Vereinbarung zur Datenverarbeitung
Vereinbarung zur Datenverarbeitung
1 Präambel des Auftragsverarbeitungsvertrags
- Diese Datenverarbeitungsvereinbarung legt die Rechte und Pflichten fest, die für den Umgang des Datenverarbeiters mit personenbezogenen Daten im Auftrag des Datenverantwortlichen gelten.
- Dieses Abkommen wurde entwickelt, um die Einhaltung von Artikel 28 Unterabschnitt 3 der Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Vertragsparteien sicherzustellen sowie zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) , die spezifische Anforderungen an den Inhalt von Datenverarbeitungsvereinbarungen festlegt.
- Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter erfolgt zum Zwecke der Erfüllung des „Rahmenvertrags“ der Parteien. Verarbeitung personenbezogener Daten ab 01.04.18.
- Der Auftragsverarbeitungsvertrag und der „Rahmenvertrag“ sind voneinander abhängig und können nicht getrennt gekündigt werden. Der Datenverarbeitungsvertrag kann jedoch – ohne Kündigung des „Rahmenvertrags“ – durch einen anderen gültigen Datenverarbeitungsvertrag ersetzt werden.
- Diese Datenverarbeitungsvereinbarung hat Vorrang vor allen ähnlichen Bestimmungen, die in anderen Vereinbarungen zwischen den Parteien enthalten sind, einschließlich der „Rahmenvereinbarung“.
- Dieser Datenverarbeitungsvereinbarung sind vier Anhänge beigefügt. Die Anhänge bilden einen integralen Bestandteil dieser Datenverarbeitungsvereinbarung.
- Anhang A des Auftragsdatenverarbeitungsvertrags enthält Einzelheiten zur Verarbeitung sowie Zweck und Art der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Dauer der Verarbeitung.
- Anhang B der Datenverarbeitungsvereinbarung enthält die Geschäftsbedingungen des Datenverantwortlichen, die für die Nutzung von Unterauftragsverarbeitern durch den Datenverarbeiter gelten, sowie eine Liste der vom Datenverantwortlichen genehmigten Unterauftragsverarbeiter.
- Anhang C der Datenverarbeitungsvereinbarung enthält Anweisungen zur Verarbeitung, die der Datenverarbeiter im Auftrag des Datenverantwortlichen (Gegenstand der Verarbeitung) durchzuführen hat, die zu implementierenden Mindestsicherheitsmaßnahmen und wie die Einsichtnahme beim Datenverarbeiter und etwaiger Unterauftragsverarbeiter durchgeführt werden.
- Anhang D der Datenverarbeitungsvereinbarung enthält die Bestimmungen der Parteien für Aktivitäten, die nicht in dieser Datenverarbeitungsvereinbarung oder der „Rahmenvereinbarung“ der Parteien enthalten sind.
- Die Datenverarbeitungsvereinbarung und die dazugehörigen Anhänge sind sowohl schriftlich als auch elektronisch von beiden Parteien aufzubewahren.
- Diese Datenverarbeitungsvereinbarung befreit den Datenverarbeiter nicht von Verpflichtungen, denen der Datenverarbeiter gemäß der Datenschutz-Grundverordnung oder anderen Gesetzen unterliegt.
2 Die Rechte und Pflichten des Datenverantwortlichen
- Der Datenverantwortliche ist nach außen (einschließlich der betroffenen Person) dafür verantwortlich, dass die Verarbeitung personenbezogener Daten im Rahmen der Datenschutz-Grundverordnung und des dänischen Datenschutzgesetzes erfolgt.
- Der Datenverantwortliche hat daher sowohl das Recht als auch die Pflicht, Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu treffen.
- Der Datenverantwortliche ist dafür verantwortlich sicherzustellen, dass die Verarbeitung, mit deren Durchführung der Datenverarbeiter beauftragt ist, gesetzlich zulässig ist.
3 Der Datenverarbeiter handelt nach Weisung
- Der Datenverarbeiter darf personenbezogene Daten nur auf dokumentierte Anweisung des Datenverantwortlichen verarbeiten, es sei denn, die Verarbeitung ist nach dem Recht der EU oder der Mitgliedstaaten, dem der Datenverarbeiter unterliegt, erforderlich; in diesem Fall muss der Datenverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese gesetzliche Verpflichtung informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses, vgl. § 28 Abs. 3 lit. a.
- Der Datenverarbeiter muss den Datenverantwortlichen unverzüglich informieren, wenn Weisungen nach Ansicht des Datenverarbeiters gegen die Datenschutz-Grundverordnung oder andere Datenschutzbestimmungen anderer EU- oder Mitgliedsstaaten verstoßen.
4 Vertraulichkeit
- Der Datenverarbeiter stellt sicher, dass nur die derzeit dazu befugten Personen auf die im Auftrag des Datenverantwortlichen verarbeiteten personenbezogenen Daten zugreifen können. Der Zugriff auf die Daten ist daher unverzüglich zu verweigern, wenn diese Berechtigung entfernt wird oder erlischt.
- Nur Personen, die Zugriff auf die personenbezogenen Daten benötigen, um die Pflichten des Datenverarbeiters gegenüber dem Datenverantwortlichen zu erfüllen, werden autorisiert.
- Der Datenverarbeiter stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten im Auftrag des Datenverantwortlichen befugt sind, sich zur Geheimhaltung verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen.
- Der Datenverarbeiter muss auf Anfrage des Datenverantwortlichen nachweisen können, dass die betreffenden Mitarbeiter der oben genannten Vertraulichkeit unterliegen.
5 Sicherheit der Verarbeitung
- Der Auftragsverarbeiter ergreift alle gemäß Artikel 32 der Datenschutz-Grundverordnung erforderlichen Maßnahmen, die dies unter Berücksichtigung der aktuellen Höhe, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere erfordern Für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.
- Die obige Verpflichtung bedeutet, dass der Datenverarbeiter eine Risikobewertung durchführt und anschließend Maßnahmen zur Bekämpfung des identifizierten Risikos umsetzt. Je nach Relevanz können die Maßnahmen Folgendes umfassen:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Die Fähigkeit, fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten sicherzustellen.
- Die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen.
- Ein Prozess zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
- Der Datenverarbeiter muss bei der Gewährleistung des Vorstehenden – in allen Fällen – mindestens das Sicherheitsniveau und die Maßnahmen umsetzen, die in Anhang C dieser Datenverarbeitungsvereinbarung angegeben sind.
- Die mögliche Regelung/Vereinbarung der Parteien zur Vergütung usw. für die spätere Anforderung des Datenverantwortlichen oder des Datenverarbeiters zur Einrichtung zusätzlicher Sicherheitsmaßnahmen wird im „Rahmenvertrag“ der Parteien oder in Anhang D zu dieser Datenverarbeitungsvereinbarung festgelegt.
6 Einsatz von Unterauftragsverarbeitern
- Der Datenverarbeiter muss die Anforderungen gemäß Artikel 28, Unterabschnitt 2 und 4 der Datenschutz-Grundverordnung erfüllen, um einen anderen Auftragsverarbeiter (Unterauftragsverarbeiter) zu beauftragen.
- Der Datenverarbeiter wird daher ohne die vorherige ausdrückliche oder allgemeine schriftliche Zustimmung des Datenverantwortlichen keinen anderen Verarbeiter (Unterauftragsverarbeiter) mit der Erfüllung dieser Datenverarbeitungsvereinbarung beauftragen.
- Im Falle einer allgemeinen schriftlichen Zustimmung informiert der Datenverarbeiter den Datenverantwortlichen über alle geplanten Änderungen in Bezug auf Ergänzungen oder Ersatz anderer Datenverarbeiter und gibt dem Datenverantwortlichen dadurch die Möglichkeit, solchen Änderungen zu widersprechen.
- Die Anforderungen des Datenverantwortlichen für die Beauftragung anderer Unterauftragsverarbeiter durch den Datenverarbeiter sind in Anhang B dieser Datenverarbeitungsvereinbarung angegeben.
- Die Zustimmung des Datenverantwortlichen zur Beauftragung bestimmter Unterauftragsverarbeiter, sofern zutreffend, ist in Anhang B dieser Datenverarbeitungsvereinbarung angegeben.
- Wenn der Datenverarbeiter die Genehmigung des Datenverantwortlichen hat, einen Unterauftragsverarbeiter einzusetzen, muss der Datenverarbeiter sicherstellen, dass der Unterauftragsverarbeiter denselben Datenschutzverpflichtungen unterliegt, wie sie in dieser Datenverarbeitungsvereinbarung auf der Grundlage eines Vertrags oder einer anderen Vereinbarung festgelegt sind Rechtsdokument nach EU-Recht oder dem nationalen Recht der Mitgliedstaaten, insbesondere Bereitstellung der erforderlichen Garantien, dass der Unterauftragsverarbeiter die geeigneten technischen und organisatorischen Maßnahmen so umsetzt, dass die Verarbeitung den Anforderungen der Datenschutz-Grundverordnung entspricht.
Der Datenverarbeiter ist daher – auf der Grundlage einer Unterauftragsverarbeitervereinbarung – dafür verantwortlich, dass der Unterauftragsverarbeiter zumindest die Verpflichtungen erfüllt, denen der Datenverarbeiter gemäß den Anforderungen der Datenschutz-Grundverordnung und dieser unterliegt Datenverarbeitungsvertrag und die dazugehörigen Anhänge.
- Eine Kopie einer solchen Unterauftragsverarbeiter-Vereinbarung und nachfolgender Änderungen sind – auf Verlangen des Datenverantwortlichen – dem Datenverantwortlichen vorzulegen, der dadurch die Möglichkeit hat sicherzustellen, dass eine gültige Vereinbarung zwischen dem Datenverarbeiter und dem Unterauftragsverarbeiter geschlossen wurde. Prozessor. Geschäftsbedingungen, wie z. B. Preise, die den datenschutzrechtlichen Inhalt der Unterauftragsverarbeitervereinbarung nicht berühren, müssen dem Datenverantwortlichen nicht vorgelegt werden.
- Der Datenverarbeiter schließt in seiner Vereinbarung mit dem Unterauftragsverarbeiter den Datenverantwortlichen im Falle der Insolvenz des Datenverarbeiters als Dritte ein, damit der Datenverantwortliche die Rechte des Datenverarbeiters übernehmen und diese gegenüber dem Unterauftragsverarbeiter geltend machen kann , zB damit der Datenverantwortliche den Unterauftragsverarbeiter anweisen kann, die Löschung oder Rückgabe von Daten durchzuführen.
- Wenn der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommt, bleibt der Datenverarbeiter gegenüber dem Datenverantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters haftbar.
7 Übermittlung von Daten an Drittländer oder internationale Organisationen
- Der Datenverarbeiter darf personenbezogene Daten nur auf dokumentierte Anweisung des Datenverantwortlichen verarbeiten, einschließlich der Übermittlung (Zuweisung, Offenlegung und internen Verwendung) personenbezogener Daten an Drittländer oder internationale Organisationen, es sei denn, die Verarbeitung ist in der EU oder in einem Mitgliedstaat erforderlich Gesetz, dem der Datenverarbeiter unterliegt; in einem solchen Fall muss der Datenverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses, vgl. § 28 Abs. 3 lit. a.
- Ohne die Anweisungen oder Zustimmung des Datenverantwortlichen kann der Datenverarbeiter daher im Rahmen dieser Datenverarbeitungsvereinbarung nicht:
- Offenlegung personenbezogener Daten gegenüber einem für die Verarbeitung Verantwortlichen in einem Drittland oder einer internationalen Organisation
- die Verarbeitung personenbezogener Daten einem Unterauftragsverarbeiter in einem Drittland zuzuweisen
- die Daten in einer anderen Abteilung des Datenverarbeiters verarbeiten zu lassen, die sich in einem Drittland befindet
- Die Anweisungen oder Zustimmung des Datenverantwortlichen zur Übermittlung personenbezogener Daten an ein Drittland, sofern zutreffend, sind in Anhang C dieser Datenverarbeitungsvereinbarung aufgeführt.
8 Unterstützung des Datenverantwortlichen
- Der Datenverarbeiter unterstützt den Datenverantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten des Datenverantwortlichen zur Beantwortung von Anträgen der betroffenen Personen ' Rechte nach Kapitel 3 der Datenschutz-Grundverordnung.
Dies bedeutet, dass der Datenverarbeiter den Datenverantwortlichen so weit wie möglich bei der Einhaltung von Folgendem durch den Datenverantwortlichen unterstützen sollte:
- Meldepflicht bei der Erhebung personenbezogener Daten bei der betroffenen Person
- Meldepflicht, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden
- Auskunftsrecht der betroffenen Person
- das Recht auf Berichtigung
- das Recht auf Löschung („das Recht auf Vergessenwerden“)
- das Recht auf Einschränkung der Verarbeitung
- Mitteilungspflicht über Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung
- das Recht auf Datenübertragbarkeit
- das Widerspruchsrecht
- das Recht, dem Ergebnis automatisierter individueller Entscheidungsfindung, einschließlich Profiling, zu widersprechen
- Der Datenverarbeiter unterstützt den Datenverantwortlichen dabei, die Einhaltung der Pflichten des Datenverantwortlichen gemäß Artikel 32-36 der Datenschutz-Grundverordnung unter Berücksichtigung der Art der Verarbeitung und der dem Datenverarbeiter zur Verfügung gestellten Daten sicherzustellen, vgl. § 28 Abs. 3 lit. f.
Dies bedeutet, dass der Datenverarbeiter unter Berücksichtigung der Art der Verarbeitung den Datenverantwortlichen so weit wie möglich bei der Einhaltung der folgenden Bestimmungen durch den Datenverantwortlichen unterstützen sollte:
- die Verpflichtung, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem mit der Verarbeitung verbundenen Risiko angemessenes Sicherheitsniveau zu gewährleisten
- die Verpflichtung, Verletzungen des Schutzes personenbezogener Daten der Aufsichtsbehörde (dänische Datenschutzbehörde) unverzüglich und möglichst innerhalb von 72 Stunden, nachdem der Datenverantwortliche einen solchen Verstoß entdeckt hat, zu melden, es sei denn, der Verstoß gegen den Schutz personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen
- die Verpflichtung, der betroffenen Person unverzüglich die Verletzung des Schutzes personenbezogener Daten mitzuteilen, wenn diese Verletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt
- die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung, wenn eine Art der Verarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt
- die Verpflichtung, sich vor der Verarbeitung mit der Aufsichtsbehörde (dänische Datenschutzbehörde) zu beraten, wenn eine Datenschutz-Folgenabschätzung zeigt, dass die Verarbeitung zu einem hohen Risiko führen wird, da der Datenverantwortliche keine Maßnahmen zur Risikobegrenzung ergriffen hat
- Die mögliche Regelung/Vereinbarung der Parteien zur Vergütung usw. für die Unterstützung des Datenverarbeiters für den Datenverantwortlichen wird in der „Rahmenvereinbarung“ der Parteien oder in Anhang D dieser Datenverarbeitungsvereinbarung festgelegt.
9 Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten
- Bei Feststellung einer Verletzung des Schutzes personenbezogener Daten in den Einrichtungen des Datenverarbeiters oder eines Unterauftragsverarbeiters muss der Datenverarbeiter den Datenverantwortlichen unverzüglich benachrichtigen.
Die Benachrichtigung des Datenverarbeiters an den Datenverantwortlichen erfolgt nach Möglichkeit innerhalb von 24 Stunden, nachdem der Datenverarbeiter die Verletzung entdeckt hat, damit der Datenverantwortliche seiner Pflicht nachkommen kann, gegebenenfalls die Verletzung der Aufsichtsbehörde innerhalb von 72 zu melden Std.
- Gemäß Ziffer 9.2., Absatz b dieser Datenverarbeitungsvereinbarung unterstützt der Datenverarbeiter – unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Daten – den Datenverantwortlichen bei der Meldung des Verstoßes an die Aufsichtsbehörde.
Dies kann bedeuten, dass der Datenverarbeiter bei der Beschaffung der nachstehend aufgeführten Informationen behilflich sein muss, die gemäß Artikel 33 Absatz 3 der Datenschutz-Grundverordnung im Bericht des Datenverantwortlichen an die Aufsichtsbehörde anzugeben sind:
- Die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, falls möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der Kategorien und der ungefähren Anzahl der betroffenen Datensätze mit personenbezogenen Daten
- Mögliche Folgen einer Verletzung des Schutzes personenbezogener Daten
- Maßnahmen, die ergriffen wurden oder vorgeschlagen werden, um die Verletzung des Schutzes personenbezogener Daten zu bewältigen, einschließlich, falls zutreffend, Maßnahmen zur Begrenzung des möglichen Schadens
10. Löschung und Rückgabe von Daten
- Bei Beendigung der Verarbeitungsdienste ist der Datenverarbeiter verpflichtet, nach Ermessen des Datenverantwortlichen alle personenbezogenen Daten zu löschen oder an den Datenverantwortlichen zurückzugeben und vorhandene Kopien zu löschen, es sei denn, das EU-Recht oder das Recht der Mitgliedstaaten erfordert die Speicherung der personenbezogenen Daten Daten.
11 Inspektion und Audit
- Der Datenverarbeiter stellt dem Datenverantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und dieser Datenverarbeitungsvereinbarung nachzuweisen, und ermöglicht Audits und trägt dazu bei, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen beauftragten Prüfer durchgeführt werden durch den Datenverantwortlichen.
- Die Verfahren, die für die Inspektion des Datenverarbeiters durch den Datenverantwortlichen gelten, sind in Anhang C dieser Datenverarbeitungsvereinbarung angegeben.
- Die Inspektion von Unterauftragsverarbeitern durch den Datenverantwortlichen, sofern zutreffend, wird in der Regel durch den Datenverarbeiter durchgeführt. Die Verfahren für eine solche Überprüfung sind in Anhang C dieser Datenverarbeitungsvereinbarung angegeben.
- Der Datenverarbeiter ist verpflichtet, den Aufsichtsbehörden, die gemäß geltendem Recht Zugang zu den Einrichtungen des Datenverantwortlichen und des Datenverarbeiters haben, oder Vertretern, die im Namen dieser Aufsichtsbehörden handeln, gegen Vorlage eines geeigneten Zugangs zu den physischen Einrichtungen des Datenverarbeiters zu gewähren Identifikation.
12 Vereinbarung der Parteien zu anderen Bedingungen
- (Gesonderte) Bedingungen in Bezug auf die Folgen der Verletzung dieser Datenverarbeitungsvereinbarung durch die Parteien, falls zutreffend, werden in der „Rahmenvereinbarung“ der Parteien oder in Anhang D dieser Datenverarbeitungsvereinbarung festgelegt.
- Die Regelung anderer Bedingungen zwischen den Parteien wird im „Rahmenvertrag“ der Parteien oder in Anhang D zu diesem Datenverarbeitungsvertrag festgelegt.
13 Beginn und Ende
- Diese Datenverarbeitungsvereinbarung tritt am Datum der Unterzeichnung der Vereinbarung durch beide Parteien in Kraft.
- Beide Parteien sind berechtigt, eine Neuverhandlung dieser Datenverarbeitungsvereinbarung zu verlangen, wenn Gesetzesänderungen oder die Unzweckmäßigkeit der hierin enthaltenen Bestimmungen Anlass zu einer solchen Neuverhandlung geben sollten.
- Die Vereinbarung der Parteien über Vergütung, Bedingungen usw. im Zusammenhang mit Änderungen dieser Datenverarbeitungsvereinbarung, falls zutreffend, wird in der „Rahmenvereinbarung“ der Parteien oder in Anhang D dieser Datenverarbeitungsvereinbarung festgelegt.
- Diese Datenverarbeitungsvereinbarung kann gemäß den Kündigungsbedingungen gekündigt werden, inkl. Kündigungsfrist, die im Rahmenvertrag festgelegt ist.
- Diese Datenverarbeitungsvereinbarung gilt, solange die Verarbeitung durchgeführt wird. Ungeachtet der Kündigung des „Rahmenvertrags“ und/oder dieses Datenverarbeitungsvertrags bleibt der Datenverarbeitungsvertrag bis zur Beendigung der Verarbeitung und bis zur Löschung der Daten durch den Datenverarbeiter und etwaige Unterverarbeiter in Kraft.
- Unterschrift
Im Auftrag des Datenverantwortlichen
Name: |
Michael Stempel
|
Position: |
Vorsitzender
|
Datum:
|
01.04.18
|
14 Kontakte/Kontaktstellen für Datenverantwortliche und Datenverarbeiter
- Die Parteien können einander über die folgenden Kontakte/Kontaktstellen kontaktieren:
- Die Vertragsparteien sind verpflichtet, sich gegenseitig fortlaufend über Änderungen der Ansprechpartner/Kontaktstellen zu informieren.
Name: |
Mike Stampe
|
Position: |
Vorsitzender
|
Telefonnummer: |
+45 52137210
|
Email: |
stampe@kv-stampe.dk |
Anhang A Informationen zur Verarbeitung
Der Zweck der Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen ist:
- Der Datenverantwortliche kann Google Analytics verwenden, das Eigentum des Datenverarbeiters ist und von diesem verwaltet wird, um Daten über die Mitglieder des Datenverantwortlichen zu sammeln und zu verarbeiten.
Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen bezieht sich hauptsächlich auf (die Art der Verarbeitung):
- Der Datenverarbeiter stellt dem Datenverantwortlichen das System Shopify zur Verfügung und speichert hiermit personenbezogene Daten über die Mitglieder des Datenverantwortlichen auf den Servern des Unternehmens.“
Die Verarbeitung umfasst die folgenden Arten von personenbezogenen Daten über betroffene Personen:
- Name, E-Mail-Adresse, Telefonnummer, Adresse, Zahlungsdaten und Länder
Die Verarbeitung umfasst folgende Kategorien betroffener Personen:
Personen, die Produkte auf der Website gekauft oder sich als Mitglied registriert haben
Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen kann durchgeführt werden, wenn diese Datenverarbeitungsvereinbarung beginnt. Die Verarbeitung hat folgende Dauer:
- Die Verarbeitung ist nicht zeitlich begrenzt und wird durchgeführt, bis diese Datenverarbeitungsvereinbarung von einer der Parteien gekündigt oder gekündigt wird.
Anhang B Belehrung zur Nutzung personenbezogener Daten
B.1 Speicherdauer / Löschverfahren
- Personenbezogene Daten werden 3 Jahre lang gespeichert, danach werden sie vom Datenverarbeiter gelöscht.
B.2 Verarbeitungsort
Die Verarbeitung der personenbezogenen Daten im Rahmen dieser Datenverarbeitungsvereinbarung darf ohne vorherige schriftliche Zustimmung des Datenverantwortlichen nicht an anderen Orten als den folgenden durchgeführt werden:
- Geben Sie den Datenverarbeiter oder Unterauftragsverarbeiter unter der Adresse Ringvejen 60, 7900 Nykøbing Mors an