for, til underdatabehandler, skal databehandleren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.
4. Databehandleren garanterer et niveau, som opfylder betingelserne i Persondataforordningen.
5. Når databehandleren overlader behandlingen af personoplysninger, som den dataansvarlige er ansvarlig for, til underdatabehandler, har databehandleren ansvaret for underdatabehandlerens overholdelse af disses forpligtelser.
6. Den dataansvarlige kan til enhver tid forlange dokumentation fra databehandleren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som databehandleren anvender i forbindelse med opfyldelsen af sine forpligtelser over for den dataansvarlige. Databehandleren har rimelig tid til at efterkomme sådan en anmodning.
7. Al kommunikation mellem den dataansvarlige og underdatabehandleren sker via databehandleren.
8. Kommunikation mellem den dataansvarlige og databehandleren, sker efter ”Hovedaftalens”
bestemmelser om meddelelse.
8. Overførsel af oplysninger til andre lande
1. Databehandlerens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med den dataansvarliges instruks herfor.
2. Ved overførsel til tredjelande er databehandleren og den dataansvarlige i fællesskab ansvarlige for, at der foreligger et gyldigt overførselsgrundlag.
3. Hvis den dataansvarliges personoplysninger overføres til en EU-medlemsstat, er det databehandlerens ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes.
9. Bistand til den dataansvarlige
1. Databehandleren skal – i det omfang det er muligt – opbevare alle persondata på en sådan måde, at disse kan overdrages til den dataansvarlige i et for den dataansvarlige almindeligt læsbart format og eventuelt videregives til eventuel tredjemand (”data portability”).
2. Hvis den dataansvarlige modtager en anmodning om indsigt, korrektion, indsigelse eller sletning efter den til enhver tid gældende lovgivning om behandling af persondata, skal databehandleren senest – hvis det er muligt og ligger tættest på databehandleren – syv arbejdsdage efter skriftlig henvendelse fra Den dataansvarlige herom, tilgængeliggøre eller sende de oplysninger, der er nødvendige for, at den dataansvarlige kan opfylde sine forpligtelser under de til enhver tid gældende regler herom.
3. Hvis den dataansvarlige skriftligt anmoder herom, skal databehandleren straks standse behandlingen af persondata omfattet af aftalen. Den dataansvarlige skal kunne anmode om standsning af udvalgte behandlinger eller udvalgte persondata. En sådan meddelelse fra den dataansvarlige og standsning af databehandlerens behandling af persondata har ingen betydning for aftalens øvrige bestemmelser om bl.a. opsigelse og ophævelse.
4. Den dataansvarlige skal have ret til at foretage Audit hos databehandleren for at påse, at databehandleren lever op til de til enhver tid gældende regler om behandling af persondata og denne Aftales punkt 3.2. Databehandleren skal i den forbindelse vise fuld samarbejdsvillighed og give den dataansvarlige eller dennes repræsentant alle nødvendige oplysninger og give adgang til alle fysiske og virtuelle medier, som ønskes af den dataansvarlige eller dennes repræsentant. Hvis den dataansvarlige vil foretage Audit, skal den dataansvarlige give databehandleren skriftlig meddelelse herom senest 14 arbejdsdage forinden planlagt Audit.
10. Underretning om brud på persondatasikkerhed
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.
2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 12 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.
3. Databehandleren skal - under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden.
Det kan betyde, at databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse til tilsynsmyndigheden:
a. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
b. Sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger
11. Sletning af Xxxx
1. Den dataansvarlige træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør
af ”Hovedaftalen”.
2. Den dataansvarlige skal senest 30 dage inden ”Hovedaftalens” ophør skriftligt meddele databehandleren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til den dataansvarlige. I det tilfælde, hvor personoplysningerne tilbageleveres til den dataansvarlige, skal databehandleren ligeledes slette eventuelle kopier. Databehandleren skal sikre, at eventuelle underdatabehandler ligeledes efterlever den dataansvarliges meddelelse.
3. Træffer den dataansvarlige ikke beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt, sletter databehandler uden unødig forsinkelse, de behandlede personoplysninger, medmindre retlig forpligtelse, EU-ret eller national lovgivning kræver andet.
4. Har den dataansvarlige stillet krav om logning i mere end 6 måneder, kan databehandleren opkræve et rimeligt gebyr for administrative omkostninger i forbindelse med dette.
12. Tilsyn og revision
1. Databehandleren er forpligtet til at give den dataansvarlige nødvendige oplysninger til, at den dataansvarlige kan sikre sig, at databehandleren overholder de krav, der følger af denne aftale.
2. En repræsentant for den dataansvarlige eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos databehandleren, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at databehandleren overholder de krav, der følger af denne aftale.
3. Den dataansvarlige behov for audit skal først og fremmest søges løst via de erklæringer eller godkendte certificeringsmekanismer databehandleren har eller vil få.
4. Databehandleren kan opkræve et rimeligt gebyr af den dataansvarlige for administrative omkostninger denne måtte have i forbindelse med abonnentens tilsyn.
5. Den dataansvarlige skal ved audit, give databehandleren skriftlig meddelelse herom senest 14 arbejdsdage forinden planlagt Audit.
13. Ændringer i aftalen
1. Databehandleren kan ændre eller supplere disse betingelser, med skriftlig advisering til den dataansvarlige, hvis en tilsynsmyndighed eller lovmæssig enhed kræver det, hvis det er nødvendigt for at overholde gældende ret, for at implementere klausuler i standardkontrakten – fastsat af EU- kommissionen - eller for at overholde et godkendt adfærdskodeks eller godkendt certificeringsprocedure eller certificering.
2. Databehandleren kan til ethvert tidspunkt, uden at begrænse denne aftales betingelser, levere yderligere oplysninger og uddybning om, hvordan databehandleren vil eksekvere disse forpligtelser i forhold til beskyttelse af personlige oplysninger og politiker.
3. Den dataansvarliges ændringer i denne aftale, skal foregå efter ”Hovedaftalens” bestemmelser om ændringer. Databehandleren kan opkræve et rimeligt gebyr for administrative omkostninger den måtte have i forbindelse med dette.
4. Den dataansvarliges ændringer skal være saglige og rimelige i forhold til typen af personoplysninger, som behandles.
5. Databehandleren skal ved sådanne ændringer sikre, at underdatabehandlerne tillige forpligtes af ændringerne.
14. Misligholdelse og tvistigheder
1. Misligholdelse og tvistigheder er reguleret i Hovedaftalen.
15. Erstatning og forsikring
1. Erstatning og forsikringsspørgsmål er reguleret i ”Hovedaftalen”.
16. Ikrafttræden og varighed
1. Databehandleraftalen træder i kraft på samme tidspunkt, som ”Hovedaftalen” med Timengo DPG og
er gældende så længe der behandles persondata for kunden.
Bilag A – Oplysninger om behandlingen
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er:
• Databehandlerens formål er at sikre, at den dataansvarlige kan overholde kravene til sikker kommunikation jf. Datatilsynet og GDPR.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om:
• Databehandler stiller DPG løsningen til rådighed der gør det muligt at sende og modtage sikker og Digital post fra Outlook klienter, baseret på Exchange Online (Office365) eller Exchange On-premise.
Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
• Navn, adresse, e-mailadresse, telefonnr.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:
• Behandlingen er ikke tidsbegrænset og varer indtil ”Hovedaftalen” opsiges eller ophæves af en af
parterne.
Bilag B – tekniske og organisatoriske sikkerhedsforanstaltninger
Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandler i medfør af aftalen, har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandler, som angivet i Bilag C.
1. Sikkerhedskrav
LEVERANDØREN gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der opfylder kravene i Sikkerhedsbekendtgørelsen og tilhørende praksis.
Ved vurdering af, hvilket sikkerhedsniveau, der er passende, tages der navnlig hensyn til de risici, som behandling udgør for LEVERANDØREN, KUNDEN såvel som den registrerede.
Foranstaltningerne gennemføres for at undgå, at Personoplysninger:
1. Tilintetgøres, mistes, ændres eller forringes,
2. Kommer til uvedkommendes kendskab eller misbruges,
3. Eller i øvrigt behandles i strid med lovgivningen.
2. Generelle sikkerhedsforanstaltninger
LEVERANDØREN har udarbejder forskellige procedure og retningslinjer, som skal være med til at sikre personoplysninger, som behandles af LEVERANDØREN. LEVERANDØREN har udarbejdet retningslinjer for de vigtigste punkter, herunder:
1. Autorisation og adgangskontrol
2. Inddatamateriale som indeholder personoplysninger
3. Uddatamateriale som indeholder Personoplysninger
4. Eksterne kommunikationsforbindelser
5. Kontrol med afviste adgangsforsøg
6. Logning
7. Hjemmearbejdspladser
3. Sikkerhedskrav
LEVERANDØREN gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. bilag D, og som dermed opfylder Databeskyttelsesforordningens artikel 32.
Foranstaltningerne fastlægges ud fra overvejelser om:
1. Hvad der kan lade sig gøre rent teknisk
2. Implementeringsomkostningerne
3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. bilag 3.
4. Konsekvenserne for borgerne ved et sikkerhedsbrud
5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for:
1. Tilintetgørelse af oplysninger
2. Tab af oplysninger
3. Ændring af oplysningerne
4. Uautoriseret videregivelse af oplysningerne
5. Uautoriseret adgang til oplysningerne
LEVERANDØREN skal leve op til kravene i artikel 32 ”Behandlingssikkerhed” i persondata-forordningen. LEVERANDØREN skal overholde sin interne sikkerhedspolitik for håndtering af it-sikkerhed.
Bilag C – Betingelser for databehandlerens brug af underdatabehandlere
Databehandleren har den dataansvarliges generelle godkendelse til at gøre brug af følgende kategorier af underdatabehandlere.
Databehandleren anvender underleverandører til:
• Hosting af servere i Microsoft Azure datacentre indenfor EU
• Office 365 indenfor EU
• Xxxxxxxxx Xxxxxxx, Xxxxxxxx 0, 0000 Xxxxxx
• Applikationslog hos Qbox
• Interne og freelance konsulenter
• Easy Project, Stændertorvet 4,1. sal, 4000 Roskilde
Databehandleren skal underrette den dataansvarlige om eventuelle planlagte ændringer til disse kategorier og rammerne herfor og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være den dataansvarlige i hænde minimum 1 måned før anvendelsen eller ændringen skal træde i kraft.
Såfremt den dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give meddelelse herom til databehandleren inden 14 dage efter modtagelsen af underretningen. Den dataansvarlige kan alene gøre indsigelse, hvis den dataansvarlige har rimelige og konkrete årsager hertil.
Bilag D – Instruks vedrørende behandling af personoplysninger
Den dataansvarlige instruerer hermed databehandleren om at foretage behandling af den dataansvarliges oplysninger til brug for levering af ydelser, jf. Hovedaftale.
Overlader databehandleren behandling af den dataansvarliges oplysninger til en Underdatabehandler, er databehandleren ansvarlig for at indgå skriftlige databehandleraftaler med disse. Databehandleren er ansvarlig for, at den dataansvarliges instruks fremsendes til eventuelle underdatabehandler.
1. Behandlingens formål
Behandling af den dataansvarliges personoplysninger sker i henhold til formålet i Hovedaftalen. Databehandleren må ikke anvende personoplysningerne til andre formål.
Oplysningerne må ikke behandles efter instruks fra andre end den dataansvarlige.
2. Varighed af behandlingen
Varigheden af behandlingen løber fra denne aftales indgåelse til dens ophør, hvis ikke andet er angivet.
3. Typen af Personoplysninger
Behandlingerne indeholder basale personoplysninger.
For alle personkategorier, behandles kontaktinformationer, herunder navn, adresse, e-mail og telefonnr. og oplysninger som den dataansvarlige selv afgiver, i forbindelse med brug af databehandlerens system.
4. Kategorier af registrerede
Der behandles oplysninger om følgende kategorier af registrerede:
• Den dataansvarliges potentielle medarbejdere, hvis den dataansvarlige indtaster information om disse.
• Den dataansvarliges nuværende medarbejdere, hvis den dataansvarlige indtaster information om disse.
• Den dataansvarliges fratrådte medarbejdere, hvis den dataansvarlige indtaster information om disse.
• Den dataansvarliges egne kunder, som den er Databehandler for, hvis den dataansvarlige indtaster information om disse.
5. Tilsyn med behandlingen af persondata
Databehandleren skal én gang årligt for egen regning indhente en revisionserklæring fra en uafhængig tredjepart angående databehandlerens overholdelse af denne databehandleraftale med tilhørende bilag.
Der er mellem parterne enighed om, at der kan anvendes følgende typer af revisionserklæringer: ISAE 3402 Revisionserklæringen er at finde på xxxxx://xxx.xxxxxx-xxxx.
Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at føre tilsyn, herunder fysisk tilsyn, hos databehandleren, når der efter den dataansvarliges vurdering opstår et behov herfor.”