Dette Tillæg om Databehandling er indgået af og mellem: Transics International BV/SRL, med hjemsted på Ter Waarde 91, 8900 Ieper, Belgien, Momsnummer BE 0881.300.923 RPR/RPM Gent,
Dette Tillæg om Databehandling er indgået af og mellem:
Transics International BV/SRL, med hjemsted på Ter Waarde 91, 8900 Ieper, Belgien, Momsnummer BE 0881.300.923 RPR/RPM Gent,
(Herefter henvist til som “Transics” eller “Databehandleren”),
og
, med hjemsted på ,
(Herefter henvist til som “Kunde” eller “Dataansvarlig”);
Den Dataansvarlige og Databehandleren henvises herefter til i fællesskab som “Parterne” og individuelt som “Parten”.
Hvor Transics leverer flådestyring og andre relaterede tjenester (“Tjenesterne”) til Kunden, som beskrevet i Serviceaftalen og/eller arbejdsordrer (herefter “Serviceaftalen”) indgået mellem Transics og Kunden.
I det omfang ydelsen af Tjenesterne kræver deling og behandling af Personoplysninger mellem Parterne, ønsker Parterne at fastsætte vilkår og betingelser for deres modtagelse, adgang til og videre behandling af Personoplysninger fra den anden part, og i det omfang Transics behandler Personoplysninger som Databehandler på vegne af Kunden i forbindelse med de Tjenester, der leveres af Transics til Kunden i henhold til Serviceaftalen.
PARTERNE HAR DERFOR AFTALT FØLGENDE:
1. Definitioner
1. Vilkårene defineret i Serviceaftalen mellem Databehandleren og den Dataansvarlige vil have samme betydning, når de anvendes i dette Tillæg om Databehandling (“Tillæg”).
2. Med henblik på dette Tillæg har “Persondata”, “Særlige datakategorier”, “Behandle / behandling”, “Ansvarlig” (eller “Dataansvarlig”), “behandler” (eller “Databehandler”), “Underordnet Databehandler”, “Den Registrerede” og “Brud på Persondatasikkerhed” samme betydning som angivet i gældende Databeskyttelseslove.
3. “Databeskyttelseslove” betyder den generelle databeskyttelsesforordning 2016/679 (“GDPR”) og supplerer de nationale lovbestemmelser i EØS-medlemsstaterne, EU- direktiv 2002/58 / EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor som gennemført i EØS- medlemsstaternes nationale lovgivninger, som kan ændres, ophæves, erstattes eller suppleres fra tid til anden, samt enhver anden lovgivning om databeskyttelse og privatlivets fred, der gælder for personoplysninger kontrolleret af hver part.
2. Emne og vilkår
Dette Tillæg gælder for enhver indsamling, brug, deling og viderebehandling af personoplysninger foretaget af Transics, hvis og i den udstrækning Transics behandler personoplysninger som Databehandler på vegne af Kunden i relation til de Tjenester Transics leverer til Kunden i henhold til Serviceaftalen.
Dette Tillæg erstatter, uden forudgående ophævelse, tidligere aftaler indgået mellem Parterne i deres aspekter vedrørende behandling af personoplysninger, herunder, men uden begrænsning, enhver Databehandlingsaftale.
Dette Tillæg udgør en integrerende del af Serviceaftalen. Dette Xxxxxx anses for at have virkning fra undertegnelsesdatoen og vil være gældende i sin helhed og virkning indtil Serviceaftalens opsigelse.
3. Omfang
Parterne vil i deres respektive kapaciteter behandle personoplysningerne i overensstemmelse med gældende Databeskyttelseslov, gældende lov om beskyttelse af personoplysninger og elektronisk kommunikation, GDPR forordningen af 25. maj 2018 og enhver anden gældende forordning, som den Dataansvarlige og/eller Databehandleren er underlagt.
Type data
Den Dataansvarlige har defineret, at følgende datakategorier
vil blive indsamlet, behandlet og brugt af Databehandleren under dette Tillæg:
Personoplysninger, der indsendes, opbevares, sendes eller modtages af Xxxxxx eller dennes slutbrugere via Fleet Management Solution, som kan omfatte:
• Navn, stillingsbetegnelse, kørekortnummer, kvalifikation, dato for ind / ud af tjenesten, udløbsdato for lægeerklæring
• Professionelle, kommercielle eller forretningsmæssige adresser
• Dato / år / fødselsdato
• Telekommunikationsdata (fx forbindelse, placering, brug og trafikdata)
• Telefonnummer, mobiltelefonnummer
• E-mailadresse
• Fartskriverdata (kørsel, hvile, arbejdstid)
• Meddelelser
• IP-adresser
• Eco-data
• Planlægnings- og kontroldata
• Præcise lokaliseringsdata (GPS-positioner)
• Nummerplade på lastbil og anhænger
• Enheds- og servicerelaterede diagnosedata
• Foto
• Køn
• Rolle (chauffør / besøgende / afsender / administrator)
• Chaufførens sprog
• Tacho-kort: ID
• Tacho-kort: Udstedelsesland
• Aktiviteter (kørsel, stilstand, hvile, osv.)
• Alarmer
• Dato for seneste tachoudlæsning
• ECO Performance / Trend: Tomgang, Høje omdrejninger, Hastighedsoverskridelse, Frigear, Hård opbremsning, Marchhastighed, Gennemsnitligt brændstofforbrug
• TracKing dataintegration for trailer (Thermo King): zonetemperatur, dørstatus, dæktryk, alarmer
• Køretøjets FMS-data (flådestyringssystemer) / Data om køretøjsbrug, såsom: tilbagelagt distance, tidspunkt på dagen, køretid, køretøjets hastighed, motoromdrejningstal, motorbelastning, motortemperatur, bremse- / svingnings- / accelerationsmanøvrer, rejsens varighed og afstand, batterispænding
• Data over trailerbrug, så som: tilbagelagte distance, tid på dagen, kørslens varighed, trailerhastighed, trailerbelastning, bremsning (EBS)/distance, TPMS , EBPMS, GNSS
• Videoptagelse (skal aktiveres af kunden)
Kategorier af Registrerede
Den Dataansvarlige har defineret følgende kategorier af Registrerede, for hvilke personoplysninger som defineret ovenfor vil blive indsamlet, behandlet og brugt af Databehandleren under denne Databehandlingsaftale:
Kundens medarbejdere;
Kundens leverandører;
medarbejderne hos Kundens Kunder, leverandører og underleverandører;
enhver anden person som sender data via Fleet Management Solution, herunder individer som samarbejder og kommunikerer med Kundens slutbrugere.
Dataopbevaring
Databehandleren må ikke opbevare personoplysningerne i en form, der tillader identifikation af de Registrerede i længere tid end nødvendigt til de formål, som Databehandleren behandler personoplysningerne via Transics FMS til, medmindre andet er påkrævet eller tilladt i henhold til Databeskyttelseslove eller andre gældende regler . Kunden skal udtrykkeligt instruere Transics i at fastsætte lagringsperioden til 1 år, for til hver en tid at kunne garantere Kunden tilgængelighed til alle data. Efter denne periode, kan Transics vælge at slette disse Personlige oplysninger eller sørge for, at de ikke længere er tilgængelige. Før denne periode udløber, skal Kunden eksportere alle nødvendige oplysninger via Transics værktøjer. Transics er
ikke forpligtet til at slette kopier af Personlige oplysninger, der opbevares i automatiske sikkerhedskopier, som genereres af Transics, og som vil blive gemt i den længst mulige periode for at sikre kontinuitet, men vil blive slettet inden for 14 måneder efter deres oprettelse. Sådanne sikkerhedskopierede kopier forbliver underlagt dette Tillæg om Databehandling og Aftalen indtil de destrueres. Uden at det berører den Dataansvarliges ret, der er fastsat i artikel 4.i nedenfor, har Transics ret til at anonymisere de personoplysninger, der er indsamlet, genereret og/eller gemt i forbindelse med levering af Tjenesterne og videreudnytte de således anonymiserede data til statistiske, analytiske, kommercielle og benchmark formål.
4. Databehandlerens forpligtelser
Hvor Transics (som Databehandler) behandler personoplysninger på vegne af Kunden (som Dataansvarlig), skal Transics:
a. Behandle eller få sådanne personoplysninger behandlet i overensstemmelse med de Databeskyttelseslove, der gælder for virksomheden som Databehandler.
b. Behandle - og sørge for, at enhver person, der på virksomhedens vegne - behandler personoplysninger på vegne af den Dataansvarlige og i overensstemmelse med dennes dokumenterede instruktioner, medmindre andet kræves af Unionens eller EU-lovgivningen, som Databehandleren er underlagt. I så fald skal Registerføreren informere den Dataansvarlige om lovkravene før behandlingen, med mindre loven forbyder sådanne oplysninger af hensyn til vigtige samfundsinteresser. Dette Xxxxxx skal svare til de dokumenterede instruktioner fra den Dataansvarlige til Registerføreren. På instruktion fra den Dataansvarlige skal Databehandleren også rette, korrigere eller blokere personoplysningerne og sikre, at kun behørigt uddannet personale har adgang til personoplysningerne.
c. Under hensyntagen til arten af forarbejdning og de oplysninger, der er til rådighed for Databehandleren, bistår den Dataansvarlige med at sikre overholdelsen af sine forpligtelser i henhold til gældende Databeskyttelseslov, herunder med eventuelle nødvendige konsekvensanalyser for privatliv.
d. Gennemføre passende tekniske og organisatoriske foranstaltninger som krævet i henhold til gældende Databeskyttelseslov for at beskytte personoplysningerne mod utilsigtet eller ulovlig destruktion eller utilsigtet tab, ændring, uautoriseret adgang, offentliggørelse eller overførsel, misbrug og mod alle andre ulovlige former for behandling, og i det mindste træffe følgende sikkerhedsforanstaltninger:
i. Pseudonymisering og kryptering af personoplysninger;
ii. Evnen til at sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed i behandlingssystemer og -tjenester;
iii. Evnen til at genoprette tilgængeligheden af og adgangen til personoplysninger rettidigt i tilfælde af et fysisk eller teknisk uheld;
iv. En proces til regelmæssigt at afprøve, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af sikkerheden af behandlingen.
I Tillæg 1 dokumenterer Databehandleren gennemførelsen af de tekniske og organisatoriske foranstaltninger.
e. Stille alle nødvendige oplysninger til rådighed for den Dataansvarlige for at påvise overholdelse af Databehandlerens forpligtelser til at overholde gældende lov om databeskyttelse og tillade og bidrage til revisioner, herunder inspektioner, der udføres af den Dataansvarlige eller en anden revisor, der er udpeget af den Dataansvarlige. Den Dataansvarliges ret til revision er betinget af, at Databehandleren gives mindst fire (4) ugers forudgående skriftlig varsel om en sådan revision.
f. Med hensyn til punkt (e) ovenfor, straks underrette den Dataansvarlige, hvis en instruktion modtaget fra den Dataansvarlige efter Databehandlerens opfattelse
overtræder Databeskyttelsesloven.
g. Under hensyntagen til arten af behandlingen og de oplysninger, den råder over, bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for så vidt det er muligt, for at opfylde den Dataansvarliges forpligtelse til at give oplysninger om indsamling, behandling eller brug af
databeskyttelsesniveau, indgås EU- standardkontraktklausuler for Databehandlere mellem den Underordnede Databehandler og den Dataansvarlige (hvor Transics, alt efter omstændighederne, handler på vegne af den Dataansvarlige) eller andre passende dataoverføringsmekanismer skal implementeres i overensstemmelse med gældende
AFTALT af Parterne gennem deres behørigt autoriserede repræsentanter på den dato, hvor begge Parter har underskrevet dette Tillæg om Databehandling.
For og på vegne af:
Transics
personoplysninger til en registreret og besvare
anmodninger om udøvelse af den registreredes
Databeskyttelseslove; og Kunden tillader hermed
udtrykkeligt autoriserer Transics at indgå
rettigheder. Enhver anmodning fra en registreret direkte til Databehandleren skal videresendes til den
Dataansvarlige. c)
h. Uden unødig forsinkelse underrette den Dataansvarlige
om Brud på Persondatasikkerheden, der berører personoplysninger behandlet af Databehandleren, og under hensyntagen til arten af behandlingen og de oplysninger, den råder over, bistå den Dataansvarlige i videst muligt omfang med at opfylde sine opgaver, hvis
standardkontraktbestemmelser med de Underordnede Databehandlere, der er anført i de relevante bilag på vegne af Kunden.
Hvis den Underordnede Databehandler ikke opfylder sine databeskyttelsesforpligtelser i henhold til en sådan skriftlig aftale, vil Databehandleren være helt Ansvarlig over for den Dataansvarlige for opfyldelsen af den Underordnede Databehandlers forpligtelser med forbehold for ansvarsbegrænsninger som aftalt i dette Tillæg.
6. Den Dataansvarliges forpligtelser
Navn: Xxxxxxx Xxxxxx Funktion: DCS BU Leader
Kunde
Navn: Funktion: Dato:
der opstår et Brud på Persondatasikkerhed.
i. Efter den Dataansvarliges valg slette eller returnere alle personoplysninger til den Dataansvarlige efter afslutningen af leveringen af de tjenester, der vedrører behandlingen, og slette eksisterende kopier, medmindre Unionens eller medlemsstatens lov kræver opbevaring af personoplysningerne. Hvis der, efter 3 måneder efter afslutningen af Tjenesteydelserne, intet valg og ingen instruktioner er blevet fremsendt, vil Transics ikke længere gøre de Personlige oplysninger tilgængelige eller slette dem. Kunden skal eksportere alle nødvendige oplysninger via Transics værktøjer inden for 3 måneder efter afslutningen af Tjenesteydelserne.
j. Sørg for, at personer (fx ansatte), der er bemyndiget til at behandle personoplysningerne, har underskrevet en fortrolighedsaftale eller er omfattet af en passende lovbestemt fortrolighedsforpligtelse.
k. Uden at det berører den Dataansvarliges forpligtelse i henhold til artikel 6.4 nedenunder, opretholde en fortegnelse over alle kategorier af behandlingsaktiviteter, der udføres på vegne af den Dataansvarlige i overensstemmelse med GDPR.
Databehandleren er berettiget til at kræve kompensation i forbindelse med den bistand, den yder den Dataansvarlige, der går ud over, hvad der kræves i Databeskyttelsesloven og dette Tillæg om databeskyttelse.
5. Underbehandling
1. Via dette Tillæg giver den Dataansvarlige en generel skriftlig tilladelse til at hyre en anden Databehandler til hele eller en del af behandlingen under dette Tillæg.
2. Det aftales, at enhver Underordnet Databehandler, der er opført i Tillæg 2, er udtrykkeligt autoriseret.
3. Databehandleren skal informere den Dataansvarlige om eventuelle påtænkte ændringer vedrørende tilføjelse eller udskiftning af andre Databehandlere, således at den Dataansvarlige får mulighed for at modsætte sig sådanne ændringer. Hvis den Dataansvarlige har væsentlige og legitime grunde til at modsætte sig den specifikke Underordnede Databehandler, skal han meddele Databehandleren sådanne indvendinger skriftligt så hurtigt som muligt efter modtagelsen af Databehandlerens meddelelse vedrørende en sådan Underordnet Databehandler.
4. Hvor Transics, med generel godkendelse fra den Dataansvarlige som angivet ovenfor, træffer foranstaltninger eller overvejer at få personoplysninger, opbevaret i henhold til dette Tillæg, overført til og behandlet af en Underordnet Databehandler, gælder følgende betingelser:
a) Transics må kun gøre dette i form af en skriftlig aftale med den Underordnede Databehandler, der pålægger den Underordnede Databehandler samme forpligtelser som pålagt Databehandleren i henhold til dette Tillæg, især forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen vil opfylde gældende krav i henhold til gældende Databeskyttelseslove.
b) Hvor personoplysninger er eller vil blive overført uden for EØS til et land, der ikke leverer et tilstrækkeligt
1. Den Dataansvarlige bestemmer formålene og midlerne til behandling af personoplysninger ved hjælp af Transics FMS.
2. Den Dataansvarlige garanterer at:
a. Databehandleren får tilladelse til at anvende personoplysningerne med henblik på behandling som fastlagt i dette Tillæg om Databehandling.
b. Personoplysningerne er lovligt indsamlet og behandlet i overensstemmelse med Databeskyttelsesloven.
c. Overholdelse af gældende Databeskyttelseslove er garanteret, når den Dataansvarlige overfører personoplysninger til Databehandleren for at overholde dette Tillæg om Databehandling, og når den giver instruktioner til Databehandleren vedrørende behandling af personoplysninger.
3. Den Dataansvarlige skal sørge for, at dataene behandles på en måde, der sikrer passende sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og imod utilsigtet tab, ødelæggelse eller skade ved hjælp af passende tekniske eller organisatoriske foranstaltninger.
4. Den Dataansvarlige skal føre optegnelser over behandlingsaktiviteter under sit ansvar i overensstemmelse med GDPR, hvor Transics FMS skal dækkes.
7. Overdragelse
Databehandleren må ikke overdrage sine forpligtelser i henhold til dette Tillæg om Databehandling uden forudgående skriftligt samtykke fra den Dataansvarlige, med undtagelse af overdragelse til et datterselskab eller et tilknyttet selskab, der er en del af ZF Group, i hvilket tilfælde ingen forudgående skriftlig tilladelse fra den Dataansvarlige er påkrævet. Hvis Databehandleren overdrager dette Tillæg om Databehandling med samtykke fra den Dataansvarlige, må denne kun gøre det i form af en skriftlig aftale med den det overdrages til, der pålægger denne de samme forpligtelser som er pålagt Databehandleren i henhold til dette Tillæg om Databehandling.
8. Ansvar
Parternes respektive forpligtelser over for hinanden for overtrædelse af dette Tillæg og deres erstatningsforpligtelse over for hinanden for krav fra tredjeparter, anlagt mod en part på grund af en kontraktlig eller ikke-kontraktlig overtrædelse af dette Tillæg eller Databeskyttelsesloven af anden part, er underlagt de ansvars- og erstatningsbetingelser, der er fastsat i Serviceaftalen mellem Transics og Kunden med hensyn til de relevante Tjenester.
9. Gældende lov og jurisdiktion
Dette Tillæg om databeskyttelse reguleres af den lov, der regulerer den relevante servicesaftale (medmindre et sådant lovvalg ikke er gyldigt i henhold til gældende lovgivning i det land, hvor den relevante Dataansvarlige er etableret, i hvilket tilfælde lovvalg er loven i det land, hvor den relevante Dataansvarlige er etableret).
Den kompetente jurisdiktion for eventuelle kontraktmæssige eller ikke-kontraktmæssige tvister, der opstår som følge af eller i forbindelse med dette Tillæg, skal være den samme som den, der er aftalt i den relevante Serviceaftale. Dette afsnit påvirker imidlertid ikke nogen af Parternes respektive obligatoriske forpligtelser i henhold til gældende Databeskyttelseslove.
Bilag 1: Tekniske og operationelle foranstaltninger
Dette Xxxxxx er rettet mod Kunder og forretningspartnere og beskriver de tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger mod uautoriseret adgang, ødelæggelse og tab i overensstemmelse med Databeskyttelsesloven.
Dette dokument indeholder yderligere oplysninger om de tekniske og organisatoriske foranstaltninger, der er gennemført til databeskyttelsesformål af Databehandleren.
DATACENTER- OG NETVÆRKSSIKKERHED
Datacenteret, der anvendes af Transics, er et datacenter niveau 3:
• Strømtilgængelighed SLA – 100 %
• Temperatur SLA
Mål: Vedligeholdelse af computerrummets temperatur på en kildetemperatur på 18 til 27 grader C på en kontinuerlig basis underlagt en udetemperatur under 40 grader C og i overensstemmelse med ASHRAE- retningslinjer.
• Fugtighed SLA
Mål: Vedligeholdelse af en fugtighed i computerrummet mellem 40 % og 60 %
• Facilitet
Højdensitetsløsninger til rådighed 24 x 7 x 365 bygningsdrift
800 mm hævet gulv med 3,5 meter til undersiden af loftet
Overdækket leveringsplads med niveauudjævning og sikre opbevaringsrum Gulvbelastning 12 KN pr. kvadratmeter
• Strøm
To netstrømsindgange N+1 generatorer
2N nødstrømforsyning
• Sikkerhed
24 x 7 sikkerhed på stedet Kortlæsere og biometri Envejsudgang
3 m hegn omkring stedets perimeter
Interne og eksterne overvågningskameraer - 90 dages optagelser
• Overholdelse / Certificeringer
Tier 3 uptime institute Certified Data Center ISO27001, PCIDSS-kompatibel, BREEAM-
certificeret
ASHRAE standarder og retningslinjer for datacentre
• Køling
Adiabatisk løsning med indirekte udeluft Ingen konventionel mekanisk køling er nødvendig
Intet vand i datacentrets hvide rum
TRANSICS’ PRÆMISSER
1. Adgangskontrol (bygning / kontorer / datacenter)
Databehandleren har implementeret, men ikke begrænset til, følgende foranstaltninger for at forhindre uautoriseret adgang til databehandlingssystemer, hvor personoplysninger behandles:
Medarbejdere har et personligt kort / nøgle for at få adgang til bygningen.
Uautoriserede personer skal forhindres i at få fysisk adgang til lokaler, bygninger eller rum, hvor der er placeret databehandlingssystemer, som behandler og/eller bruger personoplysninger.
2. Adgangskontrol (systemer)
Databehandleren har implementeret, men ikke begrænset til, følgende foranstaltninger for at forhindre uautoriseret personer i at bruge databehandlingssystemer:
Selskabsomspændende informationssystemer overvåges løbende 24x7, 365 dage om året af Transics IT-teamet.
Medarbejdere har hver en individuel terminal med personlig identifikation og adgangskode.
Der er en automatisk timeout for brugerterminalen, hvis den ikke bruges. Identifikation og adgangskode er påkrævet for at genåbne den.
Automatisk inaktivering af bruger-id’et, når der indtastes flere forkerte adgangskoder, logfil med begivenheder (overvågning af indbrudsforsøg).
Alle medarbejdere er bundet af fortrolighedsaftaler. Al adgang til ikke-offentlige data gives udelukkende ved behov og overvåges. Der er løbende brugeruddannelse om vigtigheden af datasikkerhed i virksomheden.
Adgang til produktionssystemer sker via multi- factor-godkendelse.
Transics har adgang via funktionelt ansvarsområde, dvs. R&D-teamet, hosting- teamet, Service Desk-teamet … Adgang er stillingsbaseret med regelmæssige gennemgange af gruppemedlemskab.
3. Adgangskontrol (data)
Databehandleren har implementeret, men ikke begrænset til, følgende foranstaltninger for at sikre, at autoriserede brugere af et databehandlingssystem kun har adgang til de data, som de er autoriseret til, og for at undgå, at personoplysninger læses, mens dataene anvendes, flyttes eller ikke bruges, uden tilladelse:
Kundeforbindelser er autentificeret ved hjælp af multi-factor-godkendelse.
Central login-portal med sikker adgang til kundeapplikationer med et “single sign-on” - princip, der kan kombineres med “two factor”- godkendelse.
4. Kontrol af overførsel
Databehandleren har implementeret, men ikke begrænset til, følgende foranstaltninger for at sikre, at personoplysninger ikke kan læses, kopieres eller ændres under elektronisk transmission eller under transport eller opbevaring på disk. For at kontrollere og bestemme til hvilke organer overførsel af personoplysninger, der leveres via datakommunikationsudstyr, tillades:
Sker alle kundeinteraktioner over internettet via SSL- / TLS-sikrede forbindelser
Er elle forbindelser til databasen krypteret
Er sikkerhedskopier og data som ikke bruges krypteret
5. Kontrol med indtastning
Databehandleren har implementeret, men ikke begrænset til, følgende foranstaltninger for at sikre, og efterfølgende kontrollere og afgøre om og af hvem personoplysninger er indtastet, ændret eller fjernet på databehandlingssystemer:
en godkendelsespolitik for indtastning af data i hukommelsen samt for læsning, ændring og sletning af lagrede data;
godkendelse af det autoriserede personale;
beskyttelsesforanstaltninger for indtastning af data i hukommelsen samt for læsning, ændring og sletning af lagrede data;
brug af brugerkoder (adgangskoder);
der følges en politik om at alle medarbejdere i Transics, der har adgang til personoplysninger behandlet for Kunden, skal ændre deres adgangskoder mindst en gang i løbet af en 90- dages periode;
indgange til databehandlingsfaciliteter (værelserne, der rummer computerhardwaren og tilhørende udstyr) kan låses;
automatisk aflogning af bruger-id’er, der ikke har været brugt i længere tid.
6. Kontrol med ordrer
Databehandleren har implementeret, men ikke begrænset til, følgende foranstaltninger for at sikre, at personoplysninger, der behandles efter anmodning fra dataejeren af en databehandler, kun behandles som instrueret af xxxxxxxxxx:
Dataejeren er altid berettiget til at kontrollere den korrekte udførelse af alt arbejde, han har bestilt. Transics skal give Xxxxxx tilstrækkelige oplysninger om det udførte arbejde.
7. Kontrol af tilgængelighed
Databehandleren har implementeret, men ikke begrænset til, følgende foranstaltninger for at sikre, at personoplysninger er beskyttet mod utilsigtet ødelæggelse eller tab:
Se afsnittet “Datacenter”.
8. Opdelt behandling
Databehandleren har implementeret, men ikke begrænset til, følgende foranstaltninger for at sikre, at personoplysninger indsamlet til forskellige formål kan behandles separat:
Adgang til data adskilles via applikationssikkerhed til de relevante brugere;
Der findes forskellige miljøer til DEV, QA og PRODUCTION;
Live og testmiljø er adskilt.
9. Databeskyttelsesansvarlig
Databehandleren har udpeget en databeskyttelsesansvarlig (DPO) i overensstemmelse med GDPR. Denne person vil sikre overholdelse af GDPR og andre Databeskyttelseslove. Du bedes sende alle spørgsmål til den databeskyttelsesansvarlige via xxxxxxx.xxxxxxx@xx.xxx.
Bilag 2: Liste over Underordnede Databehandlere
En oversigt over den aktuelle liste over Databehandlere brugt af Transics kan findes via følgende link: xxxxx://xxx.xx.xxx/xxxxx/xxxxxxxxxxxxx