DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
indgået mellem
Virksomhed
Adresse
Postnummer og By
(den ”Dataansvarlige”)
og
Ratél ApS Xxxxxxxxx 0
6000 Kolding
(”Databehandleren”)
tilsammen ”Parterne” og hver for sig en ”Part”.
1 BAGGRUND OG FORMÅL
1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige som beskrevet i Parternes købsaftale. I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige. Databehandleraftalen har til formål at sikre at Databehandleren overholder den persondataretlige regulering, herunder EU`s persondataforordning (Europaparlaments og Rådets forordning (EU) 2016/679 af 27.april 2016) når denne får virkning 25.maj 2018.
1.2 Databehandleraftalen og købsaftalen er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige ”købsaftalen” – erstattes fx en anden gyldig databehandleraftale.
1.3 Databehandleraftalen med tilhørende bilag opbevares herunder elektronisk af begge parter.
2 OMFANG
2.1 Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
2.2 Databehandleren behandler alene personoplysninger efter dokumenteret instruks fra den Dataansvarlige. Denne instruks vedligeholdes i særskilt bilag.
2.3 Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige.
3 VARIGHED
3.1 Databehandleraftalen gælder indtil Købsaftalen ophører.
4 DATABEHANDLERENS FORPLIGTELSER
4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger
4.1.1 Databehandleren har ansvaret for at gennemføre passende tekniske- og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau der forhindrer, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger.
4.1.2 Databehandleren gennemfører de passende tekniske- og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i gældende persondataretlige regulering.
4.1.3 Databehandleren vedligeholder og opdaterer regelmæssigt systemsoftware og middleware, med henblik på at reducere risiko for kompromittering.
4.2 Medarbejderforhold
4.2.1 Databehandlerens medarbejder er underlagt fortrolighed i forbindelse med behandling af personoplysninger for den Dataansvarlige.
4.2.2 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.
4.3 Dokumentation for overholdelse af forpligtelser
4.3.1 Databehandleren stiller efter anmodning alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databehandleraftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. En sådan anmodning besvares inden for rimelig tid.
4.4 Sikkerhedsbrud og underretningspligt
4.4.1 Databehandleren underretter uden unødig forsinkelse den dataansvarlige, såfremt det er sket brud på persondatasikkerheden.
4.4.2 Databehandleren er forpligtet til omgående at underrette den Dataansvarlige, hvis en instruks efter Databehandlerens menig er i strid med gældende regler om persondata.
4.5 Bistand
4.6 Databehandleren bistår Dataansvarlig i fornødent og rimelig omfang, i forbindelse med behandlingssikkerhed, sikkerhedsbrud, ved henvendelser vedrørende besvarelse af registreredes rettigheder, samt konsekvensanalyser vedrørende databeskyttelse.
5 Dataansvarliges instruks til Databehandler
5.1 Databehandleren handler alene efter instruks fra den Dataansvarlige herunder for så vidt angår videregivelse af personoplysninger til et tredje land eller en international organisation. Den Dataansvarlige afgør til hvilke formål og hvordan, der må foretages behandling af personoplysninger. Instrukser fremgår af bilag A og bilag B.
6 Databehandlerens forpligtelse
6.1 Databehandleren varetager leverance af:
• Infrastruktur i datacenter
• Virtualiceringslag med sikkerhedsopdatering
• Operativsystem inklusiv sikkerhedsopdatering
• Drift og overvågning af applikationer
• Ændringer i miljø baseret på Dataansvarliges forespørgsel De nærmere betingelser og vilkår fremgår i Hovedaftalen.
7 Databehandling udenfor instruks
7.1 Databehandleren kan behandle personoplysninger udenfor instruks, alene i de tilfælde hvor situationen eller myndigheder med lovhjemmel kræver dette.
7.2 Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.
8 Administrativ adgang for Databehandleren
8.1 Databehandleren sikrer, at de personer, der er bemyndiget til at behandle personoplysninger, er underlagt pligt til at behandle personoplysningerne fortroligt.
9 Databehandlerens anvendelse af underbehandlere
9.1 Databehandleren må kun gøre brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang det fremgår af bilag C til denne Databehandleraftale, eller Instruks fra den Dataansvarlige.
9.2 Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren
9.3 Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige.
9.4 Databehandleren er direkte ansvarlig for Underdatabehandlerrens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandlerens selv.
10 Håndtering af data efter aftalens ophør
10.1 Databehandleren er forpligtet til at slette eller tilbagelevere den Dataansvarliges data, herunder persondata, efter anmodning fra den Dataansvarlige. Tidspunktet og proceduren for overdragelsen sker efter nærmere aftale mellem den Dataansvarlige og Databehandleren
10.2 Databehandleren sikre, at den Dataansvarliges data hos Databehandleren slettes, når aftaleforholdet ophører, medmindre der foreligger et lovkrav om, at Databehandleren skal lagre oplysningerne
11.2.1. Det er den Dataansvarliges ansvar at oplyse Databehandleren, såfremt den Dataansvarlige ønsker dataene tilbageleveret i forbindelse med aftalens ophør, idet Databehandleren dog i alle tilfælde giver den Dataansvarlige skriftlig besked forud for sletning af data i forbindelse med ophør af aftalen.
10.3 Ikrafttræden og ophør
10.3.1 Denne aftale træder i kraft ved begge parters underskrift heraf.
10.3.2 Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
10.3.3 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftale(r)n(e) om levering af Hovedydelserne.
10.4 Vederlag og omkostninger
10.4.1 Databehandleren har krav på betaling efter medgået tid samt Databehandlerens øvrige omkostninger herved, for de ydelser der udføres efter Databehandleraftalen på den Dataansvarliges anmodning. Ydelserne kan omfatte, men er ikke begrænset til, ændringer af instruksen, assistance ved anmeldelse af brud på persondatasikkerheden, udlevering og sletning af oplysninger, samarbejde med tilsynsmyndigheder og hjælp til efterlevelse af anmodninger fra registrerede.
10.4.2 Vederlaget opgøres efter de aftalte timesatser i aftale(r)n(e) om levering af ydelserne, og hvor det ikke er aftalt timesatser heri, da efter Databehandlerens gældende timesatser.
11 TVISTLØSNING
11.1 Reguleringen af tvistløsningen e Hovedkontrakten finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.
12 UNDERSKRIFTER
BY, den
For den Dataansvarlige
Navn: Titel:
Navn: Titel:
For Databehandleren,
Kolding maj 2018
Navn: Xxxx Xxxxxxx
Titel: Direktør
Navn:
Titel:
13 BILAG A: DATAANSVARLIGES INSTRUKS TIL DATABEHANDLER
Dataansvarlig beskriver i dette bilag de instrukser som Databehandleren skal benytte.
14 BILAG B: ALMINDELIGE PERSONDATA ELLER FØLSOMME PERSONDATA
Dataansvarlig skal informere Databehandler om der i behandling indgår følsomme data.
15 BILAG C: UNDERDATABEHANDLERAFTALE
Tekst med blå er frivillig for kunderne samt bilag B.
BILAG A INSTRUKSER VEDRØRENDE BEHANDLING AF PERSONOPLYSNINGER
Ratél A/S kan, som Databehandler, indsamle kontakt-, personoplysninger og virksomhedsoplysninger fra jer. Disse data behandles kun efter instruks fra Dataansvarlig.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker også ved databehandleren anmodning og instrukser ved at udfylde skemaet nedenfor samt bilag B.
A.1 BEHANDLINGENS INSTRUKS
[Beskriv behandlingen, som databehandleren instrueres i at foretage]
A.2 Behandlingssikkerhed
[Beskriv elementer, der er afgørende for sikkerhedsniveauet]
Eksempelvis:
”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”.
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne.
A.3 OPBEVARINGSPERIODE/SLETTERUTINE
[Angiv eventuel opbevaringsperiode/sletterutine for databehandleren]
Eksempelvis
”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren.”
Eller
”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.
BILAG B: ALMINDELIGE PERSONDATA ELLER FØLSOMME PERSONDATA
Typer af personoplysninger Databehandleren behandler på vegne af den Dataansvarlige er almindelige personoplysninger, herunder navn, arbejds-e-mail, arbejds-adresse, arbejds-telefonnummer
Kategorien af personoplysninger eller identificerbare fysiske personer omfattet af Databehandleraftalen, herunder medarbejdere, leverandør, kunder.
Databehandlerens behandling af personoplysninger og kategorier af personoplysninger på vegne af den Dataansvarlige udover ovenstående skal beskrives i bilag B.1.
Almindelige personoplysninger:
Andet:
Følsomme personoplysninger:
Racemæssig eller etnisk baggrund Fagforeningsmæssige tilhørsforhold
Helbredsforhold (Diagnoser, sygdom, medicin, målinger mm.) Seksuelle forhold
Biometriske data Andet:
Særlige persondata:
Strafbare forhold
CPR nr.:
CPR nr.
BILAG C UNDERDATABEHANDLER
C.1 GENERELT
C. 1.1 Databehandleren skal skriftlig underrette den Dataansvarlige om tilføjelse eller erstatning af en Underdatabehandler forud for anvendelsens påbegyndelse. Tilsvarende skal Databehandleren underrette den Dataansvarlige om ophør af brug af en Underdatabehandler.
C. 1.2
NAVN | ADRESSEOPLYSNINGER |
CURANET | HØJVANGEN 4 8660 SKANDERBORG |
SIMSERVICE | Valdemarshaab 11 1., 4600 Køge |
CARE4ALL | SKAGERAKVEJ 1, 6715 ESBJERG N |
DATASIGN | XXXXXXXXXXXX 00, 0000 XXXXXXX |
INMOBILE | Xxxx Xxxxx Xxx 00X, 0000 Xxxxxxxx |
C. 1.3 Den Dataansvarlige kan ikke nægte at godkende tilføjelse eller udskiftning af en Underdatabehandler medmindre, der foreligger en konkret saglig begrundelse derfor og skal meddele sådan indsigelse indenfor 30 dage.