EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021D0915
Commission Implementing Decision (EU) 2021/915 of 4 June 2021 on standard contractual clauses between controllers and processors under Article 28(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council and Article 29(7) of Regulation (EU) 2018/1725 of the European Parliament and of the Council (Text with EEA relevance)
Kommissionens gennemførelsesafgørelse (EU) 2021/915 af 4. juni 2021 om standardkontraktbestemmelser mellem dataansvarlige og databehandlere i henhold til artikel 28, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 og artikel 29, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (EØS-relevant tekst)
Kommissionens gennemførelsesafgørelse (EU) 2021/915 af 4. juni 2021 om standardkontraktbestemmelser mellem dataansvarlige og databehandlere i henhold til artikel 28, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 og artikel 29, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (EØS-relevant tekst)
C/2021/3701
EUT L 199 af 7.6.2021, p. 18–30
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
7.6.2021 |
DA |
Den Europæiske Unions Tidende |
L 199/18 |
KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) 2021/915
af 4. juni 2021
om standardkontraktbestemmelser mellem dataansvarlige og databehandlere i henhold til artikel 28, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 og artikel 29, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725
(EØS-relevant tekst)
EUROPA-KOMMISSIONEN HAR ––
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (1), særlig artikel 28, stk. 7,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse 1247/2002/EF (2), særlig artikel 29, stk. 7, og
ud fra følgende betragtninger:
|
(1) |
Begreberne dataansvarlig og databehandler spiller en afgørende rolle i anvendelsen af forordning (EU) 2016/679 og forordning (EU) 2018/1725. Den dataansvarlige er den fysiske eller juridiske person, offentlige myndighed, institution eller andet organ, som alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Med henblik på forordning (EU) 2018/1725 forstås ved en dataansvarlig den EU-institution eller det EU-organ eller generaldirektorat eller enhver anden organisatorisk enhed, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Hvis formålet med og hjælpemidlerne til en sådan behandling er fastlagt i en specifik EU-retsakt, kan Unionen fastsætte den dataansvarlige eller de specifikke kriterier for udpegelse af denne. En databehandler er den fysiske eller juridiske person, offentlige myndighed, institution eller andet organ, der behandler personoplysninger på den dataansvarliges vegne. |
|
(2) |
Det samme sæt standardkontraktbestemmelser bør gælde for forholdet mellem dataansvarlige og databehandlere, der er omfattet af forordning (EU) 2016/679, og ligeledes, når de er omfattet af forordning (EU) 2018/1725. Grunden hertil er, at databeskyttelsesreglerne i forordning (EU) 2016/679, der finder anvendelse på den offentlige sektor i medlemsstaterne, og databeskyttelsesreglerne i forordning (EU) 2018/1725, der finder anvendelse på Unionens institutioner, organer, kontorer og agenturer, så vidt muligt er blevet tilpasset hinanden for at have en sammenhængende tilgang til beskyttelse af personoplysninger i hele Unionen og fri udveksling af personoplysninger i Unionen. |
|
(3) |
For at sikre overholdelse af kravene i forordning (EU) 2016/679 og (EU) 2018/1725 bør den dataansvarlige, når denne overdrager behandlingsaktiviteter til en databehandler, kun anvende databehandlere, der giver tilstrækkelige garantier, navnlig med hensyn til ekspertviden, pålidelighed og ressourcer, til at gennemføre tekniske og organisatoriske foranstaltninger, der opfylder kravene i forordning (EU) 2016/679 og forordning (EU) 2018/1725, herunder med hensyn til behandlingssikkerhed. |
|
(4) |
En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, som er bindende for databehandleren med hensyn til den dataansvarlige, og som fastsætter de elementer, der er anført i artikel 28, stk. 3 og 4, i forordning (EU) 2016/679 eller artikel 29, stk. 3 og 4, i forordning (EU) 2018/1725. Den pågældende kontrakt eller det pågældende dokument skal være skriftlig, herunder i elektronisk form. |
|
(5) |
I overensstemmelse med artikel 28, stk. 6, i forordning (EU) 2016/679 og artikel 29, stk. 6, i forordning (EU) 2018/1725 kan den dataansvarlige og databehandleren vælge at forhandle en individuel kontrakt, der indeholder de obligatoriske elementer, der er fastsat i henholdsvis artikel 28, stk. 3 og 4, i forordning (EU) 2016/679 eller artikel 29, stk. 3 og 4, i forordning (EU) 2018/1725, eller helt eller delvist at anvende standardkontraktbestemmelser vedtaget af Kommissionen i henhold til artikel 28, stk. 7, i forordning (EU) 2016/679 og artikel 29, stk. 7, i forordning (EU) 2018/1725. |
|
(6) |
Den dataansvarlige og databehandleren bør frit kunne medtage de standardkontraktbestemmelser, der er fastsat i denne afgørelse, i en bredere kontrakt og tilføje andre bestemmelser eller yderligere garantier, forudsat at de ikke direkte eller indirekte er i strid med standardkontraktbestemmelserne eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. Anvendelsen af standardkontraktbestemmelserne berører ikke eventuelle kontraktlige forpligtelser for den dataansvarlige og/eller databehandleren til at sikre overholdelse af gældende privilegier og immuniteter. |
|
(7) |
Standardkontraktbestemmelserne bør indeholde både materielle og proceduremæssige regler. I overensstemmelse med artikel 28, stk. 3, i forordning (EU) 2016/679 og artikel 29, stk. 3, i forordning (EU) 2018/1725 bør standardkontraktbestemmelserne også kræve, at den dataansvarlige og databehandleren fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger, kategorierne af registrerede og den dataansvarliges forpligtelser og rettigheder. |
|
(8) |
I henhold til artikel 28, stk. 3, i forordning (EU) 2016/679 og til artikel 29, stk. 3, i forordning (EU) 2018/1725 skal databehandleren straks underrette den dataansvarlige, hvis en instruks fra den dataansvarlige efter dennes opfattelse er i strid med forordning (EU) 2016/679 eller forordning (EU) 2018/1725 eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. |
|
(9) |
Hvis en databehandler lader en anden databehandler udføre specifikke aktiviteter, bør de særlige krav, der er omhandlet i artikel 28, stk. 2 og 4, i forordning (EU) 2016/679 eller artikel 29, stk. 2 og 4, i forordning (EU) 2018/1725, finde anvendelse. Der kræves navnlig en specifik eller generel skriftlig forhåndsgodkendelse. Uanset om denne forhåndsgodkendelse er specifik eller generel, bør den første databehandler ajourføre en liste over andre databehandlere. |
|
(10) |
For at opfylde kravene i artikel 46, stk. 1, i forordning (EU) 2016/679 har Kommissionen vedtaget standardkontraktbestemmelser i henhold til artikel 46, stk. 2, litra c), i forordning (EU) 2016/679. Disse bestemmelser opfylder også kravene i artikel 28, stk. 3 og 4, i forordning (EU) 2016/679 for dataoverførsler fra dataansvarlige, der er omfattet af forordning (EU) 2016/679, til databehandlere uden for forordningens geografiske anvendelsesområde eller fra databehandlere, der er omfattet af forordning (EU) 2016/679, til underdatabehandlere uden for forordningens geografiske anvendelsesområde. Disse standardkontraktbestemmelser kan ikke anvendes som standardkontraktbestemmelser med henblik på kapitel V i forordning (EU) 2016/679. |
|
(11) |
Tredjeparter bør kunne blive part i standardkontraktbestemmelserne i hele kontraktens løbetid. |
|
(12) |
Anvendelsen af standardkontraktbestemmelserne bør evalueres som en del af den regelmæssige evaluering af forordning (EU) 2016/679, der er omhandlet i artikel 97 i nævnte forordning. |
|
(13) |
Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd er blevet hørt i overensstemmelse med artikel 42, stk. 1 og 2, i forordning (EU) 2018/1725 og afgav en fælles udtalelse den 14. januar 2021 (3), som er taget i betragtning ved udarbejdelsen af denne afgørelse. |
|
(14) |
Foranstaltningerne i denne afgørelse stemmer overens med udtalelsen fra det udvalg, der er nedsat ved artikel 93 i forordning (EU) 2016/679 og artikel 96, stk. 2, i forordning (EU) 2018/1725 — |
VEDTAGET DENNE AFGØRELSE:
Artikel 1
Standardkontraktbestemmelserne, som fastsat i bilaget, opfylder kravene til kontrakter mellem dataansvarlige og databehandlere i artikel 28, stk. 3 og 4, i forordning (EU) 2016/679 og i artikel 29, stk. 3 og 4, i forordning (EU) 2018/1725.
Artikel 2
Standardkontraktbestemmelserne, som fastsat i bilaget, kan anvendes i kontrakter mellem en dataansvarlig og en databehandler, der behandler personoplysninger på vegne af den dataansvarlige.
Artikel 3
Kommissionen evaluerer den praktiske anvendelse af standardkontraktbestemmelserne i bilaget på grundlag af alle tilgængelige oplysninger som led i den regelmæssige evaluering, der er omhandlet i artikel 97 i forordning (EU) 2016/679.
Artikel 4
Denne afgørelse træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Udfærdiget i Bruxelles, den 4. juni 2021.
På Kommissionens vegne
Ursula VON DER LEYEN
Formand
(1) EUT L 119 af 4.5.2016, s. 1.
(2) EUT L 295 af 21.11.2018, s. 39.
(3) Fælles udtalelse 1/2021 fra Det Europæiske Databeskyttelsesråd og Den Europæiske Tilsynsførende for Databeskyttelse om Europa-Kommissionens gennemførelsesafgørelse om standardkontraktbestemmelser mellem dataansvarlige og databehandlere med henblik på de spørgsmål, der er omhandlet i artikel 28, stk. 7 i forordning (EU) 2016/679 og artikel 29, stk. 7 i forordning (EU) 2018/1725.
BILAG
Standardkontraktbestemmelser
AFDELING I
Bestemmelse 1
Formål og anvendelsesområde
|
a) |
Formålet med disse standardkontraktbestemmelser (herefter bestemmelserne) er at sikre overholdelse af (vælg det relevante alternativ: ALTERNATIV 1: artikel 28, stk. 3 og 4, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse))/(ALTERNATIV 2: artikel 29, stk. 3 og 4, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF). |
|
b) |
De dataansvarlige og databehandlerne, der er opført i bilag I, har accepteret disse bestemmelser for at sikre overholdelse af artikel 28, stk. 3 og 4, i forordning (EU) 2016/679 og artikel 29, stk. 3 og 4, i forordning (EU) 2018/1725. |
|
c) |
Disse bestemmelser finder anvendelse på behandling af personoplysninger som anført i bilag II. |
|
d) |
Bilag I-IV er en integrerende del af bestemmelserne. |
|
e) |
Disse bestemmelser berører ikke de forpligtelser, som den dataansvarlige er underlagt i henhold til forordning (EU) 2016/679 og/eller forordning (EU) 2018/1725. |
|
f) |
Disse bestemmelser sikrer ikke i sig selv, at forpligtelserne vedrørende internationale overførsler i henhold til kapitel V i forordning (EU) 2016/679 og/eller forordning (EU) 2018/1725 overholdes. |
Bestemmelse 2
Bestemmelsernes uforanderlighed
|
a) |
Parterne forpligter sig til ikke at ændre bestemmelserne, bortset fra at tilføje oplysninger til bilagene eller ajourføre oplysninger i dem. |
|
b) |
Dette forhindrer ikke parterne i at medtage de standardkontraktbestemmelser, der er fastsat i disse bestemmelser, i en bredere kontrakt eller i at tilføje andre bestemmelser eller yderligere garantier, forudsat at de ikke direkte eller indirekte er i strid med bestemmelserne eller indskrænker de registreredes grundlæggende rettigheder eller frihedsrettigheder. |
Bestemmelse 3
Fortolkning
|
a) |
Hvor disse bestemmelser anvender de udtryk, der er defineret i henholdsvis forordning (EU) 2016/679 eller forordning (EU) 2018/1725, har disse udtryk samme betydning som i nævnte forordning. |
|
b) |
Disse bestemmelser skal læses og fortolkes i lyset af bestemmelserne i henholdsvis forordning (EU) 2016/679 eller forordning (EU) 2018/1725. |
|
c) |
Disse bestemmelser må ikke fortolkes på en måde, der strider mod de rettigheder og forpligtelser, der er fastsat i forordning (EU) 2016/679/forordning (EU) 2018/1725, eller på en måde, som berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. |
Bestemmelse 4
Hierarki
I tilfælde af uoverensstemmelse mellem disse bestemmelser og bestemmelserne i tilknyttede aftaler mellem parterne, der eksisterer på det tidspunkt, hvor disse bestemmelser aftales eller indgås, har disse bestemmelser forrang.
Bestemmelse 5 — Valgfri
Dockingklausul
|
a) |
Enhver enhed, der ikke er part i disse bestemmelser, kan efter aftale med alle parterne til enhver tid tiltræde disse bestemmelser som dataansvarlig eller databehandler ved at udfylde bilagene og underskrive bilag I. |
|
b) |
Når bilagene nævnt i punkt a) er udfyldt og underskrevet, behandles den tiltrædende enhed som part i disse bestemmelser og har de rettigheder og forpligtelser, der tilkommer en dataansvarlig eller databehandler i overensstemmelse med udpegelsen af denne i bilag I. |
|
c) |
Den tiltrædende enhed har ingen rettigheder eller forpligtelser som følge af disse bestemmelser fra den periode, der går forud for enhedens tiltrædelse som part. |
AFDELING II
PARTERNES FORPLIGTELSER
Bestemmelse 6
Beskrivelse af behandlingen/behandlingerne
Nærmere oplysninger om behandlingsaktiviteterne, navnlig de kategorier af personoplysninger og formålene med den behandling, hvortil personoplysningerne behandles på vegne af den dataansvarlige, er anført i bilag II.
Bestemmelse 7
Parternes forpligtelser
7.1. Instrukser
|
a) |
Databehandleren behandler kun personoplysninger efter dokumenterede instrukser fra den dataansvarlige, medmindre dette kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt. I så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre loven forbyder dette af hensyn til vigtige samfundsinteresser. Efterfølgende instrukser kan også gives af den dataansvarlige under hele behandlingen af personoplysninger. Disse instrukser skal altid dokumenteres. |
|
b) |
Databehandleren underretter straks den dataansvarlige, hvis instrukser fra den dataansvarlige efter databehandlerens opfattelse er i strid med forordning (EU) 2016/679/forordning (EU) 2018/1725 eller de gældende databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. |
7.2. Formålsbegrænsning
Databehandleren må kun behandle personoplysningerne til det eller de specifikke formål med behandlingen, som er fastsat i bilag II, medmindre han modtager yderligere instrukser fra den dataansvarlige.
7.3. Varigheden af behandlingen af personoplysninger
Behandlingen foretaget af databehandleren må kun finde sted i den periode, der er anført i bilag II.
7.4. Behandlingssikkerhed
|
a) |
Databehandleren gennemfører som minimum de tekniske og organisatoriske foranstaltninger, der er anført i bilag III, for at garantere personoplysningernes sikkerhed. Dette omfatter beskyttelse af data mod brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til oplysningerne (brud på persondatasikkerheden). Ved vurderingen af det passende sikkerhedsniveau tager parterne behørigt hensyn til det aktuelle tekniske niveau, gennemførelsesomkostningerne, behandlingens karakter, omfang, kontekst og formål samt de risici, der består for de registrerede. |
|
b) |
Databehandleren giver kun sine medarbejdere adgang til personoplysninger, der behandles, i det omfang, det er strengt nødvendigt for gennemførelsen, forvaltningen og overvågningen af kontrakten. Databehandleren sikrer, at de personer, der er bemyndiget til at behandle de modtagne personoplysninger, har forpligtet sig til at iagttage fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. |
7.5. Følsomme oplysninger
Hvis behandlingen omfatter personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data eller biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en persons seksuelle forhold eller seksuelle orientering eller oplysninger om straffedomme og lovovertrædelser (»følsomme oplysninger«), anvender databehandleren specifikke begrænsninger og/eller supplerende garantier.
7.6. Dokumentation og overholdelse
|
a) |
Parterne skal kunne påvise, at de overholder disse bestemmelser. |
|
b) |
Databehandleren behandler omgående og fyldestgørende forespørgsler fra den dataansvarlige om behandlingen af data i henhold til disse bestemmelser. |
|
c) |
Databehandleren stiller alle de oplysninger til rådighed for den dataansvarlige, der er nødvendige for at påvise overholdelse af de forpligtelser, der er fastsat i disse bestemmelser, og som følger direkte af forordning (EU) 2016/679 og/eller forordning (EU) 2018/1725. På den dataansvarliges anmodning skal databehandleren også tillade og bidrage til revisioner af de behandlingsaktiviteter, der er omfattet af disse bestemmelser, med rimelige mellemrum, eller hvis der er tegn på manglende overholdelse. Når den dataansvarlige træffer afgørelse om en gennemgang eller revision, kan denne tage hensyn til relevante certificeringer, som databehandleren er i besiddelse af. |
|
d) |
Den dataansvarlige kan vælge selv at gennemføre revisionen eller bemyndige en uafhængig revisor. Revisionen kan også omfatte inspektioner i databehandlerens lokaler eller fysiske faciliteter og skal, hvor det er relevant, gennemføres med et rimeligt varsel. |
|
e) |
Parterne stiller på anmodning de oplysninger, der er omhandlet i denne bestemmelse, herunder resultaterne af eventuelle revisioner, til rådighed for de(n) kompetente tilsynsmyndighed(er). |
7.7. Anvendelse af underdatabehandlere
|
a) |
ALTERNATIV 1: FORUDGÅENDE SPECIFIK GODKENDELSE: Databehandleren må ikke udlicitere nogen af sine behandlingsaktiviteter, der udføres på vegne af den dataansvarlige i overensstemmelse med disse bestemmelser, til en underdatabehandler uden den dataansvarliges forudgående specifikke skriftlige godkendelse. Databehandleren indgiver anmodningen om specifik godkendelse mindst (ANGIV TIDSPERIODE), inden aftale indgås med den pågældende underdatabehandler, sammen med de oplysninger, der er nødvendige for, at den dataansvarlige kan træffe afgørelse om godkendelsen. Listen over underdatabehandlere, der er godkendt af den dataansvarlige, findes i bilag IV. Parterne skal holde bilag IV ajourført. ALTERNATIV 2: GENEREL SKRIFTLIG GODKENDELSE: Databehandleren har den dataansvarliges generelle godkendelse til at indgå aftale med underdatabehandlere fra en aftalt liste. Databehandleren underretter specifikt den dataansvarlige skriftligt om eventuelle påtænkte ændringer af denne liste som følge af, at underdatabehandlere tilføjes til listen eller erstattes, mindst (ANGIV TIDSPERIODE) på forhånd og giver derved den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer, inden aftale indgås med den eller de pågældende underdatabehandler(e). Databehandleren giver den dataansvarlige de oplysninger, der er nødvendige for, at den dataansvarlige kan udøve sin indsigelsesret. |
|
b) |
Hvis databehandleren indgår aftale med en underdatabehandler med henblik på at udføre specifikke behandlingsaktiviteter (på vegne af den dataansvarlige), skal databehandleren gøre dette i form af en kontrakt, der i det væsentlige pålægger underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der pålægges databehandleren i overensstemmelse med disse bestemmelser. Databehandleren skal sikre, at underdatabehandleren opfylder de forpligtelser, som databehandleren er underlagt i henhold til disse bestemmelser og til forordning (EU) 2016/679 og/eller forordning (EU) 2018/1725. |
|
c) |
Databehandleren forelægger på den dataansvarliges anmodning en kopi af en sådan aftale med en underdatabehandler og eventuelle efterfølgende ændringer for den dataansvarlige. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan databehandleren redigere aftaleteksten, inden kopien videregives. |
|
d) |
Databehandleren forbliver fuldt ud ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser i henhold til dennes kontrakt med databehandleren. Databehandleren underretter den dataansvarlige om enhver manglende opfyldelse fra underdatabehandlerens side af dennes kontraktlige forpligtelser. |
|
e) |
Databehandleren indgår en aftale om tredjemandsløfte med underdatabehandleren, hvorefter den dataansvarlige — i tilfælde af at databehandleren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent — har ret til at opsige kontrakten med underdatabehandleren og til at give underdatabehandleren en instruks om at slette eller tilbagelevere personoplysningerne. |
7.8. Internationale overførsler
|
a) |
Databehandlerens overførsel af oplysninger til et tredjeland eller en international organisation må kun ske på grundlag af dokumenterede instrukser fra den dataansvarlige eller for at opfylde et specifikt krav i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt, og skal finde sted i overensstemmelse med kapitel V i forordning (EU) 2016/679 eller forordning (EU) 2018/1725. |
|
b) |
Den dataansvarlige er enig i, at hvis databehandleren gør brug af en underdatabehandler i overensstemmelse med bestemmelse 7.7 til at udføre specifikke behandlingsaktiviteter (på vegne af den dataansvarlige), og disse behandlingsaktiviteter indebærer en overførsel af personoplysninger som omhandlet i kapitel V i forordning (EU) 2016/679, kan databehandleren og underdatabehandleren sikre overensstemmelse med kapitel V i forordning (EU) 2016/679 ved hjælp af standardkontraktbestemmelser vedtaget af Kommissionen i overensstemmelse med artikel 46, stk. 2, i forordning (EU) 2016/679, forudsat at betingelserne for anvendelse af disse standardkontraktbestemmelser er opfyldt. |
Bestemmelse 8
Bistand til den dataansvarlige
|
a) |
Databehandleren underretter straks den dataansvarlige om enhver anmodning, han har modtaget fra den registrerede. Databehandleren må ikke selv besvare anmodningen, medmindre den dataansvarlige har givet tilladelse hertil. |
|
b) |
Databehandleren bistår den dataansvarlige med at opfylde dennes forpligtelse til at besvare registreredes anmodninger om udøvelse af deres rettigheder under hensyntagen til behandlingens karakter. Ved opfyldelsen af sine forpligtelser i henhold til punkt a) og b) skal databehandleren overholde den dataansvarliges instrukser. |
|
c) |
Ud over databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til bestemmelse 8, punkt b), bistår databehandleren desuden den dataansvarlige med at sikre overholdelse af følgende forpligtelser under hensyntagen til databehandlingens karakter og de oplysninger, som databehandleren har til rådighed:
|
|
d) |
Parterne fastsætter i bilag III de passende tekniske og organisatoriske foranstaltninger, som databehandleren skal anvende til at bistå den dataansvarlige ved anvendelsen af denne bestemmelse, samt anvendelsesområdet for og omfanget af den nødvendige bistand. |
Bestemmelse 9
Anmeldelse af brud på persondatasikkerheden
I tilfælde af brud på persondatasikkerheden samarbejder databehandleren med og bistår den dataansvarlige med henblik på, at den dataansvarlige opfylder sine forpligtelser i henhold til artikel 33 og 34 i forordning (EU) 2016/679 eller i henhold til artikel 34 og 35 i forordning (EU) 2018/1725, hvor det er relevant, under hensyntagen til behandlingens karakter og de oplysninger, som databehandleren har adgang til.
9.1. Brud på datasikkerheden vedrørende oplysninger, der behandles af den dataansvarlige
I tilfælde af brud på persondatasikkerheden vedrørende oplysninger, der behandles af den dataansvarlige, bistår databehandleren den dataansvarlige:
|
a) |
med at anmelde bruddet på persondatasikkerheden til de(n) kompetente tilsynsmyndighed(er) uden unødig forsinkelse, efter at den dataansvarlige har fået kendskab til det, hvis det er relevant (medmindre bruddet på persondatasikkerheden sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder) |
|
b) |
med at indhente følgende oplysninger, som i henhold til (ALTERNATIV 1) artikel 33, stk. 3, i forordning (EU) 2016/679/(ALTERNATIV 2) artikel 34, stk. 3, i forordning (EU) 2018/1725 skal angives i den dataansvarliges meddelelse, og skal som minimum omfatte:
|
Hvis og i det omfang det ikke er muligt at give alle disse oplysninger samtidig, skal den oprindelige anmeldelse indeholde de oplysninger, der er til rådighed, og yderligere oplysninger skal efterfølgende gives uden unødig forsinkelse, i takt med at de foreligger.
|
c) |
i henhold til (ALTERNATIV 1) artikel 34 i forordning (EU) 2016/679/(ALTERNATIV 2) artikel 35 i forordning (EU) 2018/1725 med at overholde forpligtelsen til uden unødig forsinkelse at underrette den registrerede om bruddet på persondatasikkerheden, hvis bruddet på persondatasikkerheden sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder. |
9.2. Brud på datasikkerheden vedrørende oplysninger, der behandles af databehandleren
I tilfælde af brud på persondatasikkerheden vedrørende oplysninger, der behandles af databehandleren, underretter databehandleren uden unødig forsinkelse den dataansvarlige, efter at databehandleren har fået kendskab til bruddet. Meddelelsen skal som minimum indeholde:
|
a) |
en beskrivelse af overtrædelsens art (herunder om muligt kategorierne og det omtrentlige antal berørte registrerede og berørte personoplysninger) |
|
b) |
nærmere oplysninger om et kontaktpunkt, hvor der kan indhentes flere oplysninger om bruddet på persondatasikkerheden |
|
c) |
dets sandsynlige konsekvenser og de foranstaltninger, der er truffet eller foreslås truffet for at afhjælpe bruddet, herunder for at afbøde dets eventuelle negative virkninger. |
Hvis og i det omfang det ikke er muligt at give alle disse oplysninger samtidig, skal den oprindelige anmeldelse indeholde de oplysninger, der er til rådighed, og yderligere oplysninger skal efterfølgende gives uden unødig forsinkelse, i takt med at de foreligger.
Parterne fastsætter i bilag III alle andre elementer, som databehandleren skal fremlægge, når denne bistår den dataansvarlige i overensstemmelse med den dataansvarliges forpligtelser i henhold til ([ALTERNATIV 1) artikel 33 og 34 i forordning (EU) 2016/679/(ALTERNATIV 2) artikel 34 og 35 i forordning (EU) 2018/1725.
AFDELING III
AFSLUTTENDE BESTEMMELSER
Bestemmelse 10
Manglende overholdelse af bestemmelserne og ophævelse
|
a) |
Med forbehold af eventuelle bestemmelser i forordning (EU) 2016/679 og/eller forordning (EU) 2018/1725 kan den dataansvarlige i tilfælde af, at databehandleren misligholder sine forpligtelser i henhold til disse bestemmelser, give databehandleren en instruks om at suspendere behandlingen af personoplysninger, indtil sidstnævnte overholder disse bestemmelser, eller kontrakten ophæves. Databehandleren underretter straks den dataansvarlige, hvis denne af en eller anden grund ikke er i stand til at overholde disse bestemmelser. |
|
b) |
Den dataansvarlige har ret til at opsige kontrakten, for så vidt den vedrører behandling af personoplysninger i henhold til disse bestemmelser, hvis:
|
|
c) |
Databehandleren har ret til at opsige kontrakten, for så vidt den vedrører behandling af personoplysninger i henhold til disse bestemmelser, hvis den dataansvarlige efter at være blevet underrettet om, at dennes instrukser er i strid med gældende retlige krav i overensstemmelse med bestemmelse 7.1, punkt b), insisterer på, at instrukserne overholdes. |
|
d) |
Når kontrakten er bragt til ophør, sletter databehandleren efter den dataansvarliges valg alle personoplysninger, som denne har behandlet på vegne af den dataansvarlige, og attesterer over for den dataansvarlige, at oplysningerne er blevet slettet, eller tilbageleverer alle personoplysninger til den dataansvarlige og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret kræver, at personoplysningerne gemmes. Indtil oplysningerne er slettet eller leveret tilbage, skal databehandleren fortsat sikre, at disse bestemmelser overholdes. |
BILAG I
Liste over parter
Dataansvarlig(e): [Identitet og kontaktoplysninger for den eller de dataansvarlige og, hvor det er relevant, for den dataansvarliges databeskyttelsesrådgiver]
|
1. |
Navn: … |
|
|
Adresse: … |
|
|
Kontaktpersonens navn, stilling og kontaktoplysninger: … |
|
|
Undertegnelses- og tiltrædelsesdato: … |
|
2. |
|
…
Databehandler(e): [Identitet og kontaktoplysninger for databehandleren eller databehandlerne og, hvor det er relevant, for databehandlerens databeskyttelsesrådgiver]
|
1. |
Navn: … |
|
|
Adresse: … |
|
|
Kontaktpersonens navn, stilling og kontaktoplysninger: … |
|
|
Undertegnelses- og tiltrædelsesdato: … |
|
2. |
|
…
BILAG II
Beskrivelse af behandlingen
Kategorier af registrerede, hvis personoplysninger behandles
…
Kategorier af personoplysninger, der behandles
…
Følsomme oplysninger, der behandles (hvis relevant) og anvendte begrænsninger eller garantier, der fuldt ud tager hensyn til oplysningernes art og de involverede risici, f.eks. streng formålsbegrænsning, adgangsbegrænsninger (herunder kun adgang for personale, der har fulgt en specialuddannelse), registrering af adgangen til oplysningerne, begrænsninger for videreoverførsel eller yderligere sikkerhedsforanstaltninger.
…
Behandlingens art
…
Formål, hvortil personoplysningerne behandles på vegne af den dataansvarlige
…
Behandlingens varighed
…
…
Ved behandling af (under)databehandlere angives også behandlingens genstand, art og varighed.
BILAG III
Tekniske og organisatoriske foranstaltninger, herunder tekniske og organisatoriske foranstaltninger til sikring af datasikkerheden
FORKLARENDE NOTE:
De tekniske og organisatoriske foranstaltninger skal beskrives konkret og ikke på en generisk måde.
Beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren/databehandlerne har gennemført (herunder eventuelle relevante certificeringer) for at sikre et passende sikkerhedsniveau under hensyntagen til behandlingens art, omfang, kontekst og formål samt risiciene for fysiske personers rettigheder og frihedsrettigheder. Eksempler på mulige foranstaltninger:
|
|
Foranstaltninger til pseudonymisering og kryptering af personoplysninger |
|
|
Foranstaltninger til sikring af løbende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester |
|
|
Foranstaltninger til sikring af evnen til at genoprette tilgængeligheden af og adgangen til personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse |
|
|
Processer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger for at garantere behandlingssikkerheden |
|
|
Foranstaltninger vedrørende brugeridentifikation og -godkendelse |
|
|
Foranstaltninger til beskyttelse af data under overførsel |
|
|
Foranstaltninger til beskyttelse af data under lagring |
|
|
Foranstaltninger til sikring af fysisk sikkerhed på steder, hvor personoplysninger behandles |
|
|
Foranstaltninger til sikring af logning af begivenheder |
|
|
Foranstaltninger til sikring af systemkonfiguration, herunder standardkonfiguration |
|
|
Foranstaltninger til intern forvaltning og forvaltning af IT og IT-sikkerhed |
|
|
Foranstaltninger til certificering/sikring af processer og produkter |
|
|
Foranstaltninger til sikring af dataminimering |
|
|
Foranstaltninger til sikring af datakvalitet |
|
|
Foranstaltninger til sikring af begrænset datalagring |
|
|
Foranstaltninger til sikring af ansvarlighed |
|
|
Foranstaltninger til muliggørelse af dataportabilitet og sikring af sletning] |
For overførsler til (under)databehandlere beskrives også de specifikke tekniske og organisatoriske foranstaltninger, som (under)databehandleren skal træffe for at kunne yde bistand til den dataansvarlige.
Beskrivelse af de specifikke tekniske og organisatoriske foranstaltninger, som databehandleren skal træffe for at kunne yde bistand til den dataansvarlige.
BILAG IV
Liste over underdatabehandlere
FORKLARENDE NOTE:
Dette bilag skal udfyldes i tilfælde, hvor underdatabehandlere gives en specifik tilladelse (bestemmelse 7.7, punkt a), alternativ 1).
Den dataansvarlige har givet tilladelse til, at følgende underdatabehandlere anvendes:
|
1. |
Navn: … |
|
|
Adresse: … |
|
|
Kontaktpersonens navn, stilling og kontaktoplysninger: … |
|
|
Beskrivelse af behandlingen (herunder en klar ansvarsfordeling, hvis flere underdatabehandlere er godkendt): … |
|
2. |
… |