Bilag A
Bilag A
Databehandleraftale pr. 1. december 2018
1. Baggrund, formål og omfang
Som led i den Dataansvarliges (RéVision+ kunde) ind- gåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandle- ren (RéVision+) behandling af personoplysninger, som den Dataansvarlige er ansvarlig for.
Databehandleren skal overholde Persondataloven (lov nr. 421 af 31. maj 2000 med senere ændringer) med til- hørende bekendtgørelser.
Databehandleren skal overholde Persondataforordnin- gen (Europa-Parlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplys- ninger og om fri udveksling af sådanne oplysninger) med tilhørende retsakter samt heraf afledt national lov- givning.
Det er et krav i såvel Persondataforordningen, at der mellem den Dataansvarlige og Databehandleren indgås skriftlig aftale om den behandling, som skal foretages; en såkaldt ’Databehandleraftale’. Denne Aftale udgør sådan Databehandleraftale.
2. Personoplysninger omfattet af aftalen Denne Aftale omfatter alle typer personoplysninger, som er nødvendige i forbindelse med opfyldelse af samarbejdsaftale med Parterne.
3. Geografiske krav
Den behandling af persondata, som Databehandleren foretager efter aftale med den Dataansvarlige, må alene foretages af Databehandleren eller underdatabehand- lere, jf. afsnit 5, indenfor det Europæiske Økonomiske Samarbejde (EØS). Databehandleren er ingenlunde be- rettiget til at lade databehandling foregå udenfor EØS uden den Dataansvarliges skriftlige samtykke.
4. Instruks
Omfanget af de opgaver, som den Dataansvarlige skal levere og understøtte, betyder, at der i medfør af Parter- nes aftale vil ske forskellige former for behandling af personoplysninger. De forskellige former for behand- ling af personoplysninger er beskrevet i samarbejdsaf- talen mellem Parterne.
Databehandleren handler alene efter dokumenteret in- struks fra den Dataansvarlige. Databehandleren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af den Dataansvarliges instruks. Alle de for levering af de finansielle ydelser jf. samarbejds- aftale nødvendige og beskrevne behandlinger betragtes som dokumenterede
Såfremt en instruktion efter Databehandlerens opfat- telse er i strid med Persondataloven eller Persondata- forordningen, skal Databehandleren orientere den Data- ansvarlige herom.
Denne Aftale og samarbejdsaftale omkring levering af finansielle ydelser omfatter de kategorier af registre- rede oplysninger, som er nødvendige for levering af fi- nansielle ydelser.
Såfremt behandlingen af personoplysninger hos Data- behandleren sker helt eller delvist ved anvendelse af fjernopkobling, herunder hjemmearbejdspladser, skal Databehandleren fastsætte retningslinjer for medarbej- dernes behandling af personoplysninger ved anven- delse af fjernopkobling, som i øvrigt skal opfylde de i Aftalen stillede krav.
Databehandleren skal så vidt muligt bistå den Dataan- svarlige med opfyldelse af den Dataansvarliges forplig- telser til at besvare anmodninger om udøvelse af de re- gistreredes rettigheder, herunder om indsigt, berigti- gelse, begrænsning eller sletning, hvis de relevante per- sonoplysninger behandles af Databehandleren. Modta- ger Databehandleren sådan henvendelse fra den regi- strerede person, orienterer Databehandleren den Data- ansvarlige herom.
Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, herunder til underda- tabehandleren. Databehandlerens bistand afregnes til Databehandlerens til enhver tid gældende timetakst for sådant arbejde.
5. Brug af underdatabehandler
Den Dataansvarlige giver Databehandleren samtykke til anvendelse af underdatabehandlere forudsat, at de i Aftalen stillede betingelser for dette er opfyldt. Databe- handleren er jf. Aftalen ikke forpligtet til at underrette den Dataansvarlige om sådanne underdatabehandlere.
Underdatabehandleren er under Databehandlerens in- struks. Databehandleren har indgået skriftlig databe- handleraftale med underdatabehandleren, hvori det er sikret, at underdatabehandleren opfylder krav tilsva- rende dem, som stilles til Databehandleren af den Data- ansvarlige i medfør af Aftalen.
Omkostninger forbundet med etablering af aftalefor- holdet til en underdatabehandler, herunder omkostnin- ger til udarbejdelse af databehandleraftale og eventuel etablering af grundlag for overførsel til tredjelande, af- holdes af Databehandleren og er således den Dataan- svarlige uvedkommende.
Såfremt den Dataansvarlige måtte ønske at instruere underdatabehandlere direkte, bør dette alene ske efter drøftelse med og via Databehandleren. Hvis den Data- ansvarlige afgiver instruks direkte overfor underdatabe- handlere, skal den Dataansvarlige senest samtidig un- derrette Databehandleren om instruksen og baggrunden
for denne. Hvor den Dataansvarlige instruerer underda- tabehandlere direkte:
a) er Databehandleren fritaget for ethvert ansvar, og enhver følge af sådan instruks er alene den Dataan- svarliges ansvar,
b) hæfter den Dataansvarlige for enhver omkostning, som instruksen måtte medføre for Databehandle- ren, herunder er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al arbejdstid, som en sådan direkte in- struks måtte medføre for Databehandleren og
c) den Dataansvarlige er selv ansvarlig overfor un- derdatabehandlere for enhver omkostning, veder- lag eller anden betaling til underdatabehandleren, som den direkte instruks måtte medføre.
Databehandleren forbeholder sig retten til anvendelse af underdatabehandlere til at forestå den tekniske drift til levering af finansielle ydelser.
Den Dataansvarlige accepterer ved indgåelsen af nær- værende Aftale, at Databehandleren er berettiget til at skifte underdatabehandler forudsat, at:
(a) en eventuel ny underdatabehandler overholder til- svarende betingelser, som stilles i nærværende til den nuværende underdatabehandler og,
(b) at den Dataansvarlige senest ved en eventuel anden underdatabehandlers påbegyndelse af behandlin- gen af personoplysninger, som den Dataansvarlige er dataansvarlig for, af Databehandleren orienteres om den nye underdatabehandlers identitet.
6. Behandling og videregivelse af personop- lysninger
Den Dataansvarlige indestår for at have fornøden hjem- mel til behandling af personoplysningerne omfattet af nærværende Aftale.
Databehandleren må ikke uden skriftligt samtykke fra den Dataansvarlige videregive oplysninger til tredje- mand, medmindre sådan videregivelse følger af lovgiv- ningen eller af en bindende anmodning fra en retsin- stans eller en databeskyttelsesmyndighed, eller det fremgår af denne Aftale.
7. Sikkerhed
Databehandleren skal træffe passende tekniske og orga- nisatoriske sikkerhedsforanstaltninger mod, at person- oplysninger hændeligt eller ulovligt tilintetgøres, forta- bes eller forringes, samt mod at de kommer til uved- kommendes kendskab, misbruges eller i øvrigt behand- les i strid med lovgivningen, jf. afsnit 1 ovenfor.
Sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af
15. juni 2000 om sikkerhedsforanstaltninger til beskyt- telse af personoplysninger, som behandles for den of- fentlige forvaltning, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001) skal tillige overholdes, såfremt der er tale om behandling af personoplysninger for den offentlige forvaltning.
Databehandleren er altid berettiget til at implementere alternative sikkerhedsforanstaltninger under forudsæt- ning af, at sådanne sikkerhedsforanstaltninger som mi- nimum opfylder eller giver større sikkerhed end de nu- værende sikkerhedsforanstaltninger og i øvrigt opfylder de stillede krav til sikkerhed. Databehandleren kan ikke uden den Dataansvarliges skriftlige forudgående god- kendelse foretage forringelse af sikkerhedsforholdene.
Hvis Databehandleren er etableret i en anden EU-med- lemsstat, skal de bestemmelser om sikkerhedsforan- staltninger, som er fastsat i lovgivningen i den EU- medlemsstat, hvor Databehandleren er etableret, derud- over gælde for Databehandleren. Hvis Databehandleren er etableret i en anden EU-medlemsstat, skal Databe- handleren således overholde såvel sikkerhedskrav om- fattet af gældende lovgivning i Danmark som sikker- hedskrav i Databehandlerens hjemland. Det samme gælder for underdatabehandlere.
Databehandleren skal efter nærmere aftale med den Dataansvarlige så vidt muligt bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i forordnin- gens artikel 32 (gennemførelse af passende tekniske og organisatoriske foranstaltninger), 35 (foretagelse af konsekvensanalyse vedrørende databeskyttelse) og 36 (forudgående høring). I den forbindelse er Databehand- leren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens ar- bejdstid, som sådan aftale måtte medføre for Databe- handleren, ligesom den Dataansvarlige hæfter for even- tuel betaling til underdatabehandleren. Såfremt der er skærpede sikkerhedsforanstaltninger i forhold til det al- lerede aftalte mellem Parterne i medfør af denne Af- tale, implementerer Databehandleren, så vidt det er mu- ligt, sådanne foranstaltninger forudsat, at Databehand- leren modtager betaling herfor, jf. nedenfor.
Omkostninger forbundet med sådan implementering af foranstaltninger, jf. ovenfor, afholdes af den Dataan- svarlige og er således Databehandleren uvedkom- mende. Databehandleren er endvidere berettiget til at fakturere den Dataansvarlige med sin sædvanlige time- takst for al Databehandlerens arbejdstid, som sådan im- plementering måtte medføre for Databehandleren, lige- som den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.
8. Tilsynsret
Databehandleren skal på den Dataansvarliges anmod- ning give den Dataansvarlige tilstrækkelige informatio- ner til, at denne kan påse, at Databehandleren har truf- fet de nødvendige tekniske og organisatoriske sikker- hedsforanstaltninger.
I det omfang den Dataansvarlige tillige ønsker, at dette skal omfatte den behandling, som sker hos underdata- behandlere, oplyses Databehandleren om dette. Databe- handleren indhenter herefter tilstrækkelige oplysninger fra underdatabehandleren.
Såfremt den Dataansvarlige ønsker at foretage tilsyn, som anført i dette afsnit, skal den Dataansvarlige altid give Databehandleren et varsel på mindst 30 dage i så- dan forbindelse.
Såfremt Databehandleren får udarbejdet en sikkerheds- revisionsrapport, som beskriver sikkerhedsforholdene hos underdatabehandleren i overensstemmelse med dette afsnit, er den Dataansvarlige berettiget til at få ud- leveret en kopi heraf. Kopi af sådan sikkerhedsrevisi- onsrapport fremsendes på anmodning til den Dataan- svarlige, såfremt Databehandleren får udarbejdet en så- dan. Såfremt den Dataansvarlige ønsker at få udarbej- det anden eller yderligere sikkerhedsrevisionsrapporter, eller at der i øvrigt ønskes foretaget tilsyn af Databe- handlerens eller underdatabehandlerens persondatabe- handling, herunder såfremt den Dataansvarlige ønsker sikkerhedsrevisionsrapport udarbejdet på et nærmere bestemt tidspunkt, aftales dette nærmere med Databe- handleren. Databehandleren eller underdatabehandleren kan til enhver tid kræve, at en sådan sikkerhedsrevisi- onsrapport udarbejdes i overensstemmelse med en an- erkendt revisionsstandard (fx ISAE 3402 med referen- ceramme til ISO 27002:2014 eller lignende) af en al- ment anerkendt og uafhængig tredjepart, som beskæfti- ger sig med sådanne forhold.
Den Dataansvarlige afholder alle omkostninger i for- bindelse med tilsyn af sikkerhedsforhold hos Databe- handleren samt i forhold til underdatabehandleren, her- under er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Da- tabehandlerens arbejdstid, som sådant tilsyn måtte medføre for Databehandleren, ligesom den Dataansvar- lige hæfter for eventuel betaling til underdatabehandle- ren.
9. Persondatasikkerhedsbrud
Såfremt Databehandleren måtte blive bekendt med et persondatasikkerhedsbrud, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintet- gørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, op- bevaret eller på anden måde behandlet, er Databehand- leren forpligtet til uden unødig forsinkelse at søge at lo- kalisere sådant brud og søge at begrænse opstået skade i videst muligt omfang, samt i det omfang det er muligt reetablere eventuelt mistede data.
Databehandleren er endvidere forpligtet til uden unødig forsinkelse at underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på per- sondatasikkerheden. Databehandleren skal herefter uden unødig forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til den Dataansvarlige, som så vidt muligt skal indeholde:
(a) En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte regi- strerede og registreringer af personoplysninger.
(b) Navn på og kontaktoplysninger for databeskyttel- sesrådgiveren.
(c) En beskrivelse af de sandsynlige konsekvenser af bruddet.
(d) En beskrivelse af de foranstaltninger, Databehand- leren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skade- virkninger.
For så vidt det ikke er muligt at give ovenstående op- lysninger samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.
Tilsvarende er underdatabehandlere pålagt uden unødig forsinkelse at underrette Databehandleren i overens- stemmelse med ovenstående.
10. Tavshedspligt
Databehandleren skal holde personoplysningerne for- trolige, og er således alene berettiget til at anvende per- sonoplysningerne som led i opfyldelsen af sine forplig- telser og rettigheder i henhold til Aftalen.
Databehandleren skal sikre, at de medarbejdere og eventuelle andre, herunder underdatabehandlere, der er autoriseret til at behandle de i Aftalen omfattede per- sonoplysninger, er pålagt tavshedspligt.
11. Varighed og ophør af databehandleraftalen Aftalen træder i kraft ved Parternes underskrift af sam- arbejdsaftalen.
I tilfælde af, at samarbejdsaftalen ophører, uanset år- sag, ophører Aftalen også. Databehandleren er dog for- pligtet af denne Aftale, så længe Databehandleren be- handler personoplysninger på vegne af den Dataansvar- lige, idet den Dataansvarlige snarest muligt og senest 14 dage efter ophør af samarbejdsaftalen skal oplyse Databehandleren skriftligt, hvorledes Databehandleren skal forholde sig til de behandlede personoplysninger. 30 dage efter ophøret af samarbejdsaftalen er Databe- handleren berettiget til at slette alle personoplysninger, som er blevet behandlet under den ophørte samarbejds- aftalen på vegne af den Dataansvarlige.