DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
d. 25. maj 2018
1 BAGGRUND OG FORMÅL
1.1 CURA IT A/S, CVR-nr.: 32444288 (”Databehand- leren”) leverer en række IT-ydelser til kunden (”den Dataansvarlige”), som nærmere beskre- vet i Parternes særskilte aftale(r) herom (”Ho- vedydelsen”). Databehandleraftalen er et tillæg til CURAits generelle salgs- og leveringsbetingel- ser, som findes her: xxx.xxxxxx.xx/xxxxxxxxxx
1.2 I forbindelse med levering af Hovedydelsen behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parter- ne har indgået denne aftale (”Databehandleraf- talen”), der udgør en integreret del af Parternes aftale(r) om Hovedydelsen. I tilfælde af uover- ensstemmelser mellem Databehandleraftalen og aftale(r) om Hovedydelsen har Databehand- leraftale forrang.
1.3 I det omfang den til enhver til gældende data- beskyttelsesretlige regulering medfører, at der er brug for tilpasninger af Databehandlerafta- len, er Parterne enige om, at dette skal medføre fornyet forhandling af indholdet af denne Data- behandleraftale.
2.1 Databehandleren bemyndiges til at fortage behandling af personoplysninger på den Data- ansvarliges vegne på vilkårene fastsat i Databe- handleraftalen.
2.2 Databehandleren må alene behandle personop- lysningerne på vegne af den Dataansvarlige, og alene i det omfang det er nødvendigt for Data- behandlerens levering af Hovedydelsen.
2.3 Databehandleren må ikke behandle personop- lysninger til egne formål.
2.4 Databehandleren behandler alene almindelige ikke følsomme oplysninger på vegne af den Da- taansvarlige.
2.5 I det omfang Databehandleren bliver opmærk- som på, at der bliver overladt følsomme oplys- ninger til Databehandleren slettes sådanne op- lysninger af Databehandleren uden varsel, medmindre Databehandleren modtager særlige instruktioner fra den Dataansvarlige, der tillader behandling af sådanne oplysninger.
2.6 Databehandleren behandler på vegne af den Dataansvarlige personoplysninger om alle kate- gorier af registrerede undtagen børn.
2.7 I det omfang Databehandleren bliver opmærk- som på, at der bliver overladt personoplysnin- ger om børn til Databehandleren slettes sådan- ne oplysninger af Databehandleren uden varsel, medmindre Databehandleren modtager særlige instruktioner fra den Dataansvarlige, der tillader behandling af sådanne oplysninger.
2.8 Databehandleren må alene behandle personop- lysningerne efter dokumenteret instruks fra den Dataansvarlige medmindre en behandling kræ- ves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er under- lagt; i så fald underretter Databehandleren den Dataansvarlige om det retlige krav inden be- handling, medmindre den pågældende ret for- byder en sådan underretning af hensyn til vigti- ge samfundsmæssige interesser.
2.9 Databehandleren er dog berettiget til at ano- nymisere personoplysningerne på en sådan måde, at de ikke senere kan de-anonymiseres, og herefter anvende den anonyme data til egne formål.
3 VARIGHED OG OPHØR
3.1 Databehandleraftalen gælder så længe Databe- handleren behandler personoplysninger på vegne af den Dataansvarlige.
3.2 I det omfang den Dataansvarlige ikke selv er i besiddelse af personoplysningerne ved Databe- handleraftalens ophør, skal Databehandleren tilbagelevere personoplysningerne behandlet under Databehandleraftalen til den Dataansvar- lige. Databehandleren er herefter forpligtet til at slette personoplysningerne.
4 DEN DATAANSVARLIGES PLIGTER
4.1 Den Dataansvarlige er ansvarlig for at overholde den til enhver tid gældende databeskyttelses- retlige regulering i forhold til de personoplys- ninger som overlades til Databehandlerens be- handling.
4.2 Den Dataansvarlige er herunder navnlig ansvar- lig for og indestår for, at:
• Den Dataansvarlige har fornøden hjem- mel til at behandle, og til at lade Data- behandleren behandle, de personoplys- ninger, der behandles i forbindelse med Hovedydelsen.
• Angivelsen af personoplysninger i punkt 2 er udtømmende, og at der ikke be- handles andre oplysninger i forbindelse med Hovedydelsen end de beskrevne personoplysninger.
• Den afgivne instruks er lovlig og til- strækkelig for at Databehandleren kan opfylde sine forpligtigelser.
5 DATABEHANDLERENS PLIGTER
5.1 Tekniske- og organisatoriske sikkerhedsforan- staltninger
5.1.1 Databehandleren har ved sin behandling af personoplysningerne for den Dataansvarlige gennemført fornødne (a) tekniske- og (b) orga- nisatoriske sikkerhedsforanstaltningerne.
5.1.2 Sikkerhedsforanstaltningerne er gennemførte under hensyntagen til det aktuelle tekniske ni-
veau, implementeringsomkostningerne, og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af va- rierende sandsynlighed og alvor for fysiske per- soners rettigheder og frihedsrettigheder, samt kategorien af personoplysninger.
5.1.3
5.1.4 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databe- handleren, har forpligtet sig til at overholde for- trolighed eller er underkastet en passende lov- pligtig tavshedspligt.
5.1.5 Når den Dataansvarlige skriftligt har gjort op- mærksom på, at denne er underlagt sikker- hedsbekendtgørelsen (BEK nr. 528 af 15/06/2000 med senere ændringer), skal Data- behandleren ligeledes ved sin behandling per- sonoplysninger på vegne af den Dataansvarlige overholde bekendtgørelsen, så længe bekendt- gørelsen er gældende.
5.2 Påvisning af overholdelse
5.2.1 Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af krave- ne i Databehandleraftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidra- ger til revisioner, herunder inspektioner, der fo- retages af den Dataansvarlige eller en anden re- visor, som er bemyndiget af den Dataansvarlige.
5.2.2 For så vidt angår punkt 5.2.1 underretter Data- behandleren omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelseslovgivningen herunder eventuelt databeskyttelsesbestem- melser i anden EU-ret eller nationale ret rele- vant under Databehandleraftalen.
5.3 Sikkerhedsbrud
5.3.1 Databehandleren underretter uden unødig forsinkelse den Dataansvarlige hvis Databe- handleren bliver opmærksom på, at der er sket brud på persondatasikkerheden.
5.4.1 Under hensyntagen til behandlingens karakter, bistår Databehandleren så vidt muligt den Da- taansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldel- se af den Dataansvarliges forpligtelse til at be- svare anmodninger om udøvelse af de registre- redes rettigheder.
5.4.2 Under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Data- behandleren bistår Databehandleren den Data- ansvarlige med at sikre overholdelse af forplig- telserne vedrørende den Dataansvarliges be- handlingssikkerhed, anmeldelse af brud på per- sondatasikkerheden til tilsynsmyndigheder, un- derretning om brud på persondatasikkerheden til registrerede, konsekvensanalyser vedrørende databeskyttelse og forudgående høringer.
6 VEDERLAG
6.1 Databehandleren har krav på særskilt vederlag for udførelse af en forpligtelse eller ydelse efter anmodning fra den Dataansvarlige, f.eks. i hen- hold til punkt 5.4, eller for ændringer som følge af en ændring af instruksen. Databehandleren kan dog ikke kræve betaling for ydelser, der ud- føres som en direkte følge af Databehandlerens misligholdelse af Databehandleraftalen eller den til enhver tid gældende persondatalovgiv- ning.
7 UNDERDATABEHANDLERE
7.1 Databehandleren kan gøre brug af en tredjepart til behandlingen af personoplysninger på vegne af den Dataansvarlige (”Underdatabehandlere”) uden forudgående samtykke hertil.
7.2 Databehandleren skal underrette den Dataan- svarlige om tilføjelser eller erstatninger af en Underdatabehandler (f.eks. via Databehandle- rens hjemmeside eller på anden måde). Den Dataansvarlige har mulighed for at gøre indsi- gelser gældende mod tilføjelser eller erstatnin- ger af Underdatabehandler i det omfang, der er en rimelig grund hertil.
7.3 Når Databehandleren gør brug af en Underda- tabehandler, skal Databehandleren og Underda- tabehandleren indgå en skriftlig aftale, som på- lægger Underdatabehandleren de samme data- beskyttelsesforpligtelser, som påhviler Databe- handleren (herunder i medfør af denne Data- behandleraftale).
7.4 Databehandleren er direkte ansvarlig for Un- derdatabehandlerens behandling af personop- lysninger på samme vis, som var behandling fo- retaget af Databehandleren selv.
7.5 Uanset punkt 7.3-7.4 accepterer den Dataan- svarlige, at behandling af personoplysninger ved Underdatabehandlere, sker på Underdatabe- handlerens til en hver tid gældende standardvil- kår.
8 OVERFØRSEL TIL TREDJELANDE OG INTERNATI- ONALE ORGANISATIONER
8.1 Den Dataansvarlige accepterer, at Databehand- leren kan overføre personoplysninger til et land uden for den Europæiske Union eller EØS (et ”Tredjeland”) eller internationale organisationer placeret i et Tredjeland. Overførelse til et Tred- jeland kan alene finde sted, hvor den Dataan- svarlige forud herfor har sikret det fornødne overførelsesgrundlag.
8.2 Såfremt det i henhold til det anvendte overfør- selsgrundlag kræves, at den Dataansvarlige er direkte aftalepart i overførselsgrundlaget, skal Databehandleren anses for bemyndiget til at indgå sådan aftale på vegne af den Dataansvar- lige, f.eks. EU Kommissionens til en hver tid gældende standardkontraktsbestemmelser. Indholdet af denne Databehandleraftale skal ik- ke anses for at ændre på indholdet af standard- kontraktbestemmelserne. Hvis Databehandle- ren overfører personoplysninger til et Tredje- land, er Databehandleren ansvarlig for at sikre fornødent overførelsesgrundlag.
9 ANSVAR OG ANSVARSBEGRÆNSNINGER
9.1 Ansvarsbegrænsningen i Betingelserne finder anvendelse for Databehandlerens behandling af personoplysning under Databehandleraftalen.