DATABEHANDLERAFTALE Bilag 2 til Kolonihaveforeningens vejledning om persondata (SKABELON) Mellem [Haveforening] [adresse] CVR. nr.: [XXXX] (herefter ”foreningen”) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter ”leverandøren”)





DATABEHANDLERAFTALE

Bilag 2 til Kolonihaveforeningens vejledning om persondata (SKABELON)





Mellem

[Haveforening]

[adresse]

CVR. nr.: [XXXX]

(herefter ”foreningen”)



og

[Leverandørens navn]

[adresse]

[postnr. og by]

CVR. nr.: [XXXX]

(herefter ”leverandøren”)



er der indgået nedenstående databehandleraftale (herefter ”aftalen”) om leverandørens behandling af personoplysninger på foreningens vegne.

Databehandleraftalen knytter sig til parternes hovedaftale af [dato] om levering af XXX til foreningen (herefter ”hovedaftalen”).







BAGGRUND OG FORMÅL

Leverandøren leverer indsæt hvad der leveres, f.eks. it-løsninger til foreningen i medfør af hovedaftalen af [dato] og leverandøren behandler i den forbindelse personoplysninger for foreningen. Denne aftale vedrører leverandørens forpligtelse som databehandler for foreningen.

FORENINGENS RETTIGHEDER OG FORPLIGTELSER

Foreningen er dataansvarlig for de personoplysninger, som foreningen i medfør af hovedaftalen har instrueret leverandøren om at behandle. Foreningen er således omfattet af gældende regler for dataansvarlige i forordning og lovgivning.

Foreningen skal orientere leverandøren om foreningens eventuelle interne it-instrukser, sikkerhedspolitik m.v.

LEVERANDØRENS FORPLIGTELSER

Leverandøren er databehandler for de personoplysninger, som behandles på vegne af foreningen. Leverandøren skal efterleve de sikkerhedskrav, som persondataforordningen og lovgivningen i øvrigt stiller, og skal behandle personoplysninger i overensstemmelse med til enhver tid gældende regler og forskrifter for behandling af personoplysninger.

Leverandøren behandler alene de omhandlede personoplysninger efter instruks fra foreningen og alene med henblik på opfyldelse af hovedaftalen.

Leverandøren skal på opfordring fra foreningen hjælpe med at opfylde foreningens forpligtelser i forhold til gældende regler, f.eks. den registreredes ret til indsigt, berigtigelse eller sletning.

Leverandøren garanterer at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger, sådan at leverandørens behandling af foreningens personoplysninger opfylder gældende regler og sikrer beskyttelse af oplysningerne og den registreredes rettigheder.

UNDERLEVERANDØR (UNDERDATABEHANDLER)

Leverandøren må ikke uden udtrykkelig skriftlig godkendelse fra foreningen anvende underdatabehandlere. Ved underdatabehandler forstås en underleverandør, til hvem databehandleren har overladt hele eller dele af den behandling, som databehandleren foretager for foreningen.

Hvis foreningen tillader, at leverandøren overlader behandlingen af personoplysninger til underdatabehandlere, skal leverandøren indgå en skriftlig databehandleraftale med underdatabehandleren. Aftalen skal pålægge underdatabehandleren de samme forpligtelser, som leverandøren selv er omfattet af. Det er leverandørens ansvar at sikre, at eventuelle underdatabehandlere gøres bekendt med foreningens instruks.

Leverandøren har over for foreningen ansvaret for underdatabehandlerens overholdelse af disses forpligtelser, og foreningen har ret til at se aftalen med underleverandøren.

INSTRUKSER

Leverandøren er instrueret i alene at behandle personoplysninger med det formål at varetage de i hovedaftalen fastsatte databehandlingsopgaver. Leverandøren giver besked til foreningen, hvis en instruks efter leverandørens vurdering er i strid med gældende regler.

TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER

Leverandøren skal føre en fortegnelse over dennes behandling af personoplysninger.

Leverandøren skal iværksætte de foranstaltninger, der kræves for at sikre et passende sikkerhedsniveau.

Leverandøren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen for at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget.

Leverandøren har pligt til at instruere sine ansatte om leverandørens forpligtelser, herunder om tavshedspligt og fortrolighed.

Leverandøren er forpligtet til straks at underrette foreningen om ethvert sikkerhedsbrud, uanset om dette sker hos leverandøren eller hos en eventuel underdatabehandler.

Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud.

TAVSHEDSPLIGT OG FORTROLIGHED

Leverandøren er pålagt fuld tavshedspligt vedrørende alle oplysninger, som leverandøren bliver bekendt med gennem det aftalte hverv. Denne tavshedspligt gælder også efter aftalens ophør.

Leverandøren skal sikre, at ansatte og eventuelle underdatabehandlere er omfattet af tavshedspligten.

KONTROLLER OG ERKLÆRINGER

Leverandøren skal medvirke til, at foreningen kan sikre sig, at leverandøren overholder de krav, der følger af denne aftale.

Foreningen eller foreningens revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos leverandøren med henblik på at konstatere, at leverandøren overholder gældende regler samt de krav, der følger af denne aftale. Foreningen kan også kræve en årlig IT-revisionserklæring efter anerkendte standarder uden omkostninger for foreningen.

Såfremt foreningen eller relevante offentlige myndigheder ønsker at foretage inspektion hos leverandøren, skal leverandøren og eventuelle underleverandører stille tid og ressourcer til rådighed herfor uden omkostninger for foreningen.

OVERFØRSLER TIL XXXXX XXXXX

Leverandørens overførsel af personoplysninger til tredjelande skal ske i overensstemmelse med gældende regler herom og kan kun ske med foreningens accept.

ÆNDRINGER I AFTALEN

Foreningen er med et varsel på 30 dage og uden at dette medfører krav om betaling fra leverandøren berettiget til at foretage ændringer i aftalen, hvis ændringer i gældende persondataregler eller praksis giver anledning til dette.

OPHØR AF HOVEDAFTALEN

Databehandleraftalen løber indtil ophør af parternes hovedaftale. Databehandleren skal på den dataansvarliges anmodning og efter dennes valg slette eller tilbagelevere de behandlede personoplysninger ved den nævnte aftales ophør. Leverandøren er herunder forpligtet til loyalt og hurtigst muligt at medvirke til, at databehandlingen overgår til en anden leverandør. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever foreningens beslutning.

Leverandøren og eventuel underdatabehandler skal slette eventuelle kopier af de behandlede personoplysninger.

Leverandøren kan ikke betinge sin efterlevelse af foreningens instrukser af honorering af udestående mellemværender, og leverandøren har ingen tilbageholdsret i personoplysningerne.









For foreningen For Leverandøren

Dato Dato





_________________________ _________________________



KOLONIHAVEFORBUNDET
Smedeholm 13 C ∙ DK-2730 Herlev ∙ Tlf. 00 00 00 00 ∙ xxx.xxxxxxxxxxxxxxxxxxx.xx ∙ xxxx@xxxxxxxxxx.xx ∙ CVR 1615 4628
Medlem af Det europæiske kolonihaveforbund.
Version 1.0 i kongresperioden 2022-2024

4

Document Metadata

Filed: February 16th, 2023