Databehandleraftale
Databehandleraftale
Mellem
xxxx xxxx
(som dataansvarlig) og
CC Group Xxxxxxxxxxxx 0
7000 Fredericia
CVR-nr. 27 41 50 32
(som databehandler)
Denne databehandleraftale knytter sig til indgået kontrakt mellem xxxx og CC Group vedrørende IT og serverløsninger.
1. Databehandlerens ansvar
Databehandleren handler alene efter instruks fra den dataansvarlige.
Databehandleren indestår for, at nærværende databehandleraftale udleveres og efterleves af databehandlerens ansatte, der varetager behandling af personoplysninger for databehandleren.
Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav vedrørende databehandling i forbindelse med den databehandling, som udføres for den dataansvarlige.
2. Lovbestemmelser
Databehandlingen foregår i henhold til lov nr. 429 af 31. maj 2000 med senere ændringer (Persondataloven) og Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 med senere ændringer (Sikkerhedsbekendtgørelsen).
Reglerne i persondatalovens § 41, stk. 3-5, gælder ligeledes for databehandlerens behandling af personoplysninger på vegne af den dataansvarlige.
Denne databehandleraftale kan til enhver tid ændres uden varsel, såfremt ændringen er nødvendig for at overholde de til enhver tid gældende regler og forskrifter for behandling af
personoplysninger, herunder overholde ændringer i persondataloven eller sikkerhedsbekendtgørelsen.
3. Behandling af data uden for databehandlerens datacenter
Såfremt data behandles udenfor databehandlerens datacenter i Danmark (fx ved et ”cloud center beliggende i et andet EU-land”) skal databehandleren sikre, at nærværende databehandleraftale og det pågældende EU-lands sikkerhedskrav overholdes, jf. persondatalovens § 42, stk. 2, 3. punktum.
Databehandleren kan alene overføre data til behandling fra databehandlens datacenter beliggende i Danmark eller et andet EU-land til et tredjeland (fx ved et ”cloud center beliggende udenfor EU”) efter forudgående samtykke fra den dataansvarlige og Datatilsynets tilladelse, jf. reglerne i persondatalovens § 27.
4. Tekniske og organisatoriske sikkerhedsforanstaltninger
Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven.
Databehandleren skal på den dataansvarliges anmodning give den dataansvarlige tiltrækkelige oplysninger til, at den dataansvarlige kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.
Da den dataansvarlige har pligt til aktivt at sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren, skal databehandleren én gang årligt afgive en vederlagsfri og skriftlig erklæring fra en ekstern uafhængig statsautoriseret eller registreret revisor til den dataansvarlige, der dokumenterer, at databehandleren opfylder persondataloven, herunder sikkerhedsbekendtgørelsens krav.
Databehandleren har pligt til at fastsætte og gennemføre de i sikkerhedsbekendtgørelsen krævede interne bestemmelser om sikkerhedsforanstaltninger.
Databehandleren skal i sine retningslinjer fastsætte regler, der sikrer, at dennes ansatte kun har adgang til personoplysninger, som er nødvendige for den ansattes udførelse af sine arbejdsopgaver. Den dataansvarlige kan til enhver tid kræve at få udleveret kopi af databehandlerens interne sikkerhedsforskrifter.
Hvis databehandleren har behov for at foretage databehandling fra ad hoc arbejdspladser (fjernarbejdspladser eller hjemmearbejdspladser), skal databehandleren etablere de nødvendige sikkerhedsforanstaltninger i forbindelse hermed.
Den dataansvarlige eller en af den dataansvarliges udpeget tredjemand – samt Datatilsynet – er berettiget til, når som helst, at komme på uanmeldt kontrolbesøg hos databehandleren for at konstatere, om databehandleren overholder nærværende databehandleraftale og gældende lovgivning.
Ved ophør af nærværende databehandleraftale skal databehandleren på skriftlig anmodning fra den dataansvarlige udlevere eller destruere data efter den dataansvarliges valg indenfor den af den dataansvarlige fastsatte frist.
5. Beskyttelse af personoplysninger i det åbne net
Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven.
I overensstemmelse med Datatilsynets udtalelse af 23. marts 2004 skal der ved tilslutning til internet eller andre åbne net træffes foranstaltninger, som sikrer mod uvedkommende trafik og forhindrer adgang fra det åbne net til den dataansvarliges interne net. Databehandleren skal i den forbindelse overholde de retningslinjer, som til enhver tid er fastsat af Datatilsynet.
Ligeledes skal det sikres, at kommunikationen på alle typer åbne net krypteres, hvis kommunikationen indeholder personhenførbare oplysninger.
Ved adgang til personhenførbare data via internettet eller andre åbne net skal brugerne autentificeres med anvendelse af digitale certifikater.
6. Brug af underleverandører
Hvis databehandleren samarbejder med en underleverandør, skal dette oplyses til den dataansvarlige.
Ved indgåelse af aftale med ny underleverandør/skift af eksisterende underleverandør skal databehandleren advisere den dataansvarlige herom minimum 1 måned før kontraktstart. Underleverandøren skal underskrive et tillæg til nærværende kontrakt, hvor underleverandøren pålægges samme forpligtelser som databehandleren.
7. Tavshedspligt vedrørende fortrolige oplysninger
Databehandleren er forpligtet til at behandle alt modtaget materiale og alle modtagne oplysninger med diskretion og fortrolighed.
I forbindelse med registrering og behandling af data er databehandleren underlagt tavshedspligt med hensyn til de fortrolige og personfølsomme oplysninger, som kommer til databehandlerens kendskab. Databehandleren må således ikke uden instruks fra den dataansvarlige videregive oplysninger, som man kommer i besiddelse af ved udførelsen af opgaven som databehandler. Databehandleren må ej helle bruge oplysninger fra databehandleropgaven til egne formål.
Dato: Dato:
Kunde Leverandørnavn