Databehandleraftale

Databehandleraftale

[Part] [Adresse] [Adresse] CVR-nr.: [XX]

(den ”Dataansvarlige”) og

IT-Terminalen ApS Xxxxxxx 00

3500 Værløse

CVR-nr.: 32947697

(“Databehandleren”)

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt “Part” og under et “Parterne”)

har indgået følgende aftale om behandling af personoplysninger (”Aftalen”):

1. Personoplysninger og databehandling

1.1 Som led i Databehandlerens tjenesteydelser for den Dataansvarlige behandler Data- behandleren, jf. denne Aftale, oplysninger om personoplysninger i C5 og C5-løn (her- efter benævnt ”Registrerede”) på vegne af den Dataansvarlige.

1.2 Ingen data er opbevaret hos Databehandleren, alt arbejde foregår remote eller ved besøg.

1.3 Databehandleren behandler følgende kategorier af personoplysninger (herefter be- nævnt ”Personoplysninger”) om de Registrerede på vegne af den Dataansvarlige: Persondata nødvendige for lønudbetaling.

1.4 Databehandlerens behandling af Personoplysninger for den Dataansvarlige sker til følgende formål: Support og vedligeholdelse af økonomisystem C5 og C5-løn. Data- behandlerens behandling af Personoplysninger for den Dataansvarlige omfatter føl- gende aktiviteter: Support og vedligeholdelse af C5 ogC5-løn

1.5 Databehandleren er ansvarlig for, at Personoplysningerne opbevares inden for EU/EØS og at Personoplysningerne ikke uden den Dataansvarliges forudgående, skriftlige accept overføres til lande uden for EU/EØS.

2. Instrukser og fortrolighed

2.1 Databehandleren må kun behandle Personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel af Personoplysningerne til et tredjeland eller en international organisation. Databehandleren må dog undta- gelsesvis behandle Personoplysninger, uden at dette følger af den Dataansvarliges in- struks, såfremt det kræves i henhold EU-retten eller lovgivningen i en medlemsstat, som Databehandleren er underlagt. I så fald underretter Databehandleren den Data- ansvarlige om dette retlige krav, inden behandlingen finder sted, medmindre det er forbudt at foretage en sådan underretning af hensyn til vigtige samfundsmæssige in- teresser.

2.2 Databehandleren må ikke behandle Personoplysningerne til egne formål, medmindre det udtrykkeligt fremgår af denne Aftale.

2.3 Databehandleren er underlagt fortrolighed, og Databehandleren må ikke uberettiget kopiere, videregive eller udnytte Personoplysningerne. Databehandleren skal sikre, at medarbejdere, der er autoriserede til at behandle Personoplysninger, har påtaget sig en kontraktlig fortrolighedsforpligtelse eller er underlagt en passende lovbestemt tavshedspligt.

2.4 Databehandleren skal sikre, at adgang til Personoplysningerne begrænses til medar- bejdere med et arbejdsrelateret behov for adgang til oplysningerne.

3. Sikkerhed mv.

3.1 For at beskytte Personoplysningerne skal Databehandleren implementere passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen op- fylder EU-forordning 2016/679 om Generel Databeskyttelse (herefter benævnt ”Da- tabeskyttelsesforordning”). Sådanne foranstaltninger fastsættes og tilpasses lø- bende under hensyntagen til det aktuelle tekniske niveau, omkostninger og behand- lingens karakter, omfang, sammenhæng og formål samt risiciene for fysiske perso- ners rettigheder.

3.2 Databehandleren skal sørge for, at Personoplysningerne slettes fra samtlige IT- systemer, arkiver m.v., når fortsat opbevaring ikke længere tjener et sagligt formål og den Dataansvarlige giver instruks herom.

3.3 Databehandleren skal informere og uddanne relevante medarbejdere i fortrolighed for behandling af personoplysninger og skal sikre, at behandling sker i henhold til Af- talens formål og den Dataansvarliges instrukser.

3.4 Herudover skal databehandleren som minimum anvende følgende foranstaltninger:

3.4.1 Fysisk sikkerhed: Når udstyr og mobile enheder ikke anvendes, skal udstyret og en- hederne være låst og/eller låst inde.

3.4.2 Sikkerhedskopier: Ingen sikkerhedskopier opbevares hos Databehandleren

3.4.3 Adgangskontrol: Adgangen til Personoplysningerne skal begrænses med en teknisk adgangskontrol. Bruger-ID og kodeord skal være personlige og må ikke overdrages. Der skal findes forretningsgange for tildeling og lukning af adgang.

3.4.4 Datakommunikation: Kommunikation af Personoplysningerne skal ske over sikre forbindelser. Personoplysninger, der overføres uden for et lukket netværk kontrolle- ret af Databehandleren, skal beskyttes med kryptering.

3.4.5 Hardware destruktion: Når udstyr eller mobile enheder, som indeholder Personop- lysninger, ikke længere anvendes til behandlingen af Personoplysningerne, skal Per- sonoplysningerne permanent slettes på udstyret, så oplysningerne ikke kan genska- bes.

4. Underdatabehandlere

4.1 Databehandleren er med forbehold af pkt. 4.3 hermed bemyndiget til at gøre brug af underdatabehandlere uden at skulle indhente yderligere skriftlig tilladelse fra den Dataansvarlige, forudsat at Databehandleren skriftligt underretter den Dataansvarli- ge om identiteten på den potentielle underdatabehandler (og dennes eventuelle data- behandlere) inden indgåelse af aftale med de pågældende underdatabehandlere, hvorved den Dataansvarlige får mulighed for at gøre indsigelse.

Note: Hvis Databehandleren ikke skal have bemyndigelse til af anvende underdata- behandlere, skal denne bestemmelse udgå og punkt 4.2 skal tilsvarende udgå og punkt 4.3 tilpasses.

4.2 Underretninger og mulighed for at gøre indsigelse efter pkt. 4.1 skal tilsvarende gives ved eventuelt planlagte ændringer vedrørende tilføjelse, erstatning eller ophør af an- vendelse af underdatabehandlere. En indsigelse skal være Databehandleren i hænde senest 7 dage efter modtagelsen hos den Dataansvarlige.

4.3 Det er en forudsætning for antagelse af en underdatabehandler, at Databehandleren indgår en skriftlig aftale med underdatabehandleren om, at underdatabehandleren pålægges de samme databeskyttelsesforpligtelser og kontraktuelle betingelser, som dem der er fastsat i Aftalen, herunder at underdatabehandleren skal gennemføre pas- sende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlin- gen opfylder kravene i Databeskyttelsesforordningen.

4.4 Databehandleren er ansvarlig over for den Dataansvarlige for eventuelle underdata- behandlere på samme måde som for Databehandlerens egne handlinger og undladel- ser.

5. Bistand til den Dataansvarlige

5.1 Databehandleren skal bistå den Dataansvarlige med at sikre overholdelse af forplig- telserne i henhold til Artikel 32 til 36 i Databeskyttelsesforordningen og anden gæl- dende databeskyttelses- og informationssikkerhedslovgivning, dvs. sikkerhedsforan- staltninger, underretning af tilsynsmyndigheder, underretning af individuelle perso- ner, udarbejdelse af konsekvensanalyser vedrørende databeskyttelse og forudgående høring hos tilsynsmyndigheder mv.

5.2 Under hensyntagen til behandlingens karakter skal Databehandleren så vidt muligt bistå den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foran- staltninger med opfyldelse af den Dataansvarliges lovmæssige forpligtelse til at besva- re anmodninger om udøvelse af de registreredes rettigheder som fastlagt i Databe- skyttelsesforordningens Kapitel III.

5.3 Databehandleren skal omgående underrette den Dataansvarlige ved konstatering af brud på sikkerheden af betydning for Personoplysningerne.

5.4 Databehandleren skal omgående informere den Dataansvarlige, hvis Databehandle- ren mener, at en instruks overtræder Databeskyttelsesforordningen eller andre data- beskyttelsesbestemmelser i anden EU-ret eller medlemsstaters nationale ret.

6. Påvisning af overholdelse, revisioner mv.

6.1 Databehandleren skal efter anmodning og uden særskilt vederlag stille alle de oplys- ninger til rådighed for den Dataansvarlige, der er nødvendige for at påvise overhol- delse af forpligtelserne i Aftalen, Databeskyttelsesforordningen og eventuel særlov- givning.

6.2 Databehandleren skal give mulighed for og bidrage til revisioner, herunder inspektio- ner, der foretages af den Dataansvarlige eller revisorer bemyndiget af den Dataan- svarlige, de offentlige myndigheder i Danmark eller af anden kompetent jurisdiktion.

Den pågældende revisor skal være underlagt fortrolighed, enten aftalemæssigt eller ved lov.

7. Varighed og ophør

7.1 Aftalen træder i kraft ved indgåelsen og skal gælde, indtil den opsiges af en af Parter- ne med 3 måneders varsel.

7.2 Ved Aftalens ophør skal Databehandleren tilbagelevere alle adgangskoder og login. Data er ikke opbevaret så disse skal ikke tilbageleveres eller slettes.

7.3 Hvis der efter ophør af Aftalen opstår tvivl om, hvorvidt Databehandleren har slettet alle Personoplysningerne, kan den Dataansvarlige anmode Databehandleren om for egen regning at indhente en revisionserklæring, der påviser at databehandlingen ikke fortsat pågår og at Personoplysningerne er blevet slettet.

8. Underskrifter

8.1 Aftalen underskrives i to enslydende originale eksemplarer, hvoraf Den Dataansvarli- ge og Databehandleren hver modtager et eksemplar.

Sted: Dato: For [Part]:		Sted: Dato: For [Databehandleren]:
[Navn]		[Navn]