DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
XXXX.XX OG KUNDEN
INDHOLDSFORTEGNELSE
________________________________________________________________________________
1. | AFTALENS BAGGRUND OG FORMÅL | 5 |
2. | DATAANSVARLIGS RETTIGHEDER OG FORPLIGTELSER | 5 |
3. | DATABEHANDLERS FORPLIGTELSER | 6 |
4. | DATABEHANDLERS BRUG AF UNDERLEVERANDØRER | 6 |
5. | INSTRUKSER | 7 |
6. | TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER | 7 |
7. | OVERFØRSLER TIL ANDRE LANDE | 8 |
8. | TAVSHEDSPLIGT OG FORTROLIGHED | 8 |
9. | KONTROLLER OG ERKLÆRINGER | 8 |
10. | ÆNDRINGER I DATABEHANDLERAFTALEN | 9 |
11. | SLETNING ELLER DESTRUKTION AF PERSONOPLYSNINGER | 9 |
12. | MISLIGHOLDELSE OG ANSVAR | 9 |
13. | IKRAFTTRÆDELSE OG VARIGHED | 9 |
14. | LOVVALG OG VÆRNETING | 10 |
1 |
BILAGSOVERSIGT
Appendiks 1: De behandlede oplysninger Appendiks 2: Underdatabehandlere
Appendiks 3: Sikkerhedsbilag
”Aftalen” betyder den hovedaftale, som danner grundlag for indgåelsen af denne Databehandleraftale.
”Databeskyttelseslovgivningen” betyder Europa-Parlamentet og Rådets direktiv 95/46/EF, per-
sondataloven (lov 2000-05-31 nr. 429 med senere ændringer) og efter 25. maj 2018 forordning (EU) 2016/679 samt fremtidig lov- givning, der regulerer behandlingen af personoplysninger.
”Databehandleraftalen” betyder betyder nærværende databehandleraftale.
XXXX.xx ApS Xxxxxxxxxxx 000X 0000 Xxxxxxxxx K
(herefter ”Databehandler”) og
Kunden
(herefter ”Dataansvarlig”)
(hver for sig en ”Part” eller ”Parten” og sammen ”Parter” eller ”Parterne”)
1. AFTALENS BAGGRUND OG FORMÅL
1.1 Denne aftale har til formål at sikre, at Databeskyttelseslovgivningen overholdes. Formålet med, at Databehandler behandler persondata på vegne af Dataansvarlig er angivet i Ap- pendiks 1.
1.2 Såfremt der er modstrid mellem denne Databehandleraftale og Aftalen, har denne Data- behandleraftale forrang, med mindre andet følger direkte af Aftalen.
1.3 Hvis der er forhold i Databehandleraftalen og tilhørende instrukser, der senere bliver kendt ugyldig eller viser sig i strid med Databeskyttelseslovgivningen, kan Parterne ikke, uanset punkt 1.1, påberåbe sig dette. Databehandleraftalen skal i øvrigt bestå, og Partnerne ind- leder om nødvendigt forhandling med henblik på at afklare, supplere eller revidere de pågældende forhold.
2. DATAANSVARLIGS RETTIGHEDER OG FORPLIGTELSER
2.1 Dataansvarlig er dataansvarlig for de personoplysninger, som Databehandler behandler på Dataansvarligs vegne.
2.2 Dataansvarlig har ansvaret for, at Databehandler må behandle personoplysningerne på vegne af Dataansvarlig, herunder at behandlingen er lovlig. Dataansvarlig har de ret- tigheder og forpligtelser, som er givet en dataansvarlig i medfør af Databeskyttelseslov- givningen.
3. DATABEHANDLERS FORPLIGTELSER
3.1 Databehandler indestår for udelukkende at behandle persondata på Dataansvarligs vegne på vilkår angivet i Databehandleraftalen eller såfremt der foreligger en dokumenteret in- struks fra Dataansvarlig, jf. afsnit 5.
3.2 Databehandler hjælper og bistår Dataansvarlig, på dennes anmodning, med levering af relevant information og dokumentation med henblik på, at Dataansvarlig kan dokumen- tere overholdelse af Dataansvarligs lovgivningsmæssige forpligtelser, herunder f.eks. indsigtsret, konsekvensanalyser mv. For gennemførelsen af sådan bistand til Dataansvar- lig, samt for ændringer og/eller udvidelser af instruksen, kan Databehandler kræve ve- derlag efter medgået tid samt for sine øgede omkostninger. Timeprisen herfor fremgår af DKK 650 ekskl. Moms 25%.
3.3 Hvis en registreret kontakter Databehandler med henblik på at udøve sine rettigheder efter Databeskyttelseslovgivningen over for Dataansvarlig sender Databehandler en så- dan henvendelse uden unødigt ophold videre til Dataansvarlig til dennes ekspedition. Da- tabehandler bistår Dataansvarlig i medfør af afsnit 3.2.
4. DATABEHANDLERS BRUG AF UNDERLEVERANDØRER
4.1 Databehandler anvender underleverandører (underdatabehandlere) til brug for levering af ydelser efter Databehandleraftalen. Dataansvarlig har ved underskrivelsen af nærvæ- rende aftale godkendt, at de i Appendiks 2 anførte underdatabehandlere benyttes.
4.2 Dataansvarlig giver Databehandler en generel godkendelse til at anvende underdatabe- handlere såfremt følgende vilkår er opfyldt
• Databehandler underretter altid Dataansvarlig om eventuelle planlagte tilføjelser eller udskiftninger af underdatabehandlere, og giver Dataansvarlig mulighed for, inden for rimelig frist, at gøre indsigelse mod sådanne ændringer. Underretningen skal ledsages af en beskrivelse i henhold til de oplysninger, der er indeholdt i Ap- pendiks 2 for allerede godkendte underdatabehandlere, som giver den Dataansvar- lige grundlag for at vurdere forholdet.
• Brug af underdatabehandlere sker på basis af en skriftlig aftale indgået mellem Da- tabehandler og underdatabehandlere, der pålægger denne de samme forpligtelser, som påhviler Databehandler i medfør af Databehandleraftalen, samt Databeskyttel- seslovgivningen, således at den registreredes rettigheder sikres. Databehandler på- ser aktivt og sikrer, at underdatabehandleren overholder sådanne forpligtelser.
• Dataansvarlig kan til enhver tid forlange dokumentation for underdatabehandleraf- talens eksistens og indhold, med undtagelse af forhold, der er af fortrolig, kommer- ciel karakter mellem Databehandler og underdatabehandleren.
4.3 Medmindre andet er særskilt aftalte varetages al form for kommunikation med underda- tabehandleren af Databehandler. Dataansvarlig kan nægte anvendelse af underdatabe- handlere, hvis disse ikke lever op til en instruks. Desuden er Databehandler direkte an- svarlig for underdatabehandlerens behandling af Dataansvarligs personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.
4.4 Databehandler overfører aktuelt ikke Dataansvarligs personoplysninger til lande udenfor EU/EØS. Databehandler er, uanset punkt 4.2, ikke berettiget til at anvende underleve- randører i usikre tredjelande uden forudgående skriftlig godkendelse fra Dataansvarlig. Anvendelse af underleverandører beliggende i usikre tredjelande skal ske på et i henhold til Databeskyttelseslovgivningen gyldigt overførselsgrundlag. I sin skriftlige godkendelse tager Xxxxxxxxxxxxx tillige aktiv stilling til, om Databehandler efter fuldmagt skal sikre, at der indgås standardkontrakter direkte mellem Dataansvarlig og underdatabehandler eller om Dataansvarlig selv ønsker at gennemføre dette.
5. INSTRUKSER
5.1 Databehandler behandler alene personoplysninger i henhold til og i overensstemmelse med Dataansvarligs til enhver tid gældende instruktioner. Dataansvarligs instruks omfat- ter enhver behandling, som er nødvendig for Databehandlers levering af ydelserne til Da- taansvarlig.
5.2 Databehandler underretter Dataansvarlig, hvis en instruks efter Databehandlers opfat- telse strider imod Databeskyttelseslovgivningen.
5.3 Det er ikke tilladt for Databehandler at nægte at adlyde Dataansvarligs instrukser som følge af manglende betalinger af Databehandlers regninger mv., og Databehandler har på intet tidspunkt tilbageholdelsesret eller lign. over Dataansvarligs persondata.
5.4 Databehandleren kan alene behandle personoplysninger udenfor instruksen, hvor det kræves af EU- eller national ret, som Databehandleren er undergivet. Databehandleren underretter den Dataansvarlige om årsagen hertil, med mindre sådan underretning vil være i strid med EU- eller national ret.
6. TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER
6.1 Databehandler skal, under hensyntagen til det aktuelle tekniske niveau, implemente- ringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers ret- tigheder og frihedsrettigheder, gennemføre passende tekniske og organisatoriske foran- staltninger for at bl.a. at forhindre
• hændelig eller ulovlig tilintetgørelse, tab, ændring
• uautoriseret videregivelse, adgang eller misbrug
• anden ulovlig behandling, jf. sikkerhedsbilag vedlagt som Appendiks 3
6.2 Databehandler skal kunne påvise over for Dataansvarlig, at Databehandler har de for- nødne tekniske og organisatoriske sikkerhedsforanstaltninger. Parterne er enige om, at de afgivne garantier anført i appendiks 3 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandleraftale.
6.3 Uden ugrundet ophold og senest 24 timer efter, at Databehandler bliver bekendt med et sikkerhedsbrud, underretter Databehandler skriftligt Dataansvarlig. Denne orientering
indeholder som minimum, og så vidt det er muligt i lyset af hændelsens karakter, føl- gende: 1) oplysninger om arten af det konstaterede sikkerhedsbrud, 2) hvilke kategorier af registrerede, som er omfattet, 3) omtrentligt berørt antal registrerede, herunder kate- gorier af omfattede personoplysninger og antal, samt hvilke eliminerende og/eller miti- gerende foranstaltninger Databehandler har truffet i anledning af det konstaterede sik- kerhedsbrud.
6.4 Fortegnelserne skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne.
7. OVERFØRSLER TIL XXXXX XXXXX
7.1 Persondata må ikke med på grundlag af Databehandlers accept eller med dennes god- kendelse, overføres til tredjelande, medmindre Dataansvarlig har godkendt en sådan overførsel. Databehandler skal forinden sikre, at overførslen af pågældende persondata lovligt kan ske i overensstemmelse med Databeskyttelseslovgivningen.
7.2 Såfremt personoplysninger overføres til en EU-medlemsstat, er det Databehandlers an- svar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes.
8. TAVSHEDSPLIGT OG FORTROLIGHED
8.1 Behandling af personoplysninger sker under fuld fortrolighed mellem Databehandler og Dataansvarlig. Ansatte hos Databehandler, tredjeparter (f.eks. reparatører) samt under- databehandlere, der er beskæftiget med behandling af personoplysninger under nærvæ- rende Databehandleraftale, skal være undergivet tavshedspligt. Alene ansatte hos Data- behandler, som autoriseres hertil, må have adgang til de personoplysninger, der behand- les under Databehandleraftalen. Databehandleren skal sikre, at medarbejdere, der be- handler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
8.2 Uanset punkt 13 gælder bestemmelser om tavshedspligt og fortrolighed uden tidsbe- grænsning.
9. KONTROLLER OG ERKLÆRINGER
9.1 Dataansvarlig er berettiget til, for egen regning, at lade Databehandlers behandling af personoplysninger for Dataansvarlig underkaste en inspektion og/eller revision af en uaf- hængig tredjepart. Databehandler er berettiget til vederlag for tidsforbrug og omkostnin- ger forbundet hermed. Timeprisen herfor fremgår af DKK 650 ekskl. Moms 25%.
10. ÆNDRINGER I DATABEHANDLERAFTALEN
10.1 Såfremt lovgivningsændringer eller praksisændringer giver anledning til ændringer af Da- tabehandleraftalen, er Dataansvarlig med et varsel på 7 dage berettiget til at foretage disse ændringer omkostningsfrit.
10.2 Såfremt ændringerne i stedet beror på Dataansvarligs forhold, herunder Dataansvarligs ønske til et persondatabeskyttelsesniveau, der overstiger det lovpligtige og/eller det sik- kerhedsmæssige relevante niveau, kan Databehandler kræve vederlag efter medgået tid samt for sine øgede omkostninger.
10.3 Databehandler skal sikre, at underdatabehandlere uden ugrundet ophold tilmed forpligtes af ændringer i medfør af punkt 10.1 og 10.2.
11. SLETNING ELLER DESTRUKTION AF PERSONOPLYSNINGER
11.1 Ved Aftalens udløb eller ophør ophører samtidig nærværende Databehandleraftale. Par- terne træffer aftale om sletning, tilbagelevering eller destruktion af alle personoplysnin- ger, som behandles af Databehandler på vegne af Dataansvarlig. Databehandler sletter endvidere alle kopier af oplysninger, herunder fra backup, i overensstemmelse med Da- tabehandlers planlagte og systematiske overskrivning af backups.
11.2 Uanset 11.1 er Databehandler berettiget til, i det omfang det er nødvendigt for at kunne dokumentere levering af ydelserne efter Aftalen, eller forsvare sig mod retskrav, at gemme en kopi af Dataansvarligs personoplysninger. Dataansvarligs personoplysninger må i så fald udelukkende behandles til de anførte formål, og ophører, når disse ikke læn- gere består.
11.3 Databehandler skal ligeledes sikre, at eventuelle underdatabehandlere ikke behandler persondata efter ophøret af Aftalen, med mindre afsnit 11.2 finder anvendelse.
12. MISLIGHOLDELSE OG ANSVAR
12.1 Aftalens bestemmelser om misligholdelse og ansvar gælder også for Databehandlerafta- len.
13. IKRAFTTRÆDELSE OG VARIGHED
13.1 Nærværende databehandleraftale træder i kraft ved begge parters underskrift, og løber indtil ophør af Aftalen.
13.2 Uanset 13.1 fortsætter nærværende Databehandleraftale så længe Databehandler er i besiddelse af nogen af Dataansvarligs persondata.
13.3 Dataansvarlig er for egen regning berettiget til, med bistand fra uafhængig tredjepart, at påse, at sletning mv. er sket som oplyst fra Databehandler. Databehandler er berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.
14. LOVVALG OG VÆRNETING
14.1 Databehandleraftalen reguleres af dansk ret.
14.2 Det er aftalt, at alle krav og enhver tvist, der udspringer af Databehandleraftalen, skal afgøres ved Retten i København.
De behandlede oplysninger
De personoplysninger, som Databehandler behandler på vegne af Dataansvarlig, vedrører de kate- gorier af persondata, som er afleveret af Dataansvarlig til Databehandler i dokumentet:
• genstanden for og varigheden af behandlingen,
o Det af Dataansvarlig uploadede data benyttes til alle former for Dataansvarligs e‐mailkom‐ munikation til tredjeparter. Data opbevares på systemet i 30 dage
• behandlingens karakter og formål,
o Afsendelse af Dataansvarligs e‐mails til alle former for kommunikation, der foregår med Databehandlers sendeprotokol
• typen af personoplysninger
o Almindelige oplysninger, som databehandleren skal behandle på vegne af dataansvarlig
▪ E‐mailadresser, emnefelt samt modtager navn
• kategorierne af registrerede
o Afsenderen af e‐mails samt e‐mailadresser for disses kunder
• den fysiske lokation (af servere etc.) hvor persondata bliver behandlet]
• ADEODC Herstedvang 8 1606 2620 Albertslund
Underdatabehandlere
ADEODC Herstedvang 8 1606 2620 Albertslund
• genstanden for og varigheden af behandlingen,
o Hosting af e‐mailafsendelsessystemet. Live‐transmission. E‐mails opbevares i 30 dage.
• behandlingens karakter og formål,
o Afsende e‐mails
• typen af personoplysninger
o Almindelige oplysninger, som databehandleren skal behandle på vegne af dataansvarlig
▪ E‐mailadresser, emnefelt samt modtager navn
• kategorierne af registrerede
o Afsenderen af e‐mails samt e‐mailadresser for disses kunder
Sikkerhedsbilag
• Følsomme oplysninger er krypteret i transit via en sikker filoverførselsløsning i overens- stemmelse med branchestandarder
• Databehandler benytter sig af antivirusprogrammer
• Databehandler har implementeret firewalls
• Databehandler sikrer kritiske netværksadgangspunkter, og at systemer løbende testes for svagheder
• Alle ansatte hos Databehandler, eller som arbejder for Databehandler, er tildelt en unik konto, som ikke må deles, og skal holdes fortrolig
• Alle kunder får tildelt en automatisk genereret kode ved første login.
• Adgangskodekonfigurationer bliver håndhævet for at sikre en minimumskonfiguration af:
o Minimum 8 karakterer
o Skal indeholde 2 tal
• Nye brugere skal adgangsautoriseres af brugere med rettigheder hertil, før der gives ad- gang til systemer
• Alle adgangs- og nøglebegivenheder bliver logget og er tilgængelige for Databehandler, hvis nødvendigt
• Fjernadgang sker via krypteret forbindelse