Databehandler- aftale

xxxxxx@xxxxxx.xx xxx.xxxxxx.xx

Databehandler- aftale

Om Valeurs behandling af oplysninger på vegne af kunden

Indholdsfortegnelse

Kapitel 1 Kapitel 4

Databehandleraftalens baggrund 3

Anvendelsesområde og omfang 3

De behandlede personoplysninger 3

Underdatabehandlere

Kapitel 5

Varighed

3 Overførsler af personoplysninger til tredjelande

Kundens forpligtelser

Kapitel 2

Kommercielle forhold

Kapitel 6

Kapitel 3

Ansvar og ansvarsbegrænsninger 7

Underskrifter 7

Tekniske- og organisatoriske sikkerhedsforanstaltninger

Medarbejderforhold 5

Sikkerhedsbrud 5

Bistand til opfyldelse af kundens databeskyttelsesforpligtelser

Påvisning af overholdelse og audit 6

Bilag 1 8

Bilag 2 10

Bilag 3 11

Databehandleraftalens baggrund, omfang og varighed

Databehandleraftalens baggrund

Denne Databehandleraftale er indgået som en del af Parternes til enhver tid gældende Samhandelsaftale/Kon- trakt/Leveranceaftale (herefter betegnet Leveranceaftalen) og senere indgående tillægsaftaler. Leveranceaftalens bestemmelser gælder dermed som en integreret del af Databehandleraftalen.

I tilfælde af konflikt mellem Leveranceaftalens bestemmelser og Databehandleraftalen, har Databehandleraftalen forrang.

Databehandleraftalen har til formål at regulere overholdelsen af den til enhver tid gældende persondatalovgivning ved den behandling af personoplysninger, som Xxxxxx udfører på vegne af Kunden. Denne lovgivning er navnlig lov nr. 429 af 31/05/2000 om behandling af personoplysninger med senere ændringer (Persondataloven) og fra den

25. maj 2018 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyt- telsesforordningen) samt supplerende dansk lovgivning på området. Alle begreber i Databehandleraftalen skal forstås i overensstemmelse med definitionerne i denne lovgivning.

Anvendelsesområde og omfang

Valeur bemyndiges med indgåelse af Databehandleraftalen til at foretage behandling af personoplysninger på Kundens vegne, som led i udførelse af de aftalte Services under Leveranceaftalen. Behandlingen skal ske på de vilkår, som eventuelt er indeholdt i Databehandleraftalen inklusive underbilag 3 og Leveranceaftalen (Instruks).

Xxxxxx må herudover alene behandle personoplysninger efter skriftlig eller på anden måde dokumenteret Instruks fra Kunden. Xxxxxx må desuden behandle personoplysninger, hvis dette er påkrævet i henhold til EU-ret eller med- lemsstaternes ret.

Hvis Xxxxxx udfører sådan behandling, skal Valeur underrette Kunden herom, inden behandlingen foretages. Valeur skal dog ikke underrette Kunden, hvis dette ville være i strid med EU-ret eller medlemsstaternes ret. Valeur må ikke behandle overladte personoplysninger til andre formål end opfyldelse af de aftalte Services under Leverance- aftalen, med mindre Kunden angiver øvrige formål og instruerer Valeur i sådan anden behandling.

De behandlede personoplysninger

De typer af personoplysninger, der overlades til Valeurs behandling ved Databehandleraftalens ikrafttræden er af Kunden specificeret i underbilag 1 sammen med kategorierne af registrerede, som oplysningerne vedrører. Ved ændring af typer af personoplysninger eller kategorier af registrerede, skal ændringerne aftales i overensstemmel- se med proceduren i Leveranceaftalen om ændringer og udformes som et tillæg til databehandleraftalen.

Varighed

Databehandleraftalen træder i kraft ved kundens tiltræden af leveranceaftalen. Databehandleraftalen gælder indtil Valeurs forpligtelser efter Leveranceaftalen er opfyldt.

Efter Xxxxxxx valg sletter eller tilbageleverer Xxxxxx alle personoplysninger til Kunden, efter at Servicen vedrøren- de behandling er ophørt, og Valeur sletter eksisterende kopier, medmindre Valeur er underlagt en retlig forpligtelse, der foreskriver opbevaring af personoplysningerne.

Sletning eller tilbagelevering af personoplysninger skal ske i overensstemmelse med Leveranceaftalens eventuelle regulering herom, og i andet fald ved Kundens instruks og uden ugrundet ophold. Kundens oplysninger der indgår i en backupprocedure udført af Xxxxxx slettes i helhold til den aftalte retentionsperiode for hvert enkelt system.

Kundens forpligtelser / Valeurs databeskyttelseforpligtelser

Kundens forpligtelser

Kunden er som Dataansvarlig ansvarlig for at overholde den til enhver tid gældende persondatalovgivning i forhold til de personoplysninger, som overlades til Valeurs behandling. Kunden er herunder navnlig ansvarlig for og inde- står for, at:

Angivelsen i underbilag 1 er udtømmende, og at Valeur kan agere herefter, bl.a. i forhold til fastsættelse af nødvendige sikkerhedsforanstaltninger.

Xxxxxx har fornøden hjemmel til at behandle og til at overlade det til Valeur at behandle de personoplysninger, der behandles under Databehandleraftalen.

De afgivne instrukser, som Xxxxxx skal behandle i henhold til per- sonoplysninger på vegne af kunden, er lovlige.

Alle kundens instrukser afgives skriftligt eller følges straks op med skriftlig dokumentation.

Kunden uden ugrundet ophold skriftligt orienterer Xxxxxx om eventuelt gennemførte konsekvensanalyser, der er relevante for de overladte behandlingsaktiviteter, og at Kunden samtidig giver Xxxxxx fornøden indsigt i analysen i forhold til Valeurs gennemfø- relse af behandlingsaktiviteterne under Databehandleraftalen.

Kunden uden ugrundet ophold skriftligt orienterer Valeur, om forhold på Kundesiden af betydning for Valeurs vurdering af den forbundne risiko ved de overladte behandlingsaktiviteters gen- nemførelse, herunder bl.a. vurderingen af hvad passende sikker- hedsforanstaltninger til beskyttelse af oplysningerne omfatter.

Tekniske, og organisatoriske sikkerhedsforanstaltninger

Parterne er enige om, at de tekniske og organisatoriske foranstaltninger som er aftalt eller forudsat af Valeur i forbindelse med Leveranceaftalen, herunder de faktiske gennemførte foranstaltninger i leveranceforholdet er til- strækkelige til at sikre et sikkerhedsniveau, der passer til den risiko, der er forbundet med behandlingsaktiviteter- ne, som udføres på Kundens vegne ved Databehandleraftalens indgåelse. Kunden er i forholdet mellem parterne ansvarlig for, at der er truffet beslutninger om anvendt udstyr, services mv. som er passende i forhold til risikoen for registrerede personer, ved gennemførelse af behandlingsaktiviteterne.

Valeur vurderer dog løbende sikkerhedsniveauet og iværksætter, at der fortages passende (a) tekniske og (b) organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til den risiko, der er forbundet med behandlingsaktiviteterne, som udføres på Kundens vegne. Foranstaltningerne skal gennemføres under hensyn- tagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Valeur skal i den forbindelse bl.a. tage typerne af personoplysninger beskrevet i underbilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.

Kundens forpligtelser / Valeurs databeskyttelseforpligtelser

I det omfang der er behov for at ændre de tekniske og organisatoriske foranstaltninger efter Valeurs vurdering i medfør af dette punkt gør Xxxxxx Xxxxxx opmærksom herpå. Ændringer skal herefter ske i overensstemmelse med den aftalte ændringsprocedure i Leveranceaftalen, og hvor der ikke er aftalt en ændringsprocedure, da efter ad hoc aftale, som også tager stilling til implementeringsomkostninger og Xxxxxxx vederlag for at gennemføre ændringerne. Kan der ikke umiddelbart opnås aftale om ændring af de tekniske og organisatoriske foranstaltnin- ger, er Xxxxxx berettiget til uden at ifalde ansvar efter Leveranceaftalen at suspendere yderligere behandling af de overladte oplysninger, indtil Kunden har faciliteret gennemførelse af de fornødne ændringer i sikkerhedsforanstalt- ningerne.

Medarbejderforhold

Valeur skal sikre, at de personer, der er autoriseret af Valeur til at foretage behandling af de overladte personoplys- ninger, har underskrevet tilstrækkelig fortrolighedserklæring, eller er underlagt en passende lovbestemt tavsheds- pligt.

Valeur skal sikre, at de personer, der er autoriseret af Xxxxxx til at foretage behandling af de overladte personoplys- ninger, er bekendte med kravet om, at personoplysningerne kun må behandles efter instruks fra Xxxxxx.

Sikkerhedsbrud

Valeur skal uden unødig forsinkelse underrette Xxxxxx efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.

Underretningen skal indeholde de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virknin- ger og de trufne og planlagte afhjælpende foranstaltninger.

Bistand til opfyldelse af kundens databesyttelsesforpligtelser

På Kundens specifikke anmodning og under hensyn til det aftalte tekniske niveau, bistår Valeur under hensyntagen til behandlingens karakter, så vidt teknisk muligt Xxxxxx ved hjælp af passende tekniske og organisatoriske for- anstaltninger, med opfyldelse af Kundens forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i den til enhver tid gældende persondatalovgivning.

På Kundens specifikke anmodning og under hensyn til det aftalte tekniske niveau, bistår Valeur under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Valeur, med at sikre overholdelse af Kundens forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandleraftale, herunder i forbindelse med:

Gennemførelse af passende tekniske og organisatoriske foran- staltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med Kundens behandlinger af personoplysninger.

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndighederne.

Underretning om brud på persondatasikkerheden til den registrerede.

Gennemførelse af konsekvensanalyse vedrørende databeskyttel- se, og forudgående høringer af tilsynsmyndighederne.

Underdatabehandlere / Overførsler af personoplysninger til tredjelande

Påvisning og afholdelse af audit

Xxxxxx stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne Databehandleraftale til rådighed for Kunden.

Valeur giver mulighed for, og bidrager til revisioner, herunder inspektioner, der foretages af Kunden eller en anden revisor, som er bemyndiget af Kunden. Revisoren skal være generelt egnet til at udføre inspektioner og revisioner, og Xxxxxxx valg af revisor skal forelægges Valeur til godkendelse. Revision og inspektion kan kun finde sted efter forudgående varsel på minimum 4 uger og skal udføres så det sker til mindst mulig gene for Valeurs øvrige virk- somhed.

Benyttes der en anden revisor end Xxxxxx selv, skal denne revisor være uafhængig og ikke-konkurrerende i for- hold til Valeur, og i øvrigt være underlagt fortroligheds- og tavshedspligt enten som følge af lov eller som følge af en fortrolighedsaftale, hvorpå Xxxxxx kan støtte ret direkte overfor den pågældende anden revisor.

Valeur kan endvidere forlange, at den udpegede revisor underskriver en erklæring om at ville overholde Valeurs sikkerhedsforskrifter inden revision iværksættes.

For så vidt angår dette punkt underretter Valeur omgående Kunden, hvis en instruks efter Valeurs mening er i strid med den gældende databeskyttelseslovgivning.

Underdatabehandlere

Kunden giver med Databehandleraftalen sit samtykke til, at Valeur må gøre brug af en anden databehandler (Un- derdatabehandler) til udførelse af specifikke behandlingsaktiviteter, der er overladt til Xxxxxx at udføre for Kunden. Underbilag 2 indeholder oversigt over de Underdatabehandlere, der anvendes ved Databehandleraftalens indgå- else. Valeur underretter Kunden om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre Underdatabehandlere.

Valeur skal indgå en skriftlig aftale med anvendt Underdatabehandlere, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Valeur.

Anvender Valeur en Underdatabehandler, som leverer sine ydelser på vilkår, som Xxxxxx ikke har mulighed for at aftale fravigelser til, gælder Underdatabehandlerens vilkår for de behandlingsaktiviteter, der overlades til udførel- se af sådan Underdatabehandler. Hvor der sker behandling på en Underdatabehandlers vilkår, er dette angivet i underbilag 2.

Valeur er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Xxxxxx selv.

Overførsler af personoplysninger til tredjelande

Overførsel af personoplysninger til et tredjeland (udenfor EU) kræver Kundens forudgående samtykke.

Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må endvidere kun finde sted, hvis betingelserne herfor i den til enhver tid gældende persondatalovgivning opfyldes af Kunden og Valeur.

Valeur skal sikre, at der er et lovligt overførselsgrundlag for overførsler til tredjelande. Såfremt det lovlige overfør- selsgrundlag udgøres af en aftale mellem Kunden og modtageren i et tredjeland, bistår Kunden Valeur ved ind- gåelse heraf, eller Kunden bemyndiger Valeur skriftligt til at indgå denne aftale på vegne af Kunden og i Kundens navn. Dette gælder både for standardaftaler, som er godkendt af EU-Kommissionen og aftaler som godkendes af Datatilsynet eller andre kompetente tilsynsmyndigheder.

Kommercielle forhold

Valeur har krav på betaling efter medgået tid, for de ydelser der udføres efter Databehandleraftalens punkt ”Bistand til opfyldelse af Kundens databeskyttelsesforpligtelser” og ”Påvisning af overholdelse og Audit”. Veder- laget opgøres efter de aftalte timesatser i Leveranceaftalen, og hvor der ikke er aftalt timesatser heri, da efter Valeurs gældende timesatser.

Ansvar og ansvarsbegrænsninger

Parterne er ansvarlige i overensstemmelse med Leveranceaftalens regulering. I forhold til ansvar overfor tredjem- and finder Persondataforordningen art. 82 dog anvendelse.

Parterne hæfter for bøder og anden straf, der pålægges dem, og sådanne bøder kan ikke kræves betalt eller er- stattet af den anden Part.

Underskrift

Xxx Xxxxxxx Xxxxx, Data Manager

Underbilag 1 / De behandlede personoplysninger og kategorier af registrerede

Kunden er ansvarlig for udfyldelse af dette bilag, herunder at bilagets indhold er retvisende. Dette gælder også, hvor Kunden anmoder om Valeurs bistand til udfyldelsen. Kunden erklærer i sådanne tilfælde, at indholdet er veri- ficeret af Kunden og såvel fyldestgørende som retvisende.

Typer af personoplysninger

FORKLARING:

Under dette punkt skal angives de typer af personoplysninger, som overlades til Valeurs behandling. Punktet skal udfyldes af kunden eller på baggrund af kundens oplysninger. Til eksempel kan typer af personoplysninger være angivet som:

Almindelige personoplysninger, herunder navn, adresse, telefonnummer, e-mailadresse og andre identifikations- oplysninger.

Følsomme personoplysninger, herunder oplysninger om fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige forhold.

Andre personoplysninger, herunder eventuelle strafbare forhold og væsentlige sociale problemer.

Det er ikke stringent, men der kan evt. angives ”Almindelige oplysninger, særlige kategorier af oplysninger og evt. oplysninger om strafbare forhold (GDPR art. 6, 9 og 10 oplysninger). Såvel Kunden som Valeur foretager risikovur- deringer og træffer foranstaltninger ud fra dette grundlag.

Typer af personoplysninger, der er overladt til behandling hos Valeur i sammenhæng med levering af services un- der Leveranceaftalen:

Almindelige personoplysninger (jf. Databeskyttelsesforordningens artikel 6):

- Almindelige personoplysninger

- Følsomme personoplysninger (jf. Databeskyttelsesforordningens artikel 9):

- Racemæssig eller etnisk baggrund

- Politisk overbevisning

- Religiøs overbevisning

- Filosofisk overbevisning

- Fagforeningsmæssige tilhørsforhold

- Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v.

- Seksuelle forhold

Oplysninger om enkeltpersoners rent private forhold (jf. Databeskyttelsesforordningens artikel 6 og 9):

- Strafbare forhold

- Væsentlige sociale problemer

- Andre rent private forhold, som ikke er nævnt ovenfor:

Andre private forhold

Oplysninger om cpr-nummer (jf. Databeskyttelsesforordningens artikel 87):

- CPR-numre

Underbilag 1 / De behandlede personoplysninger og kategorier af registrerede

Kategori af registrerede personer

FORKLARING:

Under dette punkt skal angives de kategorier af registrerede fysiske personer, som Valeur overlades at behandle personoplysninger om. Punktet skal udfyldes af kunden eller på baggrund af kundens oplysninger. Til eksempel kan kategorier af registrerede være angivet som:

Ansatte Kunder

Kategorier af registrerede, identificerede eller identificerbare fysiske personer, som Databehandlerens behandlinger vedrører:

- Ansatte

- Børn

- Den Dataansvarliges kunder

Underbilag 2 / Underdatabehadlere og underdatabehandleres vilkår

Underdatabehandlere

Valeur anvender følgende underbehandlere:

Underdatabehandler Formålet med behandlingen, samt

angivelse af evt. særlige vilkår

Microsoft HeroBase

Produkter:

Microsoft 365 løsninger

Overblik over Microsofts databehandler håndtering: xxxxx://xxx.xxxxxxxxx.xxx/xx- dk/trust-center/privacy/gdpr-overview

Beskrivelse:

Data opbevares på Microsofts servere - og tilgåes via forskellige værktøjer i Office 365 programpakken

Produkter:

Hero Outbound

Overblik over Heros databehandler håndtering: xxxxx://xxxxxxxx.xxx/xx/xxxxxxxxxx/

Beskrivelse:

Værktøj til håndtering af vores udgående telefoni

Jansson A/S

Produkter:

Telefonløsning Beskrivelse:

Opkaldstada køres via Janssons servere. xxxxx://xxxxxxx.xx/xxxxx-xxxxxxxxxxxxxxxxxxxx/

Enalyzer A/S

Produkter:

Analyse software Beskrivelse:

Ved udførelse af analyse opgaver, opbevares data i Enalyzer.

Underbilag 3 / Supplerende instruks

Supplerende instruks

FORKLARING:

Under dette punkt kan angives konkrete instrukser eller overordnet de behandlingsaktiviteter, som Xxxxxx skal udføre. Hvis der i Databehandleraftalen er refereret til Leveranceaftalen er det ikke nødvendigt at gentage samme instruks her. Det er tanken at der er tale om supplerende instrukser. Til eksempel kan en supplerende instruks, hvor Leveranceaftalen ikke er medtaget i Databehandleraftalen være:

Følgende behandlingsaktiviteter er omfattet af Databehandleraftalen: Implementering, drift, support og vedlige- holdelse af en it-løsning (som beskrevet i særskilt aftale mellem Parterne), som kan indebære adgang til person- oplysninger.

Eller

Kundens sikkerhedsprocedurer for opkobling via fjernadgange som udleveret den [dato] skal efterleves.

(Indsæt evt. supplerende instruks her)

Overførsel til tredjelande

FORKLARING:

Under dette punkt kan være indeholdt kundens særlige tilladelse til, at Valeur må overføre personoplysninger til tredjelande (dvs. lande uden for EU. Til eksempel:

Databehandleren bemyndiges til at overføre personoplysninger til underdatabehandleren [identitet] med drifts- sted [adresse] i [land].

Følgende personoplysninger er omfattet af bemyndigelsen: [oplist typer]

Følgende behandlingsaktiviteter er overladt til behandling til underdatabehandleren: [oplist ydelserne]

(Indsæt evt. supplerende instruks her)

Aarhus

Sønderhøj 48

8260 Viby J

Tel: x00 00 00 00 00

København Xxxxxxxxxxxxx 0X 0000 Xxxxxxxxx XX

Tel: x00 00 00 00 00

Document Metadata

Table of Contents

Databehandler- aftale

Document Metadata