Contract
1 Baggrund, formål og omfang
1.1 Som led i den Dataansvarliges (Beierholms kunde) ind gåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren (Beierholm) be handling af personoplysninger, som den Dataansvarlige er ansvarlig for. Beierholm må, som Databehandler, alene foretage behandling af personoplysninger efter instruks fra den Dataansvarlige (Beierholms kunde).
1.2 Behandling af personoplysninger er omfattet af Per sondataforordningen (EuropaParlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af person oplysninger og om fri udveksling af sådanne oplysninger) med tilhørende retsakter samt heraf afledt national lovgivning, herunder særligt Databeskyttelsesloven.
1.3 I henhold til Persondataforordningen art. 28, stk. 3 og , jf. punkt 1.2, er det et krav, at der mellem den Dataansvarlige og Databehandleren indgås skriftlig aftale om den behand ling, som skal foretages; en såkaldt ’Databehandleraftale’. Denne Aftale udgør sådan Databehandleraftale.
2 Personoplysninger omfattet af aftalen
2.1 Alle typer personoplysninger, som er nødvendige i forbin delse med opfyldelse af Aftalen med Parterne, er omfat tet. Aftalen omfatter oplysninger om personer, som har eller har haft ansættelse, ejerskab eller anden tilknyt ning til Kunden. Aftalen indeholder nærmere oplysninger om behandlingen, herunder de behandlede oplysninger, behandlingens formål og karakter, den dataansvarliges og databehandlerens forpligtelser og rettigheder samt varigheden af behandlingen.
3 Geografiske krav
3.1 Den behandling af persondata, som Databehandleren foretager efter aftale med den Dataansvarlige, må alene foretages af Databehandleren eller underdatabehandlere, jf. pkt. 5, indenfor det Europæiske Økonomiske Samar bejde (EØS). Databehandleren er ingenlunde berettiget
til at lade databehandling foregå udenfor EØS uden den Dataansvarliges skriftlige samtykke, med mindre dette kræves for at opfylde den kontraktlige forpligtigelse, databehandleren har overfor den dataansvarlige.
1 Background, purpose and scope
1.1. In performing the agreement concluded with the Control ler (Xxxxxxxxx’x client) for the provision of services as set out in the cooperation agreement, the Processor (Xxxxxx xxxx) will process personal data in respect of which the Controller is the controller. Xxxxxxxxx, as Data Processor, may only process personal data according to instructions from the Data Controller (Xxxxxxxxx’x customer).
1.2 The processing of personal data is covered by the General Data Protection Regulation (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data) with related legal acts and national legis lation derived from the Regulation, including Danish Act Databeskyttelsesloven (the Danish Data Protection Act)).
1.3 Both the General Data Protection Regulation and the clause 1.2 to this agreement require the Controller and the Processor to enter into a written agreement to reg ulate the processing to be undertaken; a so called “Data Processing Agreement”. This Agreement constitutes such Data Processing Agreement.
2 Personal data comprised by the agreement
2.1 This Agreement comprises all such personal data as are required to perform the cooperation agreement between the Parties. The Agreement comprises data about persons who have or have had employment with, ownership of or other affiliation to the Client. The Agreement provides details of the processing, including the data processed, the purpose and nature of the processing, the rights and obligations of the Controller and the Processor as well as the duration of the processing.
3 Geographical requirements
3.1 The processing of personal data to be undertaken by the Processor under the agreement with the Controller may be performed by the Processor or subprocessors, see clause 5, only within the European Economic Area (EEA). The Processor may in no event entrust the pro cessing of personal data to parties outside the EEA without the Controller’s written consent, unless it’s required to fulfill the processors contractual require ments to the Controller.
4 Instruks
4.1 Omfanget af de opgaver, som Databehandleren skal leve re og understøtte, betyder, at der i medfør af Parternes aftale vil ske forskellige former for behandling af person oplysninger. Den dataansvarlige er forpligtet til positivt at oplyse om eventuelle særlige forhold, som levering af Ydelsen skal tage hensyn til.
4.2 Databehandleren handler alene efter dokumenteret instruks fra den Dataansvarlige. Databehandleren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af den Dataansvarliges instruks. Alle de for levering af Ydelsen, jf. Aftalen, nødvendige og beskrevne behandlinger betragtes som dokumenterede.
4.3 Den dataansvarlige er forpligtet til at sikre at den på krævede behandling af personoplysninger sker på lovligt grundlag og med relevante og tilstrækkelige sikkerheds foranstaltninger. Såfremt en instruktion efter Databe handlerens opfattelse er i strid med Databeskyttelseslo ven eller Persondataforordningen, skal Databehandleren orientere den Dataansvarlige herom.
4.4 Denne Aftale og øvrige aftaler om levering af ydelser omfatter de personoplysninger, som er nødvendige for levering af Ydelsen. I den forbindelse henvises der til Af talen eller øvrige nærmere beskrivelser af ydelsen.
4.5 Såfremt behandlingen af personoplysninger hos Datab ehandleren sker helt eller delvist ved anvendelse af fjernop kobling, herunder hjemmearbejdspladser, skal Databehandle ren fastsætte retningslinjer for medarbejdernes behandling af personoplysninger ved anvendelse af fjernopkobling, som i øvrigt skal opfylde de i Aftalen stillede krav.
4.6 Databehandleren skal så vidt muligt bistå den Dataan svarlige med opfyldelse af den Dataansvarliges forpligtel ser til at besvare anmodninger om udøvelse af de regi streredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplys ninger behandles af Databehandleren. Modtager Databe handleren sådan henvendelse fra den registrerede person, orienterer Databehandleren den Dataansvarlige herom.
4.7 Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, jf. pkt. 4.6, herunder til Databehandlerens eventuelle underdatabehandlere.
Databehandlerens bistand afregnes til Databehandlerens til enhver tid gældende timetakst for sådant arbejde.
4 Instructions
4.1 Given the scope of the work to be performed and sup ported by the Controller, personal data will be processed in various ways under the agreement between the Par ties. The Controller is obliged positively to state whether any special conditions must be taken into consideration in connection with the provision of the service.
4.2 The Processor will act only on the documented instruc tions of the Controller. The Processor will ensure that the personal data transferred to it are not used for other purposes or processed in other ways than those set out in the Controller’s instructions. Any processing required for purposes of providing the services set out in the cooperation agreement is considered documented.
4.3 The Controller have the responsibility to secure, that the processing required according to this agreement, happens legally and with relevant and adequate security measures. If, in the opinion of the Processor, the instructions are inconsistent with the Danish Act on Processing of Xxxx xxxxx Data or the General Data Protection Regulation, the Processor will inform the Controller of such inconsistency.
4.4 This Agreement and other agreements on the provision of services comprise all such personal data as are re quired for the provision of the service. In this connection, reference is made to the engagment letter or other more detailed descriptions of the service.
4.5 If the Processor processes, in full or in part, personal data using remote connections, including home workstations, the Processor undertakes to lay down guidelines for its employees’ processing of personal data using remote con nections, which connections, moreover, must comply with the requirements set out in the Agreement.
4.6 Where possible, the Processor will assist the Controller in fulfilling its obligations to respond to requests con
cerning the exercise of the data subject’s rights, including requests for access to or rectification, restriction or erasure of personal data, where the relevant personal data are processed by the Processor. Where the Proces sor receives such a request from the data subject, the Processor will inform the Controller.
4.7 The Controller will pay any costs incurred by the Proces sor in providing such assistance, see clause 4.6, including costs for the subprocessor. Any assistance provided by the Processor will be settled based on the Processor’s hourly rates in force from time to time for the provision of such services.
5 Brug af underdatabehandler
5.1 Den Dataansvarlige giver generelt Databehandleren sam tykke til anvendelse af underdatabehandlere forudsat, at de i Aftalen stillede betingelser for dette er opfyldt. Den dataansvarlige meddeles om ændring i databehandlerens underdatabehandlere ved opdatering af oversigten over underdatabehandlere.
5.2 Underdatabehandleren er under Databehandlerens instruks. Databehandleren har indgået skriftlig data behandleraftale med underdatabehandleren, hvori det er sikret, at underdatabehandleren opfylder krav tilsvaren de dem, som stilles til Databehandleren af den Data ansvarlige i medfør af Aftalen.
5.3 Omkostninger forbundet med etablering af aftaleforhol det til en underdatabehandler, herunder omkostninger til udarbejdelse af databehandleraftale og eventuel etab lering af grundlag for overførsel til tredjelande, afholdes af Databehandleren og er således den Dataansvarlige uvedkommende.
5.4 Såfremt den Dataansvarlige måtte ønske at instruere underdatabehandlere direkte, bør dette alene ske efter drøftelse med og via Databehandleren. Hvis den Data ansvarlige afgiver instruks direkte overfor underdata behandlere, skal den Dataansvarlige senest samtidig underrette Databehandleren om instruksen og baggrun den for denne. Hvor den Dataansvarlige instruerer under databehandlere direkte, a) er Databehandleren fritaget for ethvert ansvar, og enhver følge af sådan instruks er alene den Dataansvarliges ansvar, b) hæfter den Dataansvarlige for enhver omkostning, som instruksen måtte medføre for Databehandleren, herunder er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al arbejdstid, som en sådan direkte instruks måtte medføre for Databehandleren og c) den Dataan svarlige er selv ansvarlig overfor underdatabehandlere for enhver omkostning, vederlag eller anden betaling til under databehandleren, som den direkte instruks måtte medføre.
5.5 Databehandleren forbeholder sig ret til anvendelse af underdatabehandlere til at forestå den tekniske drift til levering af Ydelsen.
5.6 Den Dataansvarlige accepterer ved indgåelsen af nær værende Aftale, at Databehandleren er berettiget til at skifte underdatabehandler forudsat, at en eventuel ny underdatabehandler overholder tilsvarende betingelser, som stilles i nærværende pkt. 5 til den nuværende under databehandler, samt at dette meddeles den dataansvarli ge jf. punkt 5.1.
5 Use of sub-processors
5.1 The Controller consents to the Processor’s use of sub processors, provided that the conditions set out in the Agreement for such use have been met. If there are any changes on the list of subprocessors, the controller will get an announcement from the processor, by updating the list of subprocessors, in the appendix 1 to this data processing agreement.
5.2 The subprocessor is subject to the instructions of the Processor. The Processor has concluded a written data processing agreement with the subprocessor, by which the subprocessor is bound to satisfy requirements sim ilar to those imposed by the Controller on the Processor under the Agreement.
5.3 Any costs incurred in establishing the contractual re lationship with a subprocessor, including costs for the drafting of a data processing agreement and, where relevant, the establishment of conditions for transfers to third countries, will be paid by the Processor and are thus of no concern to the Controller.
5.4 In the event that the Controller wishes to instruct the subprocessor directly, it should only do so following dialogue with and through the Processor. Where the Controller gives instructions directly to subprocessors, the Controller will notify the Processor of such instruc tions and the reason therefor concurrently with or prior to giving the instructions to the subprocessor. Where the Controller instructs the subprocessor directly, (a) the Processor will be exempt from any liability, and the Controller will be solely responsible for any consequences of such instructions; (b) the Controller will reimburse
any costs incurred by the Processor as a result of the instructions, implying that the Processor will be entitled to invoice the Controller for any work imposed on the Processor as a result of such instructions based on its normal hourly rate; and (c) the Controller will reimburse any costs, fees or other charges incurred by the sub processor as a result of the direct instructions.
5.5 The Processor reserves the right to entrust to sub processors the technical operations related to the provi sion of services.
5.6 By signing this Agreement, the Controller agrees that the Processor is entitled to switch subprocessors, pro vided that any new subprocessor satisfies requirements similar to those imposed on the current subprocessor under this clause 5, as well as the controller gets a no tice from the processor, according to this agreements clause 5.1.
6 Behandling og videregivelse af personoplysninger
6.1 Den Dataansvarlige indestår for at have fornøden hjem mel til behandling af personoplysningerne omfattet af nærværende Aftale.
6.2 Databehandleren må ikke uden skriftligt samtykke fra den Dataansvarlige videregive oplysninger til tredjemand, med mindre sådan videregivelse følger af lovgivningen eller af en bindende anmodning fra en retsinstans eller en databe skyttelsesmyndighed, eller det fremgår af denne Aftale.
6.3 Databehandleren må ikke uden skriftligt samtykke fra den Dataansvarlige behandle personoplysningerne til andre formål, end dem der følger af Aftalen.
6.4 Databehandleren må ikke opbevare personoplysninger ne i længere tid, end hvad der er nødvendigt i forhold til opfyldelse af de(t) formål, hvortil personoplysningerne er indsamlet, jf. Aftalen. Databehandleren skal således slette alle personoplysninger, når Databehandleren ikke længere
har et sagligt formål med at opbevare dem, samt i henhold til gældende lovgivning.
7 Sikkerhed
7.1 Databehandleren skal træffe passende tekniske og orga nisatoriske sikkerhedsforanstaltninger mod, at person oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommen des kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.2 og pkt. 1.3 ovenfor.
7.2 Databehandleren er altid berettiget til at implementere alternative sikkerhedsforanstaltninger under forudsæt ning af, at sådanne sikkerhedsforanstaltninger som mini mum opfylder eller giver større sikkerhed end de nuvæ rende sikkerhedsforanstaltninger og i øvrigt opfylder de stillede krav til sikkerhed. Databehandleren skal garantere af disse ændringer til enhver tid overholder relevante krav i Persondataforordningen.
7.3 Databehandleren bistår den dataansvarlige med efter levelse af de forpligtigelser der påligges den data ansvarlige jf. Persondataforordningens art. 1522.
Den dataansvarlige faktureres den til enhver tid gæl dende timesats.
7.4 Databehandleren skal efter nærmere aftale med den Dataansvarlige så vidt muligt bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i forordnin gens artikel 32 (gennemførelse af passende tekniske og organisatoriske foranstaltninger), 35 (foretagelse af kon
6 Processing and disclosure of personal data
6.1 The Controller warrants that it has the statutory authority required to process the personal data comprised by this Agreement.
6.2 The Processor may not without the written consent of the Controller disclose data to a third party, unless such disclosure follows from legislation or from a binding request from a court or a data protection authority or is provided in this Agreement.
6.3 The data processor may not, without the written consent of the Data Controller, process the personal data for purposes other than those resulting from the Agreement.
6.4 The data processor must not store the personal data for longer than is necessary in relation to the fulfillment of the purpose(s) for which the personal data has been collected, cf. the Agreement. The Data Processor must
thus delete all personal data when the Data Processor no longer has a legitimate purpose for storing them, and in accordance with applicable legislation.
7 Security
7.1 The Processor will take appropriate technical and organi sational security measures to prevent accidental or unla wful destruction or loss of, or damage to, personal data, and to prevent personal data from being disclosed to a third party or abused or otherwise processed in violation of applicable legislation, see clauses 1.2 and 1.3 above.
7.2 The Processor is at any time entitled to implement alterna tive security measures, provided that such security meas ures at least correspond to or provide greater security than the current security measures and meet the secu rity requirements defined. The Processor may not impair security measures without the prior written consent of the Controller. The processor shall guarantee that the changes are compliant with the General data protection regulation.
7.3 The processor assists the controller to comply with the regulatory claims according to the article 1522 in the general data protection regulation. The processor is jus tified to bill the Controller for elapsed time at the hourly rate applicable at any given time.
7.4 As specifically agreed with the Controller, the Processor will, where possible, assist the Controller in meeting its obligations under GDPR articles 32 (implementation of appropriate technical and organisational measures), 35 (performance of data protection impact assessment) and
sekvensanalyse vedrørende databeskyttelse) og 36 (for udgående høring). I den forbindelse er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådan aftale måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.
7.5 Såfremt det i pkt. 7.4 anførte fører til skærpede sikker hedsforanstaltninger i forhold til det allerede aftalte mellem Parterne i medfør af denne Aftale, implementerer Databehandleren, så vidt det er muligt, sådanne for anstaltninger forudsat, at Databehandleren modtager betaling herfor, jf. pkt. 7.6 nedenfor.
7.6 Omkostninger forbundet med sådan implementering af foranstaltninger, jf. pkt. 7.5, afholdes af den Dataan svarlige og er således Databehandleren uvedkommende. Databehandleren er endvidere berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådan implementering måtte medføre for Databehandleren, ligesom den Data ansvarlige hæfter for eventuel betaling til underdatabe handleren.
8 Tilsynsret
8.1 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige informationer til, at denne kan påse, at Databehandleren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforan staltninger.
8.2 I det omfang den Dataansvarlige tillige ønsker, at dette skal omfatte den behandling, som sker hos underdata behandlere, oplyses Databehandleren om dette. Databe handleren indhenter herefter tilstrækkelige oplysninger fra underdatabehandleren.
8.3 Såfremt den Dataansvarlige ønsker at foretage tilsyn, som anført i dette pkt. 8, skal den Dataansvarlige altid give Databehandleren et varsel på mindst 30 dage i sådan forbindelse.
8.4 Såfremt databehandleren får udarbejdet en sikkerheds revisionsrapport, som beskriver sikkerhedsforholdene hos databehandleren i overensstemmelse med pkt. 8.1, er den Dataansvarlige berettiget til at få udleveret en kopi heraf. Kopi af sådan sikkerhedsrevisionsrapport fremsendes på anmodning til den dataansvarlige, såfremt databehandle ren får udarbejdet en sådan.
36 (prior consultation). In that connection, the Processor is entitled to invoice, based on its normal hourly rate, the Controller for any work imposed on the Processor as a result of such agreement, and the Controller will reim burse any costs incurred by the subprocessor.
7.5 Where the provisions of clause 7.4 lead to security meas ures beyond those already agreed between the Parties under this Agreement, the Processor will, where possible, implement such measures, provided it receives payment for this, see clause 7.6 below.
7.6 Any costs incurred in connection with the implementation of such measures, see clause 7.5, are paid by the Control ler and are thus of no concern to the Processor. More over, the Processor is entitled to invoice, based on its normal hourly rate, the Controller for any work imposed on the Processor as a result of such implementation, and the Controller will reimburse any costs incurred by the subprocessor.
8 Right to inspect
8.1 Upon the request of the Controller, the Processor will provide the Controller with adequate information for the latter to be able to establish whether the Processor has taken the necessary technical and organisational security measures.
8.2 To the extent that the Controller wishes the inspection to also comprise the processing undertaken by sub processors, the Processor will be informed thereof. The Processor will then obtain adequate information from the subprocessor.
8.3 If the Controller wishes to carry out an inspection as described in this clause 8, the Controller undertakes to always give the Processor a notice of at least 30 days.
8.4 Where the Processor commissions the preparation of a security audit report describing security conditions at the subprocessor in accordance with clause 8.1, the Con troller is entitled to receive a copy of this report. Where the Processor commissions a security audit report, a copy of this report will be sent to the Controller upon request.
8.5 Såfremt den Dataansvarlige ønsker at få udarbejdet anden eller yderligere sikkerhedsrevisionsrapport udover de i pkt. 8.4 omtalte, eller at der i øvrigt ønskes foretaget tilsyn af Databehandlerens eller underdatabehandlerens persondatabehandling, herunder såfremt den dataan svarlige ønsker sikkerhedsrevisionsrapport udarbejdet på et nærmere bestemt tidspunkt, aftales dette nærmere med Databehandleren. Databehandleren eller underdata behandleren kan til enhver tid kræve, at en sådan sikker hedsrevisionsrapport udarbejdes i overensstemmelse med en anerkendt revisionsstandard (fx ISAE 3000 eller 3402 med referenceramme til ISO 27001:2013, 27002:2014, 27701:2019 eller lignende) af en alment anerkendt og uafhængig tredjepart, som beskæftiger sig med sådanne forhold.
8.6 Den Dataansvarlige afholder alle omkostninger i forbin delse med tilsyn af sikkerhedsforhold hos Databehandle ren samt i forhold til underdatabehandleren, herunder er Databehandleren berettiget til at fakturere den Dataan svarlige med sin sædvanlige timetakst for al Databehand lerens arbejdstid, som sådant tilsyn måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.
9 Brud på persondatasikkerheden
9.1 Såfremt Databehandleren måtte blive bekendt med et brud på persondatasikkerheden, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintet gørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbe varet eller på anden måde behandlet, er Databehandleren forpligtet til uden unødig forsinkelse at søge at lokalisere sådant brud og søge at begrænse opstået skade i videst muligt omfang, samt i det omfang det er muligt reetable re eventuelt mistede data.
9.2 Databehandleren er endvidere forpligtet til uden unødig forsinkelse dog senenest efter 72 timer at underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Data behandleren skal herefter uden unødig forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til den Dataansvarlige, som så vidt muligt skal indeholde:
a) En beskrivelse af karakteren af bruddet, herunder ka tegorierne og det omtrentlige antal berørte registre rede og registreringer af personoplysninger
b) Navn på og kontaktoplysninger for databeskyttelses rådgiveren
8.5 Where the Controller requests the preparation of other or additional security audit reports in addition to those set out in clause 8.4 or otherwise wishes to inspect the personal data processing performed by the Processor or the subprocessor, including where the Controller re quests the security audit report to be prepared at a spe cific time, this is specifically agreed with the Processor. The Processor or the subprocessor may at any time de mand that any such security audit report be prepared in accordance with an established audit standard (such as ISAE 3000 or 3402 based on ISO 27001:2013, 27002:2014, 27701:2019 or similar) by a recognised independent third party specialising in such matters.
8.6 The Controller will pay all costs incurred in connection with the inspection of security conditions at the Proces sor and the subprocessor, implying that the Processor
is entitled to invoice, based on its normal hourly rate, the Controller for any work imposed on the Processor as
a result of such inspection, and that the Controller will reimburse any costs incurred by the subprocessor.
Personal data breach
9.1 If the Processor becomes aware of a personal data breach, meaning a breach of security leading to acciden tal or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed, the Processor is required without undue delay to seek to localise such breach and to the widest extent possible limit any damage and, where possible, restore any data lost.
9.2 The Processor is also required to notify the Controller without undue delay, but not later than 72 hours, upon becoming aware of a personal data breach. The Proces sor will then, without undue delay, to the extent possible notify the Controller in writing, such notification including, where possible:
a) a description of the nature of the breach, including the categories and approximate number of data sub jects and personal data records concerned;
b) the name and contact details of the data protection adviser;
c) En beskrivelse af de sandsynlige konsekvenser af bruddet
d) En beskrivelse af de foranstaltninger, Databehand leren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skade virkninger.
9.3 For så vidt det ikke er muligt at give de i pkt. 9.2 anførte oplysninger samlet, kan oplysningerne meddeles trinvist uden unødig forsinkelse.
9.4 Tilsvarende er underdatabehandlere pålagt uden unødig forsinkelse at underrette Databehandleren i overens stemmelse med pkt. 9.2 og 9.3.
10 Tavshedspligt
10.1 Databehandleren skal holde personoplysningerne fortro lige og er således alene berettiget til at anvende person oplysningerne som led i opfyldelsen af sine forpligtelser og rettigheder i henhold til Xxxxxxx.
10.2 Databehandleren skal sikre, at de medarbejdere og eventuelle andre, herunder underdatabehandlere, der er autoriseret til at behandle de i Aftalen omfattede per sonoplysninger, er pålagt tavshedspligt.
11 Varighed og ophør af databehandleraftalen
11.1 Aftalen træder i kraft ved Parternes underskrift af Aftalen.
11.2 I tilfælde af, at samarbejdsaftalen ophører, uanset årsag, ophører Aftalen også. Databehandleren er dog forpligtet af denne Aftale, så længe Databehandleren behandler personoplysninger på vegne af den Data ansvarlige, idet den Dataansvarlige snarest muligt og senest 14 dage efter ophør af samarbejdsaftalen skal oplyse Databehandleren skriftligt, hvorledes Databe handleren skal forholde sig til de behandlede personop lysninger. 30 dage efter ophøret af samarbejdsaftalen er Databehandleren berettiget til at slette eller tilba gelevere alle personoplysninger, som er blevet behandlet under den ophørte samarbejdsaftale på vegne af den Dataansvarlige, med mindre EUret eller national ret kræver at disse opbevares.
c) a description of the likely consequences of the breach;
d) a description of the measures taken or proposed to be taken by the Processor or the subprocessor to remedy the breach, including measures to mitigate any potential adverse effects.
9.3 In so far as it is not possible to provide the information set out in clause 9.2 at the same time, the information may be provided in phases without undue delay.
9.4 Similarly, subprocessors are required to notify the Pro cessor without undue delay in accordance with clauses.
9.2 and 9.3.
10 Secrecy
10.1 The Processor undertakes to keep the personal data confidential and is thus only entitled to use the personal data for purposes of meeting its obligations and exercis ing its rights under the Agreement.
10.2 The Processor will ensure that any employees and others, including subprocessors, authorised to process the personal data comprised by the Agreement are bound by secrecy.
11 Term and termination of
the data processing agreement
11.1 The Agreement enters into force upon the Parties’ signing of the Agreement.
11.2 In the event of termination of the cooperation agreement, irrespective of cause, the Agreement will also terminate. However, the Processor remains subject to the obligations stipulated in this Agreement as long as the Processor processes personal data on behalf of the Controller, and the Controller will as soon as possible and no later than two weeks after termination of the cooperation agree ment notify the Processor in writing as to which steps
the Processor is to take in relation to the personal data processed. 30 days after termination of the cooperation agreement, the Processor is entitled to delete or return all personal data processed on behalf of the Controller under the terminated cooperation agreement, unless European or Danish law claims the data to be stored.
These “General Terms of Business” and appendices hereto are translated from the Danish version of “Beierholms generelle forretningsbetingelser”. In the event of a discrepancy between the Danish version and a translation hereof, the Danish version will be applicable.