Databehandleraftale
i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger
mellem Navn:
CVR:
Adresse:
Postnummer:
By:
Land:
herefter ”den dataansvarlige” og
CURAit A/S
CVR DK32444288
Værkstedsgården 14
0000 Xxxxxxxxxxx Xxxxxxx
herefter ”databehandleren”
der hver især er en ”part” og sammen udgør ”parterne”
HAR AFTALT følgende standardkontraktsbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttel- sesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsret- tigheder
1. Indhold
3. Den dataansvarliges rettigheder og forpligtelser 3
4. Databehandleren handler efter instruks 3
7. Anvendelse af underdatabehandlere 5
8. Overførsel til tredjelande eller internationale organisationer 6
9. Bistand til den dataansvarlige 6
10. Underretning om brud på persondatasikkerheden 7
11. Sletning og returnering af oplysninger 8
12. Revision, herunder inspektion 8
13. Parternes aftale om andre forhold 8
15. Kontaktpersoner hos den dataansvarlige og databehandleren 9
Bilag A Oplysninger om behandlingen 10
Bilag B Underdatabehandlere 12
Bilag C Instruks vedrørende behandling af personoplysninger 13
Bilag D Parternes regulering af andre forhold 16
1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamen- tets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).
3. I forbindelse med leveringen af Choose an item. behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
5. Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige har godkendt brugen af.
8. Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplys- ninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke af omfattet af Bestemmelserne.
10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
11. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter data- beskyttelsesforordningen eller enhver anden lovgivning.
3. Den dataansvarliges rettigheder og forpligtelser
1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU- ret eller medlemsstaternes1 nationale ret og disse Bestemmelser.
2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.
4. Databehandleren handler efter instruks
1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”.
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nati- onale ret.
1. Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til person- oplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke læn- gere være tilgængelige for disse personer.
2. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensynta- gen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karak- ter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behand- lingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
a. Pseudonymisering og kryptering af personoplysninger
b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssy- stemer og -tjenester
c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risici- ene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rå- dighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataan- svarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databe- handleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nød- vendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
7. Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden forudgående generel skriftlig godkendelse fra den dataansvarlige.
3. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databe- handleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilfø- jelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehand- ler(e). Længere varsel for underretning i forbindelse med specifikke behandlingsaktiviteter kan angives i bilag
B. Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B.
4. Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behand- lingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstalt- ninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesfor- ordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder data- behandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmod- ning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende data- beskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
6. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige som begunstiget tred- jemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandlere, som f.eks. gør den dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den dataansvarlige og databehandleren, herunder underdatabehandleren.
8. Overførsel til tredjelande eller internationale organisationer
1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i over- ensstemmelse med databeskyttelsesforordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hen- syn til vigtige samfundsmæssige interesser.
3. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser:
a. overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en internati- onal organisation
b. overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
c. behandle personoplysningerne i et tredjeland
4. Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det even- tuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angi- ves i bilag C.6.
5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttel- sesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overfør- sel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
9. Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forplig- telse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelses- forordningens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger hos den registrerede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
c. indsigtsretten
d. retten til berigtigelse
e. retten til sletning (”retten til at blive glemt”)
f. retten til begrænsning af behandling
g. underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller be- grænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
2. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgæn- gelige for databehandleren, den dataansvarlige med:
a. den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikker- heden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
b. den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder
c. den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte be- handlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
d. den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Datatilsynet, inden be- handling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
3. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehand- leren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 9.1. og 9.2.
10. Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 48 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
3. I overensstemmelse med Bestemmelse 9.2.a skal databehandleren bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
a. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registre- ringer af personoplysninger
b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mu- lige skadevirkninger.
4. Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kom- petente tilsynsmyndighed.
11. Sletning og returnering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er databehandleren forpligtet til at slette alle personoplysninger, der er blevet behandlet på vegne af den dataansvarlige og bekræfte over for den dataansvarlig, at oplysningerne er slettet eller tilbagelevere alle personoplysningerne og slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysnin- gerne.
12. Revision, herunder inspektion
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesfor- ordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bi- drager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdata- behandlere er nærmere angivet i Bilag C.7. og C.8.
3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndig- hedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
13. Parternes aftale om andre forhold
1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behandling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod Be- stemmelserne eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelsesforordningen.
1. Bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.
2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Be- stemmelserne giver anledning hertil.
3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjene- sten vedrørende behandling af personoplysninger, aftales mellem parterne.
4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstemmelse med Bestemmelse 11.1 og Bilag C.4, kan Bestemmelserne opsiges med skriftligt varsel af begge parter.
5. Underskrift
På vegne af den dataansvarlige (Kunden): Navn:
Stilling: Telefonnummer: E-mail:
Dato og underskrift
På vegne af databehandleren (CURAit): Xxxx Xxxxxx Xxxxxxxx
Stilling CEO / Partner
Telefonnummer x00 00000000
Dato og underskrift
15. Kontaktpersoner hos den dataansvarlige og databehandleren
1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner.
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner.
Kunden:
Navn Stilling
Telefonnummer E-mail
CURAit:
Navn Xxxxxx Xxxxxxxx
Stilling CEO / Partner
Telefonnummer x00 00000000
Bilag A Oplysninger om behandlingen
A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige
Parterne har indgået en aftale om levering af Choose an item., som i denne databehandleraftale defineres som Hoved- aftalen.
Afhængig af Hovedaftalen har parterne indgået aftale om henholdsvis; A.1.1 CURAcloud
Formålet med databehandlerens behandlingen af personoplysninger er levering af hosting- og drift af den dataansvarli-
ges it-systemer.
A.1.2 CURAmanaged
Formålet med databehandlerens behandlingen af personoplysninger er levering af support og vedligehold til den data- ansvarlige.
A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karak- teren af behandlingen)
A.2.1 CURAcloud
Databehandleren yder hosting og drift af den dataansvarliges it-systemer. Den primære karakter af behandlingen udgør; backup, overvågning, antivirus programmer og leje af firewall, virtuelle servere og kapacitet som nærmere specificeret i Hovedaftalen mellem parterne.
Behandlingen kan i de konkrete tilfælde hermed blandt andet omfatte organisering, leje, systematisering, facilitering, midlertidig opbevaring, filtrering, fejlfinding, tilpasning eller ændring, genfinding, søgning, brug, sammenstilling, samkø- ring, begrænsning eller sletning af personoplysninger, når det er nødvendigt i forbindelse med opfyldelse af databe- handlerens levering af tjenesterne til den dataansvarlige, eller når det er nødvendigt for at opfylde en konkret anmod- ning fra den dataansvarlige.
A.2.2 CURAmanaged
Databehandleren yder it- support og vedligehold for den dataansvarlige it-systemer. Den primære karakter af behand- lingen udgør;
Support af den dataansvarlige med den dataansvarliges daglige drift af dennes it-systemer.
Udførelse af implementeringsopgaver med henblik på implementering af Choose an item. hos den dataansvarlige og/el- ler aflægge faste intervalbasis konsulentbesøg ved den dataansvarlige.
Ved fejl i software eller den dataansvarliges it-systemer i øvrigt kan databehandleren sende en konsulent ud til den dataansvarlige med henblik på fejlsøgning, retninger mv.
Behandlingen kan i de konkrete tilfælde hermed blandt andet omfatte organisering, systematisering, facilitering, mid- lertidig opbevaring, filtrering, fejlfinding, tilpasning eller ændring, genfinding, søgning, brug, sammenstilling, samkøring, begrænsning eller sletning af personoplysninger, når det er nødvendigt i forbindelse leveringen af de aftalte tjenester, eller når det er nødvendigt for at opfylde en anmodning fra den dataansvarlige.
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
[Den Dataansvarlige beskriver her typen af personoplysninger, der behandles. Nedenfor finder du inspirationstekst til at udfylde]
[Det kan f.eks. være: ”Navn, e-mailadresse, telefonnummer, adresse, personnummer, betalingskortoplysninger, medlemsnum- mer, type af medlemskab, fremmøde i fitnesscenter og tilmelding til konkrete fitnesshold.”]
[Bemærk venligst: Beskrivelsen bør være så specifik som muligt, og under alle omstændigheder skal typen af personoplysninger præciseres yderligere end blot ”personoplysninger som defineret i Databeskyttelsesforordningens artikel 4, nr. 1” eller hvilken kategori af oplysninger (artikel 6, 9 eller 10), der behandles.]
A.4. Behandlingen omfatter følgende kategorier af registrerede
[Den dataansvarlige skriver her kategorierne af registrerede]
A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige påbegyndes efter Hovedaftalen mel- lem parterne træder i kraft og indtil denne ophører.
B.1. Godkendte underdatabehandlere
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere
NAVN | CVR | ADRESSE | BESKRIVELSE AF BEHAND- LING |
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uden den dataansvarliges skriftlige godkendelse – gøre brug af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.
B.2. Varsel for godkendelse af underdatabehandlere
Databehandlerens underretning om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdata- behandlere skal være den dataansvarlige i hænde minimum 30 dage, før anvendelsen eller ændringen skal træde i kraft, så vidt dette umiddelbart er muligt.
Uanset ovenstående accepterer den dataansvarlige, at der kan være særlige tilfælde, hvor der kan opstå et konkret behov for, at ændringen vedrørende tilføjelse eller erstatning af underdatabehandlere sker med kortere varsel eller straks. I sådanne tilfælde vil databehandleren underrette den dataansvarlige om ændringen snarest muligt.
Såfremt den dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give databehandleren meddelelse herom inden ændringens varslede virkningstidspunkt. den dataansvarlige kan alene gøre indsigelse, hvis den dataan- svarlige har rimelige, konkrete årsager hertil.
Ved den dataansvarliges indsigelse accepterer den dataansvarlige samtidig, at databehandleren kan være forhindret i at levere hele eller dele af de aftalte tjenester. Sådan manglende opfyldelse kan ikke tilskrives databehandlerens mislighol- delse. Databehandleren opretholder sit krav på betaling for sådanne ydelser, uanset de ikke kan leveres til den dataan- svarlige.
Bilag C Instruks vedrørende behandling af personoplysninger
C.1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfø- rer enten C.1.1., C.1.2. eller begge dele:
C.1.1 CURAcloud
Opbevaring og backup samt de dertil knyttede behandlingsaktiviteter, som er nødvendige i forbindelse med leveringen af tjenesterne i henhold til Hovedaftalen, eller som er nødvendige for at opfylde en anmodning eller instruks fra den dataansvarlige.
C.1.2 CURAmanaged
Support, vedligehold og konsulentydelser samt de dertil knyttede behandlingsaktiviteter, som er nødvendige i forbin- delse med leveringen af tjenesterne i henhold til Hovedaftalen, eller som er nødvendige for at opfylde en anmodning eller instruks fra den dataansvarlige.
C.2. Behandlingssikkerhed Sikkerhedsniveauet skal afspejle:
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau.
Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige:
• Databehandleren skal løbende tage stilling til behov og regler for brug af kryptografiske kontroller og kryptografi- ske nøgler med henblik på at sikre fortrolighed, integritet og tilgængelighed af data.
• Databehandleren har opbygget procedurer omkring driftsaktiviteter på egne og den data-ansvarliges data, som er beskrevet og oprettet i faste rutiner. Væsentlige forstyrrelse og uregelmæssigheder i driften af systemerne samt årsager hertil registreres, og procedurer omkring prioritering (kritikalitet og indvirkning), genoprettelse og udbed- ring iværksættes.
• Databehandleren revideres årligt i sin generelle håndtering af IT-sikkerhed, herunder IT-sikkerhedspolitik, proce- durer, kontroller og risici.
• Ved transmission udveksles den dataansvarliges data krypteret under selve udvekslingen. Alle flytbare medier krypteres ved anvendelse til den dataansvarliges data.
• Den dataansvarliges data ligger i logisk adskilte miljøer i henhold til netværk og storage i databehandlerens lokali- tet, hvoraf adgangen til disse sker via databehandlerens RMM-portal, som er beskyttet af MFA samt navngiven administratoradgang.
• Fysisk adgang til databehandlerens eksterne hosting facilitet er beskyttet af adgangskontrol, som derudover er beskyttet af:
• Redundant dieselgenerator
• Brandsikring (aspirationsanlæg og Inergen/Argonite)
• Redundant køleanlæg
• UPS’er
• Faciliteterne overvåges
• Videoovervågning
• Al ekstern adgang til den dataansvarliges data er integreret i databehandlerens RMM-platform, som tilsikrer, at databehandlerens sikkerhedspolitik bliver håndhævet. Adgang til RMM-platform er beskyttet af MFA samt navngi- ven administratoradgang.
• Logning og overvågning af tjenesterne i henhold til Hovedaftalen sker udelukkende via databehandlerens RMM- portal, så der opnås et auditspor over aktiviteter.
C.3 Bistand til den dataansvarlige
Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelse 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltnin- ger:
• Databehandleren er til rådighed for bistand af den dataansvarlige jf. de aftalte vilkår i CURAit Service Level Agree- ment.
• Sikkerhedshændelser og øvrige henvendelser vurderes, dokumenteres og håndteres ud fra databehandlerens standard for risikovurdering samt dennes procedure for hændelseshåndtering.
• Brud på datasikkerhed rapporteres straks samt eskaleres og håndteres rettidigt. Brud og mistanke om brud på beskyttelsen af persondata rapporteres til databehandlerens Direktion, som skal handle herefter.
C.4 Opbevaringsperiode/sletterutine
Personoplysninger opbevares i den aftalte retentionperiode, hvis ikke andet er aftalt på forhånd, efter ophør af tjene- sten, hvorefter de slettes hos databehandleren.
Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal databehandleren enten slette eller tilbagele- vere personoplysningerne i overensstemmelse med bestemmelse 11.1 og bilag D.6, medmindre den dataansvarlige – efter underskriften af disse bestemmelser – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til bestemmelserne.
C.5 Lokalitet for behandling
Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende:
• GlobalConnect, Hørsketten 12, 2630 Taastrup
C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande
Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende over- førsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestem- melser at foretage sådanne overførsler.
C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren
Den dataansvarlige har efter databeskyttelsesforordningens art. 24 og 28 ret og pligt til at gennemføre tilsyn med data- behandlerens behandling af personoplysninger på den dataansvarlige vegne. Den dataansvarliges gennemførelse af til- syn med databehandleren kan ske ved, at den dataansvarlige udfører en af følgende handlinger:
• Egenkontrol på baggrund af dokumenter, som databehandleren gør tilgængelig for den dataansvarlige,
• Skriftligt tilsyn eller
• Fysiske inspektioner.
C.7.1 Egenkontrol
Den dataansvarlige kan ved forespørgsel få adgang til en række dokumenter til brug for gennemførelse af egenkontrol, herunder:
• Nyeste version af databehandlerens ISEA 3402-erklæring
• Beskrivelse af fysisk og organisatorisk sikkerhed hos databehandleren
• IT Sikkerhedspolitik.
• Anonymiseret beredskabsplaner hos databehandleren.
C.7.2 Skriftligt tilsyn og fysisk inspektion
Den dataansvarlige kan vælge at gennemføre et tilsyn enten som skriftligt tilsyn eller ved fysisk inspektion. Tilsynet kan udføres af den dataansvarlige selv og/eller i samarbejde med tredjepart. Et tilsyn skal tage udgangspunkt i de sikker- hedsforanstaltninger, der er aftalt mellem Parterne.
Procedure og rapportering for skriftligt tilsyn eller fysisk inspektion:
• Den dataansvarlige kontakter databehandleren via e-mail til xxxxxxxxx@xxxxxx.xx med ønske om gennemførelse af tilsyn og/eller inspektion.
• Ved skriftlige tilsyn skal den dataansvarlige uden unødig forsinkelse oplyse databehandleren herom.
• Ved fysiske tilsyn og/eller inspektion skal den dataansvarlige aftale datoen for tilsynet og/eller inspektionen på forhånd med databehandleren.
• Databehandleren bekræfter modtagelse og oplyser endelig dato for gennemførelse af tilsynet og/eller inspektion.
• Gennemførelsen af tilsynet og/eller inspektion finder sted.
• Den dataansvarlige udarbejder en rapport, der efterfølgende fremsendes til databehandleren.
• Databehandleren gennemgår udkastet til rapporten og kommenterer evt. på den dataansvarliges eventuelle ob- servationer (kan gentages flere gange).
• Endelig rapport konkluderes af den dataansvarlige.
• Tilsynet afsluttes.
C.8 Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til under- databehandlere
Databehandleren udfører, på baggrund af databehandlerens risikovurdering og under hensyntagen til de konkrete be- handlingsaktiviteter, revisioner, herunder inspektioner, med underdatabehandleres behandling af personoplysninger i overensstemmelse med proceduren beskrevet ovenfor i punkt C.7.
Den dataansvarlige kan på den dataansvarliges anmodning få yderligere oplysninger om, hvilke kontrolforanstaltninger der iværksat og gennemført over for de enkelte underdatabehandlere.
Bilag D Parternes regulering af andre forhold
D.1 Generelt
I relation til databehandlerens behandling af personoplysninger på vegne af den dataansvarlige, har parterne aftalt den nedenfor indgivne særregulering.
I tilfælde af uoverensstemmelse mellem Bestemmelserne og de i dette bilag D fastsatte vilkår, skal bilag D have forrang.
D.2 Konsekvenser af den dataansvarliges ulovlige instruks
Den dataansvarlige er bekendt med, at databehandleren er afhængig af den dataansvarliges anvisninger om, i hvilket omfang databehandleren er berettiget til at anvende og behandle personoplysningerne på den dataansvarliges vegne. Databehandleren hæfter derfor ikke for krav, som udspringer af databehandlerens handlinger eller undladelser, i det omfang disse handlinger eller undladelser er en direkte databehandlingsaktivitet udøvet i overensstemmelse med den dataansvarliges instrukser.
D.3 Implementering af andre sikkerhedsforanstaltninger
Databehandleren er berettiget til at implementere og opretholde alternative sikkerhedsforanstaltninger i forhold til det i aftalen vedrørende levering af tjenesterne og bilag C.2 anførte, dog under forudsætning af at sådanne alternative sik- kerhedsforanstaltninger som minimum giver samme sikkerhed som de foreskrevne sikkerhedsforanstaltninger.
D.4 Bestemmelser om begunstiget tredjemand ift. underdatabehandlere
Parterne har aftalt at Bestemmelsernes punkt 7.6 (som udfærdigede nedenfor) ikke skal finde anvendelse mellem part- ner.
Følgende tekst udgår derfor af Bestemmelserne: ”Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandlere, som f.eks. gør den dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.”
D.5 Anvendelse af underdatabehandler som levere på standardvilkår
Uanset punkt Fejl! Henvisningskilde ikke fundet. skal det understreges, at hvis databehandleren anvender en underdat- abehandler, som leverer sine ydelser på egne vilkår, som databehandleren ikke har mulighed for at aftale fravigelser til, gælder underdatabehandlerens vilkår for de behandlingsaktiviteter, der overlades til udførelse hos sådan underdatabe- handler. Hvor der sker behandling på en underdatabehandlers vilkår, er dette angivet ved den relevante underdatabe- handler på oversigten over underdatabehandlere, som vedlægges i bilag.
Ved Bestemmelserne giver den dataansvarlige sin accept af og instruks om, at sådanne konkrete behandlingsaktiviteter sker på underdatabehandlerens vilkår.
D. 6 Sletning og returnering af oplysninger
Det er mellem parterne aftalt at den dataansvarlige instruerer om databehandlerens sletning og returnering af person- oplysninger i forbindelse med Bestemmelsernes ophør.
Den dataansvarlige skal mindst 30 dage efter at behandlingen af personoplysninger er ophørt meddele databehandleren hvorvidt alle personoplysninger skal slettes eller tilbageleveres til den dataansvarlige. I det tilfælde hvor personoplys- ninger skal tilbageleveres til den dataansvarlige, skal databehandleren ligeledes slette eventuelle eksisterende kopier. Databehandleren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever meddelelsen fra den dataansvarlige.
Såfremt databehandleren ikke har modtaget meddelelse fra den dataansvarlige inden 30 dage efter behandlingen af personoplysninger er ophørt, er databehandleren uden yderligere varsel berettiget til at slette personoplysninger.
Databehandleren er berettiget til vederlag for dennes behandlingsaktiviteter frem til det tidspunkt hvor den dataansvar- lige meddeler databehandleren hvorvidt alle personoplysninger skal slettes eller tilbageleveres til den dataansvarlige.
D.7 Vederlag D.7.1 Bistand
Databehandleren er berettiget til vederlag for bistand efter de i Bestemmelsernes punkt 9 aftalte bistandsydelser. Ve-
derlaget opgøres på baggrund af den forbrugte arbejdstid til en timesats til DKK 1.350 ekskl. moms. Timesatsen er fastsat på tidspunktet for indgåelse af disse Bestemmelser, hvorfor der tages forbehold for prisændringer, som skal aftales særskilt mellem parterne.
Fører databehandlerens bistand til krav om skærpelse af de sikkerhedsforanstaltninger, der skal iagttages i forhold til det aftalte i Hovedaftalen vedrørende leveringen af tjenesterne og Bilag C, gennemfører databehandleren, så vidt det er muligt, sådanne yderligere sikkerhedsforanstaltninger efter nærmere aftale med den dataansvarlige, forudsat data- behandleren modtager betaling herfor.
D.7.2 Implementering af øvrige sikkerhedsforanstaltninger
Fører den dataansvarliges krav eller databehandlerens løbende vurderinger til skærpelse af kravene til sikkerhedsforan- staltninger, i forhold til det aftalte i Bilag C.2, implementerer og gennemfører databehandleren sådanne yderligere sik- kerhedsforanstaltninger efter nærmere aftale med den dataansvarlige, forudsat databehandleren modtager betaling herfor. Vederlaget opgøres på baggrund af den forbrugte arbejdstid til en timesats til DKK 1.350 ekskl. moms. Timesat- sen er fastsat på tidspunktet for indgåelse af disse Bestemmelser, hvorfor der tages forbehold for prisændringer, som skal aftales særskilt mellem parterne.
Den dataansvarlige kan anmode om databehandlerens assistance i forbindelse med sletning af personoplysninger. D.7.3 Tilbagelevering af oplysninger
Såfremt den dataansvarlige ønsker tilbagelevering af personoplysningerne inden de slettes, i forhold til det aftalte i Be-
stemmelsernes punkt 11.1, er databehandleren berettiget til at kræve vederlag for fremsendelse af en kopi af person- oplysningerne til den dataansvarlige. Vederlaget opgøres på baggrund af den forbrugte arbejdstid til en timesats til DKK
1.350 ekskl. moms. Timesatsen er fastsat på tidspunktet for indgåelse af disse Bestemmelser, hvorfor der tages forbe- hold for prisændringer, som skal aftales særskilt mellem parterne.
D.7.4 Tilsyn og revision
Databehandleren er berettiget til vederlag for den dataansvarliges udøvelse af tilsyn og revision i forhold til det aftalte i Bestemmelsernes punkt 12. Vederlaget opgøres på baggrund af den forbrugte arbejdstid til en timesats til DKK 1.350 ekskl. moms. Timesatsen er fastsat på tidspunktet for indgåelse af disse Bestemmelser, hvorfor der tages forbehold for prisændringer, som skal aftales særskilt mellem parterne.
D.8 Xxxxxx og misligholdelse
En eventuel misligholdelse af Bestemmelserne reguleres og behandles i overensstemmelse med parternes Hovedaftale.
Den dataansvarlige og databehandleren er erstatningsansvarlige i overensstemmelse med parteres Hovedaftale med de yderligere begrænsninger der er angivet nedenfor.
Ingen af parterne er ansvarlige over for hinanden for indirekte tab og følgeskader, herunder men ikke begrænset til drifts- og avancetab, mistet besparelse, og tab af goodwill., tab af data og omkostningerne til disses reetablering eller anden lignende følgeskade.
For kompensation og andre beløb der skal betales til de registrerede som følge af overtrædelse af databeskyttelsesfor- ordningens regler, finder databeskyttelsesforordningens artikel 82 anvendelse, og parterne er således inter partes hver især ansvarlig for betaling af sådanne beløb svarende til deres respektive del af erstatningsansvaret, under hensyntagen til vilkårene i Bestemmelserne. Uanset databeskyttelsesforordningen art 82, stk. 5 kan en part, der har udredt erstat- ningsbeløb til en skadelidt, der ikke svarer til fuld erstatning, gøre regres efter princippet i art. 82, stk. 5.
I forhold til anden godtgørelse for ikke-økonomiske tab til de registrerede skal princippet i art. 82 ligeledes finde anven- delse, for så vidt angår den interne endelige ansvarsfordeling mellem databehandleren og den dataansvarlige.
Parterne kan ikke gøre regres eller erstatningskrav gældende overfor den anden part for bøder eller anden straf, der er pålagt i medfør af databeskyttelsesloven § 41 samt for bødeforelæg accepteret efter databeskyttelsesloven § 42.
Parternes erstatningskrav, der måtte opstå som følge af eller i forbindelse med Bestemmelserne, er begrænset til et beløb svarende til den betaling, der er foretaget i henhold til aftalen vedrørende levering af tjenesterne i en periode på tolv (12) måneder forud for den begivenhed/de begivenheder, der har givet anledning til kravet.
Ovenstående ansvarsbegrænsning gælder ikke for krav baseret på grov uagtsomhed eller forsætlig misligholdelse.