Databehandleraftale (DPA)

Databehandleraftale

I det følgende kan du læse et eksempel på vores DPA. Hvis du ønsker at anmode om din egen DPA, bedes du kontakte vores supportteam.

1. PRÆAMBEL

1. Disse kontraktbestemmelser (klausulerne) fastlægger den dataansvarliges og databehandlerens rettigheder og forpligtelser, når de behandler personoplysninger på vegne af den dataansvarlige.
2. Klausulerne er udformet med henblik på at sikre, at parterne overholder artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (den generelle forordning om databeskyttelse).
3. I forbindelse med levering af Q-Play og/eller Q-Cal behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med klausulerne.
4. Klausulerne har forrang frem for lignende bestemmelser indeholdt i andre aftaler mellem parterne.
5. Fire bilag er knyttet til klausulerne og udgør en integreret del af klausulerne.
6. Bilag A indeholder detaljer om behandlingen af personoplysninger, herunder formålet med og arten af behandlingen, typen af personoplysninger, kategorier af registrerede og behandlingens varighed.
7. Tillæg B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste over underdatabehandlere, der er godkendt af den dataansvarlige.
8. Bilag C indeholder den dataansvarliges instruktioner vedrørende behandlingen af personoplysninger, de minimumssikkerhedsforanstaltninger, som databehandleren skal gennemføre, og hvordan revisioner af databehandleren og eventuelle underdatabehandlere skal udføres.
9. Klausulerne sammen med bilagene opbevares skriftligt, herunder elektronisk, af begge parter.
10. Klausulerne fritager ikke databehandleren fra forpligtelser, som databehandleren er underlagt i henhold til den generelle databeskyttelsesforordning (GDPR) eller anden lovgivning.

2. DEN DATAANSVARLIGES RETTIGHEDER OG FORPLIGTELSER

1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger finder sted i overensstemmelse med GDPR (se artikel 24 GDPR), de gældende databeskyttelsesbestemmelser i EU eller medlemsstaterne og klausulerne.
2. Den dataansvarlige har ret og pligt til at træffe beslutninger om formålene og midlerne til behandlingen af personoplysninger.
3. Den dataansvarlige er bl.a. ansvarlig for at sikre, at den behandling af personoplysninger, som databehandleren pålægges at udføre, har et retsgrundlag.

3. DATABEHANDLEREN HANDLER I HENHOLD TIL INSTRUKTIONERNE

1. Databehandleren må kun behandle personoplysninger efter dokumenterede instruktioner fra den dataansvarlige, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt. Sådanne instruktioner skal specificeres i bilag A og C. Efterfølgende instruktioner kan også gives af den dataansvarlige i hele behandlingen af personoplysninger, men sådanne instruktioner skal altid dokumenteres og opbevares skriftligt, herunder elektronisk, i forbindelse med klausulerne.
2. Databehandleren skal straks underrette den dataansvarlige, hvis instrukser fra den dataansvarlige efter databehandlerens opfattelse er i strid med GDPR eller de gældende EU-bestemmelser eller medlemsstaternes databeskyttelsesbestemmelser.

4. FORTROLIGHED

1. Databehandleren må kun give adgang til de personoplysninger, der behandles på vegne af den dataansvarlige, til personer under databehandlerens myndighed, som har forpligtet sig til tavshedspligt eller er underlagt en passende lovbestemt tavshedspligt og kun på grundlag af et behov for at vide. Listen over personer, som der er givet adgang til, revideres med jævne mellemrum. På grundlag af denne gennemgang kan en sådan adgang til personoplysninger trækkes tilbage, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal derfor ikke længere være tilgængelige for disse personer.
2. Databehandleren skal på anmodning af den dataansvarlige godtgøre, at de berørte personer under databehandlerens myndighed er underlagt ovennævnte fortrolighed.

5. SIKKERHED I FORBINDELSE MED BEHANDLING

1. Artikel 32 i GDPR fastsætter, at den dataansvarlige og databehandleren under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen. Den dataansvarlige vurderer de risici, der er forbundet med behandlingen og implementeringen for fysiske personers rettigheder og friheder. foranstaltninger til mindske disse risici. Afhængigt af deres relevans kan foranstaltningerne omfatte følgende: a. Pseudonymisering og kryptering af personoplysninger; b. evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemer og -tjenester; c. evnen til rettidigt at genoprette tilgængeligheden og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse; d. en proces til regelmæssig test, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingens sikkerhed.
2. I henhold til artikel 32 i GDPR skal databehandleren også — uafhængigt af den dataansvarlige — vurdere de risici for fysiske personers rettigheder og friheder, der er forbundet med behandlingen, og gennemføre foranstaltninger til at mindske disse risici. Med henblik herpå skal den dataansvarlige give databehandleren alle de oplysninger, der er nødvendige for at identificere og vurdere sådanne risici.
3. Endvidere skal databehandleren bistå den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i henhold til artikel 32 GDPR, bl.a. ved at give den dataansvarlige oplysninger om de tekniske og organisatoriske foranstaltninger, som databehandleren allerede har gennemført i henhold til artikel 32 GDPR, sammen med alle andre oplysninger, der er nødvendige for, at den dataansvarlige kan opfylde den dataansvarliges forpligtelse i henhold til artikel 32 GDPR.
   Hvis der efterfølgende — i forbindelse med vurderingen af den dataansvarlige — begrænsning af de identificerede risici kræves yderligere foranstaltninger af databehandleren end dem, der allerede er gennemført af databehandleren i henhold til artikel 32 i GDPR, skal den dataansvarlige specificere disse yderligere foranstaltninger, der skal gennemføres i tillæg C.

6. BRUG AF UNDERDATABEHANDLERE

1. Databehandleren skal opfylde kravene i artikel 28, stk. 2 og 4, i GDPR for at ansætte en anden databehandler (en underdatabehandler).
2. Databehandleren må derfor ikke ansætte en anden databehandler (underdatabehandler) til opfyldelsen af klausulerne uden forudgående generel skriftlig tilladelse fra den dataansvarlige.
3. Databehandleren har den dataansvarliges generelle tilladelse til inddragelse af underdatabehandlere. Databehandleren underretter skriftligt den dataansvarlige om eventuelle påtænkte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere mindst 30 dage i forvejen, hvorved den dataansvarlige har mulighed for at gøre indsigelse mod sådanne ændringer, inden den eller de pågældende underdatabehandlere inddrages. Længere tidsfrister med forudgående varsel for specifikke underbehandlingstjenester kan findes i tillæg B. Listen over underdatabehandlere, der allerede er godkendt af den dataansvarlige, findes i tillæg B.
4. Hvis databehandleren ansætter en underdatabehandler til at udføre specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges denne underdatabehandler de samme databeskyttelsesforpligtelser som fastsat i klausulerne i form af en kontrakt eller anden retsakt i henhold til EU-retten eller medlemsstaternes nationale ret, navnlig med tilstrækkelige garantier for at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i klausulerne og GDPR. Databehandleren er derfor ansvarlig for kræver at underdatabehandleren i det mindste overholder de forpligtelser, som databehandleren er underlagt i henhold til klausulerne og GDPR.
5. En kopi af en sådan underdatabehandleraftale og efterfølgende ændringer skal — på den dataansvarliges anmodning — forelægges den dataansvarlige, hvorved den dataansvarlige får mulighed for at sikre, at underdatabehandleren pålægges de samme databeskyttelsesforpligtelser som fastsat i klausulerne. Klausuler om forretningsrelaterede spørgsmål, der ikke berører det juridiske databeskyttelsesindhold i underdatabehandleraftalen, kræver ikke forelæggelse for den dataansvarlige.
6. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for så vidt angår opfyldelsen af underdatabehandlerens forpligtelser. Dette berører ikke de registreredes rettigheder i henhold til GDPR - især dem, der er omhandlet i artikel 79 og 82 i GDPR - over for den dataansvarlige og databehandleren, herunder underdatabehandleren.

7. OVERFØRSEL AF DATA TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer fra databehandleren sker kun på grundlag af dokumenterede instruktioner fra den dataansvarlige og skal altid finde sted i overensstemmelse med kapitel V GDPR.
2. Hvis overførsler til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at udføre af den dataansvarlige, kræves i henhold til EU-retten eller medlemsstaternes nationale lovgivning, som databehandleren er underlagt, underretter databehandleren den dataansvarlige om dette retlige krav forud for behandlingen, medmindre loven forbyder sådanne oplysninger af vigtige grunde af almen interesse.
3. Uden dokumenterede instruktioner fra den dataansvarlige kan databehandleren derfor ikke inden for rammerne af klausulerne:
   a. overføre personoplysninger til en dataansvarlig eller en databehandler i et tredjeland eller i en international organisation
   b. overføre behandlingen af personoplysninger til en underdatabehandler i et tredjeland
   c. få personoplysninger behandlet af databehandleren i et tredjeland
4. Den dataansvarliges instruktioner vedrørende overførsel af personoplysninger til et tredjeland, herunder i givet fald det overførselsværktøj i henhold til kapitel V i GDPR, som de er baseret på, fremgår af tillæg C.6.
5. Klausulerne må ikke forveksles med standard databeskyttelsesklausuler i henhold til artikel 46, stk. 2, litra c) og (d) i GDPR, og parterne kan ikke påberåbe sig klausulerne som et overførselsværktøj i henhold til kapitel V GDPR.

8. BISTAND TIL DEN DATAANSVARLIGE

1. Under hensyntagen til behandlingens art bistår databehandleren den dataansvarlige ved passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt, med opfyldelsen af den dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af den registreredes rettigheder i henhold til kapitel III i GDPR. Dette indebærer, at databehandleren, så vidt dette er muligt, bistår den dataansvarlige med at overholde: a. retten til at blive informeret ved indsamling af personoplysninger. fra den registrerede. retten til blive informeret, når personoplysninger ikke er indhentet fra den registrerte. den registreredes ret til indsigt. retten til berigtigelse
2. e) retten til sletning (“ retten til at blive glemt“)
3. f. retten til begrænsning af behandling
4. g. anmeldelsespligt vedrørende berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
5. h. retten til dataportabilitet
6. i. retten til at gøre indsigelse
7. j. retten til ikke at blive genstand for en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering
8. Ud over databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til pkt. 6.3., skal databehandleren desuden under hensyntagen til behandlingens art og de oplysninger, som databehandleren har til rådighed, bistå den dataansvarlige med at sikre overholdelse af:
   a. Den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer efter at have fået kendskab hertil underrette den kompetente tilsynsmyndighed, Datatilsynet i Danmark, medmindre det er usandsynligt, at bruddet på persondatasikkerheden medfører en risiko for fysiske personers rettigheder og friheder; b. den dataansvarliges forpligtelse til uden unødig forsinkelse at meddele bruddet på persondatasikkerheden til den registrerede, når bruddet på persondatasikkerheden sandsynligvis vil medføre resulterer i en høj risiko for naturens rettigheder og friheder personer; c. den dataansvarliges forpligtelse til at foretage en vurdering af de påtænkte behandlingsoperationers indvirkning på beskyttelsen af personoplysninger (en konsekvensanalyse vedrørende databeskyttelse); d. den dataansvarliges forpligtelse til at konsultere den kompetente tilsynsmyndighed, Datatilsynet i Danmark, forud for behandlingen, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen ville medføre en høj risiko, hvis den dataansvarlige ikke træffer foranstaltninger til at mindske risikoen.
9. Parterne fastlægger i tillæg C de relevante tekniske og organisatoriske foranstaltninger, hvorved databehandleren skal bistå den dataansvarlige, samt omfanget og omfanget af den nødvendige bistand. Dette gælder for de forpligtelser, der er fastsat i punkt 9.1 og 9.2.

9. ANMELDELSE AF BRUD PÅ PERSONDATASIKKERHEDEN

1. I tilfælde af brud på persondatasikkerheden skal databehandleren uden unødig forsinkelse efter at have fået kendskab hertil underrette den dataansvarlige om bruddet på persondatasikkerheden.
2. Databehandlerens meddelelse til den dataansvarlige skal om muligt finde sted senest 48 timer efter, at databehandleren har fået kendskab til bruddet på persondatasikkerheden for at sætte den dataansvarlige i stand til at overholde den dataansvarliges forpligtelse til at underrette den kompetente tilsynsmyndighed om bruddet på persondatasikkerheden, jf. artikel 33 i GDPR.
3. I henhold til § 9, stk. 2, litra a), skal databehandleren bistå den dataansvarlige med at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, hvilket betyder, at databehandleren skal bistå med at indhente nedenstående oplysninger, som i henhold til artikel 33, stk. 3, i GDPR skal fremgå af den dataansvarliges meddelelse til den kompetente tilsynsmyndighed:a. Personoplysningernes art, herunder, hvor det er muligt, kategorierne og det omtrentlige antal registrerede de pågældende kategorier og det omtrentlige antal de pågældende personoplysninger; b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden c. de foranstaltninger, den dataansvarlige har truffet eller foreslået at træffe for at imødegå bruddet på persondatasikkerheden, herunder, hvor det er relevant, foranstaltninger til at afbøde eventuelle negative virkninger heraf.
4. Parterne definerer i tillæg C alle de elementer, som databehandleren skal fremlægge, når den bistår den dataansvarlige med at underrette den kompetente tilsynsmyndighed om brud på persondatasikkerheden.

10. SLETNING OG TILBAGELEVERING AF DATA

1. Ved ophør af leveringen af persondatabehandlingstjenester er databehandleren forpligtet til at slette alle personoplysninger, der behandles på vegne af den dataansvarlige, og attestere over for den dataansvarlige, at den har gjort det, medmindre EU-retten eller medlemsstaternes nationale lovgivning kræver opbevaring af personoplysningerne. Databehandleren forpligter sig til udelukkende at behandle personoplysningerne til de formål og varighed, der er fastsat i denne lov og på de strengt gældende betingelser.

11. REVISION OG INSPEKTION

1. Databehandleren stiller alle de oplysninger, der er nødvendige for at påvise overholdelse af forpligtelserne i artikel 28 og klausulerne, til rådighed for den dataansvarlige og muliggøre og bidrage til revisioner, herunder inspektioner, udført af den dataansvarlige eller en anden revisor, der er bemyndiget af den dataansvarlige.
2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, af databehandleren og underdatabehandlerne er specificeret i tillæg C.7. og C.8.
3. Databehandleren skal give de tilsynsmyndigheder, der i henhold til gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der handler på vegne af sådanne tilsynsmyndigheder, adgang til databehandlerens fysiske faciliteter efter fremlæggelse af passende identifikation.

12. PARTERNES AFTALE OM ANDRE VILKÅR

1. Parterne kan aftale andre klausuler om levering af persondatabehandlingstjenesten med angivelse af f.eks. ansvar, så længe de ikke direkte eller indirekte er i modstrid med klausulerne eller berører den registreredes grundlæggende rettigheder eller friheder og den beskyttelse, der ydes i henhold til GDPR.

13. PÅBEGYNDELSE OG OPSIGELSE

1. Klausulerne træder i kraft på datoen for begge parters undertegnelse.
2. Begge parter har ret til at kræve, at klausulerne genforhandles, hvis ændringer i loven eller manglende hensigtsmæssighed af klausulerne skulle give anledning til en sådan genforhandling.
3. Klausulerne gælder for varigheden af leveringen af tjenester til behandling af personoplysninger. I den periode, hvor behandlingen af personoplysninger ydes, kan klausulerne ikke opsiges, medmindre der er aftalt andre klausuler om levering af tjenester til behandling af personoplysninger mellem parterne.
4. Hvis leveringen af persondatabehandlingstjenester ophører, og personoplysningerne slettes eller returneres til den dataansvarlige i henhold til punkt 11.1. og tillæg C.4., kan klausulerne opsiges ved skriftlig meddelelse fra en af parterne.
5. Underskrift

14. KONTAKTER/KONTAKTPUNKTER FOR DATAANSVARLIG OG DATABEHANDLER

1. Parterne kan kontakte hinanden ved hjælp af følgende kontakter/kontaktpunkter:
2. Parterne er forpligtet til løbende at underrette hinanden om ændringer i kontakter/kontaktpunkter.
   Tilmeld dig vores DPA-relaterede opdateringer på NordicScreens hjemmeside: https://nordicscreen.com/legal/data-processing-agreement/NordicScreen databeskyttelsesrepræsentant:
   Navn Peter Petersen Adamsen
   Stilling CEO
   Email legal@nordicscreen.com

‍

TILLÆG B AUTORISEREDE UNDERDATABEHANDLERE

B.1. Godkendte underdatabehandlere

Ved ikrafttrædelsen af klausulerne giver den dataansvarlige tilladelse til, at

de underdatabehandlere, der dukkede op på NordicScreens websted på det tidspunkt.

Underleverandører

En opdateret liste over anvendte underdatabehandlere kan til enhver tid findes på NordicScreens hjemmeside.

Den dataansvarlige skal ved ikrafttrædelsen af klausulerne give tilladelse til, at ovennævnte underdatabehandlere anvendes til den behandling, der er beskrevet for den pågældende part. Databehandleren har ikke ret til — uden den dataansvarliges udtrykkelige skriftlige tilladelse — at ansætte en underdatabehandler til en“ anden „behandling end den, der er aftalt, eller lade en anden underdatabehandler udføre den beskrevne behandling.

TILLÆG C — INSTRUKTION VEDRØRENDE BRUG AF PERSONOPLYSNINGER

C.1. Genstand/instruktion for behandlingen

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige udføres af databehandleren, der udfører følgende:

Den dataansvarlige opretter en konto, hvor den dataansvarliges administrator kan oprette brugere, der har tilladelse til at få adgang til kundens konto. NordicScreen får kun adgang til de oplysninger, som kunden uploader til et system, hvis kunden anmoder om support, og sådan adgang er nødvendig for at yde sådan support, eller hvis særlige driftsforhold gør det nødvendigt, f.eks. ved håndtering af trusler.

C.2. Sikkerhed ved behandling

Sikkerhedsniveauet skal tage hensyn til:

Da der kun behandles personoplysninger af ikke-følsom karakter (artikel 6), og det samtidig er blevet vurderet, at indvirkningen på den registreredes rettigheder og frihedsrettigheder er lav, er det blevet vurderet, at det er tilstrækkeligt til at fastlægge et lavt sikkerhedsniveau.

Derefter er databehandleren berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der skal gennemføres for at etablere det nødvendige (og aftalte) sikkerhedsniveau.

Imidlertid skal databehandleren under alle omstændigheder og som et minimum gennemføre følgende foranstaltninger:

Al kommunikation på offentlige netværk skal være krypteret.

Hvor det er muligt, sker adgang til systemet med et 2-faktor-login og må kun ske ved hjælp af et personligt brugernavn og adgangskode.

Enhver adgang og adgangsforsøg skal logges.

Alle servere skal sikkerhedskopieres.

Gennem interne politikker og internt tilsyn sikrer NordicScreen, at alle medarbejdere er opmærksomme på de sikkerhedskrav, der skal følges for at opnå tilstrækkelig behandlingssikkerhed, herunder krav, der

· Personoplysninger på tryk må ikke medbringes i forbindelse med hjemmearbejde

· Personoplysninger må ikke tilgås i ikke-sikre områder, herunder i offentlige rum

NordicScreen sikrer også, at medarbejderne kun kan få adgang til systemet, hvis de har tilladelse til at gøre det, og at systemerne udelukkende tilgås som en del af udførelsen af arbejdet.

NordicScreen følger interne politikker og procedurer for sikker opbevaring af oplysningerne. Sikkerhedsniveauet evalueres løbende og revideres internt mindst en gang om året.

NordicScreen har aflåste rum, hvor nøglekort og kodelås er påkrævet for at få adgang.

C.3. Hjælp til den dataansvarlige

Databehandleren skal i det omfang dette er muligt — inden for rammerne og omfanget af den bistand, der er angivet nedenfor — bistå den dataansvarlige i overensstemmelse med punkt 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:

På den dataansvarliges specifikke anmodning og under hensyntagen til behandlingens art bistår databehandleren den dataansvarlige med at opfylde den dataansvarliges forpligtelser med hensyn til udøvelsen af de registreredes rettigheder som fastsat i persondatalovgivningen.

Anmodninger fra registrerede om at udøve deres rettigheder skal uden unødig forsinkelse videresendes til den dataansvarlige.

På den dataansvarliges specifikke anmodning, under hensyntagen til behandlingens art og under hensyntagen til, hvilke oplysninger databehandleren har til rådighed, bistår databehandleren den dataansvarlige med at opfylde sine forpligtelser, jf. artikel 32-36 i den generelle forordning om databeskyttelse:

· Forarbejdningssikkerhed

Brud på personoplysninger, herunder underretning til registrerede

· Konsekvensanalyse

· Forudgående undersøgelser hos tilsynsmyndighederne

C.4. Opbevaringsperiode/sletningsprocedurer

Personlige data gemmes indtil udgangen af den måned, hvor licensaftalen udløber + 30 dage. Derefter slettes oplysningerne.

Oplysninger, der er inkluderet i eventuelle supportsager, gemmes i 2 år efter supportsagen er afsluttet. Herefter slettes oplysningerne.

C.5. Behandlingssted

Behandling af personoplysninger i henhold til klausulerne kan ikke udføres på andre steder end følgende uden den dataansvarliges forudgående skriftlige tilladelse:

NordicScreen ApS

Normansvej 1

8920 Randers NV

Danmark

Der henvises til de steder, der fremgår af listen over underdatabehandlere, der er vedlagt som bilag B.

C.6. Instruktion om overførsel af personoplysninger til tredjelande

Databehandleren kan overføre personoplysninger til tredjelande i forbindelse med brugen af de godkendte underdatabehandlere.

Overførsel til tredjelande kan muligvis finde sted ved hjælp af underdatabehandlere, der er hjemmehørende i et tredjeland, men hvor personoplysningerne opbevares i EU.

Overførsel til tredjelande finder sted direkte ved hjælp af individuelle underdatabehandlere.

C.7. Procedurer for den dataansvarliges revisioner, herunder inspektioner, af databehandlerens behandling af personoplysninger

En gang om året udarbejder databehandleren en rapport til den dataansvarlige, der dokumenterer, at det aftalte sikkerhedsniveau er opretholdt, og at disse bestemmelser er overholdt. Rapporten vil blive offentliggjort på https://nordicscreen.com/.

Hvis den dataansvarlige ønsker at modtage en revisorerklæring eller foretage en fysisk inspektion af databehandleren, skal dette ske for den dataansvarliges regning.

Udgave:

V.2.0