Databehandleraftale
Mellem
Den dataansvarlige:
”Kunden” (den juridiske enhed, der har indgået aftale om Lønadministration
og
Databehandleren: Dansk Løn Service CVR 20222670
Xxxxxxxxx 00
8653 Them Danmark
1 Indhold
2 Baggrund for databehandleraftalen 3
3 Den dataansvarliges forpligtelser og rettigheder 4
4 Databehandleren handler efter instruks 4
5 Fortrolighed 4
6 Behandlingssikkerhed 5
7 Anvendelse af underdatabehandlere 5
8 Overførsel af oplysninger til tredjelande eller internationale organisationer 6
9 Bistand til den dataansvarlige 6
10 Underretning om brud på persondatasikkerheden 7
11 Sletning og tilbagelevering af oplysninger 7
12 Tilsyn og revision 7
13 Misligholdelse og tvistigheder 8
14 Ikrafttræden og ophør 8
15 Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databehandleren 8
16 Instruks 9
Bilag A Oplysninger om behandlingsaktiviteter 9
Bilag B Betingelser for databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere 11
B.1 Betingelser for databehandlerens brug af eventuelle underdatabehandlere 11
B.2 Godkendte underdatabehandlere 11
Bilag C Oplysninger om behandlingen af personoplysninger 12
C.1 Behandlingens genstand/ instruks 12
C.2 Behandlingssikkerhed 12
C.3 Opbevaringsperiode/sletterutine 12
C.4 Lokalitet for behandling 13
C.5 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande 13
C.6 Nærmere procedurer for den dataansvarliges tilsyn med den behandling, som foretages hos databehandleren 13
C.7 Nærmere procedurer for tilsynet med den behandling, som foretages hos eventuelle underdatabehandlere 13
2 Baggrund for databehandleraftalen
1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databe- handleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysi- ske personer i forbindelse med behandling af personoplysninger og om fri udveksling af så- danne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
3. Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes ”hovedaftale” om behandling af lønadministrationen.
4. Databehandleraftalen og ”hovedaftalen” er indbyrdes afhængige, og kan ikke opsiges sær- skilt. Databehandleraftalen kan dog – uden at opsige ”hovedaftalen” – erstattes af en an- den gyldig databehandleraftale.
5. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i ”hovedaftalen”.
6. Til denne aftale hører tre bilag. Bilagene fungerer som en integreret del af databehandler- aftalen.
7. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herun- der om behandlingens formål og karakter, typen af personoplysninger, kategorierne af re- gistrerede og varighed af behandlingen.
8. Databehandleraftalens Bilag B indeholder den dataansvarliges betingelser for, at databe- handleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventu- elle underdatabehandlere, som den dataansvarlige har godkendt.
9. Databehandleraftalens Bilag C indeholder en nærmere instruks om, hvilken behandling da- tabehandleren skal foretage på vegne af den dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
10. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.
11. Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter data- beskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.
3 Den dataansvarliges forpligtelser og rettigheder
1. Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangs- punkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af data- beskyttelsesforordningen og databeskyttelsesloven.
2. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutnin- ger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den be- handling, som databehandleren instrueres i at foretage.
4 Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter data- behandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelses- bestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
5 Fortrolighed
1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplys- ningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til person- oplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvar- lige.
3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplys- ninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de rele- vante medarbejdere er underlagt ovennævnte tavshedspligt.
6 Behandlingssikkerhed
1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekni- ske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici.
3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C.
4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sik- kerhedsforanstaltninger vil fremgå af parternes ”hovedaftale”.
7 Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforord- ningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabe- handler).
2. Databehandleren må således ikke gøre brug af en anden databehandler (underdatabe- handler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
3. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataan- svarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
4. Den dataansvarliges nærmere betingelser for databehandlerens brug af eventuelle under- databehandlere fremgår af denne aftales Bilag B.
5. Den dataansvarliges eventuelle godkendelse af specifikke underdatabehandlere er anført i denne aftales Bilag B.
6. Når databehandleren har den dataansvarliges godkendelse til at gøre brug af en under- databehandler, sørger databehandleren for at pålægge underdatabehandleren de
samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraf- tale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller med- lemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at un- derdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstalt- ninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordnin- gen.
Databehandleren er således ansvarlig for – igennem indgåelsen af en underdatabehandler- aftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som databe- handleren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag.
7. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den da- taansvarliges anmodning herom - i kopi til den dataansvarlige, som herigennem har mulig- hed for at sikre sig, at der er indgået en gyldig aftale mellem databehandleren og underda- tabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den da- taansvarlige.
8. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underda- tabehandlerens forpligtelser.
8 Overførsel af oplysninger til tredjelande eller internationale organisatio- ner
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisatio- ner, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataan- svarlige om dette retlige krav inden behandling, medmindre den pågældende ret forby- der en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
2. Den dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, vil fremgå af denne aftales Bilag C.
9 Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger,
med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udø- velsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapi- tel 3. Herunder bistår den dataansvarlige bl.a. med besvarelse af anmodninger fra registre- rede om indsigt i egne oplysninger, udlevering af registreredes oplysninger, berigtigelse og sletning af oplysninger samt begrænsning af behandling af registreredes oplysninger.
2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvar- liges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyn- tagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehand- leren, jf. art 28, stk. 3, litra f.
3. Den Dataansvarlige honorerer Databehandleren særskilt og efter medgået tid for at hånd- tere forespørgsler og opgaver i henhold til Databehandleraftalens punkt 9.1, 9.2, 10.2, 12.1, 12.3, 4,4, 8.3, 9, 10.1, 11, 12.2-12.3, Bilag C.7. Honoraret er 600 kr. pr. påbegyndt time
10 Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.
Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 12 timer efter at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.
2. I overensstemmelse med denne aftales afsnit 10.1., skal databehandleren - under hensyn- tagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden.
11 Sletning og tilbagelevering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den data- ansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
12 Tilsyn og revision
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandle- rens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådig-
hed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder in- spektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndi- get af den dataansvarlige.
2. Den nærmere procedure for den dataansvarliges tilsyn med databehandleren fremgår af denne aftales Bilag C.
3. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem databehandleren. Den nærmere procedure herfor fremgår af denne aftales Bilag C.
4. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræ- sentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske fa- ciliteter mod behørig legitimation.
13 Misligholdelse og tvistigheder
1. Misligholdelse og tvistigheder er reguleret i parternes ”hovedaftale”.
14 Ikrafttræden og ophør
1. Denne aftale træder i kraft pr 25.05.2018 og opdateres løbende
2. Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæs- sigheder i aftalen giver anledning hertil.
3. Aftalen er gældende, så længe behandlingen består. Uanset ”hovedaftalens” og/eller data- behandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehand- lere.
15 Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databe- handleren
1. Dataansvarlige kan kontakte databehandler via nedenstående kontaktpersoner/kontakt- punkter:
2. Databehandler er forpligtet til løbende at orientere om ændringer vedrørende kontaktper- sonen/kontaktpunktet.
Virksomhed Dansk Løn Service ApS
Navn: Xxx Xxxxxxx
Stilling: Direktør Telefonnummer: dir.: + 00 0000 0000
mob.: + 45 2764 9373
16 Instruks
Bilag A Oplysninger om behandlingsaktiviteter
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvar- lige er:
At Dansk Løn Service udfører løn- og personaleadministration for den dataansvarlige på baggrund af den indgåede aftale herom.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig pri- mært om (karakteren af behandlingen):
• Databehandleren udfører løn- og personaleadministration for den dataansvarlig ifølge særskilt aftale herom.
• Databehandleren og den Dataansvarlige har indgået en aftale om levering af løn og perso- naleadministration (hovedaftalen). I forbindelse med leverancen af de i hovedaftalen an- førte ydelser, der er givet i medfør af gældende lov på områderne for løn og personalead- ministration, behandler Databehandleren en række type af personoplysninger, som defi- neret nedenfor, på vegne af den Dataansvarlige. Disse oplysninger videregives eller over- lades til tredjepart i forhold til den indgående aftale om levering af services fra Dansk Løn- service.
Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
Navn | Bankoplysninger | Lønindkomst |
Adresse | CPR-nr. | Statistik (til DI eller Danmarks Statistik, Industriens Pension m.fl.) |
e-mailadresse | Telefonnummer | Fraværdstatistik |
Medarbejder-nr. | Pensionsforhold | Refusioner ( Barsel/Sydom ) |
ATP | SKAT | Feriekonto |
Behandlingen omfatter følgende kategorier af registrerede:
• Medarbejdere hos den dataansvarlige.
• Arbejdsgiver.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbe- gyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:
• Behandlingen er ikke tidsbegrænset og varer indtil aftalen opsiges eller ophæves af en af parterne”.
Bilag B Betingelser for databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere
B.1 Betingelser for databehandlerens brug af eventuelle underdatabehandlere Databehandleren har den dataansvarliges generelle godkendelse til at gøre brug af underdatabe- handlere. Databehandleren skal dog underrette den dataansvarlige om eventuelle planlagte æn- dringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataan- svarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være den dataansvarlige i hænde minimum 3 måneder før anvendelsen eller ændringen skal træde i kraft. Såfremt den dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give meddelelse herom til databehandleren inden 30 dage efter modtagelsen af underretningen. Den dataansvarlige kan alene gøre indsigelse, såfremt den dataansvarlige har rimelige, konkrete årsager hertil.
B.2 Godkendte underdatabehandlere
Den dataansvarlige har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:
Navn | CVR-nr | Adresse | Beskrivelse af behandling |
Lessor | 24240010 | Gydevang 46 3450 Allerød | System til behandling af løn og tidsregistre- ring |
Microsoft | 13612870 | Kanalvej 7 2800 Kgs Lyngby | Dansk Løn Service benytter Microsoft Of- fice 365 til e-mailservice og Office-doku- menter |
Den dataansvarlige har ved databehandleraftalens ikrafttræden specifikt godkendt anvendelsen af ovennævnte underdatabehandlere til netop den behandling, som er beskrevet ud for parten. Da- tabehandleren kan ikke – uden den dataansvarliges specifikke og skriftlige godkendelse – anvende den enkelte underdatabehandler til en ”anden” behandling and aftalt eller lade en anden underda- tabehandler foretage den beskrevne behandling.
Bilag C Oplysninger om behandlingen af personoplysninger
C.1 Behandlingens genstand/ instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
• Databehandler udfører funktioner omkring løn- og personaleadministration på vegne af den dataansvarlige og varetager alle de praktiske funktioner knyttet hertil. Eksempelvis ind- beretning til offentlige myndigheder i henhold til dansk lovgivning indenfor områderne løn og personaleadministration.
C.2 Behandlingssikkerhed
Sikkerhedsniveauet afspejler, at der primært er tale om behandling af almindelige personoplysnin- ger, som anført i databeskyttelsesforordningens artikel 6.
Databehandleren overholder den til enhver tid gældende lovgivning på persondataområdet. Databehandleren sikrer, at adgangen til personoplysningerne er begrænset til: Lønkonsulenter og bogholdere i Dansk Løn Service, der alle har tavshedspligt.
Fysisk adgang til kontorområdet er begrænset til medarbejdere og evt konsulenter, der udfører
supportopgaver underskriver alle en NDA/fortrolighedserklæring inden, de får adgang til området.
Teknisk er data beskyttet bag firewalls og alle PCer og servere opdateres løbende med antivirus software, ligesom der dagligt tages back up af data.
Der henvises i øvrigt til den årlige ISAE-3000 erklæring, der kan rekvireres hos Xxx Xxxxxxx via kon- xxxx@xxxx.xx
C.3 Opbevaringsperiode/sletterutine
Ved Databehandleraftalens ophør skal Databehandleren overføre en kopi af alle Personoplysnin- ger, som Databehandleren er kommet i besiddelse af i forbindelse med leverancen af Ydelserne, og/eller på den Dataansvarliges anmodning destruere denne information.
Destruktion skal foretages på en sådan måde, at oplysningerne ikke kan genskabes. Databehand- leren skal på den Dataansvarliges anmodning skriftligt bekræfte, at destruktionen har fundet sted, og fremsende en beskrivelse af den anvendte destruktionsmetode.
C.4 Lokalitet for behandling
Behandling af de i aftalen omfattede personoplysninger kan ikke uden den dataansvarliges forud- gående skriftlige godkendelse ske på andre lokaliteter end de følgende:
• Dansk Løn Service, Xxxxxxxxx 00, 0000 Xxxx
C.5 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande
Der sker ikke overførsel af data til tredjelande.
C.6 Nærmere procedurer for den dataansvarliges tilsyn med den behandling, som foretages hos databehandleren
Databehandleren skal én gang årligt for egen regning indhente en revisionserklæring fra en uaf- hængig tredjepart angående databehandlerens overholdelse af denne databehandleraftale med tilhørende bilag. Der er mellem parterne enighed om, at der skal anvendes en ISAE 3000-erklæ- ring. Revisionserklæringen kan udleveres på foranledning fra dataansvarlige til orientering. Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at føre til- syn, herunder fysisk tilsyn, hos databehandleren, når der efter den dataansvarliges vurdering op- står et behov herfor.”
C.7 Nærmere procedurer for tilsynet med den behandling, som foretages hos eventuelle un- derdatabehandlere
Databehandleren skal én gang årligt for egen regning indhente en revisionserklæring fra en uaf- hængig tredjepart angående underdatabehandlerens overholdelse af denne databehandleraftale med tilhørende bilag. Der er mellem parterne enighed om, at der kan anvendes følgende typer af revisionserklæringer: ISAE-3000 standard. Revisionserklæringen kan udleveres på foranledning fra den dataansvarlige til orientering. Databehandleren eller en repræsentant for databehandleren har herudover adgang til at føre tilsyn, herunder fysisk tilsyn, hos underdatabehandleren, når der efter databehandlerens (eller den dataansvarliges) vurdering opstår et behov herfor. Dokumentation for de afholdte tilsyn kan udleveres på foranledning af den dataansvarlige.
Udover det planlagte tilsyn, kan der føres tilsyn med underdatabehandleren, når der efter databe- handlerens (eller den dataansvarliges) vurdering opstår et behov herfor.
Dokumentation for de afholdte tilsyn sendes snarest muligt til orientering hos den dataansvarlige.
Den dataansvarlige kan – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk in- spektion hos underdatabehandleren. Dette kan blive aktuelt, såfremt den dataansvarlige vurderer, at databehandlerens tilsyn med underdatabehandleren ikke har givet den dataansvarlige tilstræk- kelig sikkerhed for, at behandlingen hos underdatabehandleren sker i overensstemmelse med denne databehandleraftale.
Den dataansvarliges eventuelle deltagelse i et tilsyn hos underdatabehandleren ændrer ikke ved, at databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelseslovgivningen og denne databehandleraftale.
Databehandlerens og underdatabehandleres eventuelle udgifter i forbindelse med afholdelse af et fysisk tilsyn/en inspektion hos underdatabehandleren er den dataansvarlige uvedkommende, så- fremt underdatabehandler viser sig ikke at overholder databeskyttelseslovningen – uanset at den dataansvarlige har initieret og eventuelt deltaget på et sådant tilsyn.