Hovedkontor: Techem Danmark A/S ∙ Trindsøvej 7A-B ∙ DK-8000 Aarhus C Tlf.: 87 44 77 00 ∙ info@techem.dk ∙ SE 29 41 69 82
mellem KUNDEN (som defineret i punkt 2 nedenfor) (den "Dataansvarlige")
og TECHEM DANMARK A/S
CVR-nr. 29 41 69 82
Trindsøvej 7 A-B
8000 Aarhus C ("Databehandleren")
Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".
BILAG:
Bilag 1 Kategorier af registrerede, type personoplysninger og behandlingsaktiviteter
Bilag 2 Liste over Underdatabehandlere og lokationer for behandling af personoplysninger
Hovedkontor: Techem Danmark A/S ∙ Trindsøvej 7A-B ∙ DK-8000 Aarhus C Tlf.: 00 00 00 00 ∙ xxxx@xxxxxx.xx ∙ SE 29 41 69 82
Aarhus – København - xxx.xxxxxx.xx
INDHOLDSFORTEGNELSE
1. BAGGRUND 3
2. DEFINITIONER 3
3. BEHANDLING AF PERSONOPLYSNINGER 3
4. SIKKERHEDSFORANSTALTNINGER 4
5. UNDERDATABEHANDLING 5
6. OVERFØRSEL AF PERSONOPLYSNINGER TIL ET TREDJELAND ELLER EN INTERNATIONAL ORGANISATION 5
7. DATABEHANDLERENS GENERELLE FORPLIGTELSER 5
8. ÆNDRINGER 6
9. ANSVAR 6
10. OPHØR 6
11. VÆRNETING OG LOVVALG 6
BILAG 1 – KATEGORIER AF REGISTREREDE, TYPE PERSONOPLYSNINGER OG
BEHANDLINGSAKTIVITETER 7
BILAG 2 – LISTE OVER UNDERDATABEHANDLERE OG LOKATION FOR BEHANDLING AF
PERSONOPLYSNINGER 8
1. BAGGRUND
1.1 Databehandleren har indgået en Aftale (som defineret nedenfor) med den Dataansvarlige om levering af Ydelserne. Databehandleren foretager som led heri behandling af personoplysninger på vegne af den Dataansvarlige.
1.2 På den baggrund har Parterne indgået denne Databehandleraftale (som defineret nedenfor), der regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige, idet Databeskyttelseslovgivningen (som defineret nedenfor) kræver, at der mellem en dataansvarlige og en databehandler, indgås en skriftlig kontrakt, som fastlægger omfanget af og kravene til den pågældende behandling.
1.3 Databehandleraftalen udgør en integreret del af den Aftale, der er indgået mellem Databehandleren og den Dataansvarlige om levering af Ydelserne.
2. DEFINITIONER
2.1 Medmindre andet fremgår af sammenhængen, har følgende termer følgende betydning:
1. "Aftale" betyder den aftale, som er indgået mellem den Dataansvarlige og Databehandleren om levering af Ydelserne.
2. "Dataansvarlige" betyder Kunden, som Databehandleren leverer Ydelserne til i henhold til Aftalen.
3. "Databehandleraftale" betyder denne aftale om behandling af personoplysninger, inklusiv bilag.
4. "Databeskyttelseslovgivning" betyder alle de love og regler, som finder anvendelse for behandling og beskyttelse af personoplysninger overalt i det Europæiske Økonomiske Samarbejdsområde (EØS) med de til enhver tid gældende ændringer og/eller tilføjelser, herunder Databeskyttelsesforordningen (som defineret nedenfor), databeskyttelsesloven samt øvrig relevant national lovgivning, og hvor relevant, de retningslinjer og regelsæt, der udstedes af det danske Datatilsyn eller andre kompetente tilsynsmyndigheder i EØS (herunder de nationale datatilsyn).
5. "Databeskyttelsesforordningen" betyder forordning (EU) nr. 2016/679 af 27 (generel forordning om databeskyttelse) med de til enhver tid gældende ændringer og/eller tilføjelser.
6. "Kunden" betyder den kunde, som Databehandleren leverer Ydelserne til i henhold til Aftalen.
7. "Ydelserne" betyder de tjenesteydelser og leverancer, som Databehandleren som leverandør leverer til den Dataansvarlige som Kunde i henhold til Aftalen, hvilket bl.a. omfatter administration og levering af forbrugsregnskaber og/eller forbrugsdata inkl. data fra diverse sensorer i nærmere bestemte ejendomme.
2.2 Begreberne "personoplysninger", "særlige kategorier af personoplysninger", "behandling", "dataansvarlig", "databehandler", "registrerede", "tilsynsmyndighed", "pseudonymisering", "tekniske og organisatoriske foranstaltninger" og "brud på persondatasikkerheden" skal i denne Databehandleraftale forstås i overensstemmelse med Databeskyttelseslovgivningen.
3. BEHANDLING AF PERSONOPLYSNINGER
3.1 Den Dataansvarliges ansvar og opgaver
3.1.1 Den Dataansvarlige har ansvaret for, at behandlingen af personoplysninger sker i overensstemmelse med Databeskyttelseslovgivningen og denne Databehandleraftale.
3.1.2 Den Dataansvarlige er berettiget og forpligtet til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
3.1.3 Den Dataansvarlige skal sikre, at den behandling, som Databehandleren instrueres i at foretage på vegne af den Dataansvarlige, er lovlig, herunder at der er det fornødne retsgrundlag til behandlingen.
3.2 Databehandlerens ansvar og opgaver
3.3 Databehandleren skal behandle personoplysninger på vegne af den Dataansvarlige i overensstemmelse med Databeskyttelseslovgivningen.
3.4 De personoplysninger, der behandles af Databehandleren, samt kategorierne af registrerede er beskrevet i bilag 1 til denne Databehandleraftale.
3.5 Databehandleren må kun behandle personoplysningerne på vegne af den Dataansvarlige efter dokumenteret instruks fra den Dataansvarlige, herunder som beskrevet i denne Databehandleraftale, medmindre behandlingen kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. I så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandlingen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. Den Dataansvarliges instruks kan kun ændres af den Dataansvarlige ved en skriftlig (eller på anden måde dokumenteret) meddelelse til Databehandleren.
3.6 Databehandleren skal sikre, at de personer, som er involveret i behandlingen af personoplysninger, har forpligtet sig til fortrolighed eller er underlagt lovbestemt tavshedspligt.
3.7 Databehandleren skal træffe de fornødne foranstaltninger til at sikre, at enhver person, der udfører arbejde for Databehandleren, og som har adgang til personoplysningerne, kun behandler disse personoplysninger efter instruks fra den Dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret, jf. punkt 3.5.
3.8 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at den Dataansvarlige kan påse, at kravene i Databeskyttelseslovgivningen overholdes. Databehandleren skal endvidere give tilladelse og bidrage til eventuelle revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en revisor, som er bemyndiget hertil af den Dataansvarlige. Databehandleren er berettiget til at modtage særskilt vederlag herfor.
3.9 Databehandleren skal straks underrette den Dataansvarlige, hvis Databehandleren vurderer, at en instruks fra den Dataansvarlige er i strid med Databeskyttelseslovgivningen.
4. SIKKERHEDSFORANSTALTNINGER
4.1 Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal Databehandleren træffe de fornødne tekniske og organisatoriske foranstaltninger til at sikre et sikkerhedsniveau, der passer til disse risici.
4.2 Databehandleren skal ligeledes opfylde eventuelle sikkerhedskrav, der påhviler Databehandleren i henhold til Databeskyttelseslovgivningen, herunder sikkerhedskrav i det land, hvori Databehandleren er etableret.
4.3 Parterne kan i løbet af Databehandleraftalens løbetid aftale ændringer til de implementerede sikkerhedsforanstaltninger.
4.4 Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Endvidere skal Databehandleren bistå den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser til at (i) dokumentere alle brud på persondatasikkerheden, (ii) anmelde eventuelle brud på persondatasikkerheden til de(n) kompetente tilsynsmyndighed(er) og (iii) underrette de registrerede om sådanne brud på persondatasikkerheden, det hele i overensstemmelse med artikel 33 og 34 i Databeskyttelsesforordningen.
5. UNDERDATABEHANDLING
5.1 Den Dataansvarlige accepterer, at Databehandleren må benytte underleverandører som led i levering af Ydelserne til den Dataansvarlige i henhold til Aftalen. Listen over underleverandører, der p.t. beskæftiger sig med behandling af personoplysninger (i det følgende benævnt "Underdatabehandlere"), samt over de lande, hvori personoplysningerne behandles, er vedhæftet som bilag 2. Eventuelle tilføjelser og/eller ændringer til listen vil blive meddelt til den Dataansvarlige pr. e-mail.
5.2 Meddelelse efter punkt 5.1 gives i rimelig tid forud for den påtænkte ændring. Hvis den Dataansvarlige ønsker at gøre indsigelser derimod, skal den Dataansvarlige give skriftlig meddelelse herom inden for 5 kalenderdage efter modtagelse af Databehandlerens meddelelse om ændringen. Manglende indsigelse fra den Dataansvarlige vil blive anset for et stiltiende samtykke til underdatabehandlingen.
5.3 Databehandleren skal sikre, at den pågældende underdatabehandling er lovlig, og at alle Underdatabehandlere påtager sig og er underlagt samme vilkår og forpligtelser, som Databehandleren er underlagt i henhold til denne Databehandleraftale.
5.4 Databehandleren indestår for lovligheden af sine Underdatabehandleres behandling af personoplysninger. Databehandleren bærer ansvaret for alle sine Underdatabehandleres handlinger og undladelser, herunder de personer, som er ansat eller hyret af Underdatabehandlerne, og dette ansvar gælder i samme omfang som for Databehandlerens egne handlinger og undladelser.
6. OVERFØRSEL AF PERSONOPLYSNINGER TIL ET TREDJELAND ELLER EN INTERNATIONAL ORGANISATION
6.1 Den Dataansvarlige accepterer, at Databehandleren som led i levering af Ydelserne til den Dataansvarlige kan overføre personoplysninger til et tredjeland, dvs. et land uden for EØS. Databehandleren er forpligtet til at sikre sig, at en sådan overførsel til enhver tid er lovlig, herunder blandt andet at der er et tilstrækkeligt beskyttelsesniveau for overførslen af personoplysninger. Det kan ske f.eks. ved indgåelse af EU Kommissionens standardkontraktbestemmelser om overførsel af personoplysninger til databehandlere, der er etableret i lande uden for EØS. Disse kontraktbestemmelser indgås mellem på den ene side Databehandleren og på den anden side eventuelle Underdatabehandlere.
7. DATABEHANDLERENS GENERELLE FORPLIGTELSER
7.1 Databehandleren skal ved hjælp af passende tekniske og organisatoriske foranstaltninger bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til Databeskyttelseslovgivningen. Hvis Databehandleren modtager anmodninger fra de registrerede, skal Databehandleren uden unødig forsinkelse videresende disse anmodninger til den Dataansvarlige. Databehandleren må ikke uden den Dataansvarliges forudgående og dokumenterede instruks besvare anmodninger fra de registrerede.
7.2 Databehandleren skal anvende og overholde Databeskyttelseslovgivningen og må ikke levere Ydelserne i henhold til Aftalen på en måde, som kan medvirke til, at den Dataansvarlige ikke overholder sine forpligtelser i henhold til Databeskyttelseslovgivningen.
7.3 Databehandleren skal - mod særskilt vederlag - bistå den Dataansvarlige med at sikre overholdelsen af forpligtelsen til
i. at foretage en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder (artikel 35 i Databeskyttelsesforordningen), og
ii. at høre de(n) kompetente tilsynsmyndighed(er) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den Dataansvarlige for at begrænse risikoen (artikel 36 i Databeskyttelsesforordningen).
8. ÆNDRINGER
8.1 Anmoder den Dataansvarlige om ændringer til Databehandleraftalen og/eller om implementering af nye sikkerhedsforanstaltninger end dem, der gælder for Databehandleren ved indgåelsen af Databehandleraftalen, og en sådan anmodning ikke skyldes forhold, som Databehandleren tidligere skulle have taget tilstrækkelig højde for, eller som på anden måde kan henføres til Databehandlerens forhold, skal den Dataansvarlige bekoste enhver yderligere udgift, som Databehandleren bliver pålagt som en konsekvens heraf.
8.2 Den til enhver tid gældende databehandleraftale vil være at finde på Databehandlerens hjemmeside xxx.xxxxxx.xx
9. ANSVAR
9.1 Databehandleren hæfter kun for den skade, der er forvoldt af behandling, hvis Databehandleren ikke har opfyldt de forpligtelser i Databeskyttelseslovgivningen, der er rettet specifikt mod databehandlere, eller hvis Databehandleren har undladt at følge eller handlet i strid med den Dataansvarliges lovlige instrukser.
10. OPHØR
10.1 Denne Databehandleraftale ophører automatisk ved Aftalens ophør eller på den Dataansvarliges anmodning.
10.2 Parterne er enige om, at Databehandleren ved Aftalens ophør eller udløb efter den Dataansvarliges valg enten skal (i) anonymisere alle data, der er behandlet i henhold til Aftalen, samt eventuelle kopier heraf, og/eller (ii) slette alle data, der er behandlet i henhold til Aftalen, og dokumentere over for den Dataansvarlige, at dette er sket, herunder for at undgå enhver tvivl slette sådanne data fra enhver computer, server og/eller anden lagringsenhed eller -medie, medmindre EU- retten og/eller medlemsstaternes nationale ret kræver, at der sker opbevaring af sådanne data.
11. VÆRNETING OG LOVVALG
11.1 Denne Databehandleraftale er underlagt dansk ret. Enhver tvist, der måtte opstå som følge af eller i forbindelse med bestemmelserne i denne Databehandleraftale, skal i første instans indbringes for byretten i Aarhus.
BILAG 1 – KATEGORIER AF REGISTREREDE, TYPE PERSONOPLYSNINGER OG BEHANDLINGSAKTIVITETER
1. KATEGORIER AF REGISTREREDE
Databehandlerens behandling relaterer sig til følgende kategorier af registrerede:
Nuværende og fraflyttede beboere i de ejendomme, som er omfattet af Aftalen mellem Databehandleren og den Dataansvarlige.
2. TYPE PERSONOPLYSNINGER
Databehandlerens behandling relaterer sig til følgende type personoplysninger:
Beboerens navn, adresse, telefonnummer, beboeridentifikationsnummer, beboelsesperiode og oplysninger om fraflytning, herunder tilflytningsadresse, indeklimaparametre, data fra diverse sensorer, beboerens energi- og vandforbrug herunder forbrugsmønster, e-mailadresse, registrering af persontilstedeværelse eller manglende tilstedeværelse i ejendommen i forbindelse med aflæsning.
3. BEHANDLINGSAKTIVITETER OG INSTRUKS
Databehandleren skal foretage aflæsning og udarbejde fordelingsregnskaber i overensstemmelse med Aftalen og de beskrevne Ydelser.
Personoplysningerne vil blive genstand for følgende grundlæggende behandling:
Indsamling, registrering, organisering, systematisering, opbevaring, brug, lagring, opdatering, overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
udveksling af data (på vegne af den Dataansvarlige) med den Dataansvarliges andre systemleverandører efter nærmere instruks.
BILAG 2 – LISTE OVER UNDERDATABEHANDLERE OG LOKATION FOR BEHANDLING AF PERSONOPLYSNINGER
1. UNDERDATABEHANDLER(E)
Techem Koncernen, Xxxxxxxxxxxx 00,00000 Xxxxxxxx, Xxxxxxxx
2. LOKATION(ER) FOR BEHANDLING AF PERSONOPLYSNINGER
Databehandlingen sker i følgende lande: Danmark, Sverige, Tyskland og Frankrig