Databehandleraftale
Databehandleraftale
Mellem
Dataansvarlig
Databehandler
[Virksomhed]
CVR: [CVR]
[Adresse] [Postnummer] [By] [Land]
bubblemedia ApS
CVR: 32339832
Xxxxxxxxxx 00X 0000 Xxxxxxx Danmark
Version 1.1, senest revideret 4. oktober 2021
1. Baggrund for databehandleraftalen
Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Databehandleren foretager behandling af personoplysninger på vegne af den Dataansvarlige.
KLADDE
Aftalen er udarbejdet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF – i det følgende kaldet Databeskyttelsesforordningen, som stiller specifikke krav til indholdet af en databehandleraftale.
Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af den mellem parterne indgåede aftale om udarbejdelse af webbaserede og grafiske løsninger, herunder håndtering og annoncering på sociale medier.
Databehandleraftalen og samarbejdsaftalen er indbyrdes afhængige, og kan ikke opsiges særskilt. Den af parterne indgåede samarbejdsaftale kan ikke fuldbyrdes, medmindre der foreligger en gyldigt indgået databehandleraftale. Databehandleraftalen kan dog til enhver tid erstattes af en anden gyldig databehandleraftale, såfremt dette måtte blive nødvendigt.
Til denne aftale hører to bilag. Bilagene er en del af aftalegrundlaget i nærværende databehandleraftale.
Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
Databehandleraftalens Bilag B indeholder en nærmere instruks om, hvilken behandling Databehandleren skal foretage på vegne af den Dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med Databehandleren og eventuelle underdatabehandlere.
Databehandleraftalen med tilhørende bilag opbevares af begge parter.
Denne databehandleraftale frigør ikke Databehandleren for forpligtelser, som i henhold til persondataforordningen eller enhver anden lovgivning direkte eller indirekte er eller bliver pålagt Databehandleren.
2. Den Dataansvarliges forpligtelser og rettigheder
Den Dataansvarlige er overfor omverdenen (herunder den registrerede) ansvarlig for, at behandlingen af personoplysninger sker indenfor rammerne af Databeskyttelsesforordningen.
Den Dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
Den Dataansvarlige er blandt andet ansvarlig for, at der foreligger fornødent hjemmelsgrundlag til den behandling, som Databehandleren instrueres i at foretage.
3. Databehandleren handler efter instruks
Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. I så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
Databehandleren forpligtes til straks at underrette den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. En sådan underretning skal være skriftlig.
4. Fortrolighed
Databehandleren indestår for, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
Der må alene autoriseres personer, for hvem der foreligger en saglig nødvendighed til at have adgang til personoplysningerne for at kunne opfylde Databehandlerens forpligtelser overfor den Dataansvarlige.
Databehandleren indestår for, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
KLADDE
Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.
5. Behandlingssikkerhed
Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Ovenstående forpligtelse indebærer, at Databehandleren skal foretage en risikovurdering, og herefter gennemføre nødvendige foranstaltninger for at imødegå eventuelt identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
Pseudonymisering og kryptering af personoplysninger
Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester
Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed
Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag B.
6. Overførsel til tredjelande eller internationale organisationer
Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af Databehandleren på baggrund af dokumenteret instruks herom fra den Dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som Databehandleren ikke er blevet instrueret i at foretage af den Dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt, skal Databehandleren underrette den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
Uden dokumenteret instruks fra den Dataansvarlige kan Databehandleren således ikke inden for rammerne af denne aftale:
overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
behandle personoplysningerne i et tredjeland.
Den Dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i Bilag B.
Denne aftale skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og denne aftale kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
7. Bistand til den Dataansvarlige
KLADDE
Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
Dette indebærer, at Databehandleren så vidt muligt skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:
oplysningspligten ved indsamling af personoplysninger hos den registrerede oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede den registreredes indsigtsret
retten til berigtigelse
retten til sletning (»retten til at blive glemt«) retten til begrænsning af behandling
underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling retten til indsigelse
retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering
Databehandleren bistår den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. art 28, stk. 3, litra f.
Dette indebærer, at Databehandleren under hensyntagen til behandlingens karakter skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:
forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der stemmer overens med de risici, der er forbundet med behandlingen.
forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og senest 72 timer, efter at den Dataansvarlige er blevet bekendt med bruddet. Medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud med stor sandsynlighed vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den Dataansvarlige for at begrænse risikoen
8. Underretning om brud på persondatasikkerheden
Databehandleren er forpligtet til – uden unødig forsinkelse at underretter den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel underdatabehandler.
Databehandlerens underretning til den Dataansvarlige skal ske senest 24 timer efter at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.
I overensstemmelse med denne aftales afsnit 8, forpligtes Databehandleren til - under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – at bistå den Dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden.
Det kan betyde, at Databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den Dataansvarliges anmeldelse til tilsynsmyndigheden:
Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
Sandsynlige konsekvenser af bruddet på persondatasikkerheden
Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger
KLADDE
9. Sletning og tilbagelevering af oplysninger
Ved opsigelse af den mellem parterne indgåede samarbejdsaftale og nærværende databehandleraftale forpligtes Databehandleren til, efter den Dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
10. Tilsyn og revision
Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
Den nærmere procedure for den Dataansvarliges tilsyn med Databehandleren fremgår af denne aftales Bilag B.
Den Dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem Databehandleren. Den nærmere procedure herfor fremgår af denne aftales Bilag B.
Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation.
11. Parternes aftaler om andre forhold
Den Dataansvarlige har selv adgang til dokumenter og personoplysninger, som uploades via hjemmesiden, og skal således selv sikre at kun betroede medarbejdere har adgang til disse oplysninger, samt at adgangskoder har en tilfredsstillende sikkerhed, og opbevares forsvarligt.
Når kunder uploader personfølsomme oplysninger via hjemmesiden, er det den Dataansvarliges ansvar hurtigst muligt at hente dokumenterne, gemme disse i de interne systemer hos den Dataansvarlige, og herefter slette dokumenter og registrering på
hjemmesiden.
12. Ikrafttræden og ophør
Denne aftale træder i kraft ved accept af tilbud og fremsendelse af ordrebekræftelse og erstatter i det hele enhver tidligere indgået databehandleraftale indgået mellem parterne.
Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af den mellem parterne indgåede samarbejdsaftale.
KLADDE
Aftalen er gældende, så længe behandlingen består. Uanset eventuel opsigelse af samarbejdsaftalen og/eller nærværende databehandleraftale vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos Databehandleren og eventuelle underdatabehandlere.
På vegne af den Dataansvarlige
På vegne af Databehandleren
[Fulde navn]
[Titel]
11. mar 2023
Xxxxx Xxxxxx
Adm. direktør
11. mar 2023
A. Oplysninger om behandlingen
A. 1. Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er:
Kontaktinformationer til relevante medarbejdere Informationer til fakturering
Tekst, billeder og videomateriale for at kunne løse kundens opgave
A. 2. Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige drejer sig primært om (karakteren af behandlingen):
Behandling af primært ikke personfølsomme oplysninger.
A. 3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
Navn, adresse, telefon og e-mail CVR-nr
Billede- og videomateriale
Vi behandler ikke særligt personfølsomme oplysninger med undtagelse af billede- og videomateriale.
A. 4. Behandlingen omfatter følgende kategorier af registrerede:
Alm. ikke følsomme informationer
A. 5. Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige kan påbegyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:
KLADDE
Behandlingen løber ind til opgaven er løst eller aftalen opsiges.
B. Instruks vedrørende behandling af personoplysninger
B. 1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige sker ved, at Databehandleren udfører opgaver som nærmere beskrevet i den mellem parterne indgåede aftale.
B. 2. Behandlingssikkerhed
Til opfyldelse af nærværende databehandleraftale har Databehandleren forpligtet til at iværksætte og implementere nedenstående foranstaltninger for herigennem at kunne leve op til de af den Dataansvarlige udstukne sikkerheds instrukser.
B. 2.1. Sikkerhedsforanstaltninger
Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, mod at de i bilag A anførte personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Databehandleren er således blandt andet forpligtet til at:
sikre at alle medarbejderes telefoner, pc’ere, ipads m.v. er forsynet med forsvarlig adgangskode
sikre, at alene medarbejdere med arbejdsrelaterede saglige formål har adgang til personoplysningerne. opbevare datalagermedier på forsvarlig vis, således at disse ikke er tilgængelige for tredjemand.
sikre, at bygninger og systemer, der anvendes i forbindelse med databehandlingen, er sikre. sikre, at der alene anvendes hardware og software af høj kvalitet,
sikre at anvendt hardware og software opdateres løbende.
KLADDE
sikre at prøver og affaldsmateriale tilintetgøres, i overensstemmelse med kravene til databeskyttelse eller efter nærmere instrukser fra den Dataansvarlige. De makuleres.
sikre at medarbejdere modtager passende uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne.
sikre at medarbejdere modtager løbende uddannelse med henblik på til enhver tid at være korrekt instrueret i korrekt og lovlig behandling af personoplysningerne.
B. 2.2. Medarbejder information
Databehandleren er forpligtet til at sikre, at de medarbejdere som er involveret i behandlingen af personoplysningerne er bekendte med sikkerhedskravene.
B. 2.3. Informationspligt
Databehandleren er forpligtet til straks at give den Dataansvarlige meddelelse om driftsforstyrrelser, mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne.
B. 2.4. Dokumentations krav
Databehandleren skal på den Dataansvarliges skriftlige anmodning give den Dataansvarlige tilstrækkelige oplysninger til at denne kan påse, at Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.
B. 2.5. Adgang til registrerede personoplysninger
Såfremt Databehandleren eller en anden databehandler, som har modtaget oplysninger, modtager en anmodning om adgang til registrerede personoplysninger fra en registreret eller dennes agent, skal Databehandleren straks sende sådan en anmodning til den Dataansvarlige med henblik på den Dataansvarliges videre behandling, med mindre Databehandleren er berettiget til at håndtere sådan en forespørgsel selv.
B. 3. Opbevaringsperiode
Personoplysninger som nærmere beskrevet i Bilag A opbevares indtil opgaven er løst eller aftalen opsiges. Regnskabsmæssige data opbevares dog i henhold til bogføringslovgivningen i op til 5 år.
B. 4. Overførsel af oplysninger til andre databehandlere herunder underdatabehandlere
B. 4.1 Underdatabehandlere
Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere, som kan ses her: xxxxx://xxxxxxxx.xxxxxx.xx/xxxxxxxxxxxxxxxxxx.
B. 4.2 Databehandlerens ret til overførsel af personoplysninger
Databehandleren er alene berettiget til at overføre de i Bilag A angivne personoplysninger til andre databehandlere eller underdatabehandlere, såfremt den Dataansvarlige skriftligt har givet instruks og accept herom. Databehandleren er ikke berettiget til at videregive eller overlade personoplysninger til andre databehandlere eller underdatabehandlere uden den Dataansvarliges forudgående skriftlige instruks, med mindre sådan videregivelse eller overladelse sker med direkte hjemmel i den til enhver tid gældende lovgivning.
B. 4.3 Forudgående databehandleraftale
KLADDE
Databehandleren skal inden overførsel af personoplysninger til en anden databehandler eller underdatabehandler sikre at der er indgået fornøden databehandleraftale, hvori forholdet mellem Databehandleren og andre databehandlere eller underdatabehandlere er beskrevet og defineret. Sikre at sådan en databehandler har indgået en databehandleraftale, hvor denne forpligter sig til over for den Dataansvarlige at være bundet på ’back-to-back’ vilkår i forhold til kravene til sikkerhed i medfør af denne aftale.