Skip to Content
Go back
BAS-IP / TILLÆG OM DATABEHANDLING

Sidst opdateret: [10.12.2025]

Dette tillæg til databehandling (herefter ‘DPA‘) indgås mellem dig (herefter ‘Klient‘, ‘du‘, ‘din‘) og BAS-IP DISTRIBUTION LTD (herefter ‘Selskabet‘, ‘BAS-IP‘, ‘vi‘, ‘os‘ eller ‘vores‘), herefter omtalt individuelt som ‘Part‘ eller samlet som ‘Fester‘. Denne DPA supplerer vilkårene og betingelserne (herefter ‘Aftalen‘), indgået mellem parterne.

Denne DPA regulerer behandlingen af persondata, som klienten leverer til BAS-IP i forbindelse med brugen af BAS-IP’s produkter og tjenester (samlet set ‘Services‘), samt eventuelle persondata, som BAS-IP indsamler i forbindelse med udførelsen af tjenesterne for klienten.

Medmindre andet er defineret i denne DPA, vil alle kapitaliserede termer, der bruges i denne DPA, have de betydninger, der er fastsat i aftalen. Denne DPA forbliver gældende indtil ophøret af aftalen mellem dig og os, der regulerer din brug af tjenesterne. I tilfælde af konflikt mellem denne DPA og aftalen gælder bestemmelserne i denne DPA med hensyn til behandling af persondata.

1. Definitioner

Til formålet med denne DPA skal følgende definitioner gælde:

Klientdata” betyder alle personlige data, som klienten uploader, transmitterer eller på anden måde leverer til BAS-IP i forbindelse med tjenesterne, samt alle personlige data, som BAS-IP behandler i forbindelse med udførelsen af tjenesterne.

Databeskyttelseslove” betyder alle gældende love og regler vedrørende behandling af klientdata, herunder dem fra Den Europæiske Union, Det Europæiske Økonomiske Samarbejdsområde og dets medlemslande, Storbritannien, såsom:

  • EU’s generelle forordning om databeskyttelse (EU GDPR);
  • den britiske generelle databeskyttelsesforordning (UK GDPR);
  • Databeskyttelsesloven 2018;
  • Data (Use and Access) Act 2025 (DUAA);
  • eventuelle andre gældende databeskyttelseslove og -regler, i det omfang det gælder for parterne, samt behandlingsaktiviteterne under denne DPA eventuelle andre gældende love og regler.

Dataoverførselsmekanisme” betyder enhver juridisk anerkendt mekanisme, instrument eller ramme, der tillader overførsel af klientdata fra én jurisdiktion til en anden i overensstemmelse med gældende databeskyttelseslove, herunder, uden begrænsning, EU’s standardkontraktklausuler og det britiske tillæg.

EU’s SCC’er” betyder EU-standardkontraktbestemmelser for overførsel af klientdata til tredjelande i henhold til forordning (EU) 2016/679 fra Europa-Parlamentet og Rådet godkendt ved Europa-Kommissionens gennemførelsesbeslutning (EU) 2021/914 af 4. juni 2021, som i øjeblikket fastsat i https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Generel forordning om databeskyttelse (GDPR)” betyder forordning (EU) 2016/679 fra Europa-Parlamentet og Rådet af 27. april 2016 om beskyttelse af fysiske personer vedrørende behandling af persondata og om fri bevægelighed af sådanne data, samt ophævelse af direktiv 95/46/EF.

International dataoverførsel” betyder enhver overførsel af klientdata fra et land, hvor dataene indsamles, til et land uden for denne jurisdiktion, hvor de gældende databeskyttelseslove kræver passende sikkerhedsforanstaltninger for en sådan overførsel.

Offentlig myndighed” betyder en statslig myndighed eller retshåndhævende myndighed, herunder retslige myndigheder.

Følsomme klientdata” betyder klientdata, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger, eller fagforeningsmedlemskab, genetiske data eller biometriske data med det formål entydigt at identificere en fysisk person, data om helbred, en persons sexliv eller seksuelle orientering, eller data relateret til straffedomme og lovovertrædelser.

Tjenester” betyder de tjenester, som selskabet leverer til kunden.

Tilsynsmyndighed” betyder en uafhængig offentlig myndighed, der er ansvarlig for at overvåge anvendelsen af databeskyttelseslovgivningen.

Tekniske og organisatoriske sikkerhedsforanstaltninger” betyder de foranstaltninger, der har til formål at beskytte persondata mod utilsigtet destruktion eller utilsigtet tab, ændring, uautoriseret videregivelse eller adgang, især hvor behandlingen involverer overførsel af data via et netværk, og mod alle andre ulovlige former for behandling.

UK GDPR” betyder den tilbageholdte version af EU’s generelle databeskyttelsesforordning, som den indgår i britisk lovgivning, sammen med eventuelle ændringer foretaget af Data Protection Act 2018 og anden gældende britisk lovgivning vedrørende behandling af persondata.

UK Addendum” betyder International Data Transfer Addendum til EU’s standardkontraktklausuler, som er udstedt af Information Commissioner for parter, der foretager begrænsede overførsler i betydningen af de britiske databeskyttelseslove, som de i øjeblikket er fastsat i https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

personansvarlig“, “behandler“, “underbehandler“, “dataperson“, “persondata” og “behandling” har de betydninger, der er angivet i databeskyttelseslovene.

2. Roller og ansvar

Når BAS-IP behandler klientdata på dine vegne i forbindelse med tjenester, anerkender og accepterer du, at du med hensyn til behandling af klientdata er en ansvarlig eller behandler, og vi er en behandler eller underbehandler (som defineret i databeskyttelseslovene), der handler på dine vegne. En beskrivelse af sådan behandling er angivet i bilag 1 til denne DPA. Denne DPA gælder tilsvarende for etablerede roller og gælder ikke for situationer, hvor vi agerer som ansvarlig i overensstemmelse med BAS-IP’s privatlivspolitik.

Hvis klienten er en behandler, giver klienten garanti til BAS-IP, at klientens instruktioner og handlinger vedrørende persondata, herunder udpegning af BAS-IP som underbehandler og, hvor det er relevant, at afslutte EU-SCC’er eller andre tillæg under afsnit 9 i denne DPA (herunder som de kan ændres i afsnit 9 nedenfor), har været (og vil,  i varigheden af denne DPA, fortsat bemyndiges) af den relevante tredjeparts controller.

3. Instruktioner

Parterne er enige om, at denne DPA og den gældende aftale udgør klientens fuldstændige og endelige dokumenterede instruktioner vedrørende behandling af klientdata (herefter ‘Instruktioner‘), hvor klienten fungerer som ansvarlig eller behandler, og BAS-IP fungerer som behandler eller underbehandler i henhold til databeskyttelseslovgivning.

Eventuelle yderligere eller alternative instruktioner skal aftales skriftligt af parterne og skal være i overensstemmelse med denne DPA og aftalen.

4. Beskrivelse af behandlingen

Behandlingen af klientdata på vegne af klienten i forbindelse med tjenester er beskrevet i bilag 1 til denne DPA. Vi forbeholder os retten til at opdatere beskrivelsen af behandlingen fra tid til anden for at afspejle ny funktionalitet, der er en del af tjenesterne.

5. Kundens forpligtelser

5.1. Controllerens forpligtelser

Inden for rammerne af DPA’en, når klienten handler som controller, er klienten ansvarlig for at overholde alle krav, der gælder for klienten som ansvarlig person, i henhold til databeskyttelseslovene.

Når du fungerer som controller, skal du:

(a) opretholde nøjagtigheden, kvaliteten, fortroligheden og sikkerheden af klientdata;

(b) overholde og opfylde dine forpligtelser i henhold til databeskyttelseslovgivning, herunder med hensyn til oplysninger om rettigheder for den registrerte, datasikkerhed og fortrolighed, og sikre, at du har et passende juridisk grundlag for behandling af persondata;

(c) kun levere klientdata, der lovligt er indhentet, og sikre, at disse data er tilstrækkelige, relevante og proportionale med de tilsigtede formål;

(d) sikre, at dine instruktioner til BAS-IP vedrørende behandling af klientdata overholder databeskyttelseslovene, herunder principperne om dataminimering, formålsbegrænsning og opbevaringsbegrænsning.

5.2. Processorens forpligtelser

Inden for DPA’ens rammer, når klienten handler som behandler, er klienten ansvarlig for at overholde alle krav, der gælder for klienten som behandler i henhold til databeskyttelseslovene.

Når du handler som Processor, skal du:

(a) kun give BAS-IP behandlingsinstruktioner, der nøjagtigt afspejler de dokumenterede instruktioner fra den respektive controller;

(b) kun give BAS-IP klientdata, der lovligt er indhentet fra den respektive person, og som er tilstrækkelige, relevante og begrænset til det, der er nødvendigt for de tilladte formål;

(c) opretholde gennemsigtighed over for den respektive controller vedrørende involvering af BAS-IP og eventuelle underprocessorer;

(d) overholde alle forpligtelser i henhold til gældende databeskyttelseslove i din egenskab af behandler;

(e) sikre, at dit personale eller enhver tredjepart, der får adgang til klientdata, overholder denne DPA og aftalen.

6. BAS-IP forpligtelser

6.1. Generelle forpligtelser

Når BAS-IP fungerer som en processor/underprocessor, skal vi:

(a) behandle klientdata i henhold til dine instruktioner og udelukkende til de angivne formål;

(b) informere dig, hvis BAS-IP har en rimelig vurdering:

(i) dine instruktioner overtræder eller kan overtræde gældende databeskyttelseslove; eller

(ii) BAS-IP ikke kan overholde dine instruktioner;

(c) implementere og vedligeholde passende tekniske og organisatoriske foranstaltninger for at sikre fortroligheden af klientdata;

(d) overholde alle gældende databeskyttelseslove, herunder forpligtelser vedrørende de registrerede personers rettigheder, datasikkerhed og fortrolighed;

(e) sikre, gennem skriftlige kontrakter eller andre juridisk bindende midler, at enhver underbehandler, der er engageret i at behandle klientdata på vegne af BAS-IP, er underlagt tilsvarende databeskyttelsesforpligtelser som fastsat i denne DPA og aftalen;

(f) føre nøjagtige optegnelser over alle behandlingsaktiviteter udført på dine vegne under denne DPA og give dig sådanne optegnelser efter anmodning;

(g) uden unødig forsinkelse underrette dig, hvis BAS-IP bliver opmærksom på, at eventuelle klientdata, du har leveret, er unøjagtige, ufuldstændige eller forældede;

(g) anvende passende og nødvendige sikkerhedsforanstaltninger eller restriktioner ved behandling af følsomme klientdata, som krævet af databeskyttelseslovgivningen eller instruktionerne;

(h) give dig alle oplysninger, der med rimelighed er nødvendige for at påvise BAS-IP’s overholdelse af sine forpligtelser under gældende databeskyttelseslove.

6.2. Meddelelser til en klient

Når vi bliver bekendt, vil vi informere dig om enhver juridisk bindende anmodning om videregivelse af klientdata fra en offentlig myndighed, medmindre vi ellers er forbudt ved lov at informere klienten, for eksempel for at bevare fortroligheden ved en undersøgelse foretaget af en offentlig myndighed. Vi vil informere dig, hvis BAS-IP bliver opmærksom på nogen meddelelse, forespørgsel eller undersøgelse fra en tilsynsmyndighed vedrørende behandlingen af klientdata under denne DPA, der er foretaget mellem dig og os.

6.3. Fortrolighed

Vi vil ikke få adgang til, bruge eller videregive nogen klientdata til tredjepart, undtagen i hvert tilfælde som nødvendigt for at vedligeholde eller levere tjenesterne eller for at overholde kontraktlige og juridiske forpligtelser eller en bindende ordre fra en offentlig myndighed (såsom en stævning eller retskendelse).

Vi sikrer, at enhver medarbejder/entreprenør, som vi giver tilladelse til at få adgang til kundedata på vores vegne, er underlagt passende fortroligheds-, kontrakt- eller lovpligtige forpligtelser i forhold til klientdata.

6.4. Sikkerhedsforanstaltninger

Vi vil implementere og opretholde passende tekniske og organisatoriske foranstaltninger for at beskytte kundedata mod databrud, såsom faktisk eller mistænkt utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til klientdata, der er overført, opbevaret eller på anden måde behandlet (herefter ‘Sikkerhedshændelser‘) i overensstemmelse med vores sikkerhedsstandarder fastsat i bilag 2 til denne DPA.

Du anerkender, at sikkerhedsforanstaltninger er underlagt teknisk fremgang, så vi kan ændre eller opdatere bilag 2 i denne DPA efter eget skøn, forudsat at en sådan ændring eller opdatering ikke medfører en væsentlig forringelse af de sikkerhedsforanstaltninger, der tilbydes i bilag 2 til denne DPA.

6.5. Sikkerhedshændelse

Når vi bliver opmærksomme på en sikkerhedshændelse, skal vi:

  • underrette dig uden unødig forsinkelse, når vi bliver opmærksomme på sikkerhedshændelsen;
  • at give rettidig information om sikkerhedshændelsen (typen af persondata, kategorier og potentielt antal berørte personer eller optegnelser), efterhånden som det bliver kendt, eller som du med rimelighed anmoder; og
  • tag hurtigt rimelige skridt til at inddæmme og undersøge enhver sikkerhedshændelse, så du kan underrette kompetente myndigheder og/eller berørte datasubjekter om sikkerhedshændelsen.

Vores underretning af eller respons på en sikkerhedshændelse skal ikke opfattes som en anerkendelse fra vores side af nogen fejl eller ansvar i forbindelse med sikkerhedshændelsen.

6.6. Returnering eller sletning af klientdata

Ved opsigelse eller udløb af den aftale, der er indgået mellem dig og os, vil vi slette eller returnere alle klientdata, vi har i vores besiddelse eller kontrol. Dette krav gælder ikke i det omfang, vi er forpligtet af gældende lov eller tilsvarende kontraktlige forpligtelser til at opbevare nogle eller alle klientdataene.

6.7. Rimelig bistand

Vi accepterer at yde rimelig bistand til klienten vedrørende:

(a) enhver anmodning fra en dataperson vedrørende adgang til eller rettelse, sletning, begrænsning, portabilitet, blokering eller sletning af klientdata, som vi behandler på vegne af klienten. Hvis en dataperson sender en sådan anmodning direkte til os, gælder afsnit 7 i denne DPA;

(b) undersøgelse af sikkerhedshændelsen og kommunikation af nødvendige meddelelser vedrørende sådanne sikkerhedshændelser, underlagt afsnit 6.5 i denne DPA;

(c) udarbejdelse af databeskyttelsesvurderinger (‘DPIA’erne‘) og, hvor nødvendigt, konsultation af klienten med tilsynsmyndigheden i henhold til artiklerne 35 og 36 i GDPR.

6.8 Revision og certificering

6.8.1 Tilsynsmyndighedens revision

Hvis en tilsynsmyndighed kræver en revision af vores databehandlingsfaciliteter, som vi bruger til at behandle klientdata for at fastslå eller overvåge klientens overholdelse af databeskyttelseslovene, vil vi samarbejde med revisionen. Kunden er ansvarlig for alle omkostninger og gebyrer i forbindelse med sådan revision, herunder alle rimelige omkostninger og gebyrer for al tid, vi bruger på en sådan revision, ud over de priser for de ydelser, vi leverer.

6.8.2 Revisioner

Kunden kan, før behandlingen påbegyndes og med jævne mellemrum, derefter revidere de tekniske og organisatoriske foranstaltninger, vi har taget. Hvis klienten er ansvarlig for de personoplysninger, vi behandler på hans vegne, efter rimelig og rettidig forudgående aftale, i normale åbningstider og uden afbrydelse af vores forretningsdrift, kan vi give kunden alle nødvendige oplysninger for at påvise overholdelse af dens forpligtelser fastsat i artikel 28 i GDPR og muliggøre og bidrage til revisioner,  herunder inspektioner, udført af klienten eller en anden revisor, som klienten har pålagt i forbindelse med sådan behandling.

Vi skal, efter kundens skriftlige anmodning og inden for en rimelig periode, give klienten alle nødvendige oplysninger til en sådan revision, i det omfang oplysningerne er under vores kontrol, og vi ikke er udelukket fra at videregive dem af gældende lov, en tavshedspligt eller nogen anden forpligtelse over for en tredjepart.

7. Anmodninger om datasubjekt

Hvis en oplyst person kontakter os vedrørende udøvelsen af deres rettigheder i henhold til databeskyttelseslovene (især anmodninger om adgang til, rettelse eller sletning af klientdata), vil vi gøre alle rimelige anstrengelser for at videresende sådanne anmodninger til dig. Hvis vi er juridisk forpligtet til at svare på en sådan anmodning, vil vi straks underrette dig og give dig en kopi af anmodningen, medmindre vi er juridisk forhindret i det.

8. Underprocessorer

BAS-IP har den generelle skriftlige tilladelse fra klienten til at engagere underbehandlere fra en aftalt liste. BAS-IP accepterer at informere klienten om eventuelle tilsigtede ændringer i denne liste vedrørende tilføjelse eller udskiftning af underprocessorer mindst 10 dage før den pågældende underprocessors engagement, hvilket giver klienten mulighed for at gøre indsigelse mod sådanne ændringer. BAS-IP skal give klienten de nødvendige oplysninger for at gøre det muligt for klienten at udøve retten til at gøre indsigelse.

Hvis afsnit 9 i denne DPA finder anvendelse, skal proceduren for at engagere underbehandlere reguleres af de relevante bestemmelser i afsnit 9 i denne DPA. I sådanne tilfælde har bestemmelserne i afsnit 9 forrang.

Den aftalte liste over underbehandlere er angivet i bilag 3 til denne DPA.

9. Overførsel af klientdata

9.1. Generelt

Du anerkender og accepterer, at brugen af BAS-IP-tjenester kan indebære overførsel af klientdata til andre jurisdiktioner i overensstemmelse med gældende databeskyttelseslove.

Hvor sådanne overførsler kræver passende sikkerhedsforanstaltninger, skal de gældende dataoverførselsmekanismer anvendes, såsom EU’s SCC’er og det britiske tillæg. Disse dataoverførselsmekanismer er indarbejdet i og udgør en integreret del af denne DPA, som yderligere beskrevet i afsnit 9.2. og 9,3.

I tilfælde af konflikt mellem bestemmelserne i denne DPA og de gældende dataoverførselsmekanismer, gælder bestemmelserne i den relevante dataoverførselsmekanisme udelukkende i det omfang, konflikten foregår.

9.2. Overførsler under GDPR

Når behandlingen af klientdata på dine vegne i forbindelse med tjenester udgør en “overførsel” i henhold til GDPR, gælder standardkontraktklausuler.

Når du er controller, og vi er en processor, gælder modul to af EU’s SCC’er, og når du er processor, og vi er underbehandler, gælder modul tre af EU’s SCC’er.

For formålet med EU’s SCC’er er BAS-IP en “Data Importør”, og du er en “Data Exporter”.

De relevante bestemmelser i EU’s SCC’er er indarbejdet ved reference og udgør en integreret del af denne DPA. Klausuler og bilag til EU’s SCC’er anses for at være fuldendt som følger:

(i) i klausul 7 gælder den valgfrie docking-klausul ikke;

(ii) i klausul 9, Mulighed 2 (Generel skriftlig tilladelse) skal gælde. Med henblik på klausul 9(a) skal tidsfristen for at informere dataeksportøren være 10 dage;

(iii) i klausul 11 gælder den valgfrie bestemmelse ikke;

(iv) i klausul 13 gælder en bestemt mulighed afhængigt af den konkrete sag;

(v) i paragraf 17 skal mulighed 1 anvendes. EU’s SCC’er skal reguleres af Forbundsrepublikken Tysklands lovgivning;

(vi) i punkt 18(b) skal tvister afgøres af domstolene i Forbundsrepublikken Tyskland;

(vii) Bilag I til EU’s SCC’er anses for at være udfyldt med de oplysninger, der er angivet i bilag 1 til denne DPA;

(viii) Bilag II til EU’s SCC’er anses for at være fuldført med de oplysninger, der er angivet i bilag 2 til denne DPA.

9.3. Overførsler under det britiske databeskyttelsesrammeværk

Når behandlingen af klientdata på dine vegne i forbindelse med tjenester udgør en “begrænset overførsel” under britiske databeskyttelseslove, gælder det britiske tillæg.

Når du er controller og BAS-IP er en processor, gælder modul to af EU’s SCC’er, og når du er processor, og vi er underbehandler, gælder modul tre af EU’s SCC’er, som fuldført i underafsnit 9.2. af denne DPA.

I forbindelse med det britiske tillæg er BAS-IP en “importør”, og du er en “eksportør”.

De relevante bestemmelser i det britiske tillæg er indarbejdet ved reference og udgør en integreret del af denne DPA. Tabeller i det britiske tillæg anses for at være udfyldt som følger:

(i) Tabel 1 i Del 1 anses for at være udfyldt med oplysningerne i bilag 1 til denne DPA, og importørens officielle registreringsnummer er 328138502, og eksportørens officielle registreringsnummer er indeholdt i kundens konto, hvis der er nogen;

(ii) Tabel 2 i del 1 anses for at være udfyldt i overensstemmelse med oplysningerne angivet i underafsnit 9.2. af denne DPA;

(iii) Tabel 3 i Del 1 anses for at være fuldført med de oplysninger, der er angivet i bilag 1, 2 og 3 i denne DPA;

(iv) i tabel 4 i del 1 må ingen af parterne afslutte dette tillæg som angivet i afsnit 19 i det britiske tillæg.

BILAG 1 – BESKRIVELSE AF BEHANDLINGEN

LISTE OVER PARTIER

Client (dataeksportør)

Navn: Du, ‘Klient’

Adresse: de relevante oplysninger findes i klientens konto.

Kontaktpersonens navn, stilling og kontaktoplysninger: de relevante oplysninger findes i klientens konto.

Aktiviteter relevante for de data, der overføres under disse klausuler: levering af tjenesterne.

Underskrift og dato: parterne er enige om, at indgåelse af aftalen af dataeksportøren skal udgøre udførelsen af denne DPA af både dataimportøren og dataeksportøren. Datoen for registreringen af kontoen på platformen betragtes som datoen for gennemførelsen af denne DPA.

Rolle: controller eller processor

BAS-IP DISTRIBUTION LTD (Data Importør)

Navn: BAS-IP DISTRIBUTION LTD

Adresse: Crown House 27 Old Gloucester Street, London, England

Kontaktpersonens navn, stilling og kontaktoplysninger: [indsæt venligst navn, stilling og kontaktoplysninger, f.eks. e-mail]

Aktiviteter relevante for de data, der overføres under disse klausuler: levering af tjenesterne.

Underskrift og dato: parterne er enige om, at indgåelse af aftalen af dataeksportøren skal udgøre udførelsen af denne DPA af både dataimportøren og dataeksportøren. Datoen for registreringen af kontoen på platformen betragtes som datoen for gennemførelsen af denne DPA.

Rolle: processor eller underprocessor

BESKRIVELSE AF OVERDRAGELSE

  1. Kategorier af datapersoner, hvis persondata overføres:
  • Kundens kunder;
  • andre datapersoner, hvis personoplysninger overføres under de tjenester, som virksomheden leverer til kunden.
  • Kategorier af overførte persondata:
  • personoplysninger relateret til klienters kunder;
  • andre personoplysninger, som kan overføres under de tjenester, som virksomheden leverer til kunden.
  • Følsomme data overføres (hvis relevant) og anvender restriktioner eller sikkerhedsforanstaltninger, der fuldt ud tager højde for dataenes karakter og de involverede risici:

Dataimportøren kan kun få adgang til følsomme data, hvor sådanne følsomme data leveres af klienten og udelukkende i det omfang, der er nødvendigt for udførelsen af tjenesterne. I sådanne tilfælde implementerer dataimportøren de tekniske og organisatoriske foranstaltninger, der er angivet i bilag 2, sammen med andre passende og nødvendige sikkerhedsforanstaltninger eller restriktioner, idet man tager hensyn til arten af de følsomme data og risiciene forbundet med deres behandling, i overensstemmelse med gældende love og regler.

  • Hyppigheden af overførslen:

Persondata overføres kontinuerligt.

  • Behandlingens karakter:

Behandling af personlige data består af følgende: indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, hentning, konsultation, tilpasning eller kombination, begrænsning, sletning eller destruktion.

  • Formål(er) med dataoverførslen og videre behandling:

Formålet med databehandlingen under disse klausuler er udførelsen af tjenesterne for dataeksportøren af dataimportøren i henhold til aftalen indgået mellem dataimportøren og dataeksportøren.

  • Den periode, hvor personoplysningerne vil blive opbevaret, eller hvis det ikke er muligt, kriterierne der bruges til at bestemme denne periode:

Personoplysningerne skal opbevares i hele denne DPA, der er indgået mellem dataimportøren og dataeksportøren, medmindre andet er aftalt skriftligt, eller dataimportøren er forpligtet ved gældende lov til at opbevare nogle eller alle de overførte persondata.

  • For overførsler til (under)processorer angives også emnet, arten og varigheden af behandlingen:

Emne: Udførelsen af tjenesteydelser

Natur: Indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, genfindelse, konsultation, tilpasning eller kombination, begrænsning, sletning eller destruktion.

varighed: udførelsen af tjenesterne for dataimportøren af (under)behandleren under den serviceaftale, der er indgået mellem dataimportøren og (under)behandleren.

KOMPETENT TILSYNSMYNDIGHED

I overensstemmelse med klausul 13 bestemmes den kompetente tilsynsmyndighed under disse klausuler afhængigt af, hvilken version af klausul 13(a) der gælder for dataeksportøren.

BILAG 2 – TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER

TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER, HERUNDER TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER FOR AT SIKRE DATASIKKERHEDEN

Beskrivelse af de tekniske og organisatoriske foranstaltninger, som dataimportøren(e) har implementeret for at sikre et passende sikkerhedsniveau, idet der tages hensyn til behandlingens natur, omfang, kontekst og formål samt risiciene for fysiske personers rettigheder og friheder:

  • Data Importer er forpligtet til at bevare fortroligheden, integriteten, tilgængeligheden og robustheden af alle persondata, der er tale om, gennem hele sine behandlingsaktiviteter og sikre, at persondata beskyttes mod tab og ødelæggelse ved at implementere passende interne informationssikkerhedspolitikker, procedurer og andre passende foranstaltninger.
  • Data Importer giver adgang til persondata udelukkende på need-to-know-basis, og sådanne data er kun tilgængelige for autoriseret personale.
  • Data Importer har implementeret rollebaserede adgangskontrol- og adgangskontrollister for at håndhæve streng adskillelse af brugerrettigheder.
  • Data Importers informationssikkerhedsprocedurer er underlagt regelmæssige gennemgange.
  • Data Importer bruger pålidelige tjenesteudbydere og overvåger, hvilke tekniske og organisatoriske foranstaltninger de har på plads for at sikre, at persondata er beskyttet til enhver tid.
  • Data Importer har implementeret tiltag, der beskytter fortroligheden og integriteten af persondata under dataoverførsler.
  • Data Importer har implementeret tekniske og organisatoriske foranstaltninger, der er designet til at begrænse sikkerhedshændelser og forhindre yderligere datatab og -skader.

BILAG 3 – UNDERPROCESSORER

Controlleren har godkendt brugen af følgende underbehandlere:

Subprocessor 1

Navn: Hetzner Online GmbH / Hetzner Finland Oy

Adresse: Industriestr. 25, 91710 Gunzenhausen, Tyskland / Huurrekuja 10, 04360 Tuusula (Helsinki / Tuusula), Finland

Kontaktpersonens navn, stilling og kontaktoplysninger: [email protected] 

Beskrivelse af behandling: hosting af data på serverne hos Hetzner Online GmbH / Hetzner Finland Oy

Subprocessor 2

Navn: DigitalOcean, LLC

Adresse: 105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, USA

Kontaktpersonens navn, stilling og kontaktoplysninger: [email protected] 

Beskrivelse af behandling: hosting af data på serverne hos DigitalOcean, LLC