RAMMEDATABEHANDLERAFTALE
RAMMEDATABEHANDLERAFTALE
Fællesregional databehandleraftaleskabelon Journalnummer:
System- /projektansvarlig person
Tlf.
Vedrørende Databehandlerens behandling af personoplysninger med henblik på opfyldelse af de eksisterende og fremtidige aftaler mellem parterne om behandling af personoplysninger i forbindelse med forsk- ningsprojekter hvor en region er dataansvarlig myndighed. Det til enhver tid omfattede aftalegrundlag fremgår af aftalens bilag 3 (udfyldt blanket for det enkelte forskningsprojekt) samt samarbejdsaftalen for det enkelte forskningsprojekt (i det følgende benævnes aftalerne ”Hovedaftalen”).
Mellem
Region Adresse
Afdeling CVR-nr.
(herefter den ”Dataansvarlige”)
og
Region Adresse
Kontaktperson CVR-nr.
(herefter ”Databehandleren”)
Indholdsfortegnelse
1. Baggrund for Databehandleraftalen 3
4. Tekniske og organisatoriske sikkerhedsforanstaltninger 5
5. Databehandlerens brug af underdatabehandler 5
5. Overførsel af personoplysninger til tredjelande eller internationale organisationer 7
8. Underretningspligt og assistance 8
9. Aftalens ikrafttræden og varighed 8
10. Håndtering af personoplysninger efter aftalens ophør 9
12. Personoplysninger omfattet af denne aftale er fortrolige 9
15. Ændringer til punkterne 1-15 11
1. Baggrund for Databehandleraftalen
1.1. Denne databehandleraftale inklusiv bilag og eventuelle tillæg (herefter ”Databehandleraftalen”) vedrører Databehandlerens forpligtelse til at efterleve Europa-Parlamentets og Rådets Forordning (EU) 2015/579 af 27. april 2015 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/45/ EF (herefter ”Databeskyttelsesforordningen”) samt lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter ”Databeskyttelsesloven”).
1.2. Databehandleraftalen er en integreret del af Hovedaftalen.
1.3. I tilfælde af uoverensstemmelser mellem bestemmelserne i Databehandleraftalen og eventuelle tilsvarende bestemmelser i andre aftaler mellem den Dataansvarlige og Databehandleren, herunder i Hovedaftalen – i relation til behandling af personoplysninger, skal bestemmelserne i Databehand- leraftalen have forrang. Dette gælder uanset, hvad der i øvrigt måtte være aftalt om forrang. Såfremt Databehandleren er pålagt strengere forpligtelser i andre aftaler mellem den Dataansvarlige og Databehandleren, herunder i Hovedaftalen, skal Databehandleren dog fortsat opfylde disse.
2. Databehandlerens ansvar
2.1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Da- taansvarlige og alene i det omfang, det er nødvendigt for, at Databehandleren kan opfylde sine forpligtelser i henhold til Hovedaftalen og Databehandleraftalen, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald under- retter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. Databeskyttelsesforordningens artikel 28, stk. 3, litra a.
Databehandleraftalen er en del af den Dataansvarliges instruks til Databehandleren. Databehandle- ren behandler personoplysningerne på vegne af den Dataansvarlige og må ikke behandle personop- lysninger omfattet af Databehandleraftalen til egne formål.
2.2. Hvis Databehandleren er undergivet lovgivningen i et tredjeland, skal Databehandleren straks skriftligt orientere den Dataansvarlige, hvis den nævnte lovgivning forhindrer Databehandleren i at efterleve Databehandleraftalen og den dertilhørende instruks.
2.3. Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandle- rens vurdering er i strid med Databeskyttelsesforordningen, Databeskyttelsesloven eller databeskyt- telsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret (herefter samlet benævnt ”Databeskyttelseslovgivningen”)
2.4. Databehandleraftalen frigør ikke Databehandleren for forpligtelser, som efter Databeskyttelsesfor- ordningen eller den til enhver tid anden gældende lovgivning direkte er pålagt Databehandleren.
3. Databehandlerens opgave
3.1. Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af Hovedaftalen.
3.2. Formålet med Databehandlerens behandling er at bidrage til opfyldelsen af det overordnede formål for det enkelte forskningsprojekt, som udføres af den Dataansvarlige. Dette ved behandling af per- sonoplysninger i det konkrete forskningsprojekt, som er omfattet af denne rammedatabehandleraf- tale.
Det forudsættes, at forskningsprojekter omfattet af denne rammedatabehandleraftale har den fornødne lovhjemmel til behandling af personoplysninger fx tilladelser/godkendelser fra relevante myndigheder. Videre forudsættes det, at det enkelte forskningsprojekt er registreret på intern for- tegnelse over forskningsprojekter hos den region, som er dataansvarlig myndighed for projektet.
Rammedatabehandleraftalen regulerer alle former for databehandling, som er omfattet af denne aftale og i overensstemmelse med det enkelte forskningsprojekts hovedaftale.
Der er således tale om en ”rammedatabehandleraftale”, som er gældende i forhold til alle de forsk- ningsprojekter, hvor den dataansvarlige myndighed udfylder bilag 3. Bilag 3 præciserer databehand- lerens opgave i det konkrete forskningsprojekt, som er indeholdt i denne rammedatabehandlerafta- les punkt 3.3.
Den dataansvarlige myndighed fremsender det endelige bilag 3 til databehandleren. Databehandle- ren registrerer behandlingsaktiviteten på relevant fortegnelse.
Den projektansvarlige hos den dataansvarlige myndighed fremsender det endelige bilag 3 til for- sker/kontaktperson hos databehandleren. Forsker/kontaktperson hos databehandleren fremsender til relevant enhed internt, der registrerer behandlingsaktiviteten på relevant fortegnelse.
3.3. Databehandlerens opgave er følgende:
• Inklusion af forsøgsdeltagere
• Indsamling af databeskyttelsesretligt samtykke
• Indsamling ekstra personoplysninger til det konkrete forskningsprojekt dvs. uden for patientbe- handling fx spørgeskema, interview, observationer
• Indsamling af ekstra oplysninger der ikke skal føres i patientjournalen el. lign. system
• Indsamling af biologisk materiale
• Udførelse af statistiske beregninger
• Udførelse af diverse analyser
• Udførelse af analyser af biologisk materiale
• Opbevaring af personoplysninger, herunder biologisk materiale, indeholdt i databehandlers opgave
Bilag 3 indeholder følgende:
• Relevante sagsnumre hos henholdsvis Dataansvarlig og Databehandler fx sagsnummer for ram- medatabehandleraftale, hovedaftale, fortegnelse
• Forskningsprojektets titel
• Navn på forsker/kontaktperson for forskningsprojektet hos henholdsvis Dataansvarlig og Databe- handler
• Angivelse af forskningsprojektets lovhjemmel fx VEK-godkendelse, godkendelse fra region til videregivelse af helbredsoplysninger fra patientjournal, samtykke, databeskyttelseslovens § 10.
• Om projektet er registeret på intern fortegnelse over forskningsprojekter hos henholdsvis Dataan- svarlig og Databehandler
• Sluttidspunkt for databehandlingen i relation til det konkrete forskningsprojekt
• Beskrivelse af databehandlers opgave i det konkrete forskningsprojekt, beskrivelse af kategorier
• Metode til overførsel af personoplysninger mellem Dataansvarlig og Databehandler
• Opbevaringssted for personoplysninger der behandles fysisk eller på stand alone computer/ud- styr.
• Evt. yderligere underdatabehandler(-e) i det konkrete forskningsprojekt
3.4. Databehandleren behandler følgende typer af personoplysninger: Specifikt beskrevet i det konkrete forskningsprojekt bilag 3.
3.5. Databehandleren behandler personoplysninger vedrørende følgende kategorier af registrerede: Specifikt beskrevet i det konkrete forskningsprojekt bilag 3.
3.5. De personoplysninger, som er omfattet af Databehandleraftalen, behandles (fx opbevares, hostes, foretages back-up) på følgende adresse(r), herunder også ad hoc arbejdspladser:
Overordnet serverplacering:
Databehandlers datacentre. Indsæt placering:
Dataansvarlig kan ved anmodning til Databehandler få de specifikke adresser oplyst. Datacentrene ejet af databehandler er alle placeret i Danmark og uden overførsel til tredjeland.
Fysisk opbevaringssted/stand alone computer/udstyr:
Fremgår af bilag 3 til det konkrete forskningsprojekt.
Brug af underdatabehandler:
Ved anvendelse af underdatabehandler, som bruges ofte, kan Dataansvarlig godkende et bilag 2, som derefter gælder generelt i forhold til forskningsprojekter omfattet af denne rammedatabehand- leraftale.
Ved anvendelse af underdatabehandler som alene skal bruges i det enkelte forskningsprojekt, ind- skrives denne i bilag 3, og der suppleres med udfyldt bilag 2.
4. Tekniske og organisatoriske sikkerhedsforanstaltninger
4.1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til Databeskyttelsesforord- ningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
4.2. Af bilag 1 (Databehandlerinstruks) fremgår minimumskrav til de fornødne tekniske og organisatori- ske sikkerhedsforanstaltninger.
4.3. Principperne og anbefalingerne i ISO 27001, med senere ændringer, vil skulle anvendes som vej- ledende ramme ved overholdelse af kravene i Databehandleraftalen.
5. Databehandlerens brug af underdatabehandler
5.1. Databehandleren må ikke gøre brug af en anden databehandler (underdatabehandler) til behand- ling af personoplysninger omfattet af Databehandleraftalen uden den Dataansvarliges forudgående skriftlige godkendelse. Databehandleraftalens bilag 2 angiver de underdatabehandlere, der er god- kendt af den Dataansvarlige.
5.2. Databehandleren skal orientere den Dataansvarlige og indhente en specifik godkendelse fra den Dataansvarlige i tilfælde af, at der vælges ny underdatabehandler. Orienteringen skal ske senest 3 måneder inden den nye underdatabehandler tages i anvendelse. Orienteringen skal ske via revide- ring af bilag 2 og sendes til den Dataansvarlige.
5.3. Endvidere er Databehandleren forpligtet til, efter anmodning fra den Dataansvarlige, at udlevere en systematiseret oversigt over den samlede kæde af underdatabehandlere angivet i bilag 2, hvoraf det tydeligt fremgår, hvordan underdatabehandlerne er indbyrdes relateret.
5.4. Databehandleren skal indgå aftale med underdatabehandleren, hvor underdatabehandleren som minimum forpligtes til at opfylde de databeskyttelsesforpligtelser, som Databehandleren har påtaget sig ved Databehandleraftalen. Underdatabehandleren skal som minimum have samme sikkerhedsni- veau, som Databehandleren har påtaget sig med Databehandleraftalen.
5.5. Anvendes en underdatabehandler skal Databehandleren udlevere den indgåede databehandleraf- tale mellem Databehandleren og underdatabehandleren på forespørgsel fra den Dataansvarlige. Databehandleren skal kunne dokumentere, at underdatabehandleren er blevet instrueret om de sikkerhedskrav, der fremgår af bilag 1 (Databehandlerinstruks).
5.5. Databehandleren er ansvarlig for kontraktmæssigheden og lovligheden af underdatabehandlerens behandling af personoplysninger. Det forhold, at Databehandler indgår aftale med en underdatabe- handler, fritager ikke Databehandleren for pligten til at efterleve Databehandleraftalen.
5.7. Ved ophør af en aftale med en underdatabehandler om behandling af personoplysninger omfattet af Databehandleraftalen, skal Databehandleren give den Dataansvarlige meddelelse herom. Databe- handleren skal i den forbindelse sikre, at underdatabehandleren sletter personoplysningerne behø- rigt i overensstemmelse med punkt 10.
5.8. Databehandleren skal i sin aftale med underdatabehandleren for så vidt muligt indføje den Dataan- svarlige som begunstiget tredjemand i tilfælde af Databehandlerens konkurs, således at den Dataan- svarlige kan indtræde i Databehandlerens rettigheder og gøre dem gældende over for underdatabe- handleren for så vidt angår behandling af personoplysninger, fx så den Dataansvarlige kan instruere underdatabehandleren om at foretage sletning eller tilbagelevering af personoplysninger.
5. Overførsel af personoplysninger til tredjelande eller internationale organisationer
5.1. I henhold til Databeskyttelsesforordningen kapitel 5 skal Databehandleren sikre, at der ikke be- handles personoplysninger uden skriftlig dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel (fx overladelse, videregivelse samt intern anvendelse) af personoplys- ninger til tredjelande eller internationale organisationer, medmindre Databehandleren er un- derlagt andre krav i henhold til EU-ret eller medlemsstaternes nationale ret. I så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandlingen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. Databeskyttelsesforordningens artikel 28, stk. 3, litra a.
5.2. Uden den Dataansvarliges dokumenterede instruks eller skriftlige godkendelse kan Databehandle- ren derfor blandt andet ikke:
i. Videregive personoplysningerne til en Dataansvarlig i et tredjeland eller i en international orga- nisation.
ii. Overlade behandlingen af personoplysningerne til en underdatabehandler i et tredjeland eller i en international organisation.
iii. Lade personoplysningerne behandle i en anden af Databehandlerens afdelinger, som er place- ret i et tredjeland.
5.3. Såfremt den Dataansvarlige har givet Databehandleren en skriftlig godkendelse til overførsel af personoplysninger til en underdatabehandler i et tredjeland, påhviler det Databehandleren at sikre, at personoplysningerne ikke overføres, førend der foreligger et lovligt grundlag for overfør- sel af personoplysningerne til de pågældende lande. Anvendes en underdatabehandler i et tred- jeland, skal dette fremgå i Databehandleraftalens bilag 2.
7. Tilsyn og revision
7.1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens over- holdelse af Databeskyttelseslovgivningen og Databehandleraftalen til rådighed for den Dataan- svarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
7.2. Der er i denne rammedatabehandleraftale aftalt følgende tilsyn:
Den dataansvarlige kan føre tilsyn med Databehandleren via tilsynsskema samt mulighed for op- følgende spørgsmål og eventuelt et fysisk tilsyn. Det vil være den Dataansvarlige, som vælger form for og indhold i tilsynsskemaet.
7.3. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lov- givning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behø- rig legitimation. Databehandleren forpligter sig på samme måde til at sikre, at sådanne inspektio- ner også kan gennemføres hos dennes eventuelle underdatabehandlere.
7.4. Databehandleren er forpligtet til at føre tilsyn med eventuelle underdatabehandlere. Databehand- lerens tilsyn med underdatabehandlere skal følge den aftalte procedure for tilsyn. Databehand- leren skal efter anmodning dokumentere, at der er ført tilsyn med underdatabehandlere. Selvom Databehandleren er ansvarlig for at føre tilsyn med underdatabehandlere, har den Dataansvarlige
8. Underretningspligt og assistance
8.1. Databehandleren forpligter sig til uden unødig forsinkelse skriftligt at orientere den Dataansvarlige om afvigelser fra Databehandleraftalen, fx:
i. Ved enhver fravigelse fra givne instrukser
ii. Ved enhver afvigelse fra det aftalte om tilgængelighed til personoplysninger omfattet af Databe- handleraftalen.
iii. Ved enhver afvigelse fra planlagte releases, opgraderinger, tests mv., som er relevant for behand- lingen af personoplysninger omfattet af Databehandleraftalen.
iv. Ved enhver begrundet mistanke om brud på fortroligheden, misbrug, fortabelse og forringelse af personoplysninger mv.
8.2. Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet op- mærksom på, at der er sket brud på persondatasikkerheden hos Databehandleren eller hos dennes eventuelle underdatabehandlere, der har tilknytning til Databehandleraftalen.
En underretning om brud på persondatasikkerheden skal indeholde følgende oplysninger:
i. Karakteren af bruddet på datasikkerheden og, hvis det er muligt, hvem der er omfattet, antal berørte og antal berørte registreringer af personoplysninger.
ii. Beskrivelse af de sandsynlige konsekvenser af bruddet.
iii. Beskrivelse af de foranstaltninger, som Databehandleren har truffet eller foreslår truffet for at håndtere databruddet, og hvad der kan gøres for at begrænse dets mulige skadevirkninger.
8.3. Databehandleren skal uden unødig forsinkelse under hensyntagen til behandlingens karakter så vidt muligt bistå den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel 3.
8.4. Databehandleren skal assistere den Dataansvarlige med at overholde forpligtelser, der måtte påhvile den Dataansvarlige efter gældende ret og hvor assistance er nødvendig for, at den Dataansvarlige kan overholde disse forpligtelser, herunder forpligtigelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse.
9. Aftalens ikrafttræden og varighed
9.1. Databehandleraftalen træder i kraft ved underskrift fra alle parter.
9.2. Databehandleraftalen er gældende, så længe behandlingen af personoplysninger består og skal forblive i kraft, frem til behandlingen er ophørt.
9.3. Databehandleren og dennes underdatabehandlere forpligter sig til at tilbagelevere og/eller slette personoplysninger, når databehandlingen i henhold til Hovedaftalen ophører eller på skriftlig an- modning fra den Dataansvarlige. Den Dataansvarlige skal oplyse Databehandleren om det tidspunkt, hvor databehandlingen skal ophøre. Det påhviler herefter Databehandleren at tilbagelevere og/ eller slette personoplysningerne efter anmodning fra den Dataansvarlige samt at slette eksisterende
10. Håndtering af personoplysninger efter aftalens ophør
10.1. Databehandleren er ansvarlig for, at sletning af personoplysningerne sker på en sådan måde, at det ikke er muligt at genskabe personoplysningerne. Databehandleren er ansvarlig for, at personoplys- ningerne også slettes fra backup samt hos eventuelle underdatabehandlere.
10.2. Når sletningen er foretaget, skal Databehandleren fremsende en skriftlig erklæring på, at personop- lysningerne er slettet som aftalt.
10.3. Såfremt Databehandleren eller dennes underdatabehandlere i forbindelse med konkurs, likvidering eller lignende ophører med at behandle personoplysninger for den Dataansvarlige, skal alle person- oplysningerne straks leveres tilbage til den Dataansvarlige på en måde, der gør det muligt for den Dataansvarlige at anvende disse fremadrettet. Herefter er Databehandleren, dennes konkursbo eller lignende forpligtet til effektivt at slette personoplysningerne fra egne systemer i overensstemmelse med ovenstående.
11. Ophørsassistance
11.1. Ved ophør, opsigelse eller ophævelse af Hovedaftalen eller Databehandleraftalen, er Databehandle- ren på den Dataansvarliges anmodning forpligtet til at levere ophørsassistance til den Dataansvarlige indtil (i) alle personoplysninger er overført til den Dataansvarlige i et almindelig anerkendt elektro- nisk format, og (ii) der er sket tilfredsstillende overdragelse af ydelserne beskrevet i Hovedaftalen
til den Dataansvarlige eller en ny leverandør udpeget af den Dataansvarlige. Databehandleren skal fortsætte behandlingen af personoplysningerne og leveringen af ydelser i henhold til Hovedaftalen og Databehandleraftalen, indtil der er sket en sådan tilfredsstillende overførsel.
11.2. Databehandleren er efter anmodning fra den Dataansvarlige forpligtet til skriftligt at oplyse den Data- ansvarlige om, hvordan Databehandleren vil overføre personoplysningerne og ydelserne under Hoved- aftalen til den Dataansvarlige eller en ny leverandør, herunder eventuelle tekniske krav og forudsæt- ninger, således at den Dataansvarlige selv eller den nye leverandør kan overtage ydelserne beskrevet i Hovedaftalen og behandlingen af personoplysninger. Databehandleren skal til enhver tid efter anmod- ning fra den Dataansvarlige kunne dokumentere og demonstrere for den Dataansvarlige, at overførslen af personoplysninger og ydelser kan ske inden for de af Databehandlerens angivne tidsrammer.
12. Personoplysninger omfattet af denne aftale er fortrolige
12.1. Databehandleren skal sikre, og efter anmodning fra den Dataansvarlige påvise, at de medarbejdere, underdatabehandlere, samarbejdspartnere, eksterne konsulenter og vikarer mfl., der er autoriseret til at behandle de i Databehandleraftalen omfattede personoplysninger, har forpligtet sig til fortro- lighed eller er underlagt en passende lovbestemt tavshedspligt.
12.2. Det påhviler Databehandleren at informere medarbejdere, underdatabehandlere, samarbejdspart- nere, eksterne konsulenter og vikarer mfl. om tavshedspligten.
12.3. Databehandleren skal sikre, at adgangen til personoplysninger omfattet af denne Databehandleraf-
12.4. Databehandleraftalens forpligtelser om tavshedspligt og fortrolighed gælder også efter Hovedafta- lens ophør.
13. Overdragelse
13.1. Databehandleren må ikke overdrage sine rettigheder og forpligtelser i henhold til denne Databe- handleraftale uden den Dataansvarliges forudgående samtykke.
14. Misligholdelse
14.1. Udover hvad der måtte fremgå af nærværende afsnit 14, har den Dataansvarlige de misligholdelses- beføjelser i forbindelse med Databehandlerens misligholdelse af Databehandleraftalen, der følger af dansk rets almindelige regler.
14.2. Databehandleraftalen er en del af Hovedaftalen, hvorved en misligholdelse af Databehandleraftalen også er en misligholdelse af Hovedaftalen. Ved væsentlig misligholdelse af Databehandleraftalen er den Dataansvarlige berettiget til at ophæve Databehandleraftalen og Hovedaftalen.
14.3. Den Dataansvarliges ophævelse af Hovedaftalen og Databehandleraftalen indebærer ikke, at den Dataansvarlige giver afkald på sin ret til at kræve erstatning, hvis betingelserne herfor er opfyldt.
14.4. Såfremt den Dataansvarlige vælger ikke at ophæve Hovedaftalen og Databehandleraftalen i ét eller flere tilfælde, selvom den Dataansvarlige er berettiget hertil, medfører dette ikke, at den Dataansvar- lige mister retten til at ophæve Hovedaftalen og Databehandleraftalen i andre tilfælde.
14.5. Den Dataansvarlige og Databehandleren er erstatningsansvarlige i overensstemmelse med dansk rets almindelige regler i tilfælde af misligholdelse af Databehandleraftalen eller overtrædelse af den til enhver tid gældende Databeskyttelseslovgivning.
Såfremt den Dataansvarlige af tredjemand gøres tort- og/eller erstatningsansvarlig – herunder i form af evt. kompensationskrav fra den/de registrerede - som følge af Databehandlerens eller eventuelle Underdatabehandleres misligholdelse af Databehandleraftalen eller overtrædelse af den til enhver tid gældende Databeskyttelseslovgivning, skal Databehandleren holde den Dataansvarlige skadesløs for alle omkostninger og tab.
Enhver ansvarsbegrænsning eller erstatningsmaksimering, der er fastlagt i Hovedaftalen eller andet sted, skal ikke være gældende i tilfælde af Databehandlerens misligholdelse af Databehandleraftalen eller den til enhver tid gældende Databeskyttelseslovgivning.
For kompensation og andre beløb, der skal betales til de registrerede som følge af overtrædelse af Databeskyttelseslovgivningen, finder Databeskyttelsesforordningens artikel 82 anvendelse.
Databehandlerens forpligtelse til at skadesløsholde den Dataansvarlige efter nærværende afsnit
14.5. Den Dataansvarlige er berettiget til at stille krav om, at Databehandleren bistår med at forsvare den Dataansvarliges interesser i en eventuel rets- eller voldgiftssag, uagtet Databehandlerens eventuelle indsigelser i forhold til den påberåbte misligholdelse, såfremt Databehandlerens bistand er af væ- sentlig betydning for varetagelsen af den Dataansvarliges interesser, og at dette ikke samtidig skader Databehandlerens stilling.
15. Lovvalg og værneting
15.1. Bestemmelserne i dette afsnit finder ikke anvendelse, såfremt lovvalg og værneting er særskilt regu- leret i Hovedaftalen.
15.2. Databehandleraftalen inklusiv ethvert spørgsmål om Databehandleraftalens gyldighed er undergivet dansk ret.
15.3. Forhandling
Såfremt der opstår en uoverensstemmelse mellem Parterne i forbindelse med Databehandleraftalen, skal Parterne med en positiv, samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten.
15.4. Domstolsbehandling
Hvis enighed ikke kan opnås via forhandling eller på anden vis, skal tvisten løses ved de danske dom- stole ved den Dataansvarliges hjemting.
15. Ændringer til punkterne 1-15
15.1.
17. Bilag
Bilag 1: Databehandlerinstruks.
Bilag 2: Evt. forud godkendt(-e) underdatabehandler(-e).
Evt. yderligere underdatabehandlere i det konkrete forskningsprojekt fremgår af bilag 3.
Bilag 3: Rammebilag – information omkring det konkrete forskningsprojekt.
18. Underskrifter
På vegne af den Dataansvarlige:
Navn Stilling Adresse
Dato Underskrift
Den Dataansvarliges projektansvarlige/systemejers kontaktperson:
Navn Stilling Adresse
Dato Underskrift
På vegne af Databehandleren:
Navn Stilling Adresse
Dato Underskrift