Databehandleraftale
Databehandleraftale
1. Aftale om databehandling
1. Parterne, som denne aftale er indgået i, er
• Kunden, i det følgende benævnt den Dataansvarlige
• CalcuEasy, i det følgende benævnt Databehandlere
2. Aftale om indledende databehandling
1. Denne databehandlingsaftale fastlægger de rettigheder og forpligtelser, der gælder for databehandlerens håndtering af personlige data på vegne af den Dataansvarlige.
2. Denne aftale er designet til at sikre parternes overholdelse af artikel 28, afsnit 3 i Europa- Parlamentets og Rådets forordning 2016/679 fra 27. april 2016 om beskyttelse af fysiske personer med hensyn til behandling af personoplysninger og om fri bevægelighed for sådanne data og om ophævelse af direktiv 95/46/EF (generel databeskyttelsesforordning), der opstiller specifikke krav til indholdet i databehandlingsaftaler.
3. Databehandlerens behandling af personoplysninger finder sted med henblik på opfyldelse af parternes samarbejdsaftale
4. Databehandlingsaftalen og samarbejdsaftalen er indbyrdes afhængige og kan ikke opsiges separat. Databehandlingsaftalen kan dog - uden opsigelse af samarbejdsaftalen - erstattes af en alternativ gyldig databehandlingsaftale.
5. Et bilag A er knyttet til denne databehandlingsaftale. Tillægget udgør en integreret del af denne databehandlingsaftale.
6. Bilag A til databehandlingsaftalen indeholder oplysninger om behandlingen såvel som formålet og arten af behandlingen, type af personoplysninger, kategorier af den registrerede og varigheden af behandlingen.
7. Databehandlingsaftalen og dens tilknyttede bilag bevares elektronisk af begge parter.
8. Denne databehandleraftale fritager ikke databehandleren for forpligtelser, som databehandleren er underlagt i henhold til den almindelige databeskyttelsesforordning eller anden lovgivning.
3. Dataansvarliges rettigheder og forpligtelser
1. Den Dataansvarlige er ansvarlig over for omverdenen (inklusive den registrerede) for at sikre, at behandlingen af personoplysninger finder sted inden for rammerne af den almindelige databeskyttelsesforordning og den danske databeskyttelseslov.
2. Den Dataansvarlige skal derfor have både ret og pligt til at træffe beslutninger om formålet og midlerne til behandling af personoplysninger.
3. Den Dataansvarlige er ansvarlig for at sikre, at den behandling, som databehandleren er instrueret til at udføre, er autoriseret i loven.
4. Databehandleren fungerer i henhold til instruktionerne
1. Databehandleren må udelukkende have tilladelse til at behandle personoplysninger på dokumenterede instruktioner fra Dataansvarlige, medmindre behandling er påkrævet i henhold til EU- eller medlemsstatens lovgivning, som databehandleren er underlagt; i dette tilfælde skal Databehandleren informere den Dataansvarlige om dette juridiske krav inden behandling, medmindre denne lov forbyder sådanne oplysninger af vigtige grunde af almen interesse, jf. Artikel 28, afsnit 3, stk. a.
2. Databehandleren skal straks informere den Dataansvarlige, hvis instruktioner efter Databehandlerens mening er i strid med den almindelige databeskyttelsesforordning eller databeskyttelsesbestemmelser, der er indeholdt i andre EU- eller medlemslandes lovgivning.
5. Fortrolighed
1. Databehandleren skal sikre, at kun de personer, der i øjeblikket er autoriseret til at gøre det, kan få adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Adgang til dataene nægtes derfor uden forsinkelse, hvis en sådan tilladelse fjernes eller udløber.
2. Kun personer, der har brug for adgang til de personlige data for at opfylde databehandlerens forpligtelser overfor Dataansvarlige, skal have tilladelse.
3. Databehandleren skal sikre, at personer, der er autoriseret til at behandle personoplysninger på vegne af Dataansvarlige, har forpligtet sig til at overholde fortrolighed eller er underlagt en passende lovpligtig fortrolighedsforpligtelse.
4. Databehandleren skal på anmodning af den dataansvarlige være i stand til at demonstrere, at de pågældende ansatte er underlagt ovennævnte fortrolighed.
6. Behandlingssikkerhed
1. Databehandleren træffer alle nødvendige foranstaltninger i henhold til Artikel 32 i den almindelige databeskyttelsesforordning, der bestemmer, at hensynet til det aktuelle niveau, implementeringsomkostninger og arten, omfanget, konteksten og formålet med behandlingen og risikoen for forskellige sandsynligheder og alvorlighed for fysiske personers rettigheder og friheder skal den Dataansvarlige og Databehandleren gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen.
2. Ovenstående forpligtelse betyder, at databehandleren skal udføre en risikovurdering og derefter iværksætte foranstaltninger for at imødegå den identificerede risiko. Afhængig af deres relevans kan foranstaltningerne omfatte følgende:
• Anonymisering og kryptering af personlige data
• Evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed over for behandlingssystemer og -tjenester.
• Muligheden for at gendanne tilgængeligheden og adgangen til personlige data rettidigt i tilfælde af en fysisk eller teknisk hændelse.
• En proces til regelmæssigt at teste, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af forarbejdningens sikkerhed.
7. Brug af underdatabehandlere
1. Databehandleren skal opfylde kravene, der er specificeret i Artikel 28, underafsnit 2 og 4, i den generelle databeskyttelsesforordning for at engagere en anden processor (underdatabehandler).
8. Overførsel af data til tredjelande eller internationale organisationer
1. Databehandleren er udelukkende tilladt at behandle personoplysninger på dokumenterede instruktioner fra Dataansvarlige, herunder med hensyn til overførsel (overdragelse, videregivelse og intern brug) af personoplysninger til tredjelande eller internationale organisationer, medmindre behandling er påkrævet under EU eller Lov om medlemsstat, som databehandleren er underlagt. I et sådant tilfælde skal databehandleren underrette databehandleren om det juridiske krav inden behandling, medmindre denne lov forbyder sådanne oplysninger af vigtige grunde af almen interesse, jf. Artikel 28, afsnit 3, stk. a.
9. Hjælp til Dataansvarlige
1. Databehandleren, under hensyntagen til behandlingens art, skal så vidt muligt hjælpe den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger i opfyldelsen af den Dataansvarliges forpligtelser til at svare på anmodninger om udøvelse af registreredes rettigheder i henhold til kapitel 3 i den almindelige databeskyttelsesforordning.
Dette indebærer, at databehandleren så vidt muligt skal hjælpe den Dataansvarlige i dataansvarliges overholdelse af:
1. anmeldelse forpligtelse ved indsamling af personoplysninger fra den registrerede
2. anmeldelse forpligtelse, hvis der ikke er indhentet personoplysninger fra den registrerede
3. den registreredes ret til adgang
4. retten til afhjælpning
5. retten til at slette ('retten til at blive glemt')
6. retten til at begrænse behandlingen
7. anmeldelse forpligtelse vedrørende berigtigelse eller sletning af personoplysninger eller begrænsning af behandlingen
8. retten til dataportabilitet
9. ret til indsigelse
10. retten til at gøre indsigelse mod resultatet af automatiseret individuel beslutningstagning, herunder profilering
2. Databehandleren skal hjælpe databehandleren med at sikre overholdelse af databehandlerens
forpligtelser i henhold til artikel 32-36 i den generelle databeskyttelsesforordning under hensyntagen til behandlingen og de data, der stilles til rådighed for databehandleren, jf. Artikel 28, stk. 3, stk. F.
Dette indebærer, at databehandleren under hensyntagen til behandlingens art i videst muligt omfang skal hjælpe Dataansvarlige med at overvåge, at Dataansvarlige overholder:
1. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende til risikoen forbundet med behandlingen
2. forpligtelsen til at rapportere overtrædelser af personoplysninger til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt inden for 72 timer efter, at den registeransvarlige opdagede en sådan overtrædelse, medmindre bruddet på personoplysninger usandsynligt vil resultere i en risiko for fysiske personers rettigheder og friheder
3. forpligtelsen - uden unødig forsinkelse - at kommunikere bruddet på personoplysninger til den registrerede, når en sådan overtrædelse sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder
4. forpligtelsen til at foretage en konsekvensanalyse af databeskyttelse, hvis en type behandling sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder
5. forpligtelsen til at konsultere med tilsynsmyndigheden (Dansk Databeskyttelsesstyrelse) inden behandlingen, hvis en konsekvensanalyse af databeskyttelse viser, at behandlingen vil føre til en høj risiko i manglen på foranstaltninger, truffet af den Dataansvarlige for at begrænse risikoen
10. Underretning om brud på personoplysninger
1. Ved opdagelse af brud på personoplysninger på databehandlerens faciliteter eller en underdatabehandlers faciliteter skal databehandleren uden unødig forsinkelse underrette den Dataansvarlige.
Databehandlerens meddelelse til Dataansvarlige skal om muligt finde sted inden for 24 timer efter, at databehandleren har opdaget overtrædelsen for at gøre det muligt for Dataansvarlige at overholde sin forpligtelse, hvis relevant, til at rapportere overtrædelsen til tilsynsmyndigheden inden for 72 timer.
2. I henhold til klausul 9.2., stk. b), i denne databehandlingsaftale skal databehandleren - under hensyntagen til arten af behandlingen og de tilgængelige data - hjælpe den Dataansvarlige i rapporteringen af overtrædelsen til tilsynsmyndigheden.
Dette kan betyde, at databehandleren er forpligtet til at hjælpe med at indhente de nedenfor anførte oplysninger, som i henhold til artikel 33, afsnit 3, i den generelle databeskyttelsesforordning skal anføres i Dataansvarliges rapport til tilsynsmyndigheden:
1. Arten af brugen af personoplysninger, herunder om mulige kategorier og det omtrentlige antal berørte registrerede og kategorierne og det omtrentlige antal berørte personoplysninger
2. Sandsynlige konsekvenser ved brud på personoplysninger
3. Forholdsregler, der er truffet eller foreslås for at håndtere bruddet på personoplysninger, herunder i givet fald foranstaltninger til at begrænse dets mulige skade
11. Sletning og returnering af data
1. Ved afslutning af behandlingstjenesterne er databehandleren forpligtet efter Dataansvarliges skøn at slette eller returnere alle personoplysninger til Dataansvarlige og slette eksisterende kopier, medmindre EU-lovgivning eller medlemslands lov kræver opbevaring af de personlige data.
12. Inspektion og revision
1. Databehandleren stiller til rådighed for Dataansvarlige alle oplysninger, der er nødvendige for at demonstrere overholdelse af artikel 28 i den almindelige databeskyttelsesforordning og denne databehandlingsaftale og tillader at bidrage til revisioner, herunder inspektioner udført af Dataansvarlige eller en anden revisor mandat af Dataansvarlige.
13. Påbegyndelse og ophør
1. Denne databehandlingsaftale træder i kraft på datoen for begge parters underskrift/samtykke/aktivering til samarbejdsaftalen.
2. Begge parter har ret til at kræve, at denne databehandlingsaftale genforhandles, hvis ændringer i lovgivningen eller utilstrækkeligheden af bestemmelserne heri skulle give anledning til en sådan genforhandling.
3. Denne databehandlingsaftale kan opsiges i henhold til betingelserne og betingelserne for opsigelse, inkl. meddelelse om opsigelse, der er specificeret i samarbejdsaftalen.
4. Denne databehandlingsaftale gælder så længe, behandlingen udføres. Uanset opsigelsen af samarbejdsaftalen og/eller denne databehandlingsaftale skal databehandlingsaftalen forblive i kraft indtil afslutningen af behandlingen og sletningen af dataene hos databehandleren og eventuelle underdatabehandlere.
14. Dataansvarlige og databehandlerkontakter/kontaktpunkter
1. Parterne kan kontakte hinanden ved hjælp af følgende kontakter/kontaktpunkter, der er specificeret i samarbejdsaftalen
2. Parterne er løbende forpligtet til at informere hinanden om ændringer i kontakter/kontaktpunkter.
Bilag A. Oplysninger om behandlingen
Formålet med databehandlerens behandling af personoplysninger på vegne af Dataansvarlige er:
• Den Dataansvarlige kan bruge CalcuEasy, der ejes og administreres af Databehandleren, til at indsamle og behandle oplysninger om Dataansvarlige medlemmer/medarbejdere.
• Databehandleren kan indsamle og behandle data om Dataansvarlige medlemmer/medarbejdere i CalcuEasy. Databehandleren behandler dataene som aftalt i denne databehandlingsaftale.
Databehandlerens behandling af personoplysninger på vegne af Dataansvarlige skal hovedsageligt vedrøre (arten af behandlingen):
• Databehandleren stiller CalcuEasy-platformen og -tjenesten til rådighed for Dataansvarlige og hjælper Dataansvarlige med at indsamle og behandle produktionsomkostningerne via CalcuEasy-platformen. Gennem dette lagrer Xxxxxxxxxxxxxx personlige data om deres ansatte vedrørende deres e-mail og løn på Databehandlerens servere.
• Databehandleren gemmer aktiviteten inden for CalcuEasy-platformen/tjenesten og gemmer derved personlige oplysninger om medarbejderne hos Dataansvarliges firma, der bruger CalcuEasy-tjenesten.
Behandlingen inkluderer følgende typer personoplysninger om registrerede:
• Navn på Dataansvarliges medarbejder
• Den Dataansvarlige medarbejders e-mails
• Den Dataansvarlige medarbejders løn Behandlingen inkluderer følgende kategorier af registre:
• Personer, der har eller har haft et abonnement hos databehandleren
• Personer, der har en prøvebruger/ prøvekonto (maks. 14 dage) på Databehandlers platform
Databehandlerens behandling af personoplysninger på vegne af Dataansvarlige kan udføres, når denne databehandlingsaftale begynder. Behandlingen har følgende varighed:
• Behandlingen må ikke være tidsbegrænset og skal udføres, indtil denne databehandlingsaftale opsiges eller annulleres af en af parterne.