Databehandleraftale
Databehandleraftale
[INDSÆT NAVN] CVR-nr.: [INDSÆT] [INDSÆT ADRESSE]
[INDSÆT POSTNR. OG BY]
(”Dataansvarlig”) og
Aarhus Administrationsbureau ApS CVR-nr.: 31 32 62 81
Søren Xxxxxxx Xxx 00 0000 Xxxxxxxx (”Databehandler”)
(herefter samlet "Parterne" og hver for sig "Part")
har indgået følgende Databehandleraftale ("Databehandleraftalen") om Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.
1 Baggrund og formål
1.1 Databehandleraftalen er indgået i forbindelse med Parternes indgåelse af aftale om Databehandle- rens levering af serviceydelser til den Dataansvarlige (”Hovedaftalen”). Databehandleraftalen ud- gør en integreret del af Hovedaftalen.
1.2 Formålet med Databehandleraftalen er at sikre, at den til enhver tid gældende databeskyttelses- lovgivning overholdes i forbindelse med overførsel og behandling af personoplysninger. Databe- handleraftalen fastlægger de forpligtigelser, der relaterer sig til behandlingen og beskyttelse af personoplysningerne.
2 Instruks
2.1 Databehandleren er af den Dataansvarlige instrueret i alene at behandle personoplysninger (jf. pkt. 3) med henblik på de formål, som er angivet i pkt. 4. Databehandleren må ikke behandle eller an- vende personoplysningerne til andre formål end angivet i instruksen, herunder overføre personop- lysningerne til andre, medmindre dette er aftalt eller følger af lovgivning, jf. pkt. 8. Behandlingen af personoplysningerne skal ske med den fornødne sikkerhed, og Databehandleren er underlagt tavs- hedspligt, jf. pkt. 6.
2.2 Databehandleren er forpligtet til at sikre, at behandlingen af personoplysningerne overholder den til enhver tid gældende databeskyttelseslovgivning i Danmark, herunder Persondataforordningen (Europa-Parlamentets og Rådets forordning 2016/679 af 27. april 2016), og heraf afledt national lovgivning.
2.3 Hvis Databehandleren skønner, at en instruks fra den Dataansvarlige er i strid med den til enhver tid gældende persondatalovgivning, skal Databehandleren skriftligt orientere den Dataansvarlige herom.
3 Typer af behandlede personoplysninger og kategorier af registrerede
3.1 Databehandleren behandler informationer, som kan henføres til identificerede eller identificerbare fysiske personer, og som Databehandleren har behov for i forbindelse med levering af serviceydel- se beskrevet i Hovedaftalen. Dette omfatter blandt andet følgende personoplysninger på den Data- ansvarliges kunder, kundeemner, leverandører, leverandøremner, ansatte, tidligere ansatte og le- delsesmedlemmer: navn, adresse, e-mailadresse, privat- og arbejdstelefonnumre, fødselsdato, CPR-nummer, biler, pasnummer, kørekortnummer, uddannelse, arbejdsområde, lønforhold, fagfor- ening, A-kasse, skatteoplysninger, pensionsoplysninger, kontonummer og kreditkortnummer samt andre personoplysninger, som er nødvendige for leveringen af serviceydelsen (”Personoplysnin- gerne”).
3.2 Med henblik på opfyldelse af Hovedaftalen kan Databehandleren modtage følgende følsomme per- sonoplysninger fra den Dataansvarlige: fagforeningsmæssig tilhørsforhold og helbredsoplysninger.
3.3 Parterne kan skriftligt aftale udvidelse og/eller reducering af de personoplysninger, som er omfattet af Databehandleraftalen.
4 Formål med behandling af personoplysninger
4.1.1 Bogføring, herunder i forbindelse med oprydning og genskabelse af bogholderi
4.1.2 Lønadministration, herunder blandt andet indberetning til offentlige myndigheder, fremsendelse af lønsedler, ajourføring af medarbejderkartoteker samt ansøgninger om refusioner og tilskud
4.1.3 Debitorstyring, herunder blandt andet fremsendelse af påmindelser, rykkere og eventuel overdra- gelse til inkasso
4.1.4 Budgettering
4.1.5 Udarbejdelse af løbende perioderegnskaber samt nøgletal
4.1.6 Udarbejdelse af årsregnskaber
4.1.7 Klargøring af årsregnskaber samt koordinering af revision med revisor
4.1.8 Udarbejdelse af forskudsopgørelser, skatteberegninger og selvangivelser
4.1.9 Bogføring, afstemning og indberetning af moms og afgifter
4.1.10 Regnskabs- og skattemæssig rådgivning samt anden relateret rådgivning, herunder blandet andet udarbejdelse af standardiserede ansættelseskontrakter
4.2 Databehandleren skal sikre, at Personoplysningerne ikke benyttes til andre formål end anført i pkt. 4.1.
5 Databehandlerens behandling af Personoplysningerne
5.1 Databehandleren skal udføre følgende former for behandling af Personoplysningerne: Indsamling, registrering, systematisering, opbevaring, tilpasning, ændring, søgning, videregivelse ved transmis- sion, videregivelse til underdatabehandler, samkøring, sammenstilling, pseudonymisering, anony- misering, sletning og tilintetgørelse.
6 Sikkerhed og tavshedspligt
6.1 Databehandleren skal blandt andet ved design og databeskyttelse gennem standardindstillinger træffe de fornødne tekniske og organisatoriske foranstaltninger, som måtte være nødvendige for at sikre, at Personoplysningerne ikke hændeligt eller ulovligt tilintetgøres, offentliggøres, bliver brugt til andet end formålet, fortabes, ændres eller bliver misbrugt af uvedkommende mv. Sikkerheds- foranstaltningerne skal ske under hensyntagen til i) det aktuelle tekniske niveau, ii) implemente- ringsomkostninger og iii) behandlingen og Personoplysningernes karakter og omfang samt betyd- ning for de registreredes rettigheder og frihedsrettigheder.
6.2 Databehandleren er underlagt tavshedspligt med hensyn til Personoplysningerne, og skal sikre, at de medarbejdere, der er autoriseret til at behandle Personoplysningerne, har forpligtet sig til fortro-
lighed eller er underlagt lovbestemt tavshedspligt. Tavshedspligten gælder også efter Databehand- leraftalens ophør.
6.3 Med henblik på at sikre løbende opretholdelse af de fornødne sikkerhedsforanstaltninger, gennem- går Databehandleren årligt interne sikkerhedsforskrifter og retningslinjer for behandling af Person- oplysningerne.
7 Databehandlerens underretnings- og bistandspligt over for den Dataansvarlige
7.1 Databehandleren skal underrette og/eller bistå den Dataansvarlige med følgende:
7.1.1 Bistå i forbindelse med opfyldelse af den Dataansvarliges oplysningspligt over for den registrerede.
7.1.2 Ved hjælp af tekniske og organisatoriske foranstaltninger bistå den Dataansvarlige med anmodnin- ger fra registrerede vedrørende udøvelses af disses rettigheder, herunder indsigt, berigtigelse, be- grænset behandling eller sletning, jf. pkt. 10.
7.1.3 Straks underrette den Dataansvarlige om sikkerhedsbrud eller kvalificeret mistanke om sikkerheds- brud. Underretning skal indeholde i) en beskrivelse af karakteren af bruddet, herunder kategorier- ne og (ca.) antal berørte registrerede ii) kontaktoplysninger på kontaktperson iii) beskrivelse af de sandsynlige konsekvenser af sikkerhedsbruddet og iv) en beskrivelse af de foranstaltninger, som Databehandleren (og/eller underdatabehandlere) har igangsat for at håndtere og begrænse mulige skadesvirkninger. Underretning skal ske senest 48 timer efter mistanke/sikkerhedsbrud, således den Dataansvarlige kan opfyldes sin eventuelle forpligtigelse til at anmelde bruddet til Datatilsynet indenfor 72 timer.
7.1.4 Bistå den Dataansvarlige med – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fy- siske personers rettigheder og frihedsrettigheder. Såfremt Databehandleren bærer ansvaret for bruddet, er Databehandleren ikke berettiget til honorering for bistanden.
7.1.5 Såfremt behandling ikke sker efter instruks, men som følge af lovkrav, skal Databehandleren un- derrette den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
7.1.6 Efter anmodningen fremsende en kopi af underdatabehandleraftaler og eventuelle senere ændrin- ger hertil til den Dataansvarlige. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke på- virker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den Dataansvarlige, jf. pkt. 11.2.
7.1.8 Bistå den Dataansvarlige med dokumentation for, at gældende persondatalovgivning bliver over- holdt, jf. pkt. 11.
7.2 Den Dataansvarlige honorerer Databehandleren særskilt og efter medgået tid og materialer for at håndtere underretnings- og bistandspligt som angivet i pkt. 7.1.2 og 7.1.7.
8 Databehandlerens videregivelse af Personoplysningerne til tredjemand
8.1 Databehandleren har den Dataansvarliges generelle godkendelse til at gøre brug af underdatabe- handlere. Databehandleren skal dog underrette den Dataansvarlige om eventuelle planlagte æn- dringer vedrørende tilføjelse eller erstatning af andre underdatabehandlere og derved give den Da- taansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være den Dataansvarlige i hænde minimum 14 dage før anvendelsen eller ændringen skal træde i kraft. Såfremt den Dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give meddelelse herom til databehandleren inden 7 dage efter modtagelsen af underretningen. Den Da- taansvarlige kan ikke nægte at godkende tilføjelser eller udskiftning af underdatabehandlere med- mindre, der foreligger en konkret saglig begrundelse herfor.
8.2 Databehandleren skal inden videregivelse af Personoplysningerne til en underdatabehandler sikre, at underdatabehandleren har indgået en databehandleraftale, hvor denne forpligter sig til over for Databehandleren at være bundet på "back-to-back"-vilkår i forhold til krav i medfør af Databehand- leraftalen. Hvis en af Databehandleren valgt underdatabehandler ikke opfylder sine databeskyttel- sesforpligtigelser, er Databehandleren ansvarlig i forhold til den Dataansvarlige.
8.3 Såfremt underdatabehandleren ikke er hjemmehørende i en anden EU/EØS-medlemsstat eller et tredjeland eller international organisation, som Kommissionen har truffet beslutning om sikrer et tilstrækkeligt beskyttelsesniveau, må Databehandleren kun overføre Personoplysningerne til et tredjeland eller en international organisation – for eksempel via en cloudløsning – hvis underdata- behandleren har givet de fornødne garantier mv. som angivet i Persondataforordningens artikel 46, herunder ved anvendelse af de af EU-Kommissionen vedtagne standardkontraktbestemmelser, eller forudsat at EU-Kommissionen har fastslået, at det pågældende tredjeland har et tilstrækkeligt be- skyttelsesniveau, eller Databehandleren har sikret et andet lovligt overførselsgrundlag. Databe- handleren er ansvarlig for sikring af dokumentation for, at underdatabehandleren har givet de for- nødne garantier mv.
8.4 Ved Databehandleraftalens indgåelse anvender Databehandleren følgende som underdatabehand- lere, som vil modtage persondata omfattet af Databehandleraftalen:
8.4.1 Penneo ApS, CVR-nr. 35 63 37 66
8.4.2 Visma e-conomics A/S, CVR-nr. 29 40 34 73
8.4.3 Uniconta A/S, CVR-nr. 33 26 69 28
8.4.4 Xxxxxxx Xxxxxx Danmark A/S, CVR-nr. 13 38 62 93
8.4.5 FSR – danske revisorer, CVR-nr. 55 09 72 16
8.4.6 Danske Lønsystemer A/S, CVR-nr. 15 61 14 72
8.4.7 Xxxxxxxx.XX A/S, CVR-nr. 26 11 20 01
8.4.8 We Transfer B.V., Company no. 34 38 09 98 (Holland)
8.4.9 Microsoft Danmark ApS, CVR-nr. 13 61 28 70, (Microsoft standardprogrammel)
8.4.10 Post Danmark A/S, CVR-nr. 26 66 39 03 (Brug af e-boks)
8.5 Den Dataansvarlige kan ikke nægte at godkende tilføjelser eller udskiftning af underdatabehandle- re medmindre, der foreligger en konkret saglig begrundelse herfor.
9 Den Dataansvarliges pligter
9.1 Den Dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt an- svaret for, at behandlingen af Personoplysningerne sker indenfor rammerne af gældende databe- skyttelseslovgivning.
9.2 Den Dataansvarlige er forpligtet til at videregive Personoplysningerne til Databehandleren på sikker og betryggende vis, og er ansvarlig for, at Databehandleren alene modtager de Personoplysninger, som følger af Databehandleraftalen og instruksen.
9.3 Den Dataansvarlige indestår over for Databehandleren for, at den Dataansvarlige har det nødven- dige juridiske grundlag for at behandle Personoplysningerne, og til at lade Databehandleren be- handle Personoplysningerne på vegne af den Dataansvarlige.
10 Den registreredes rettigheder
10.1 Såfremt Databehandleren fra den registrerede eller dennes fuldmægtig modtager anmodning om udøvelses af den registreredes rettigheder, herunder ret til indsigt, ret til berigtigelse, ret til slet- ning, ret til begrænsning af behandling, ret til dataportabilitet og ret til indsigelse, skal Databe- handleren straks sende sådan anmodning til den Dataansvarlige med henblik på den Dataansvarli- ges videre behandling, medmindre Databehandleren er berettiget til at håndtere en sådan fore- spørgsel selv.
11 Den Dataansvarliges adgang til kontrol
11.1 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at Databehandleren har truffet de fornødne tekniske og organi- satoriske foranstaltninger til overholdelse af Databehandleraftalen.
11.3 Den Dataansvarlige er berettiget til for egen regning at lade Databehandlerens behandling af Per- sonoplysningerne underkaste en årlig revision af en uafhængig tredjepart. Den Dataansvarlige skal godgøre Databehandleren for den i forbindelse med foranstående anmodning anvendte tid.
12 Øvrige bestemmelser
12.1 Ved ændring af gældende lovgivning angående databeskyttelse er den Dataansvarlige berettiget til med to ugers varsel at ændrer procedure mv., der som konsekvens af den nye lovgivning kræves ændret, og Databehandleren er forpligtet til mod vederlag at konsekvensændre tekniske og orga- nisatoriske procedure mv.
13 Ikrafttræden, ændring, opsigelse og sletning af personoplysninger
13.1 Databehandleraftalen træder i kraft samtidig med ikrafttræden af Hovedaftalen, jf. pkt. 1.1.
13.2 Parterne kan med et forudgående varsel på 30 dage foretage ændringer i Databehandleraftalen, hvis lovændringer eller uhensigtsmæssigheder i Databehandleraftalen giver anledning hertil. Data- behandleren skal ved ændringer sikre, at underdatabehandlere uden ugrundet ophold tillige for- pligtes af ændringerne.
13.3 Databehandleraftalen kan opsiges med samme varsel som følger af Hovedaftalen. Databehandleren er dog forpligtet af Databehandleraftalen så længe Databehandleren behandler, herunder opbeva- rer, Personoplysninger modtaget fra den Dataansvarlige.
13.4 Efter Databehandlerens behandling af Personoplysningerne er ophørt, skal Databehandleren retur- nere alle Personoplysninger til den Dataansvarlige i et standardformat eller format aftalt med den Dataansvarlige. Når den Dataansvarlige har bekræftet modtagelse af Personoplysningerne – eller den Dataansvarlige ikke har besvaret anmodningen om retningslinjer for returnering eller sletning - er Databehandleren berettiget til og skal slette alle Personoplysningerne modtaget fra den Dataan- svarlige, medmindre EU-retten eller national ret foreskriver opbevaring. Databehandleren er - medmindre EU-retten eller national ret foreskriver opbevaring – uanset bekræftelse fra den Data- ansvarlige berettiget til at slette/destruere Personoplysningerne 5 år efter, at Databehandlerens behandling af Personoplysningerne er ophørt.
14 Tvister og underskrifter
14.1 Enhver tvist vedrørende Databehandleraftalen afgøres efter dansk ret med de danske domstole som kompetente domstole. Værneting er aftalt til Retten i Aarhus.
14.2 Databehandleraftalen træder i kraft og ophører samtidig med Hovedaftalen som en integreret del heraf. Parterne behøver således ikke underskrive Databehandleraftalen.