BILAG 4 DATABEHANDLERAFTALE
BIOFOS A/S Xxxxxxxxxxx 000 XX-0000 Xxxxxxxxx K
BILAG 4 DATABEHANDLERAFTALE
Tlf: x00 00 00 00 00
CVR nr. 25 60 19 20
MELLEM | BIOFOS A/S (CVR-nr. [ DEN DATAANSVARLIGES CVR-NR.]) [ DEN DATAANSVARLIGES ADRESSE] [ DEN DATAANSVARLIGES POSTNR OG BY] (herefter "(den) Dataansvarlige") |
OG [ [ [ [ ( | DATABEHANDLERENS NAVN] DATABEHANDLERENS CVR-NR.] DATABEHANDLERENS ADRESSE] DATABEHANDLERENS POSTNR OG BY] herefter "Databehandleren") |
(tilsammen benævnt "Parterne" og hver for sig "Part") |
INDHOLDSFORTEGNELSE
8. BISTAND TIL OPFYLDELSE AF DEN DATAANSVARLIGES FORPLIGTELSER OVER | |
BILAGSFORTEGNELSE
Bilag 1: Lokationer for Databehandlerens behandlinger Bilag 2: Underdatabehandlere
Bilag 3: Den Dataansvarliges til enhver tid gældende it-sikkerhedspolitik
1. BAGGRUND
1.1 Parterne har [DATO] indgået en særskilt aftale ("Hovedaftalen") om Databehand- lerens levering af drift, vedligeholdelse og support af IT-infrastruktur til den Data- ansvarlige ("Ydelserne").
1.2 Som led i Databehandlerens levering af Ydelserne til den Dataansvarlige i henhold til Hovedaftalen er det nødvendigt, at Databehandleren på vegne af den Dataan- svarlige behandler de typer af personoplysninger, som er oplistet i punkt 5.
1.3 Denne databehandleraftale med bilag (”Databehandleraftalen”) fastlægger ret- tigheder og forpligtelser for henholdsvis den Dataansvarlige og Databehandleren i forhold til sidstnævntes behandling af Personoplysninger.
1.4 De personoplysninger, som Databehandleren behandler på vegne af den Dataan- svarlige i forbindelse med levering af Ydelserne til den Dataansvarlige i henhold til Hovedaftalen, benævnes i Databehandleraftalen "Personoplysninger".
1.5 Databehandleraftalen indgås med henblik på at opfylde kravene til databehandle- re og databehandleraftaler, som fremgår af "Persondataforordningen".1
2. TILLÆG TIL HOVEDAFTALEN
2.1 Databehandleraftalen udgør et tillæg til Hovedaftalen.
2.2 Parterne er enige om, at Databehandlerens behandling af Personoplysninger på vegne af den Dataansvarlige i forbindelse med leveringen af Ydelserne er under- lagt vilkårene i Databehandleraftalen i stedet for eventuelle i Hovedaftalen inde- holdte bestemmelser om behandling af Personoplysninger.
2.3 I tilfælde af uoverensstemmelse mellem Hovedaftalen og Databehandleraftalen om forhold, som angår behandling af Personoplysninger, går Databehandlerafta- len dermed forud for Hovedaftalen.
2.4 De i Hovedaftalen indeholdte vilkår, herunder eventuelle ansvarsfraskrivelser og ansvarsbegrænsninger, finder også anvendelse mellem Parterne i relation til Da- tabehandleraftalen, herunder i forbindelse med en eventuel misligholdelse af Da- tabehandleraftalens vilkår, medmindre andet følger af ufravigelig lovgivning.
3. INSTRUKS
3.1 Databehandleren må alene behandle personoplysninger efter dokumenteret in- struks fra den Dataansvarlige, medmindre behandlingen kræves i henhold til EU- retten eller medlemsstaternes nationale ret.
1 Forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger m.v. Per- sondataforordningen skal anvendes fra 25. maj 2018.
3.2 Denne Databehandleraftale udgør instruksen til Databehandleren, jf. punkt 3.1, medmindre Databehandleren modtager anden skriftlig instruks fra den Dataan- svarlige, som i så fald uddyber denne instruks eller træder helt eller delvist i ste- det herfor.
3.3 Databehandleren skal omgående give skriftlig besked til den Dataansvarlige, så- fremt Databehandleren vurderer, at en instruks er i strid med reglerne i Person- dataforordningen, relevant national lovgivning eller relevant databeskyttelseslov- givning i andre EU-lande.
4. BEHANDLINGSENS KARAKTER OG FORMÅL
4.1 Databehandleren må alene behandle personoplysningerne med henblik på leve- ringen af Xxxxxxxxx og må ikke behandle dem til andet formål eller på egne veg- ne, herunder videregive personoplysningerne til tredjemand, medmindre dette følger af EU-retten eller en EU-medlemsstats nationale ret, som Databehandleren er underlagt.
4.2 Behandlingen skal ske i forbindelse med den Databehandlerens drift, vedligehol- delse og support af IT-infrastruktur til den Dataansvarlige, herunder særligt ved at Databehandleren, herunder dennes medarbejdere, får adgang til personoplysnin- ger via support på den Dataansvarliges lokationer.
5. GENSTAND FOR BEHANDLINGEN
5.1 Databehandleren behandler under denne Databehandleraftale på vegne af den Dataansvarlige følgende typer af personoplysninger om følgende kategorier af re- gistrerede:
• Nuværende og tidligere leverandører og samarbejdspartnere almindelige oplysninger, herunder identifikations- og kontaktoplysninger etc.
• Ansatte, tidligere ansatte samt ansøgere almindelige og følsomme oplys- ninger/særlige kategorier af personoplysninger, herunder identifikations- og kontaktoplysninger som navn, adresse, telefonnummer, kontonummer, CPR-nummer, oplysninger om helbred, eventuelle advarsler, bortvisning m.v.
6. KRAV TIL SIKKERHED
6.1 Databehandleren skal ved underskrift af denne Databehandleraftale levere en oversigt i bilag 1 over de lokationer, dvs. på hvilke adresser behandlingen af Per- sonoplysningerne vil ske, herunder behandlingen i datacentre og backupcentre. Adresseoplysningerne skal være præcise og skal opdateres, så snart der sker æn- dringer, ved at der fremsendes en ny oversigt til den Dataansvarlige. Tilsvarende gælder for de lokationer for eventuelle underdatabehandlere, som skal fremgå af bilag 2.
6.2 Databehandleren skal til enhver tid overholde de gældende sikkerhedskrav på de lokationer, hvortil dataene overføres, jf. herved punkt 13 om overførsel til tredje- land mv.
6.3 Såfremt Databehandleren – og eventuelle underdatabehandlere – foretager be- handling af Personoplysninger fra ad hoc arbejdspladser (fjernarbejdspladser eller hjemmearbejdspladser), dvs. arbejdspladser uden for de lokationer, som fremgår af bilag 1 og 2, skal dette ske i overensstemmelse med sikkerhedskravene i øvrigt i denne Databehandleraftale samt Datatilsynets eller øvrige officielle retningslin- jer/vejledninger herfor samt for kryptering.
6.4 Krav til og med den 24. maj 2018 til Databehandleren
6.4.1 Databehandleren skal til og med den 24. maj 2018 træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at Personoplysningerne hænde- ligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Person- dataloven, jf. Persondatalovens § 41, stk. 3. Ved "Persondataloven" forstås i den- ne Databehandleraftale lov om behandling af personoplysninger (lov nr. 429 af
31. maj 2000 med senere ændringer).
6.4.2 Databehandleren skal tillige opfylde de krav, som fremgår af bekendtgørelse nr. 528 af 15. juni 2000 (sikkerhedsbekendtgørelsen) med senere ændringer samt de krav, som følger af den til enhver tid gældende it-sikkerhedspolitik hos den Data- ansvarlige, jf. bilag 3. Den Dataansvarliges IT-sikkerhedspolitik, der er gældende ved underskrift af denne Databehandleraftale, vedlægges som bilag 3, og den Da- taansvarlige fremsender opdaterede versioner af IT-sikkerhedspolitikken til Data- behandleren, som i så fald udgør bilag 3. Ved eventuel uoverensstemmelse mel- lem gældende regler og it-sikkerhedspolitikker, har gældende regler forrang.
6.4.3 Hvis Databehandleren er etableret i en anden EU-medlemsstat end Danmark, skal de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den EU-medlemsstat, hvor Databehandleren er etableret, derudover gælde for Databehandleren. Hvis Databehandleren er etableret i en anden EU-medlemsstat, skal Databehandleren således overholde både de danske sikkerhedskrav i person- dataloven og sikkerhedskravene i Databehandlerens hjemland.
6.5 Krav fra og med den 25. maj 2018
6.5.1 Databehandleren skal fra og med den 25. maj 2018 ved behandlingen af Person- oplysningerne træffe og iværksætte passende tekniske og organisatoriske sikker- hedsforanstaltninger på en sådan måde, at behandlingen opfylder kravene i Per- sondataforordningen og sikrer beskyttelse af de registreredes rettigheder.
6.5.2 Databehandleren skal således iværksætte alle foranstaltninger, som kræves af hensyn til behandlingssikkerheden i medfør af Persondataforordningens artikel
32. samt og
6.5.3 Dette indebærer navnlig, at Databehandleren er forpligtet til at følge den vurde- ring af et passende sikkerhedsniveau, som den Dataansvarlige har foretaget (risi- kovurdering), jf. herved Persondataforordningens artikel 32, stk. 2.
6.5.4 Databehandleren er herudover forpligtet til at opfylde de krav til sikkerhed, som måtte følge af de regler, som på nationalt og på EU-plan udstedes med hjemmel i Persondataforordningen. Såfremt sådanne krav er sektorspecifikke (dvs. relaterer sig til den Dataansvarliges specifikke branche) for den Dataansvarlige, er Databe- handleren berettiget til særskilt betaling herfor.
6.5.5 Databehandleren er forpligtet til at følge den Dataansvarliges til enhver tid gæl- dende IT-sikkerhedspolitik. Den Dataansvarliges IT-sikkerhedspolitik, der er gæl- dende ved underskrift af denne Databehandleraftale, vedlægges som bilag 3, og den Dataansvarlige fremsender opdaterede versioner af IT-sikkerhedspolitikken til Databehandleren, som i så fald udgør bilag 3
6.5.6 Herudover er Databehandleren forpligtet til at bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i Persondataforordningens artikel 32-36 un- der hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. herved også punkt 7 (brud på persondatasikkerheden)
f.s.v.a. artikel 33-34 og 9 (bistand til konsekvensanalyser og eventuelle høringer)
f.s.v.a. artikel 35-36.
7. BRUD PÅ PERSONDATASIKKERHEDEN MV.
7.1 Krav til og med den 24. maj 2018
7.1.1 Databehandleren skal til og med den 24. maj 2018 straks underrette den Dataan- svarlige om overtrædelser af Persondataloven og mistanke herom, driftsforstyr- relser eller andre uregelmæssigheder af betydning for behandlingen af Personop- lysningerne. Dette krav gælder også i forhold til eventuelle brud hos underdata- behandlere.
7.2 Krav fra og med den 25. maj 2018
7.2.1 Databehandleren skal fra og med den 25. maj 2018 uden unødig forsinkelse un- derrette den Dataansvarlige om overtrædelser af eller mistanke om overtrædelse af reglerne om behandling af Personoplysninger (Persondataforordningen m.v.), herunder brud på persondatasikkerheden. Den Dataansvarlige skal tillige uden unødig forsinkelse underrettes om driftsforstyrrelser eller andre uregelmæssig- heder, hvis disse har betydning for behandlingen af Personoplysningerne. Krave-
ne om underretning gælder også i forhold til eventuelle brud m.v. hos underdata- behandlere.
7.3 Databehandleren skal ved brud på persondatasikkerheden samle/udarbejde og snarest fremsende al relevant dokumentation til den Dataansvarlige vedrørende de faktiske omstændigheder ved bruddet, herunder:
1) Dokumentere/beskrive karakteren af bruddet på persondatasikkerheden, herunder om muligt kategorierne og omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af Person- oplysninger,
2) beskrive de sandsynlige virkninger/konsekvenser af bruddet på persondata- sikkerheden så vidt muligt, og
3) dokumentere de foranstaltninger, som Databehandleren har truffet, eller be- skrive de foranstaltninger, som Databehandleren foreslår truffet for at hånd- tere bruddet på persondatasikkerheden, herunder hvis det er relevant, for- anstaltninger for at begrænse dets mulige skadevirkninger. Sidstnævnte for- anstaltninger skal dokumenteres, når de er truffet.
7.4 Databehandleren skal under hensyntagen til behandlingens karakter og de oplys- ninger, der er tilgængelige for Databehandleren, bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af Persondataforordningens artikel 34 om underretning af brud på persondatasikkerheden til de registrerede.
8. BISTAND TIL OPFYLDELSE AF DEN DATAANSVARLIGES FORPLIGTELSER OVER FOR REGISTREREDE
8.1 Krav til og med den 24. maj 2018
8.1.1 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at den Dataansvarlige kan overholde sine forpligtel- ser som dataansvarlig efter Persondataloven over for registrerede, herunder ind- sigtsretten.
8.1.2 Databehandleren er berettiget til at modtage timebetaling for de timer, som an- vendes ud over 5 timer årligt til brug for opfyldelse af punkt 8.1.1.
8.2 Krav fra og med den 25. maj 2018
8.2.1 Databehandleren skal under hensyntagen til behandlingens karakter, og ved hjælp af passende tekniske og organisatoriske foranstaltninger, så vidt muligt bi- stå den Dataansvarlige med opfyldelsen af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder efter Person- dataforordningens kapitel III.
8.2.2 Databehandleren er berettiget til at modtage timebetaling for de timer, som an- vendes ud over 5 timer årligt til brug for opfyldelse af punkt 8.2.1.
9. BISTAND TIL KONSEKVENSANALYSER OG HØRINGER
9.1 Den Dataansvarlige skal under hensyntagen til behandlingens karakter og de op- lysninger, der er tilgængelige for Databehandleren, bistå den Dataansvarlige med at foretage nødvendige konsekvensanalyser, jf. artikel 35, og høring i henhold til artikel 35.
9.2 Såfremt konsekvensanalysen skal foretages på grund af den Dataansvarliges valg, herunder af teknologi, er Databehandleren berettiget til timebetaling for sin bi- stand efter punkt 9.1.
10. KRAV TIL DATABEHANDLERENS ANSATTE M.V.
10.1 Databehandleren skal sikre og skriftligt kunne dokumentere, at ansatte, som ud- fører arbejde for Databehandleren, og som får adgang til Personoplysninger om- fattet af denne Databehandleraftale, alene behandler Personoplysningerne efter instruks fra den Dataansvarlige, medmindre behandlingen kræves i henhold til EU-retten eller medlemsstaternes nationale ret.
10.2 Databehandlerens ansatte må alene have adgang til Personoplysningerne i det omfang, det er nødvendigt for udførelsen af deres opgave hos Databehandleren. Personoplysningerne må ikke lagres lokalt på medarbejdernes udstyr.
10.3 Databehandleren garanterer ved indgåelse af Databehandleraftalen samt i hele Databehandleraftalens varighed, at Databehandleren vil kunne levere tilstrække- lig ekspertise, pålidelighed og ressourcer til at implementere de passende tekni- ske og organisatoriske foranstaltninger i henhold til denne Databehandleraftale og således, at behandlingen opfylder kravene i Persondataforordningen.
11. BRUG AF UNDERDATABEHANDLERE (UNDERLEVERANDØRER)
11.1 En underdatabehandler er en underleverandør til Databehandleren, til hvem Da- tabehandleren har overladt hele eller dele af behandlingen af Personoplysninger under denne Databehandleraftale, eller en underleverandør, som bistår Databe- handleren med opfyldelse af denne Databehandleraftale og i den forbindelse får indsigt i Personoplysninger. Underleverandører til Databehandleren, som ikke får adgang til Personoplysninger, vil ikke være underdatabehandlere.
11.2 Databehandleren må anvende den/de underdatabehandler(e), som fremgår af bi- lag 2. Databehandleren kan dog anvende ny(e) eller anden/andre underdatabe- handler(e), såfremt den Dataansvarlige har givet sit skriftlige samtykke hertil, hvilket vil blive anset at foreligge, når Parterne opdaterer bilag 2. Det er nødven- digt at opdatere bilag2, når der sker ændringer i de anvendte underdatabehand- lere, jf. punkt 15.2.
11.3 Databehandleren skal ved eventuel brug af underdatabehandlere pålægge den enkelte underdatabehandler de samme forpligtelser med hensyn til persondata- beskyttelse, som Databehandleren selv er underlagt i medfør af denne Databe- handleraftale, herunder at underdatabehandlere fra og med den 25. maj 2018 stiller garanti for at kunne levere tilstrækkelig ekspertise, pålidelighed og ressour- cer til at implementere de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at kravene i Persondataforordningen er opfyldt. Dette skal ske via en skriftlig aftale (underdatabehandleraftale) med underdatabehandleren.
11.4 Databehandleren er uanset brug af en eller flere underdatabehandlere ansvarlig for opfyldelse af denne Databehandleraftale. Den Dataansvarlige er ikke forpligtet til at kommunikere med underdatabehandlere, men skal kun kommunikere med Leverandøren.
11.5 Databehandleren skal sikre og kunne dokumentere, at underdatabehandlere og disses ansatte alene behandler Personoplysningerne efter instruks fra den Data- ansvarlige.
11.6 Underdatabehandlerens ansatte må alene have adgang til Personoplysningerne, i det omfang det er nødvendigt for udførelsen af deres opgave hos Databehandle- ren. Personoplysningerne må ikke lagres lokalt på medarbejdernes udstyr.
11.7 Efter anmodning fra den Dataansvarlige skal Databehandleren udlevere kopi af underdatabehandleraftaler til denne Databehandleraftale.
12. TAVSHEDSPLIGT
12.1 Databehandleren og dennes medarbejdere skal iagttage ubetinget tavshed for så vidt angår Personoplysningerne, oplysninger om den Dataansvarlige og dennes ansattes eller andres forhold og data, som de får kendskab til i forbindelse med opfyldelse af Xxxxxxxxxxxx og Databehandleraftalen.
12.2 Tavshedspligten gælder også efter ophør af Hovedaftalen og Databehandlerafta- len uanset årsagen hertil.
12.3 Databehandleren skal sikre, at medarbejdere og andre, der bistår Databehandle- ren i forbindelse med opfyldelse af Hovedkontrakten og Databehandleraftalen, herunder underleverandører og underdatabehandlere, skal underskrive en tavs- hedserklæring før påbegyndelse af arbejdet, om, at de erklærer at ville iagttage den tavshedspligt, som følger af punkt 12.1 og 12.2.
12.4 Underleverandører og underdatabehandlere skal via tavshedserklæringer pålæg- ge deres ansatte en tilsvarende tavshedspligt som i punkt 12.3.
12.5 Databehandleren skal efter anmodning fra den Dataansvarlige senest inden for 5 arbejdsdage udlevere en kopi af de underskrevne tavshedserklæringer omfattet af punkt 12.3 og 12.4.
13. OVERFØRSEL TIL TREDJELANDE
13.1 Databehandleren må ikke uden den Dataansvarliges skriftlige samtykke foretage behandling, herunder eksport til og opbevaring, af Personoplysninger uden for Den Europæiske Union/EØS, herunder via underdatabehandlere.
13.2 Kravet i punkt 3.1 om instruks indebærer blandt andet, at Databehandleren alene efter instruks må overføre Personoplysninger til et tredjeland eller en internatio- nal organisation (sådan som disse begreber er defineret i Persondataforordnin- gen), medmindre overførsel kræves i henhold til EU-ret eller en EU-medlemsstats nationale ret, som Databehandleren måtte være underlagt; i så fald skal Databe- handleren underrette den Dataansvarlige om dette retlige krav, inden behandlin- gen gennemføres, medmindre den pågældende ret forbyder en sådan underret- ning af hensyn til vigtige samfundsmæssige interesser.
13.3 Såfremt den Dataansvarlige har godkendt overførsel til et tredjeland, påhviler det Databehandleren at sikre det fornødne og et gyldigt hjemmelsgrundlag for over- førslen. Et eksempel kunne være anvendelse af gyldige Kommissionens standard- kontrakter.
14. KONTROL MV.
14.1 Generelt
14.1.1 Databehandleren har pligt til at deltage i eventuelle drøftelser med Datatilsynet og indarbejde eventuelle anbefalinger og/eller påbud mv. fra tilsynet vedrørende
behandling af Personoplysningerne som led i udførelsen af Databehandlerens Ydelser under Hovedaftalen.
14.2 Krav til og med den 24. maj 2018
14.2.1 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at den Dataansvarlige kan påse, at Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, jf. punkt 6.1.
14.3 Krav fra og med den 25. maj 2018
14.3.1 Databehandleren skal på den Dataansvarliges anmodning stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Persondataforordnin- gens artikel 28, til rådighed for den Dataansvarlige og give mulighed for og bidra- ge til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. Herunder skal Data- behandleren også stille oplysninger til rådighed (f.eks. vedrørende ekspertise og ressourcer), der er nødvendige, for at den Dataansvarlige kan påvise, at Databe- handlere under hele varigheden af Databehandleraftalen stiller de fornødne ga- rantier, for at Persondataforordningens regler vil blive overholdt.
14.3.2 Den Dataansvarlige har ret til at anmode Databehandleren om, at opfyldelse af kravene i medfør af punkt 14.3.1 sker ved udlevering af en ISAE 3402- revisionserklæring til den Dataansvarlige mod den Dataansvarliges betaling af et vederlag på kr. 5.000 inklusive moms pr. udlevering af sådan erklæring. Erklærin- gen indhentes én gang årligt af Databehandleren og omhandler Databehandle- rens forhold generelt og ikke kundespecifikke forhold (og således ikke forhold, der måtte være specifikke for netop den behandling af Personoplysninger, Databe- handleren foretager for den Dataansvarlige).
15. ÆNDRINGER
15.1 Såfremt Databehandleraftalens indhold er utilstrækkeligt til at opfylde de på et givet tidspunkt i henhold til persondatalovgivningen (herunder EU-retten) gæl- dende krav til indholdet af databehandleraftaler, skal Parterne på anmodning fra en af Parterne gennemføre forhandlinger om tilpasning af Databehandleraftalen, med henblik på at dens indhold bringes i overensstemmelse med sådanne krav. Hvis der ved sådan ændring af Databehandleraftalen sker ændring af Databe- handlerens forpligtelser på en måde, så det bliver mere omkostningsfuldt for Da- tabehandleren at efterleve Databehandleraftalen, er Databehandleren i forbin- delse med tilpasningen af ydelser leveret i henhold til Databehandleraftalen be- rettiget til at kræve, at Databehandlerens vederlæggelse for Ydelserne under Ho- vedaftalen forhøjes, således at Databehandlerens forøgede omkostninger dæk- kes. Opgørelse af Databehandlerens forøgede omkostninger skal tage højde for, om de ændrede forpligtelser også gælder i forhold til andre kunder end den Da- taansvarlige, dvs. om Databehandlerens løsning anvendes i forhold til øvrige kun- der eller alene i forhold til den Dataansvarlige. Såfremt det første er tilfældet, skal omkostningerne hertil fordeles ligeligt mellem de berørte kunder.
15.2 Ændringer til denne Databehandleraftale kan alene ske skriftligt.
16. DATABEHANDLERAFTALENS VARIGHED OG OPHØR
16.1 Databehandleraftalen træder i kraft på datoen for den seneste af Parternes un- derskrifter, dog tidligst på Hovedaftalens ikrafttrædelsesdato. Idet Databehand- leraftalen udgør et tillæg til Hovedaftalen, har den samme varighed som Hovedaf- talen, jf. herved bestemmelserne i Hovedaftalen om varighed, opsigelse og øvrigt ophør, medmindre andet aftales.
16.2 Databehandlerens behandling af Personoplysninger må alene ske, så længe det er nødvendigt for levering af Ydelserne i henhold til Hovedaftalen, og behandlingen skal senest ophøre ved ophør af denne Databehandleraftale, medmindre den Da- taansvarlige giver instruks om andet.
16.3 Ved Databehandleraftalens ophør – uanset årsag - er Databehandleren forpligtet til at tilbagelevere alle Personoplysninger, som er blevet behandlet i henhold til Hovedaftalen og denne Databehandleraftale, alternativt slette disse data, såfremt den Dataansvarlige skriftligt anmoder herom. Sletningen må først ske, efter skrift- lig anmodning er modtaget fra den Dataansvarlige, i henhold til nærmere instruks i denne anmodning, og sletningen skal ske på en sådan måde, at genskabelse ikke er mulig.
16.4 Det returnerede materiale skal foreligge i en elektronisk form, som er umiddel- bart anvendelig for den Dataansvarlige.
16.5 Såfremt Databehandleren ved ophør af Hovedaftalen på trods af punkt 16.2 oven- for fortsat opbevarer eller på anden måde behandler Personoplysninger omfattet af denne Databehandleraftale, gælder Databehandleraftalen dog så længe, at dis- se Personoplysninger behandles.
16.6 Databehandleren er ikke berettiget til at udøve tilbageholdsret i persondata for krav, som Databehandleren måtte have i forhold til den Dataansvarlige i anled- ning af opfyldelse af Hovedaftalen eller Databehandleraftalen.
16.7 Hvis der efter ophør af denne Databehandleraftale opstår tvivl om, hvorvidt Da- tabehandleren fortsat behandler Personoplysninger, som har været behandlet til opfyldelse af Hovedaftalen, kan den Dataansvarlige anmode om, at Databehand- leren indhenter en revisorerklæring om, at oplysningerne er slettet hos Databe- handleren og dennes underdatabehandlere.
17. UNDERSKRIFTER OG ELEKTRONISK UDGAVE
17.1 Denne Databehandleraftale er underskrevet i to kopier, hvoraf hver Part har fået et eksemplar, der hver for sig er at opfatte som den originale Databehandlerafta- le.
17.2 Databehandleren er forpligtet til at indscanne og opbevare Databehandleraftalen elektronisk, samt sende den indscannede udgave til den Dataansvarlige umiddel- bart efter underskrift.
Den: Sted: For [den Dataansvarlige]: | Den: Sted: For [Databehandleren]: | |
Navn: Titel: | Navn: Titel: |
Bilag 1: Lokationer for Databehandlerens behandlinger
I. ADRESSE FOR LOKATION
Databehandleren behandler Personoplysningerne omfattet af denne Databehandleraftale på følgende lokation(er):
[Adresse på lokation/lokationer indsættes].
II. ÆNDRINGER AF LOKATION
Såfremt en eller flere lokationer ændres, anføres det i det følgende:
[Pr. XX er der foretaget følgende ændring af lokationen til YY].
Bilag 2: Underdatabehandlere
I. UNDERDATABEHANDLERE OG LOKATION FOR DERES BEHANDLING AF PERSONOP- LYSNINGER
Databehandleren benytter ved ikrafttræden af denne Databehandler følgende underleve- randør(er), som er godkendt af den Dataansvarlige:
[Navn, cvr-nummer og adresse angives for underdatabehandlerne].
[Adresse på lokationen/-erne for underdatabehandlerens behandling af Personoplysnin- gerne angives.].
II. UNDERDATABEHANDLERE GODKENDT EFTER UNDERSKRIFT AF DENNE DATABE- HANDLERAFTALE
[Navn, cvr-nummer og adresse angives for underdatabehandlerne].
[Adresse på lokationen/-erne for underdatabehandlerens behandling af Personoplysnin- gerne angives.].
III. ÆNDRINGER
Såfremt en eller flere underdatabehandlere ikke længere anvendes, eller deres lokation/-er ændres, fremgår det af dette afsnit:
[Pr. XX er der foretaget følgende ændring af underdatabehandler/underdatabehandler [navn]s lokation: YY].
Bilag 3: Den Dataansvarliges til enhver tid gældende it-sikkerhedspolitik
Den Dataansvarliges til enhver tid gældende it-sikkerhedspolitik vedlægges som bilag 3. (Under udarbejdelse)