Databehandleraftale Mellem Den dataansvarlige: og Databehandleren: Danske Advokater CVR-nr. 3097 4972 Vesterbrogade 32
Mellem
Den dataansvarlige:
[…]
og
Databehandleren:
Danske Advokater
CVR-nr. 3097 4972
Xxxxxxxxxxxxx 00
1620 København V
Indhold
2 Baggrund for databehandleraftalen 2
3 Den dataansvarliges forpligtelser og rettigheder 2
4 Databehandleren handler efter instruks 3
5 Fortrolighed og behandlingssikkerhed 3
6 Anvendelse af underdatabehandlere 3
7 Overførsel af oplysninger til tredjelande eller internationale organisationer 4
8 Bistand til den dataansvarlige – herunder ved brud på sikkerheden 4
9 Sletning og tilbagelevering af oplysninger 6
12 Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databehandleren 7
Bilag A Oplysninger om behandlingen 8
Bilag B Liste over godkendte underdatabehandlere 8
2Baggrund for databehandleraftalen
Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige i henhold til parternes aftale om, at Danske Advokater udsender spørgeskema til brug for APV-undersøgelse på den dataansvarliges vegne.
Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i forordning (EU) 2016/679 af 27. april 2016 (databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
Til denne aftale hører to bilag. Bilagene fungerer som en integreret del af databehandleraftalen. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.
3Den dataansvarliges forpligtelser og rettigheder
Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
Den dataansvarlige har derfor både ret og pligt til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.
4Databehandleren handler efter instruks
Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige. Dette gælder dog ikke, hvis behandlingen er påkrævet i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt. I så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandlingen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
5Fortrolighed og behandlingssikkerhed
Databehandleren sikrer, at kun de nødvendige personer har adgang til den dataansvarliges personoplysninger, og at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, er underlagt et krav om fortrolighed.
Databehandleren iværksætter og opretholder alle passende tekniske og organisatoriske sikkerhedsforanstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32.
6Anvendelse af underdatabehandlere
Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
Den dataansvarlige accepterer ved denne aftale, at databehandleren må gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik godkendelse fra den dataansvarlige.
De ved aftalens indgåelse anvendte underdatabehandlere er opregnet i bilag B. I tilfælde af at databehandleren vil ændre eller udvide kredsen af benyttede underdatabehandlere, skal databehandleren – medmindre andet er aftalt – senest 30 dage før ændringen underrette den dataansvarlige om planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Er der ikke fremkommet indsigelse senest 14 efter underretningen, kan ændringen iværksættes.
Databehandleren har pligt til at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument. Databehandleren er således – ved indgåelsen af en underdatabehandleraftale – ansvarlig for at pålægge en eventuel underdatabehandler mindst de forpligtelser, som databehandleren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag. Den dataansvarlige kan anmode om kopi af underdatabehandleraftalen.
Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
7Overførsel af oplysninger til tredjelande eller internationale organisationer
Uden den dataansvarliges instruks eller godkendelse kan databehandleren – indenfor rammerne af databehandleraftalen – ikke videregive eller overlade personoplysninger til virksomheder i tredjelande eller internationale organisationer.
Den dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, vil fremgå af denne aftales Bilag B.
8Bistand til den dataansvarlige – herunder ved brud på sikkerheden
Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
Dette indebærer, at databehandleren så vidt muligt skal
bistå den dataansvarlige i forbindelse med, at den dataansvarlige
skal sikre overholdelsen af:
oplysningspligten ved indsamling af personoplysninger hos den registrerede
oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
den registreredes indsigtsret
retten til berigtigelse
retten til sletning (»retten til at blive glemt«)
retten til begrænsning af behandling
underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
retten til dataportabilitet
retten til indsigelse
retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering
Opfyldelsen af disse forpligtelser skal i praksis foregå ved,
at databehandleren opfylder disse på den dataansvarliges vegne,
idet databehandleren i forbindelse med administrationen af den
dataansvarliges aktiviteter i forhold til medarbejderne sørger for
at opfylde oplysningspligten i forbindelse med indsamling af
oplysninger samt til løbende at holde data ajour ved medlemmers
anmodninger om berigtigelse af oplysninger.
Ved anmodninger om indsigt, sletning, begrænsning eller dataportabilitet samt ved indsigelser/klager fra de registrerede, orienteres den dataansvarlige straks om anmodningen/indsigelsen, således at den dataansvarlige har mulighed for at komme med bemærkninger til brug for besvarelsen, men selve besvarelsen foretages af databehandleren på den dataansvarliges vegne, medmindre andet konkret aftales.
Hvis den dataansvarlige opbevarer personoplysninger uden for databehandlerens kontrol, opfylder den dataansvarlige selv forpligtelserne i forhold til disse oplysninger.
Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.
Dette indebærer, at databehandleren under hensyntagen til behandlingens karakter skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen
I forbindelse med databrud, der konstateres af databehandleren (pkt. b – c), skal den dataansvarlige straks informeres med angivelse af oplysning om:
Dato og tidspunkt for bruddet
Hvad er der sket
Årsagen til bruddet
Hvilken type personoplysninger er berørt
Hvilke konsekvenser har bruddet for de berørte
Hvilke afhjælpende foranstaltninger er truffet
Eventuel indberetning til Datatilsynet og underretning til de registrerede foretages af databehandleren på den dataansvarliges vegne, medmindre andet konkret aftales. Ved databrud, som er forårsaget af den dataansvarlige, eller som skyldes den dataansvarliges egne forhold, eller som vedrører oplysninger, som ikke er tilgængelige for databehandleren, forestår den dataansvarlige selv indberetningen til Datatilsynet.
9Sletning og tilbagelevering af oplysninger
Ved ophør af aftalen forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
I det omfang databehandleren behandler andre personoplysninger om de registrerede – f.eks. på baggrund af den registreredes aftaleforhold direkte med databehandleren - omfatter pligten til sletning alene de oplysninger, som er specifikke for den dataansvarlige.
10Tilsyn og revision
Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige, en anden revisor, som er bemyndiget af den dataansvarlige eller Datatilsynet.
11Ikrafttræden og ophør
Denne aftale træder i kraft ved begge parters underskrift heraf.
Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
Opsigelse af databehandleraftalen kan ske med en frist på 6 måneder.
Aftalen er gældende, så længe behandlingen består. Uanset databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.
På vegne af den dataansvarlige
Navn: |
[…]
|
Stilling: |
[…]
|
Dato: |
[Angiv dato]
|
Underskrift: |
[Anfør underskrift] |
På vegne af databehandleren
Navn: |
Xxxxx Xxxxxxxx
|
Stilling: |
Medlems- og kursuschef
|
Dato: |
[Angiv dato]
|
Underskrift: |
[Anfør underskrift]
|
12Kontaktpersoner/kontaktpunkter hos den dataansvarlige og databehandleren
Parterne kan kontakte hinanden via nedenstående kontaktpersoner/kontaktpunkter:
Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersonen/kontaktpunktet.
Navn: |
[]
|
Stilling: |
[Angiv stilling]
|
Telefonnummer: |
[Angiv telefonnummer]
|
Email: |
[Angiv email] |
Navn: |
[Xxxxx Xxxxxxxxx Xxxxx]
|
Stilling: |
[Specialkonsulent]
|
Telefonnummer: |
00 00 00 00 |
Email: |
Oplysninger om behandlingen
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er: Udsendelse af spørgeskema og opsamling og strukturering af svar på APV-undersøgelse.
Behandlingen omfatter bl.a. følgende typer af personoplysninger om de registrerede:
Der indsamles som udgangspunkt ingen personoplysninger om de registrerede, da besvarelse af APV spørgeskemaet sker anonymt. Der forefindes dog fritekstfelter i spørgeskemaet, hvor medarbejdere hos den dataansvarlige kan vælge at angive personoplysninger
Behandlingen vil ikke omfatte særlige kategorier af personoplysninger eller oplysninger om strafbare forhold/lovovertrædelser, jf. persondataforordningens art. 9 og 10.
Behandlingen omfatter følgende kategorier af registrerede:
Medarbejdere hos den dataansvarlige
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:
Alle spørgeskemaer slettes senest 6 måneder efter afslutning.
Alle rapporter slettes senest to år efter oprettelse og udsendelse til dataansvarlig.
Liste over godkendte underdatabehandlere
Den dataansvarlige har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:
Navn |
CVR-nr |
Adresse |
Beskrivelse af behandling |
IT Relation |
27001092 |
Søndervangs Alle 20, 8260 Viby |
Hosting af Danske Advokaters IT-driftsmiljø. |
ComputerCamp |
35475524 |
Xxxxxxxx 00 0000 Fredensborg |
Leverandør og support på økonomi- og medlemssystem AX CAMPridgehostet hos IT Relation. |
IntraNote |
25797620
|
Papirfabrikken
20 A |
Dokumentsystem DocuNote hostet hos IT Relation. |
Hostnordic
|
30202368 |
Bjørnholms
Allé 30 |
Hjemmesiden Xxxxxxxxxxxxxxx.xx
|
Interresearche/DefGo |
25472721 |
Xxxxxxxxxxxxx 0 0000 Xxxxxxxxx X. |
Værktøj til udsendelse og behandling af spørgeskemaer |