DATABEHANDLERAFTALE version 2.1d
DATABEHANDLERAFTALE version 2.1d
Mellem
_ Kommune
CVR. nr.: _ _
(herefter ”Kommunen”)
og WEBTJENESTEN XXXXX.XX ApS
Xxxxxxxxx 00
7500 Holstebro
CVR. nr.: 35862056
(herefter ”Leverandøren”)
er der indgået nedenstående databehandleraftale (herefter ”Aftalen”) om Leverandørens behandling af personoplysninger på vegne af Kommunen:
1. Generelt
1.1 Aftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
27. april 2016 (herefter Databeskyttelsesforordningen).
1.2 I Aftalen er indarbejdet de krav, som Databeskyttelsesforordningen stiller til databehandleraftaler.
1.3 Leverandøren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger.
2. Formål
2.1 Leverandøren behandler i medfør af aftale med Kommunen kontrakt vedrørende leverance af Skoletubeabonnement (herefter ”Hovedaftalen”) personoplysninger for Kommunen, hvor Leverandørens behandlinger og formålet med behandlingerne er beskrevet.
3. Kommunens rettigheder og forpligtelser
3.1 Kommunen er dataansvarlig for de personoplysninger, som Kommunen instruerer Leverandøren om at behandle.
3.2 Kommunen har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.1 samt Lov nr. 502 af 23/05/2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Databeskyttelsesloven).
4. Leverandørens forpligtelser
4.1 Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Kommunen, jf. pkt. 6 og bilag 3.
4.2 Leverandøren behandler alene de overladte personoplysninger efter dokumenteret instruks fra Kommunen, jf. pkt. 6 og bilag 3, og alene med henblik på opfyldelse af Hovedaftalen.
4.3 Leverandøren skal føre fortegnelser over behandlingen af personoplysninger samt fortegnelser over alle brud på persondatasikkerheden.
4.4 Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, jf. bilag 1 – Sikkerhed.
4.5 Leverandøren skal på opfordring fra Kommunen hjælpe med at opfylde Kommunens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra borgere om indsigt i egne oplysninger, udlevering af borgerens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af borgerens oplysninger, samt Kommunens forpligtelser i forhold til underretning af den registrerede ved brud på persondatasikkerheden, i medfør af Databeskyttelsesforordningens kap. III samt artikel 34.
4.6 Leverandøren skal hjælpe Kommunen med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36, jf. Databeskyttelses- forordningens artikel 28, stk. 3, litra f.
4.7 Leverandøren garanterer at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af Kommunens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
4.8 Leverandøren er forpligtet til at oplyse med præcise adresseangivelser, hvor Kommunens personoplysninger opbevares, jf. bilag 2. Leverandøren skal ajourføre oplysningerne over for Kommunen ved enhver ændring.
5. Underleverandør (underdatabehandler)
5.1 Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af Kommunen.
5.2 Leverandøren må anvende andre underdatabehandlere end dem, der er angivet i bilag 2, herunder foretage udskiftning af disse, til at behandle de personoplysninger, som Kommunen har overladt til Leverandøren i medfør af Hovedaftalen. Kommunen kan gøre indsigelse overfor tilføjelse eller udskiftning af en underdatabehandler, og nægte at godkende ændringen, såfremt der foreligger en konkret saglig begrundelse herfor. Leverandøren skal ajourføre oplysningerne over for Kommunen ved enhver ændring.
5.3 Hvis Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.
5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Leverandøren er pålagt efter Aftalen, herunder, at underdatabehandleren garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelses- forordningen og sikrer beskyttelse af den registreredes rettigheder.
5.5 Når Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, har Leverandøren over for Kommunen ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt. 5.3.
5.6 Kommunen kan til enhver tid forlange dokumentation fra Leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kommunen.
5.7 Al kommunikation mellem Kommunen og underdatabehandleren sker via Leverandøren.
6. Instrukser
6.1 Leverandørens behandling af personoplysninger på vegne af Kommunen sker udelukkende efter dokumenteret instruks, jf. bilag 3, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Leverandøren er underlagt; i så fald underretter Leverandøren Kommunen om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
6.2 Leverandøren giver omgående besked til Kommunen, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen, jf. pkt. 1.1, eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
7. Tekniske og organisatoriske sikkerhedsforanstaltninger
7.1 Leverandøren skal, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
7.2 Leverandøren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget, jf. pkt. 7.1 samt bilag 1.
7.3 Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver.
7.4 Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt 9.
7.5 Leverandøren er forpligtet til straks at underrette Kommunen om ethvert brud på persondatasikkerheden uanset, om dette sker hos Leverandøren eller hos en underdatabehandler.
7.6 Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om brud på persondatasikkerheden, jf. pkt 7.5, uden forudgående skriftlig aftale med Kommunen om indholdet af en sådan kommunikation, medmindre Leverandøren har en retlig forpligtelse til sådan kommunikation.
8. Overførsler til andre lande
8.1 Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Kommunens instruks herfor, jf. bilag 3, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Leverandøren er underlagt; i så fald underretter Leverandøren Kommunen om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning.
9. Tavshedspligt og fortrolighed
9.1 Leverandøren er - under og efter Hovedaftalens ophør - pålagt fuld tavshedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet. Aftalen indebærer, at tavshedspligtsbestemmelserne i straffelovens §§ 152-152f, jf. straffelovens § 152a, finder anvendelse.
9.2 Leverandøren skal sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
10. Kontroller og erklæringer
10.1 Leverandøren er forpligtet til at give Kommunen nødvendige oplysninger til, at Kommunen kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale.
10.2 Kommunen, en repræsentant for Kommunen eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Leverandøren, med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale.
10.3 Leverandøren skal én gang årligt vederlagsfrit til Kommunen fremsende en erklæring om overholdelse af denne Aftale. Erklæringen skal udarbejdes i overensstemmelse med gældende, anerkendte branchestandarder på området, og skal omfatte både Leverandørens og eventuelle underdatabehandleres databehandling. Den første erklæring skal foreligge 12 måneder efter Hovedaftalens indgåelse.
10.4 I tilfælde af, at Kommunen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter Leverandøren og Leverandørens underleverandører sig til uden yderligere omkostninger for Kommunen at stille tid og ressourcer til rådighed herfor.
11. Ændringer i Aftalen
11.1 I det omfang ændringer i lovgivningen, jf. pkt 1.1 og 3.2, eller tilhørende praksis, giver anledning til dette, er Kommunen med et varsel på 60 dage og uden at dette medfører krav om betaling fra Leverandøren, berettiget til at foretage ændringer i Aftalen.
12. Sletning af data
12.1 Kommunen træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen.
12.2 Kommunen skal senest 90 dage inden Hovedaftalens ophør skriftligt meddele Leverandøren, hvorvidt alle personoplysningerne skal slettes. Leverandøren sletter ligeledes eventuelle kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne. Leverandøren skal sikre, at eventuelle underdata-behandlere ligeledes efterlever Kommunens meddelelse.
12.3 Leverandøren skal fremsende dokumentation for, at den påkrævede sletning, jf. pkt. 12.2, er foretaget.
13. Misligholdelse og tvistigheder
13.1 Misligholdelse og tvistigheder er reguleret i Hovedaftalen.
14. Erstatning og forsikring
14.1 Erstatnings- og forsikringsspørgsmål er reguleret i Hovedaftalen.
15. Ikrafttræden og varighed
15.1 Aftalen indgås ved begge parters underskrift og løber indtil ophør af Hovedaftalen.
For Kommunen For Leverandøren
Navn: Navn: Xxxxxx Xxxxxxx
Dato: Dato: 10/02-2022
Underskrift: Underskrift:
_ _
Bilag:
Bilag 1 – Sikkerhed
Bilag 2 – Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere)
Bilag 3 – Instruks
Bilag 1 – Sikkerhed
1. Indledning
Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Leverandøren i medfør af Aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandlere, som er angivet i bilag 2.
2. Sikkerhedskrav
Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. Instruks (bilag 3), og som dermed opfylder Databeskyttelsesforordningens artikel 32.
Foranstaltningerne fastlægges ud fra overvejelser om:
1. Det aktuelle tekniske niveau
2. Implementeringsomkostningerne
3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. Instruksen (bilag 3)
4. Konsekvenserne for borgerne ved brud på persondatasikkerheden
5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for:
a) tilintetgørelse af oplysningerne
b) tab af oplysningerne
c) ændring af oplysningerne
d) uautoriseret videregivelse af oplysningerne
e) uautoriseret adgang til oplysningerne Leverandøren gennemfører følgende sikkerhedsforanstaltninger:
Fysisk sikkerhed:
Leverandørens datacenter er fysisk placeret (co-location) hos Globalconnect A/S. Datacenteret er tier 2 klassificeret, og har en ISAE 3402 type 2 erklæring.
Datacenteret er skalsikret, og datacenterenes døre og vinduer er således sikret imod indtrængen. Datacenteret er forsynet med sensorer til detektering af indbrud og indbrudsforsøg.
Datacenteret er under konstant overvågning med overvågningskameraer, udvendigt ved indgangsdøre og indvendigt med kameraer i udvalgte områder/vinkler.
Til Leverandørens datascenter, hvori løsningen er placeret, er der kun adgang for udvalgt personale fra Leverandøren.
Det installerede adgangskontrolsystem sikrer, at det kun er muligt at komme ind i datacenteret ved hjælp af nøglebrik og personlig kode.
Leverandørens udstyr er monteret i serverracks, der er tilsluttet 2 separate strøm sikringsgrupper. Gulvene i maskinstuerne er forsynet med en antistatisk belægning. Strøm til serverracks har UPS anlæg, batterier og dieselgeneratorer.
Datacenteret er tilsluttet køleanlæg. Maskinstuerne er inddelt i kold og varm zone.
Køleanlægget sikrer en rumtemperatur i maskinstuerne på max 25° C.
I maskinstuerne er installeret et brandalarmeringssystem. Til brandbekæmpelse er installeret et inergenanlæg, som minimerer indholdet af ilt i luften og således kvæler ilden uden at beskadige infrastrukturen.
Databærende mediaer (bånd), som ikke længere tjener et formål, destrueres/ødelægges på forsvarlig vis. Alternativt vil data bliver overskrevet adskellige gange i et special mønster (sanitizing) udviklet af media leverandør således, at data ikke kan genskabes.
Logisk sikkerhed:
Datacenteret er beskyttet af firewall teknologi baseret på Cisco. Leverandøren forbeholder sig retten til at vælge anden teknologileverandør.
Backupdata opbevares på selvstændig hardware, placeret i et andet datacenter.
Alle data er krypterede, når de sendes over Internettet, enten via VPN-forbindelser eller via HTTPS protokollen.
Organisatoriske sikkerhedsforanstaltninger:
Leverandøren tillader udelukkende særlige medarbejdere adgang til datacenteret. Således er adgangen begrænset til de personer, som har en reel funktion i datacenteret.
Enhver medarbejder hos Leverandøren er underlagt tavshedspligt, hvilket inde- bærer, at medarbejderen også efter ansættelsesforholdets ophør har tavshedspligt med hensyn til alt, hvad vedkommende har erfaret i ansættelsesforholdet. Denne tavshedspligt dækker både over interne og kunderelaterede oplysninger samt forretningshemmeligheder.
Brugere af platformen (lærere, elever osv.):
Autorisation og adgangskontrol er integreret med STIL Uni-login. Det er således den ansvarlige hos kommunen/institutionen, der administrerer og vedligeholder, hvilke brugere som har adgang.
Leverandørens medarbejdere:
Adgang til databaser med udvidede rettigheder er begrænset til få udvalgte medarbejdere.
Adgang til det fysiske datacenter er begrænset til få udvalgte medarbejdere og underlagt separat adgangskontrol med ID kort og nøgler samt videoovervågning.
Hjemmearbejdspladser:
Leverandørens medarbejdere har adgang til personoplysninger fra pc- arbejdspladser uden for Leverandørens lokationer, der er opkoblet via VPN forbindelser.
Pc-arbejdspladserne er til enhver tid opdaterede og beskyttet med antivirusprogrammel.
Bilag 2 – Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere)
1. Lokation(er) for behandlingen
Webtjenesten XXXXX.XX ApS c/o Cibicom A/S Industriparken 35
2750 Ballerup
Webtjenesten XXXXX.XX ApS c/o Cibicom A/S
Xxxxxxxxxxxx 00, Xxxx
2765 Smørum
2. Underdatabehandlere
AhaSlides Pte. Ltd.
00X Xxxxxxx Xxxxx Xxxx Xxxxxxxxx 000000 Xxxxxxxxx
202009760N
Gyldigt overførselsgrundlag: EU Kommissionens standardkontrakt. Data behandles i EU. Amazon Web Services, eu-central-1 (Frankfurt)
Book Creator
Red Jumper Limited 00-00 Xxxx Xxxxxx Xxxxxxx, XX0 0XX XX
Gyldigt overførselsgrundlag: EU Kommissionens standardkontrakt. Data behandles i USA. Google Cloud, US Central (Iowa).
DelighteX GmbH Xxxxxxxxxxxxxxxxxx 00
HRB 211204 München Deutschland
Gyldigt overførselsgrundlag: EU Kommissionens standardkontrakt. Data behandles i EU. Amazon Web Services, eu-central-1 (Frankfurt)
Xxxxx.xx
Udgået som underdatabehandler Hostes på egne servere.
Explain Everything sp. z o.o. Xxxxxxxxx 0,
55-002 Kamieniec Wroclawski Poland
UE Tax-ID: PL 8961543036
Gyldigt overførselsgrundlag: EU Kommissionens standardkontrakt. Data behandles i EU. Amazon Web Services, eu-west-3 (Paris)
MeisterLabs GmbH Valentin-Linhof- Str. 8
81829 München Deutschland
Ust-IdNr/VAT.: DE 247 139 684
Gyldigt overførselsgrundlag: Indenfor EU. Data behandles i EU. Google Cloud, Europe-West3, Frankfurt.
Pixton Comics Inc.
P.O. Box 238 Parksville, BC Canada V9P 2G4
Gyldigt overførselsgrundlag: EU Kommissionens standardkontrakt. Data behandles i Canada.
Amazon Web Services, CA Central (Montréal).
PowToon Limited 00 Xxxxxx Xxxx
Stanmore, Middlesex HA7 4XR United Kingdom
Registration #: 7820729
Gyldigt overførselsgrundlag: EU Kommissionens standardkontrakt. Data behandles i EU. Amazon Web Services, eu-central-1 (Frankfurt)
Prezi Inc
000 Xxxxxx Xxxxxx, 0xx Xxxxx Xxx Xxxxxxxxx, XX 00000 XXX
Gyldigt overførselsgrundlag: EU Kommissionens standardkontrakt. Data behandles i USA.
Amazon Web Services, US East + US West (North Virginia + Oregon).
Soundation AB
MÃSTER XXXXXXXXXXXX 00
11175 STOCKHOLM
Sverige
Corporate id no 556561-6629
Gyldigt overførselsgrundlag: EU Kommissionens standardkontrakt. Data behandles i EU. Amazon Web Services, eu-central-1 (Frankfurt)
ThingLink Oy, Xxxxxxxxxxxxxxx 00
00180 Helsinki
VAT ID FI23291859
Gyldigt overførselsgrundlag: Indenfor EU. Data behandles i EU. Amazon Web Services og Microsoft Azure Ireland.
VoiceThread
00000 X Xxxxxxxx Xxxx Xxxx # 000000
Boca Raton FL 33497-0533 USA
Gyldigt overførselsgrundlag: EU Kommissionens standardkontrakt. Data behandles i USA. Amazon Web Services, US East (North Virginia).
Wallwisher, Inc.
000 Xxxxxxxx Xx #000 Xxx Xxxxxxxxx, XX 00000 XXX
Gyldigt overførselsgrundlag: EU Kommissionens standardkontrakt. Data behandles i USA. Amazon Web Services, US Central (Iowa).
WeVideo Inc.
000 Xxxxxxxxxxxx Xx. Ste.2118
Menlo Park, CA 94025 USA
Gyldigt overførselsgrundlag: EU Kommissionens standardkontrakt. Data behandles i USA. Amazon Web Services, US East (North Virginia).
Bilag 3 – Instruks
Instruks
Kommunen instruerer hermed Leverandøren om at foretage behandling af Kommunens oplysninger til brug for levering af Skoletubeabonnement, jf. Hovedaftalen.
Overlader Leverandøren behandling af Kommunens oplysninger til underdatabehandlere, er Leverandøren ansvarlig for at indgå skriftlige (under)databehandleraftaler med disse, jf. Aftalens pkt 5.3. Leverandøren er ansvarlig for, at Kommunens instruks fremsendes til eventuelle underdatabehandlere.
1.1 Behandlingens formål
Behandling af Kommunens oplysninger sker i henhold til formålet i Hovedaftalen: Skoletubeabonnement.
Leverandøren må ikke anvende oplysningerne til andre formål. Oplysningerne må ikke behandles efter instruks fra andre end Kommunen.
1.2 Generel beskrivelse af behandlingen
Via Unilogin kald modtages brugerens fornavn, efternavn, uniloginbrugernavn, klassetilhørsforhold, institutionsnr og funktion (elev, lærer, forælder m.fl.), kontaktperson(er). Med disse data oprettes en personlig profil på Skoletube, hvor brugeren beskyttet kan opbevare sine uploadede medieproduktioner og blogindlæg.Ovenstående oplysninger bruges desuden, hvis brugeren ønsker, at benytte en af Skoletubes underleverandører. En profil oprettes ved underleverandøren via sikker API.
1.3 Typen af personoplysninger
Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Leverandørens og eventuelle underdatabehandleres niveau for behandlingssikkerhed bør afspejle oplysningernes følsomhed, jf. bilag 1.
Almindelige personoplysninger (jf. Databeskyttelsesforordningens artikel 6) Almindelige personoplysninger:
xxxxxxx, efternavn, uniloginbrugernavn, kontaktperson, klassetilhørsforhold, institutionsnr og funktion (elev, lærer, evt), kontaktperson(er). Brugergenereret indhold (brugernes egne uploads) kan via - (a) tekst (b) video og/eller billeder som viser person
(c) lydfiler - indeholde personoplysninger.
Følsomme personoplysninger om (jf. Databeskyttelsesforordningens artikel 9):
Race eller etnisk oprindelse Politisk overbevisning
Religiøs overbevisning Filosofisk overbevisning
Fagforeningsmæssigt tilhørsforhold Genetiske data
Biometriske data
Helbredsoplysninger, herunder misbrug af medicin, narkotika, alkohol m.v. En fysisk persons seksuelle forhold eller seksuelle orientering
Personoplysninger om straffedomme og lovovertrædelser (jf. Databeskyttelses- forordningens artikel 10):
Straffedomme Lovovertrædelser
Oplysninger om cpr-nummer (jf. Databeskyttelseslovens § 11)
CPR-numre
1.4 Kategorier af registrerede
Der behandles oplysninger om følgende kategorier af registrerede (f.eks. borgere, elever, kontanthjælpsmodtagere m.m.):
A) Elever
B) Pædagogisk personale
C) Forælder
1.5 Tredjelande (ikke EU-medlemslande)
Leverandøren må overføre personoplysninger til følgende tredjelande:
Sikre tredjelande i henhold til databeskyttelsesforordningens artikel 45, stk. 3. USA (EU Kommissionens standardkontrakt)
Canada (PIPEDA eller EU Kommissionens standardkontrakt) Gyldigt overførselsgrundlag for overførslerne er:
A) Afgørelse om tilstrækkeligt beskyttelsesniveau for tredjelande i henhold til databeskyttelsesforordningens artikel 45, stk. 3
B) PIPEDA
C) EU KOMMISSIONENS AFGØRELSE af 5. februar 2010 om standardkontrakt- bestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (meddelt under nummer K(2010) 593) (EØS-relevant tekst) (2010/87/EU)*