Contract
Modelkontrakt - Databehandleraftale
Tekst med grøn = Teksten er anbefalet, men ikke et decideret krav efter forordningen. Dansk Erhverv anbefaler dog, at der tages stilling til de nævnte punkter i kontrakten, da de i mange tilfælde vil dreje sig om krav, der skal overholdes for at opfylde forordningen, men som blot ikke behøver nævnes i kontrakten. Andre forhold er af mere kommerciel karakter.
[Underoverskrift]
indgået mellem
[Navn]
CVR-nr.: [CVR-nr.]
[Adresse]
[Postnr. og by]
(den ”Dataansvarlige”)
og
[Navn]
CVR-nr.: [CVR-nr.]
[Adresse]
[Postnr. og by]
(”Databehandleren”)
(Den Dataansvarlige og Databehandleren kaldes tilsammen ”Parterne” og hver for sig en ”Part”)
Bilag til databehandleraftalen
Bilag 1 Hovedydelsen
Bilag 2 Tekniske og organisatoriske sikkerhedskrav og garantier
Bilag 3 Påvisning af overholdelse
Bilag 4 Konkret bistand
Bilag 5 Den Dataansvarliges forpligtelser
Bilag 6 Underdatabehandlere
Bilag 7 Overførsel til tredjelande og internationale organisationer
Baggrund og Formål
Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom samt bilag 1 til denne aftale (”Hovedydelserne”).
I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag (”Databehandleraftalen”).
Databehandleraftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
2Omfang
Databehandleren bemyndiges til at foretage behandling af de personoplysningerne som er nærmere beskrevet i bilag 1, på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”), medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
Denne Databehandleraftale inkl. bilag udgør Instruksen på underskriftstidspunktet. Instruksen indebærer indtil andet fastsættes af den Dataansvarlige, at Databehandleren må foretage al behandling der er nødvendig for at levere Hovedydelsen.
3Varighed
Databehandleraftalen gælder indtil enten (a) aftale(r)n(e) om levering af Hovedydelserne ophører eller (b) Databehandleraftalen opsiges eller ophæves.
4Databehandlerens forpligtelser
4.1Tekniske og organisatoriske sikkerhedsforanstaltninger
I forbindelse med, at Databehandleren skal behandle personoplysningerne for den Dataansvarlige, har Databehandleren ansvaret for at gennemføre fornødne (a) tekniske- og (b) organisatoriske sikkerhedsforanstaltninger.
Sikkerhedsforanstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, samt typerne af personoplysninger beskrevet i bilag 1.
Parterne er enige om, at de tekniske og organisatoriske sikkerhedsforanstaltninger som fremgår af (a) bilag 2 til denne Databehandleraftale samt (b) aftale(r)n(e) om levering af Hovedydelserne er tilstrækkelige med henblik på, at sikre et passende sikkerhedsniveau på tidspunktet for Databehandleraftalens underskrift. Databehandleren har dog ansvaret for løbende at sikre, at de gennemførte (a) tekniske og (b) organisatoriske foranstaltninger er tilstrækkelige, for at sikre et passende sikkerhedsniveau.
4.2Medarbejderforhold
Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.
Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.
4.3Påvisning af overholdelse
Databehandleren stiller efter anmodning alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databehandleraftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. En sådan anmodning besvares inden rimelig tid.
For så vidt angår punkt 4.3.1 underretter Databehandleren omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelseslovgivningen eller databeskyttelsesbestemmelser i anden EU-ret eller nationale ret.
Specifikke og yderligere krav til påvisning af overholdelse fremgår af Bilag 3.
4.4Sikkerhedsbrud
Databehandleren underretter uden unødig forsinkelse den Dataansvarlige hvis Databehandleren
bliver opmærksom på, at der er sket brud på persondatasikkerheden.Underretningen skal indeholde de faktiske omstændigheder ved bruddet på persondatasikker-
heden, dets virkninger og de trufne og planlagte afhjælpende foranstaltninger.
4.5Bistand
Under hensyntagen til behandlingens karakter, bistår Databehandleren så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder. Dette indebærer, at Databehandleren så vidt muligt skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af
oplysningspligten ved indsamling af personoplysninger hos den registrerede
oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
den registreredes indsigtsret
retten til berigtigelse
retten til sletning (»retten til at blive glemt«)
retten til begrænsning af behandling
underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller
begrænsning af behandlingretten til dataportabilitet
retten til indsigelse
retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering
Under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren bistår Databehandleren den Dataansvarlige endvidere med at sikre overholdelse af forpligtelserne vedrørende den Dataansvarliges:
Behandlingssikkerhed,
Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheder,
Underretning om brud på persondatasikkerheden til registrerede,
Konsekvensanalyser vedrørende databeskyttelse, og
Forudgående høringer.
Databehandleren skal herudover yde bistand med de opgaver, der er anført i Bilag 4.
5Den Dataansvarliges forpligtelser
Den Dataansvarlige har de forpligtelser, som fremgår af bilag 5 og aftale(r)n(e) om levering af
Hovedydelserne.
6Underdatabehandlere
Databehandleren må kun gøre brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang det fremgår af (a) bilag 6 til denne Databehandleraftale, eller (b) Instruks fra den Dataansvarlige.
Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af denne Databehandleraftale).
Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige. Al kommunikation med Underdatabehandleren varetages af Databehandleren, medmindre andet særskilt aftales.
Hvis en Underdatabehandler ikke lever op til Instruksen, kan den Dataansvarlige forbyde anvendelse af den pågældende Underdatabehandler.
Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.
7Overførsel til tredjelande og internationale organisationer
Databehandleren må kun overføre personoplysninger til et land uden for den Europæiske Union eller EØS (et ”Tredjeland”) eller internationale organisationer i det omfang dette fremgår af (a) bilag 7 til denne Databehandleraftale, eller (b) Instruks fra den Dataansvarlige.
Overførsel af personoplysninger må i alle tilfælde kun ske, hvis Databehandleren har sikret et fornødent overførelsesgrundlag, f.eks. EU Kommissionens Standardkontraktsbestemmelser.
Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den Dataansvarlige er direkte part heri, er Databehandleren bemyndiget til at gennemføre dette på den Dataansvarliges vegne, f.eks. ved at indgå aftale ved brug af EU Kommissionens Standardkontraktsbestemmelser på vegne af den Dataansvarlige. Databehandleren skal snarest muligt orientere den Dataansvarlig, hvis denne bemyndigelse udnyttes, og fremsende en kopi af den underskrevne standardkontrakt.
Evt. regulering gældende i medfør af det anvendte overførelsesgrundlag har forrang frem for reguleringen i denne Databehandleraftale, dog alene i relation til den behandling, som nødvendiggør overførelsesgrundlaget; øvrig behandling er alene reguleret af denne Databehandleraftale.
8vederlag og Omkostninger
Databehandleren har krav på rimelig betaling efter medgået tid samt Databehandlerens øvrige omkostninger herved, for de ydelser der udføres efter Databehandleraftalen på den Dataansvarliges anmodning. Dog er Databehandleren forpligtet til at levere de i punkt 4.5.1 nævnte ydelser uden betaling i et omfang svarende til 5 % af den gennemsnitlige årlige betaling for Hovedydelserne.
Databehandleren har krav på rimelig betaling efter medgået tid samt Databehandlerens øvrige omkostninger herved, for de ydelser der udføres efter Databehandleraftalen som følger af ændringer i den Dataansvarliges forhold, medmindre disse er affødt af ændringer i persondatalovgivningen generelt (modsat f.eks. branche- eller sektorspecifik lovgivning). Ændringer i myndighedspraksis anses ikke for ændringer i lovgivningen.
Vederlaget opgøres efter de aftalte timesatser i aftale(r)n(e) om levering af Hovedydelserne, og hvor der ikke er aftalt timesatser heri, da efter Leverandørens gældende timesatser.
Databehandleren har uanset ovenstående ikke krav på betaling for assistance eller implementering af ændringer i det omfang, sådan assistance eller ændring er en direkte følge af Databehandlerens egen misligholdelse af denne Databehandleraftale.
9ÆNDRING af Instruksen
Databehandleren skal uden ugrundet ophold iværksætte implementering af ændringer af Instruksen og sikre, at sådanne ændringer implementeres uden ugrundet ophold set i forhold til ændringernes karakter og omfang.
Vejledende estimat for implementeringstiden og omkostningerne skal meddeles til den Dataansvarlige uden ugrundet ophold.
Databehandlerne er fritaget for ansvar for manglende levering af Hovedydelserne i det omfang (herunder tidsmæssigt), levering heraf vil være i strid med den ændrede Instruks, eller levering i overensstemmelse med den ændrede Instruks er umulig. Dette kan eksempelvis være tilfældet, (i) hvor ændringerne ikke teknisk, praktisk eller juridisk kan implementeres, (ii) hvor den Dataansvarlige eksplicit meddeler, at ændringerne skal være gældende, før implementeringen er mulig eller (iii) i tidsrummet indtil Parterne får gennemført evt. nødvendige ændringer af aftale(r)n(e) i overensstemmelse med ændringsprocedurerne heri.
10Øvrige Bestemmelser
10.1Generelt
Reguleringen af emnerne behandlet i dette punkt 10 i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. Kun i tilfælde hvor aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette punkt 10 finde anvendelse på denne Databehandleraftale.
10.2Ansvar og ansvarsbegrænsninger
Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler, dog med de begrænsninger der følger af dette punkt 10.2. Begrænsningerne gælder ikke i tilfælde af, at en Parts handlinger eller undladelser kan karakteriseres som forsætlige eller groft uagtsomme.
Hver Part fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, omsætningstab, godtgørelse m.v.
Hver Parts ansvar for alle kumulerede direkte krav i henhold til denne Databehandleraftale, inkl. ift. alle former for krav fra tredjemand (inkl. de registrerede), er begrænset til de samlede forfaldne betalinger i henhold til Hovedydelserne for den 24 måneders periode, der går umiddelbart forud for den skadegørende handling. Hvis Databehandleraftalen ikke har været i kraft i 24 måneder, opgøres beløbet som den aftalte betaling for Hovedydelserne i den periode Databehandleraftalen har været i kraft divideret med antallet af måneder, Databehandleraftalen har været i kraft og derefter multipliceret med 24.
10.3Force Majeure
Databehandleren kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, virus,
Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure-situationen varer.
10.4Fortrolighed
Information vedrørende indholdet af denne Databehandleraftale, de underliggende Hovedydelser, den anden Parts forretning, der enten i forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og diskretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige informationer.
Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentlig tilgængelig, uden dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende Parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller information, som selvstændigt er udviklet af den modtagende Part.
11Ophør
11.1Opsigelse og ophævelse
Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftale(r)n(e) om levering af Hovedydelserne.
Opsigelse eller ophævelse af denne Databehandleraftale kan alene ske ved – og berettiger til - samtidig opsigelse eller ophævelse af dele af aftale(r)n(e) om levering af Hovedydelserne, der vedrører behandling af personoplysninger i medfør af Databehandleraftalen.
Når aftale(r)n(e) om levering af Hovedydelserne ophører, vil Databehandleren fortsat have virkning, indtil disse personoplysninger er slettet eller tilbageleveret som beskrevet i punkt 11.5.
11.2Virkning af ophør
Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens ophør, uanset årsag.
Databehandleren må fortsat behandle personoplysningerne i op til tre måneder efter Databehandleraftalens ophør, i det omfang dette er nødvendigt for at fortage nødvendige lovpligtige foranstaltninger. I samme periode er Databehandleren berettiget til at lade personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure. Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
Uanset Databehandleraftalens ophør skal aftalens punkt 10.2, 10.4, 11.4 og 12 fortsat have virkning efter Databehandleraftalens ophør.
12Tvistløsning
Databehandleraftalen er underlagt dansk ret med undtagelse af (a) regler, der fører til anvendelse af anden lov end dansk lov samt (b) FN-konventionen om internationale løsørekøb (CISG).
Kan Xxxxxxxx ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole. Byretten ved den Dataansvarliges værneting er valgt som værneting. Retsplejelovens henvisningsregler til Landsret og Sø- og Handelsret skal dog fortsat finde anvendelse.
13forrang
Såfremt der er modstrid mellem denne Databehandleraftale og aftale(r)n(e) om levering af Hovedydelserne, har denne Databehandleraftale forrang, med mindre andet følger direkte af Databehandleraftalen.
14underskrifter
[●], den [●] For den Dataansvarlige
|
|
|
Navn: |
|
Navn: |
For Databehandleren
|
|
|
Navn: |
|
Navn: |
Bilag 1
Hovedydelsen
Formål og HovedYdelse
Formålet med behandlingen i medfør af denne Databehandleraftale er at levere Hovedydelsen bestående af følgende: [Her indsættes en kort beskrivelse af det/de underliggende aftaleforhold mellem Parterne, der er baggrunden for behovet for en databehandleraftale, med henvisning til de relevante aftaler, samt karakteren af ydelserne] i medfør af [●].
2Personoplysninger
Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:
Almindelige personoplysninger, herunder [enhver form for information om en identificeret eller identificerbar registreret ud over de i litra b) og c) nævnte.].
Følsomme personoplysninger, herunder [racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold eller seksuelle orientering, genetiske data og biometriske data].
[Oplysninger om straffedomme og lovovertrædelser].
[Cpr-numre].
Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databehandleraftalen:
[F.eks.: ansatte]
[F.eks.: klienter]
[F.eks.: kunder]
[F.eks.: børn (angiv i givet fald gerne om børnene er 0-12 år eller 13-18 år). ]
Bilag 2
Tekniske og organisatoriske sikkerhedskrav og garantier
Specifikke tekniske og organisatoriske sikkerhedskrav aftalt mellem
parterne:
Der stilles følgende specifikke krav til Databehandlerens fysiske sikkerhed:
[indsæt beskrivelse af konkrete forhold]
[●]
Der stilles følgende specifikke krav til Databehandlerens tekniske sikkerhed:
[indsæt beskrivelse af konkrete forhold]
[●]
Der stilles følgende specifikke krav til Databehandlerens organisatoriske sikkerhed:
[indsæt beskrivelse af konkrete forhold]
[●]
Der stilles følgende specifikke krav til Databehandlerens sletning af personoplysninger:
[indsæt beskrivelse af konkrete forhold]
[●]
Databehandleren forpligter sig endvidere til at behandle personoplysningerne i overensstemmelse med den informationssikkerhedspolitik som den Dataansvarlige er underlagt jf. Underbilag bilag 2A.
Bilag 3
Påvisning af overholdelse
Som led i den Dataansvarliges kontrol af Databehandleren skal nedenstående punkter udføres og overholdes.
Generel Dokumentation til den Dataansvarlige
Databehandleren er på skriftlig anmodning forpligtet til at fremsende følgende generelle dokumentation til den Dataansvarlige:
[En erklæring fra Databehandlerens ledelse om, at Databehandleren under sin behandling af personoplysninger på den Dataansvarliges vegne løbende sikrer overholdelse af sine forpligtelser efter denne Databehandleraftale.]
[En beskrivelse af de praktiske tiltag, herunder såvel tekniske som organisatoriske, som Databehandleren har gennemført for at sikre overholdelse af sine forpligtelser efter Databehandleraftalen. Beskrivelsen kan bl.a. omfatte en fremstilling af etablerede og implementerede ledelsessystemer for informationssikkerhed og for behandling af personoplysninger samt beskrivelsen af andre iværksatte tiltag. Databehandleren er som led heri også forpligtet til at deltage i opfølgende møder med den Dataansvarlige herom.]
[En beskrivelse af hvilke kontrolforanstaltninger Databehandleren har iværksat og gennemført til måling og kontrol af virkningen af det etablerede ledelsessystem for informationssikkerhed og for behandling af personoplysninger samt resultatmålinger herfra.]
[●]
Den generelle dokumentation skal udleveres senest fem arbejdsdage efter, at den Dataansvarlige har fremsat sin skriftlige anmodning overfor Databehandleren, med mindre andet aftales konkret. Databehandlerens udarbejdelse af dokumentation sker for Databehandlerens egen regning.
2Revisionserklæring
I det omfang en sådan forefindes/udarbejdes, skal Databehandleren årligt og uden særskilt vederlag udlevere en generel revisionserklæring omhandlende Databehandlerens informationssikkerhedsniveau til den Dataansvarlige.
I det omfang en sådan forefindes/udarbejdes, skal Databehandleren årligt og uden særskilt vederlag udlevere en revisionserklæring omhandlende Databehandlerens kontroller rettet mod databeskyttelse og behandling af personoplysninger.
Revisionserklæringerne beskrevet i punkt 2.1 og 2.2 skal – hvis intet andet er aftalt - afgives efter almindeligt accepterede standarder eksempelvis ISAE 3402 type 2 og ISAE 3000 type 2.
Revisionserklæringen skal udarbejdes af en kompetent tredjepart, som skal være underlagt sædvanlig fortrolighedsforpligtelse.
Revisionserklæringerne skal fremsendes til den Dataansvarlige umiddelbart efter, at Databehandleren har modtaget disse fra den uvildige tredjemand.
Databehandleren skal, på skriftlig anmodning og mod særskilt betaling af vederlag, foranledige udarbejdelse og udlevering af yderligere revisionserklæringer om forhold, som nærmere aftales.
3Fysisk møde hos Databehandleren
Databehandleren skal på skriftlig anmodning deltage i et fysisk møde hos Databehandleren eller den Dataansvarlige, hvorpå Databehandleren nærmere skal kunne redegøre for overholdelsen, samt hvordan overholdelsen sikres. Anmodning om møde skal ske med mindst [●] dages varsel.
4Audit
Databehandleren skal på skriftlig anmodning bidrage til og give adgang til audit.
Audit skal foretages af en uafhængig tredjepart valgt af den Dataansvarlige og godkendt af Databehandleren. Databehandleren kan ikke afvise en foreslået tredjepart uden rimelig begrundelse. Den uafhængige tredjepart skal tiltræde en sædvanlig fortrolighedserklæring overfor Databehandleren. Anmodning om audit skal ske med mindst [●] dages varsel. [evt. regulering af hvilke oplysninger der må udleveres til den Dataansvarlige.]
5Øvrigt
Overstående punkter skal ikke anses for udtømmende, og Databehandleren er derfor forpligtet til at foretage sådanne yderligere handlinger og tiltag, som er nødvendige for demonstration af Databehandlerens forpligtelse efter punkt 4 i Databehandleraftalen.
Databehandleren er ikke forpligtet til at følge en anmodning fra den Dataansvarlige i henhold til dette bilag 3 hvis anmodningen strider mod den persondataretlige regulering. Databehandleren skal underrette den Dataansvarlige i det omfang, det er Databehandlerens vurdering, at dette er tilfældet.
Bilag 4
Konkret bistand
Bistand
Parterne har aftalt, at følgende konkrete opgaver udføres af Databehandleren:
-
Opgave
Vederlag
[Opgave]
[Pris pr. gang/time/måned/år]
[Opgave]
[Pris pr. gang/time/måned/år]
Bilag 5
Den
Dataansvarliges
forpligtelser
Forpligtelser
Den Dataansvarlige har følgende forpligtelser
Den Dataansvarlige er ansvarlig for at overholde den til enhver tid gældende persondatalovgivning i forhold til de personoplysninger, som overlades til Databehandlerens behandling. Den Dataansvarlige er herunder navnlig ansvarlig for, at:
Databehandleren kan agere efter bilag 1, bl.a. i forhold til fastsættelse af nødvendige sikkerhedsforanstaltninger.
Den Dataansvarlige har fornøden hjemmel til at behandle og til at overlade det til Databehandleren at behandle de personoplysninger, der behandles i forbindelse med levering af Hovedydelserne.
Den afgivne Instruks, i henhold til hvilken Databehandleren skal behandle personoplysninger på vegne af den Dataansvarlige, er lovlig.
Den Dataansvarlige orienterer skriftligt Databehandleren om eventuelt gennemførte konsekvensanalyser, der er relevante for de overladte behandlingsaktiviteter, og den Dataansvarlige giver samtidig Databehandleren fornøden indsigt i analysen med henblik på at Databehandleren kan opfylde sine forpligtigelser under Databehandleraftalen.
Den Dataansvarlige orienterer i øvrigt Databehandleren om forhold af betydning for Databehandleren udførelse af sine forpligtigelser under Databehandleraftalen, herunder blandt andet den Dataansvarliges løbende risikovurdering, i det omfang de er relevante for Databehandleren.
Den Dataansvarlige orienterer desuden Databehandleren, hvis den til enhver tid gældende persondatalovgivning i forhold til de personoplysninger, som overlades til Databehandlerens behandling, omfatter andet end Databeskyttelsesloven eller Europa-Parlamentets og Rådets forordning (EU) 2016/679.
Den Dataansvarlige bistår Databehandleren med at indgå aftaler med Underdatabehandlere, i det omfang det er nødvendigt, herunder for at sikre overførselsgrundlag til tredjelande
Bilag 6
Underdatabehandlere
Generelt
[Alternativ 1 (behold punkt 1.1, 1.2 og 1.3)] Den Dataansvarlige giver hermed sin godkendelse til, at Databehandleren anvender følgende Underdatabehandlere:
-
Navn
Adresseoplysninger
[Navn]
[Adresse og CVR-nr]
[Navn]
[Adresse og CVR-nr]
Databehandleren må ikke gøre brug af andre Underdatabehandlere uden forudgående specifik skriftlig godkendelse fra den Dataansvarlige.
Den Dataansvarlige kan alene tilbageholde sådan godkendelse, hvis der foreligger konkrete og rimelige årsager hertil.
[Alternativ 2 (behold punkt 1.4 og 1.5)] Databehandleren må ikke gøre brug af en Underdatabehandler uden forudgående specifik skriftlig godkendelse fra den Dataansvarlige.
Den Dataansvarlige kan alene tilbageholde sådan godkendelse, hvis der foreligger konkrete og rimelige årsager hertil.
[Alternativ 3 (behold punkt 1.6 og 1.7)] Den Dataansvarlige giver hermed sin forudgående generelle skriftlige godkendelse til, at Databehandleren kan gøre brug af en Underdatabehandler. Databehandleren skal skriftligt underrette den Dataansvarlige om tilføjelse eller erstatning af en Underdatabehandler forud for anvendelsens påbegyndelse. Tilsvarende skal Databehandleren underrette den Dataansvarlige om ophør af brug af en Underdatabehandler.
Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan Underdatabehandler i det omfang, der er en rimelig grund hertil.
2SÆRLIGE VILKÅR
Til brug for behandlingen anvendes følgende Underdatabehandlere med følgende særlige vilkår, der har forrang frem for denne Databehandleraftale:
-
Underdatabehandler
Vilkår
[Navn, adresse mv]
[Link til vilkår/fravigelser eller underbilag indeholdende vilkårene/fravigelserne]
[Navn, adresse mv]
[Link til vilkår/fravigelser eller underbilag indeholdende vilkårene/fravigelserne]
Bilag 7
Overførsel til tredjelandE og internationalE organisationER
Generelt
-
Virksomhed
Land eller lokation
[Navn]
[Land eller lokation]
[Navn]
[Land eller lokation]
Personoplysninger kan herudover ikke underkastes behandling af Databehandleren eller en Underdatabehandler i et Tredjeland eller en international organisation, medmindre den Dataansvarlige giver konkret tilladelse hertil.
[Alternativ 2 (behold punkt 1.3 og 1.4) Den Dataansvarlige giver hermed sin forudgående generelle skriftlige godkendelse til, at Databehandleren kan overføre personoplysninger til et Tredjeland eller international organisation. Databehandleren skal skriftligt underrette den Dataansvarlige forud for overførelse til et nyt Tredjeland eller international organisation. Tilsvarende skal Databehandleren underrette den Dataansvarlige om ophør heraf.
Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan overførelse i det omfang, der er en rimelig grund hertil.
Kontrakten er udarbejdet af XXXX Advokatfirma (xxx.xxxxxxx.xx) på vegne af og i samarbejde med Dansk Erhverv. Ingen af parterne er ansvarlig for fejl eller mangler ved kontrakten. (Version 2 – September 2018)