KMD A/S

Bilag

Databehandleraftale

Mellem kunden Og

KMD A/S

Xxxxxxxxxxxxx 00-00 0000 Xxxxxxxx XXX.xx.: DK26911745

(herefter ”Leverandøren”)

Er der indgået nedenstående databehandleraftaler (herefter ”Aftalen”) om Leverandørens behandling af personoplysninger på vegne af Kunden.

1 GENERELT

1.1 Aftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven) § 42, jf. § 41, stk. 3-5. Kravene er beskrevet i:

(i) Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen).

(ii) Vejledning nr. 37 af 02/04/2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsvejledningen).

1.2 Den 25. maj 2018 erstattes Persondataloven af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen) således, at Aftalens pkt. 1.1 (i)

– (ii) herefter erstattes med Databeskyttelsesforordningen.

1.3 I Aftalen er indarbejdet de krav, som såvel Persondataloven som de kommende regler i Databeskyttelsesforordningen stiller til databehandleraftaler.

1.4 Leverandøren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik. I det omfang ændringer i god databehandlingsskik er dækket af et fast vederlag i medfør af Hovedaftalen, modtager Leverandøren ikke særskilt betaling herfor.

2 FORMÅL

2.1 Leverandøren behandler i medfør af aftale med Kunden om levering af doc2mail (herefter ”Hovedaftalen”) personoplysninger for Kunden, hvor Leverandørens behandlinger og formålet med behandlingerne er beskrevet

3 KUNDENS RETTIGHEDER OG FORPLIGTELSER

3.1 Kunden er dataansvarlig for de personoplysninger, som Xxxxxx instruerer Leverandøren om at behandle. Kunden har ansvaret for, at de personoplysninger, som Xxxxxx instruerer Leverandøren

om at behandle, må behandles af Leverandøren, herunder at behandlingen er nødvendig og saglig i forhold til Kundens opgavevaretagelse.

3.2 Kunden har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og 1.2.

3.3 Der kan i Aftalens underbilag 1 være opremset yderligere forpligtelser, som Kunden skal være opmærksom på.

4 LEVERANDØRENS FORPLIGTELSER

4.1 Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Kunden, jf. pkt. 6 og Underbilag 1. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og 1.2.

4.2 Leverandøren behandler alene de overladte personoplysninger efter instruks fra Xxxxxx, jf. pkt. 6 og Underbilag 1, og alene med henblik på opfyldelse af Hovedaftalen.

4.3 Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Sikkerhedsbekendtgørelsen og Sikkerhedsvejledningen (frem til 25. maj 2018) og Databeskyttelsesforordningen (fra 25. maj 2018), jf. Underbilag 1 – Sikkerhed.

4.4 Leverandøren skal i overensstemmelse med Databeskyttelsesforordningen på opfordring fra Kunden bistå med at opfylde Kundens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra borgere om indsigt i egne oplysninger, udlevering af borgerens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af borgerens oplysninger, samt Kundens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningens kap. III samt artikel

34. Medmindre andet fremgår af Hovedaftalen er Leverandørens bistand særskilt betalbar.

4.5 Leverandøren skal fra 25. maj 2018 i overensstemmelse med Databeskyttelsesforordningen bistå Xxxxxx med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36. Medmindre andet fremgår af Hovedaftalen er Leverandørens bistand særskilt betalbar.

4.6 Leverandøren garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af Kundens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

4.7 Hvis Leverandøren er etableret i en anden EU-medlemsstat, skal Leverandøren frem til 25. maj 2018 ligeledes overholde de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat.

5 UNDERLEVERANDØR (UNDERDATABEHANDLER)

5.1 Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af Kunden.

5.2 Leverandøren må ikke uden udtrykkelig skriftlig godkendelse fra Kommunen anvende andre underdatabehandlere end dem, der er angivet i Underbilag 2, herunder foretage udskiftning af disse, til at behandle de personoplysninger, som Kommunen har overladt til Leverandøren i medfør af Hovedaftalen. Kunden kan ikke nægte at godkende tilføjelse eller udskiftning af en underdatabehandler medmindre, der foreligger en konkret saglig begrundelse herfor.

5.3 Hvis Leverandøren overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.

5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Leverandøren er pålagt efter Aftalen, herunder, at underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

5.5 Når Leverandøren overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, har Leverandøren over for Kunden ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt. 5.3.

5.6 Kunden kan til enhver tid forlange dokumentation fra Leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kunden.

6 INSTRUKSER

6.1 Leverandørens behandling af personoplysninger på vegne af Kunden sker udelukkende efter dokumenteret instruks, jf. Underbilag 1.

6.2 Leverandøren giver fra 25. maj 2018 omgående besked til Xxxxxx, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen, jf. pkt. 1.2.

7 TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER

7.1 Leverandøren skal frem til 25. maj 2018, jf. Underbilag 1, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger:

(i) tilintetgøres, mistes, ændres eller forringes,

(ii) kommer til uvedkommendes kendskab eller misbruges, eller

(iii) i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1

7.2 Leverandøren skal fra 25. maj 2018, jf. Underbilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.

7.3 Leverandøren er forpligtet til straks at underrette Xxxxxx om ethvert sikkerhedsbrud uanset, om dette sker hos Leverandøren eller hos en underdatabehandler.

8 OVERFØRSLER TIL XXXXX XXXXX

8.1 Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Xxxxxxx instruks herfor, jf. Underbilag 3.

8.2 Hvis Kundens personoplysninger overføres til en EU-medlemsstat, er det frem til 25. maj 2018 Leverandørens ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes.

9 TAVSHEDSPLIGT OG FORTROLIGHED

9.1 Leverandøren skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

10 KONTROLLER OG ERKLÆRINGER

10.1 Leverandøren er forpligtet til at give Kunden nødvendige oplysninger til, at Kunden kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale. Leverandørens forpligtelse i henhold til dette punkt 10.1 er vederlagsfri i det omfang det følger af Hovedaftalens eller Aftalens bestemmelser, at disse oplysninger leveres uden yderligere vederlag.

10.2 Kunden, en repræsentant for Xxxxxx eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision i rimeligt omfang hos Leverandøren, med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale. Leverandørens forpligtelse i henhold til dette punkt 10.2 er vederlagsfri, i det omfang det følger af Hovedaftalens eller Aftalens bestemmelser, at Leverandøren medvirker uden yderligere vederlag i forbindelse med inspektion og revision.

10.3 Medmindre andet fremgår af Hovedaftalen, eller parterne særskilt aftaler udarbejdelse af anden revisorerklæring, skal Leverandøren alene udarbejde og fremsende revisionserklæringer som anført i Underbilag 1. Udarbejdelsen af revisionserklæringer som anført i Underbilag 1 sker vederlagsfrit.

11 ÆNDRINGER I AFTALEN

11.1 Kunden kan til enhver tid, med et forudgående varsel på mindst 30 dage, foretage ændringer i Aftalen og instruksen, jf. Underbilag 1. Ændringsprocessen og omkostningerne aftales skriftligt mellem Kunden og Leverandøren i Hovedaftalen. Leverandøren skal ved sådanne ændringer uden ugrundet ophold sikre, at underdatabehandlerne tillige forpligtes af ændringerne.

11.2 I det omfang ændringer i lovgivningen, jf. pkt. 1.1 og 1.2, eller tilhørende praksis, giver anledning til dette, er hver part med et varsel på 90 dage berettiget til at foretage ændringer i Aftalen, I det omfang ændringer i lovgivningen er dækket af et fast vederlag i medfør af Hovedaftalen, modtager Leverandøren ikke særskilt betaling herfor.

12 SLETNING AF DATA

12.1 Kunden træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen.

12.2 Kunden skal senest 30 dage inden Hovedaftalens ophør skriftligt meddele Leverandøren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Kunden. I det tilfælde, hvor personoplysningerne tilbageleveres til Kunden, skal Leverandøren ligeledes slette eventuelle kopier. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kundens meddelelse.

13 MISLIGHOLDELSE OG TVISTIGHEDER

13.1 Misligholdelse og tvistigheder er reguleret i Hovedaftalen.

14 ERSTATNING OG FORSIKRING

14.1 Erstatnings- og forsikringsspørgsmål er reguleret i Hovedaftalen.

15 IKRAFTTRÆDEN OG VARIGHED

15.1 Aftalen indgås ved begge parters underskrift og løber indtil ophør af Hovedaftalen.

16 FORMKRAV

16.1 Aftalen skal foreligge skriftligt, herunder elektronisk, hos Kunden og Leverandøren.

For Kunden	For Leverandøren
Dato:	Dato:

Bilag:

Underbilag 1 Behandling og sikkerhedsforanstaltninger Underbilag 2 Oplysninger om underdatabehandlere

Underbilag 3 Anvendte underdatabehandlere med særlige vilkår

UNDERBILAG 1 – INSTRUKS OM BEHANDLING AF OPLYSNINGER SAMT TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER I FORBINDELSE HERMED SAMT ØVRIGE FORHOLD.

Dette Underbilag er en integreret del af Databehandleraftalen.

1 INSTRUKS

1.1 Beskrivelse og formålet med behandlingen

Doc2Mail foretager håndtering af data, herunder persondata i forbindelse med afsendelse af digitale og fysiske dokumenter.

Håndteringen består i at afsende dokumenter fra fagsystemer og lignende, til enten borgere eller virksomheder med tilknytning til Kunden.

1.2 Kategorier af registrerede personer

Doc2Mail håndterer udsendelse af post til borgere, herunder børn samt virksomheder som en del af Kundens sagsbehandling i Kundes fagsystemer eller lignende løsninger. Som en del af behandlingen kan oplysninger om sagsbehandlere, såsom navn også fremgå.

1.3 Kategorier af personoplysninger:

1.3.1 Kategorier af personoplysninger

Doc2Mail håndterer almindelige personoplysninger, såsom CPR-numre, i forbindelse med afsendelse af dokumenter til modtagere.

1.3.2 Særlige kategorier af personoplysninger samt personoplysninger vedrørende straffedomme og lovovertrædelser.

Dokumenter, der håndteres i Doc2Mail, kan indeholde personfølsomme data såsom helbredsoplysninger, misbrugsoplysninger mv.

2 TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER

2.1 KMD træffer de nedenfor beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med behandlingen af personoplysningerne beskrevet i dette Underbilag.

2.2 KMD behandler personoplysningerne i overensstemmelse med nærværende Databehandleraftale og de bestemmelser i henholdsvis persondataloven eller persondataforordningen, der er gældende for databehandlere.

2.3 Ansatte hos KMD, der er beskæftiget med behandling af personoplysninger under Databehandleraftalen, er underlagt tavshedspligt. Alene personale, som autoriseres hertil, må have adgang til de personoplysninger, der behandles under Databehandleraftalen. Såfremt det følger af Aftalen, at særlige sikkerhedsgodkendelser er påkrævet for personale, der er beskæftiget med behandling af Kundens personoplysninger, skal KMD sikre, at disse godkendelser tilvejebringes.

2.4 KMD skal sikre, at KMD’s medarbejdere modtager tilstrækkelig uddannelse og instruktioner.

2.5 KMD har restriktioner for fysisk adgang. Områder, hvor der sker behandling af personoplysninger - hvad enten dette er manuelt eller elektronisk – er ved adgangskontrolmekanismer adskilt fra områder, hvortil der er generel adgang. Sådanne adgangskontrolmekanismer kan eksempelvis omfatte systemer til fysisk adgangskontrol, låse, personsluser, sikkerhedspersonale og overvågningsudstyr.

2.6 KMD har begrænsninger på adgangsrettigheder til personoplysninger og et system til adgangskontrol. Adgang til personoplysninger er begrænset til medarbejdere, og hvor det er relevant, andre leverandører, med et arbejdsbetinget behov og tildeles efter forudgående godkendelse fra KMD. Adgang tilbagekaldes, når brugeren ikke længere opfylder kriterierne for at have adgang. KMD varetager autorisation for KMD’s medarbejdere i det omfang det er særskilt aftalt i Aftalen, for Kundens medarbejdere.

2.6.1 Adgangsrettigheder gennemgås periodisk.

2.6.2 KMD anvender passende logiske autentifikationsmekanismer, eksempelvis adgangskoder, biometri eller lignende. De anvendte autentifikationsmekanismer lever op til, hvad der kan opfattes som god skik på området (eksempelvis krav til adgangskoders længde og kompleksitet).

2.7 KMD har passende tekniske foranstaltninger til at begrænse risikoen for uautoriseret adgang og/eller installering af skadelig kode. Sådanne foranstaltninger kan omfatte, firewalls, anti-virus software og malware-beskyttelse. KMD har formelle procedurer til sikring af, at sikkerhedssystemerne holdes opdaterede.

2.8 KMD har formelle procedurer for ændringshåndtering med henblik på at sikre, at enhver ændring er behørigt autoriseret, testet og godkendt inden implementering. Proceduren understøttes af en effektiv funktionsadskillelse og/eller ledelsesopfølgning for at sikre, at ingen enkeltpersoner kan kontrollere en ændring alene.

2.9 I det omfang det er et krav i medfør af gældende lovgivning eller i øvrigt er omfattet af Aftalen med Kunden, anvender KMD relevante krypteringsteknologier og andre tilsvarende foranstaltninger.

2.10 I det omfang at det følger af Aftalen, skal KMD foranstalte at systemer og data sikkerhedskopieres, samt at sikkerhedskopier opbevares betryggende og i overensstemmelse med det i Aftalen anførte.

2.11 KMD foretager logning af personoplysninger i overensstemmelse med det i Aftalen indeholdte. Kunden er ansvarlig for selv at kontrollere Kundens adgang til og behandling af personoplysninger.

2.12 KMD foretager i overensstemmelse med det i Aftalen indeholdte, registrering af afviste adgangsforsøg og blokering for yderligere forsøg efter et nærmere antal på hinanden følgende afviste adgangsforsøg.

2.13 Produktion og test foregår i adskilte miljøer.

2.14 KMD har processer for håndtering af brud på datasikkerheden.

2.15 KMD sikrer, at der sker sletning af data inden udstyr overgives til tredjepart eller i øvrigt bortskaffes.

2.16 KMD er certificeret i ISO27001:2013, og har implementeret kontroller for de i ISO 27002 indeholdte kontrolmål. Senest fra Persondataforordningens ikrafttræden er også indeholdt kontroller for overholdelse af Persondataforordningen. De dertil hørende politikker og processer har til formål at regulere de områder, der har indflydelse på KMD’s samlede sikkerhedsniveau. Kunden kan på anmodning få udleveret en kopi af KMD’s ”Statement of Applicability”.

2.17 KMD skal hvert år uden særskilt vederlag foranledige udarbejdet en erklæring fra en uafhængig statsautoriseret revisor om KMD’s overholdelse af generelle it-kontroller. Erklæringen skal være af en ISAE 3402 type 2-erklæring, eller erklæringer der måtte træde i stedet for denne. KMD skal endvidere

uden særskilt vederlag hvert år foranledige udarbejdet en generel erklæring fra en uafhængig statsautoriseret revisor vedrørende KMD’s behandlingssikkerhed i relation til persondata. Erklæringen skal udarbejdes som en ISAE 3000-erklæring, eller erklæringer der måtte træde i stedet for denne.

3 ØVRIGE FORHOLD

3.1 Gældende lovgivning

KMD’s behandling af personoplysninger er underlagt persondatalovgivningen i Danmark. Såfremt den persondataretlige regulering for andre lande end Danmark vil være gældende for behandlingen, påhviler det Kunden at oplyse KMD herom samt hvilke yderligere foranstaltninger, dette måtte medføre. Eventuelle omkostninger, som KMD måtte blive påført som følge heraf, skal afholdes af Kunden.

3.2 Test

Kunden giver KMD ret til at behandle alle relevante personoplysninger i det omfang det er nødvendigt for, at KMD kan opfylde de i Hovedaftalen fastsatte forpligtelser og andre relaterede opgaver, herunder i nødvendigt omfang test i forbindelse med udvikling og vedligeholdelse inden for persondatarettens rammer.

3.3 Indberetning til KMD’s aftalespecifikationssystem ved printydelser.

For hvert it-system KMD driftsafvikler for Kunden fastlægges en produktionsplan, der nærmere angiver hvorledes ind- og uddata skal håndteres i normalsituationer.

Af hensyn til det praktiske arbejde er det nødvendigt, at det for hvert it-system (lønsystem, økonomisystem m.v.) fastlægges og til aftalespecifikationssystemet indberettes

(i) hvem konkret (f.eks. kontorchef N.N.) hos Xxxxxx, der er bemyndiget til at bestille produktionsafvikling (f.eks. bestilling af ekstra økonomirapporter) uden for den normale mellem parterne aftalte produktionsplan, samt

(ii) til hvilken modtager på hvilken postadresse fysiske uddata for de forskellige systemområder skal sendes.

Denne indberetning pr. system til aftalespecifikationssystemet samt ændringer hertil foretages af Xxxxxx selv, medmindre andet aftales. Indberetning sker via aftalespecifikationssystemets indberetningsbillede Z051. (KMD kan efter aftale foretage indberetning som betalbar ydelse).

Spørgsmål om indberetning kan rettes til KMD’s Access Management afdeling på 44 60 42 00/xxx@xxx.xx.

3.4 Kundens øverste sikkerhedsansvarlige

Det påhviler Xxxxxx at indberette Kundens øverste sikkerhedsansvarlige, samt substitut herfor, i relation til opgaver, som KMD løser for Kunden. Kunden skal således give meddelelse om navn, titel, kontoradresse, e-mail samt direkte telefonnummer på øverste sikkerhedsansvarlig og substitut til KMD’s Access Management afdeling på 00000000/xxx@xxx.xx. Kunden skal give KMD besked om ændringer på tilsvarende vis.

UNDERBILAG 2 – ANVENDTE UNDERDATABEHANDLERE

1 ANVENDTE UNDERDATABEHANDLERE

1.1 Ved underskrift af Aftalen godkender Kunden, at KMD videreoverlader behandling af de personoplysninger, som Kunden er dataansvarlig for, til én eller flere navngivne Underdatabehandlere oplistet i pkt. 1.3 nedenfor, i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 2.

1.2 De øvrige krav til databehandlernes behandling af de personoplysninger, som via KMD behandles på vegne af Kunden fremgår af Aftalen.

1.3 Til brug for behandlingen vil KMD være berettiget til at anvende følgende Underdatabehandlere (selvstændige juridiske enheder):

KMD Poland Sp. z o.o. * KRS 516 792 * Xxxxxxx Xxxxxxxx Xxxxxx Xxxxxxxxx 0X, Xxxxxxxx X, 0xx xxxxx 00- 000 Xxxxxx * Xxxxx

IBM Danmark ApS * 65305216 * Kongevejen 495B, 2840 Holte * Danmark

IBM Global Services Delivery Centre Hungary * 11115995-2-44 * Xxxxxxx str. 72-100. Bld. 35, H-8000 Székesfehérvár * Ungarn

IBM Global Services Delivery Centre Polska Katowice * 000-000-00-00 * Polska Spółka z o.o. Francuska 36, 40-028 Katowice * Polen

IBM Deutschland, GmbH * DE145178813 * IBM-Allee 1 D-71139 Ehningen * Tyskland

IBM România S.R.L * RO378660 RC J/40/5106/1991 * Bucharest Business Park, Corp A2,Sos. Buchuresti- Ploiesti Nr. 1A 013681 Buchuresti 1 * Rumænien

IBM Global Services Delivery Centre Czech Republic, s.r.o. * CZ26244535 * Xxxxxxxxx 0000/00 Xxxx, Xxx xxxx: 00000 * Tjekkiet

IBM International Services Centre s.r.o * SK7020000405 * Xxxxx 000, Xxxxxxxxx 00 Xxxxxxxxxx, 00000 * Xxxxxxxxx

IBM Ireland Limited * 00000 * XXX Xxxxx, Xxxxxxxxxx Xxxx, Xxxxxx 0. * Irland

IBM UK Ltd. * 741598 * XX Xxx 00, Xxxxx Xxxxxxx, Xxxxxxxxxx, Xxxxx. PO6 3AU * Storbritannien Compagnie IBM France * 552118465 * 00 xxxxxx xx x'Xxxxxx 00000 Xxxx-Xxxxxxxx Xxxxx XXX Xxxxxxxx

* Frankrig

IBM Nederland BV * 33054214 * Xxxxx Xxxxxxxxxxxx 765, P.O. Box 9999, 1066 VH Amsterdam * Holland IBM, SoftLayer Technologies Netherlands BV * 52461041 * KPN Telecommunications

KPN CyberCenter Xxxxxxxxxxxx 00, Xxxxxx, 0000XX * Xxxxxxx

IBM, SoftLayer Technologies Deutschland GmbH * HRB 99938 * Xxxxxxxx - Xxxxxxxxx Xxx 0., Xxxxxxxxx xx Xxxx, 00000 * Tyskland

Tech Mahindra Filial af Tech Mahindra Limited, Indien * 29182361 * Xxxxxxxxxxx 0, 0000 Xxxxxxxx * Xxxxxxx

Tech Mahindra Limited * 00-00-000000 * XxxxXxx Xxxxxxxx, Xxxxx Xxxxx 0000 XXXXXXXX, XXXX XX 00 * Xxxxxx

Behandling af persondata vil uanset godkendelsen af Underdatabehandlere i henhold til Aftalen ske med respekt af ufravigelige lovgivningskrav, herunder persondatalovens § 41, stk. 4 (krigsreglen) og regler der afløser denne bestemmelse.

UNDERBILAG 3 – Anvendte underdatabehandlere med særlige vilkår

Til brug for behandlingen anvendes følgende Underdatabehandlere med nedenstående særlige vilkår: