BEMÆRK: Denne pdf skal gemmes lokalt og åbnes i Adobe Acrobat Reader DC. Adobe Acrobat Reader DC kan hentes gratis på nedenstående link: https://get.adobe.com/dk/reader/
BEMÆRK: Denne pdf skal gemmes lokalt og åbnes i Adobe Acrobat Reader DC. Adobe Acrobat Reader DC kan hentes gratis på nedenstående link: xxxxx://xxx.xxxxx.xxx/xx/xxxxxx/
DATABEHANDLERAFTALE
MELLEM | FSR - Danske Revisorer CVR-nr. 55097216 Xxxxxxxxxxxxxxxxx 0 0000 Xxxxxxxxx K ("Databehandleren") | OG | Indsæt kundens navn: CVR-nr.: Indsæt kundens adresse: Indsæt by: Indsæt e-mail: (den "Dataansvarlige") |
(Databehandleren og den Dataansvarlige benævnes samlet "Parterne")
På Ikrafttrædelsesdatoen har Parterne indgået Aftalen om den Dataansvarliges køb af Support og Produkter fra Databehandleren ("Aftalen"), herunder support såfremt den Datataansvarlige gennem FSR har købt og bruger Cloud Services fra Caseware Inc..
Som led i Databehandlerens levering af Ydelserne (som defineret nedenfor) til den Da- taansvarlige i henhold til Aftalen skal Databehandleren behandle personoplysninger på vegne af den Dataansvarlige.
Parterne har derfor indgået denne Databehandleraftale (som defineret nedenfor).Afta- len og Databehandleraftalen er indbyrdes afhængige og kan ikke opsiges eller ophæ- ves særskilt.
Databehandleraftalen omfatter følgende bilag:
Bilag 1: Kategorier af registrerede, typer af personoplysninger og behandlingsaktiviteter
FSR – danske revisorer Xxxxxxxxxxxxxxxxx 0 XX - 0000 Xxxxxxxxx K
Telefon x00 0000 0000 xxx@xxx.xx
CVR. 55 09 72 16
Danske Bank Reg. 9541
Konto nr. 2500102295
Bilag 2: Liste over underdatabehandlere og lokation(er) for behandling af personoplysninger.
Ikrafttrædelsesdatoen:
Send til digital underskrift
1. Definitioner
1.1 De termer, der er defineret i Aftalen, skal have samme betydning i denne Databe- handleraftale, medmindre andet udtrykkeligt fremgår heraf.
1.2 Medmindre andet fremgår af sammenhængen, har følgende termer følgende betyd- ning:
1. "Aftalen" har den ovenfor anførte betydning.
2. "Databehandleraftale" betyder denne databehandleraftale om behandling af personoplysninger, inklusiv bilag.
3. "Databeskyttelseslovgivning" betyder alle de love og regler, som finder an- vendelse for behandling og beskyttelse af personoplysninger overalt i det Euro- pæiske Økonomiske Samarbejdsområde (EØS) med de til enhver tid gældende ændringer og/eller tilføjelser, herunder Databeskyttelsesforordningen (som defi- neret nedenfor), relevant national lovgivning, og hvor relevant, de retningslinjer og regelsæt, der udstedes af det danske Datatilsyn eller andre kompetente til- synsmyndigheder i EØS (herunder de nationale datatilsyn).
4. "Databeskyttelsesforordningen" betyder "Europa-Parlamentets og Rådets forordning (EU) nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske perso- ner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel databe- skyttelsesforordningen) med de til enhver tid gældende ændringer og/eller tilfø- jelser.
5. "Ydelserne" betyder de tjenesteydelser og leverancer, som Databehandleren som leverandør leverer til den Dataansvarlige som kunde i henhold til Aftalen.
1.3 Begreberne "personoplysninger", "særlige kategorier af personoplysninger", "be- handling", "dataansvarlig", "databehandler", "registrerede", "tilsynsmyndighed", "pseudonymisering", "tekniske og organisatoriske foranstaltninger" og "brud på per- sondatasikkerheden" skal i denne Databehandleraftale forstås i overensstemmelse med Databeskyttelseslovgivningen, herunder Databeskyttelsesforordningen.
2. Behandling af Personoplysninger
2.1 Databehandleren skal behandle personoplysninger på vegne af den Dataansvarlige i overensstemmelse med Databeskyttelseslovgivningen.
2.2 De personoplysninger, der behandles af Databehandleren, samt kategorierne af regi- strerede er beskrevet i bilag 1 til denne Databehandleraftale.
2.3 Databehandleren må kun behandle personoplysningerne efter dokumenteret instruks fra den Dataansvarlige, medmindre behandlingen kræves i henhold til ufravigelige EU-retlige regler eller ufravigelige regler i medlemsstaterne, som Databehandleren er underlagt. I så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandlingen, medmindre den pågældende ret forbyder en sådan under- retning af hensyn til vigtige samfundsmæssige interesser. Den Dataansvarlige er ansvarlig for at give sådanne instruktioner i overensstemmelse med evt. relevant per- sondataregulering, således at FSR er i stand til at opfylde sine forpligtelser efter dette punkt. FSR er ikke ansvarlig for eventuelle krav vedrørende upassende håndte- ring af personoplysninger.
2.4 Databehandleren skal sikre, at de personer, som er involveret i behandlingen af per- sonoplysninger på vegne af den Dataansvarlige, enten har underskrevet en fortrolig- hedserklæring eller er underlagt tavshedspligt ved lov, samt at personerne kun be- handler personoplysninger i overensstemmelse med Aftalen, Databehandleraftalen og Databeskyttelseslovgivningen.
2.5 Databehandleren skal træffe de fornødne foranstaltninger til at sikre, at enhver per- son, der udfører arbejde for Databehandleren, og som har adgang til personoplysnin- gerne, kun behandler disse personoplysninger efter dokumenteret instruks fra den Dataansvarlige.
2.6 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at den Dataansvarlige kan påse, at kravene i Databe- skyttelseslovgivningen overholdes.
2.7 Databehandleren skal endvidere give tilladelse og bidrage til eventuelle revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en revisor, som er
bemyndiget hertil af den Dataansvarlige. Databehandleren er berettiget til at mod- tage særskilt vederlag herfor.
2.8 Databehandleren skal straks underrette den Dataansvarlige, hvis Databehandleren mener, at en instruks fra den Dataansvarlige er i strid med Databeskyttelseslovgiv- ningen.
3. Sikkerhedsforanstaltninger
3.1 Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal Databehandleren træffe de fornødne tekniske og organisatori- ske foranstaltninger til at sikre et sikkerhedsniveau, der passer til disse risici.
3.2 Databehandleren skal ved hjælp af passende tekniske og organisatoriske foranstalt- ninger bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til Da- tabeskyttelseslovgivningen.
3.3 Databehandleren er berettiget til at modtage særskilt vederlag for den anvendte tid med bistand til besvarelse af anmodninger om udøvelse af de registreredes rettighe- der eller ændrede instrukser fra den Dataansvarlige..
3.4 Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Endvi- dere skal Databehandleren bistå den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser til (i) at dokumentere alle brud på persondatasikker- heden, (ii) at anmelde eventuelle brud på persondatasikkerheden til de(n) kompe- tente tilsynsmyndighed(er) og (iii) at underrette de registrerede om sådanne brud på persondatasikkerheden i overensstemmelse medartikel 33 og artikel 34 i Databeskyt- telsesforordningen.
4. Underdatabehandling
4.1 Ved underskrift af denne Databehandleraftale accepterer den Dataansvarlige, at Da- tabehandleren må benytte underleverandører til at bistå med leveringen af Ydel- serne. Listen over underleverandører, der p.t. beskæftiger sig med behandling af personoplysninger (i det følgende benævnt "Underdatabehandlere"), samt over de lande og faciliteter, hvori/hvorpå personoplysningerne behandles, er vedlagt som bi- lag 2.
4.2 Eventuelle tilføjelser og/eller ændringer til listen vil forud for tilføjelsen/ændringen blive meddelt til den Dataansvarlige pr. e-mail på følgende e-mail adresse: [indsæt relevant e-mail adresse - funktionspostkasse]. Hvis den Dataansvarlige ønsker at gøre indsigelser derimod, skal den Dataansvarlige give skriftlig meddelelse herom, så snart meddelelsen er modtaget. Den Dataansvarliges indsigelse skal være kon- kret og begrundet. Manglende indsigelse fra den Dataansvarlige vil blive anset for et stiltiende samtykke til underdatabehandlingen.
4.3 Databehandleren skal sikre, at pågældende underdatabehandling er lovlig, og at alle Underdatabehandlere påtager sig og er underlagt samme vilkår og forpligtelser, som Databehandleren er underlagt i henhold til denne Databehandleraftale.
4.4 Databehandleren indestår for lovligheden af sine Underdatabehandleres behandling af personoplysninger. Databehandleren bærer ansvaret for alle sine Underdatabe- handleres handlinger og undladelser, herunder de personer, som er ansat eller hyret af Underdatabehandlerne. Dette ansvar gælder i samme omfang og udstrækning mv., som for Databehandlerens egne handlinger og undladelser.
5. Overførsel af Personoplysninger til et tredjeland
Ved underskrift af denne Databehandleraftale accepterer den Dataansvarlige, at Da- tabehandleren kan overføre personoplysninger til et tredjeland, dvs. et land uden for EØS. Databehandleren er forpligtet til at sikre sig, at en sådan overførsel til enhver tid er lovlig, herunder blandt andet at der er et tilstrækkeligt beskyttelsesniveau for overførslen af personoplysningerne.
6. Databehandlerens generelle forpligtelser
6.1 Databehandleren skal anvende og overholde Databeskyttelseslovgivningen og må ikke udføre sine forpligtelser i henhold til Aftalen og Databehandleraftalen på en måde, som kan medvirke til, at den Dataansvarlige misligholder sine forpligtelser i henhold til Databeskyttelseslovgivningen.
6.2 Databehandleren skal bistå den Dataansvarlige med at overholde den Dataansvarli- ges forpligtelser i henhold til Databeskyttelseslovgivningen, herunder i henhold til f.eks. artikel 35 (Konsekvensanalyser vedrørende databeskyttelse) og artikel 36 (For- udgående høring) i Databeskyttelsesforordningen. Databehandleren er berettiget til særskilt vederlag for sådan bistand, og det konkrete vederlag aftales særskilt.
7. Ansvar
Databehandleren hæfter kun for den skade, der er forvoldt af behandling, der skyldes manglende opfyldelse af de forpligtelser i Databeskyttelseslovgivningen, der er rettet specifikt mod databehandlere, eller hvis Databehandleren har undladt at følge eller handlet i strid med den Dataansvarliges lovlige instrukser. Databehandlerens sam- lede ansvar ifølge denne Databehandleraftale kan ikke overstige et beløb svarende til den Dataansvarliges betalinger til Databehandleren i henhold til Aftalen inden for de seneste tolv (12) måneder.
8. Ophør
8.1 Denne Databehandleraftale ophører automatisk i forbindelse med Aftalens ophør el- ler udløb.
8.2 Parterne er enige om, at Databehandleren ved Aftalens og/eller Databehandlerafta- lens ophør eller udløb efter den Dataansvarliges valg enten skal (i) returnere alle data, der er behandlet under Aftalen og/eller Databehandleraftalen, samt eventuelle kopier heraf til den Dataansvarlige, eller (ii) slette alle data, der er behandlet under Aftalen og/eller Databehandleraftalen, og dokumentere over for den Dataansvarlige, at dette er sket, herunder for at undgå enhver tvivl slette sådanne data fra enhver computer, server og/eller anden lagringsenhed eller -medie, medmindre det følger af ufravigelige EU-retlige og/eller medlemsstaternes nationale regler, at der er pligt til opbevaring af sådanne data.
9. Værneting og lovvalg
Denne Databehandleraftale er underlagt dansk ret. Enhver tvist, der måtte opstå som følge af eller i forbindelse med bestemmelserne i denne Databehandleraftale, skal forsøges løst ved forhandling. Er det ikke muligt ved forhandling af finde en mindelig løsning på Parterne konflikt skal sagen indbringes ved de danske domstole.
10. Underskrifter
Databehandleraftalen underskrives i to eksemplarer, hvoraf hver Part modtager ét eksemplar. Parterne skal opbevare en elektronisk kopi af den underskrevne Databe- handleraftale.
---o0o---
Bilag 1 - Kategorier af registrerede, typer af personoplysninger og behandlingsaktiviteter
Dette bilag udgør en integreret del af Databehandleraftalen og skal udfyldes af Parterne.
1. Kategorier af registrerede og typer af personoplysninger
Skematisk oversigt over kategorier af registrerede og typer af personoplysninger der behandles | ||
Support Kategori af registrerede: f.eks. ansøgere, kunder eller medarbejdere | Almindelige kategorier af personoplysninger: f.eks. identifikationsoplysninger, e-mail, kundenummer, lønoplysninger mv. | |
Særlige kategorier af personoplysninger (sæt kryds) | ||
Race Etnisk oprindelse Politisk overbevisning Religiøs overbevisning Filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold | Genetiske data Biometriske data med det formål en- tydigt at identificere en fysisk person Helbredsoplysninger Seksuelle forhold Seksuel orientering | |
CPR-nummer | Strafbare oplysninger | |
Hosting Kategori af registrerede: f.eks. ansøgere, kunder eller medarbejdere | Almindelige kategorier af personoplysninger: f.eks. identifikationsoplysninger, e-mail, kundenummer, lønoplysninger mv. | |
Særlige kategorier af personoplysninger (sæt Race Etnisk oprindelse Politisk overbevisning Religiøs overbevisning Filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold | kryds) Genetiske data Biometriske data med det formål en- tydigt at identificere en fysisk person Helbredsoplysninger Seksuelle forhold Seksuel orientering | |
CPR-nummer | Strafbare oplysninger | |
2. Behandlingsaktiviteter
Personoplysningerne vil f.eks. blive genstand for følgende grundlæggende behandling:
2.1 Behandlingsaktiviteter Support
Til brug for opfyldelse af FSR’s supportforpligtelse, indsamler FSR nødvendige data for at kunne udføre support og efterfølgende fejlrettelse og vedligeholdelse. I den sammenhæng kan de data kunden afgiver indeholde personoplysninger. Oplysningerne bliver destrueret efter endt sagsbehandling jf. instruks.
• Indsamling
• Registrering
• Organisering
• Systematisering
• Opbevaring
• Tilpasning
• Genfinding
• Søgning
• Sammenstilling
• Videresendelse
• Sletning
Hosting
Har kunden købt hosting via FSR sker følgende behandling af data, som følge af brugen af systemet. For- holdet omkring denne behandling er i øvrigt reguleret i underdatabehandler aftale.
• Indsamling
• Registrering
• Organisering
• Systematisering
• Opbevaring
• Tilpasning
• Genfinding
• Søgning
• Sammenstilling
• Videresendelse
• Sletning
---o0o---
Bilag 2 - Liste over underdatabehandlere og lokation(er) for behandling af personoplysninger
Dette bilag udgør en integreret del af Databehandleraftalen og skal udfyldes af Parterne.
1. Underdatabehandler(e)
Databehandleren er berettiget til at anvende følgende Underdatabehandlere:
Navn | CVR-nr. | Adresse | Beskrivelse af behandling | Lokation(er) for behand- ling af personoplysninger |
Datacon | 38703668 | Hejrevang 13 – 3450 Allerød | Hosting af kundens CaseWare applikation | Databehandling er fordelt på to adresser. Backup Copy = Hejrevang 13 – 3450 Allerød Produktions data = Thoravej 26 – 2400 København |
Service- now | 33864221 | Stockholms- gade 45, 2100 KBH Ø | Software-as-a-Service lever- ance af FSR CaseWare’s Sup- portsystem | HQ: USA, Storbritannien, Holland, Indien og Austra- lien |
Firma- Fon | 33363850 | Teglværks- gade 18, 2100 KBH Ø | FSR-CaseWare’s telefonsy- stem | Teglværksgade 18, 2100 KBH Ø |
---o0o---