Contract
Denne databehandleraftale mellem Kundens navn CVR-nr. Adresse Postnr. og by ("A/B") og WA ApS CVR-nr. 28322143 Havneholmen 21, 5. 1561 København V ("Administratoren") Samlet benævnt Parterne og hver for sig benævnt Part. |
Indhold
1 Formål og baggrund
1.1 Parterne har indgået administrationsaftale hvorefter Administratoren foretager betaling for A/B. Administrationens omfang er nærmere specificeret i konkrete ydelser i Administrationsaftalen. Administrationsaftalen med tilhørende bilag, samt eventuelle senere aftalte ændringer omtales samlet som administrationsaftale.
1.2 Denne aftale vedrører Administratorens behandling af persondata i forbindelse med Administratorens udførelse af de aftalte ydelser om betaling og opkrævning af boligafgift, leje m.v. Herigennem vil Administratoren få adgang til eller modtage visse personoplysninger, som Administratoren behandler på vegne af A/B, og Administratoren udfører alene denne opgave efter instruks fra A/B i henhold til Administrationsaftalen.
1.3 Denne databehandleraftale regulerer Administratorens ansvar som databehandler, samt Parternes fælles forpligtelser efter persondataforordningen (forordning 2016/679) samt lov om personoplysninger (persondataloven, lov nr. 429 af 31. maj 2000 med senere ændringer).
1.4 Administratoren forpligter sig til at sikre, at der indgås databehandleraftaler med samtlige Underleverandører, der som minimum indeholder samme krav som denne databehandleraftale.
2 Definitioner
2.1 Ved ”A/B” forstås den juridiske enhed, som er dataansvarlig, jf. Persondataforordningen art. 4 (7).
2.2 Ved ”Administratoren” eller ”Underleverandører” forstås den eller de parter, som udgør databehandler(e), jf. Persondataforordningen art. 4 (8). Administratoren er aldrig dataansvarlig for arbejde, der udføres for A/B, jf. Persondataforordningen art. 4 (7), idet Administratoren arbejder under instruks fra A/B.
2.3 Ved "behandling" forstås den betydning, som fremgår af Personforordningen art. 4 (2). Behandling er således defineret som enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse. Selve det at opbevare Persondata er således en behandling i sig selv.
2.4 Data, der udveksles i forbindelse med administrationsaftale, og som klassificeres som personoplysninger i henhold til Persondataforordningen art. 4 (1), både af almindelig og følsom karakter, benævnes ”Persondata”. Persondata omfatter ikke data, der ikke er personhenførbart, herunder er anonymiseret data ikke Persondata.
2.5 Persondata er bl.a. navn, e-mail, telefonnummer og tilsvarende kontaktdata.
2.6 Persondata kan omfatte personoplysninger, som A/B er dataansvarlig for, eksempelvis personoplysninger om A/B’s ansatte (fx vicevært), medlemmer, evt. lejere og samarbejdspartnere (fx målerselskaber, hjemmesideudbyder, ekstern bogholder eller lignende).
Persondata omfatter alene almindelig data, jf. persondataforordningen art. 6, idet A/B indestår for, at alene denne type data overføres til Administratoren eller på anden måde behandles af Administratoren i henhold til Administrationsaftalen.
Hvis der også kan forekomme følsomme data kan følgende formuleringer anvendes til pkt. 2.7: såvel almindelig som følsomme data, jf. persondataforordningen art. 6 og 9.
3 A/B’s behandling af persondata og øvrige forpligtelser
3.1 A/B er forpligtet til at behandle personoplysninger i overensstemmelse med persondataforordningen og persondataloven, herunder reglerne om god databehandlingsskik, jf. persondataforordningen art. 5, samt lovlig behandling af personlige oplysninger, jf. persondataforordningen art. 6, 7, 8, 9, 10 og 11.
3.2 A/B forpligter sig i den forbindelse til at informere andelshaverne og evt. lejere i henhold til persondataforordningen art. 13 og samtlige andre oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at andelshaverne og evt. lejere kan varetage sine interesser.
3.3 Ved A/B’s overdragelse af personoplysninger til Administrator indestår A/B for, at personoplysninger er indsamlet lovligt, og at A/B er berettiget til at overdrage personoplysninger til behandling ved Administratoren. Det er A/B’s ansvar at sikre, at der alene overdrages personoplysninger til Administratoren, som er relevante, nødvendige og begrænset til formålet med behandlingen hos Administratoren.
3.4 Ved Administratorens indsamling og behandling af personoplysninger som led i Administrators øvrige virksomhed, altså hvor personoplysninger ikke er modtaget fra eller indsamlet på vegne af A/B, er det Administratoren, som er dataansvarlig. Denne indsamling og behandling er således ikke omfattet af databehandleraftalen.
4 Instruks
4.1 Administratoren skal udføre de i Administrationsaftalen aftalte opgaver. Til dette bemyndiges Administratoren til at foretage behandling af personoplysninger på A/B’s vegne, som det fremgår af bilag 1 til nærværende databehandleraftale.
4.2 A/B har oplyst, at behandling af Persondata sker på grundlag af følgende formål:
• Daglig boligadministration af A/B, f.eks. betaling og opkrævning af boligafgift
• Andelsoverdragelse, herunder modtagelse af opsigelse, udarbejdelse af overdragelsesaftale samt nødvendige ekspeditioner i forbindelse hermed
• Administration af boliglejere
• Administration af erhvervslejere
• Udarbejdelse af årsrapport og budget
• Afholdelse af generalforsamlinger og andre møder
• Udarbejdelse af varmeregnskab
• Udarbejdelse af vandregnskab
• Udarbejdelse af energimærkning for ejendommen
• Administrering af abonnementsaftaler og forsikringer
• Lønadministration for A/B's ansatte
• Bestyrelsens online adgang
• Administration af fællesvaskeri
De enkelte punkter kan variere i forhold til den pågældende forenings indgåede administrationsaftale.
4.3 Administratoren må anonymisere og gøre Persondata ikke-personhenførbart, og behandling af sådan data er ikke omfattet denne databehandleraftale.
5 Administratorens behandling af persondata
5.1 Administratoren er etableret i Danmark.
5.2 Administratoren må udelukkende behandle Persondata på vegne af A/B samt i overensstemmelse med den i pkt. 4 beskrevne instruktion og aftalte formål, herunder for at kunne udføre den aftalte service i henhold til administrationsaftalen og denne databehandleraftale.
5.3 Offentlige kontrolmyndigheder og andre myndigheder skal i henhold til den til enhver tid gældende lovgivning eller A/B’s anvisninger inden for Administratorens normale kontortid have adgang til uanmeldt at efterse, undersøge, kontrollere samt revidere data, datamedier og informationsbehandlende enheder hos Administratoren. For A/B’s interne revision og A/B’s eksterne revisorer gælder samme rettigheder, dog forudsat at der afgives et varsel på minimum 7 arbejdsdage til Administratoren.
6 Behandling af registreredes rettigheder
6.1 Administrator skal i fornødent og rimeligt omfang bistå A/B med opfyldelse af dennes forpligtelse over for registrerede personer i forbindelse med indsamling og behandling af personoplysninger i henhold til den til enhver tid gældende lovgivning om persondata, herunder krav om lovlig behandling, ajourføring, oplysningspligt ved indsamling, indsigtsret, ret til berigtigelse, ret til sletning, ret til begrænsning af behandling, underretningspligt, ret til dataportabilitet og ret til indsigelse.
6.2 Såfremt Administratoren modtager en begæring vedrørende en registreret persons rettigheder, skal Administratoren hurtigst muligt videregive denne begæring til A/B, og Administratoren skal i rimeligt omfang bistå A/B med besvarelse af begæringen.
7 Administratorens brug af underdatabehandlere
7.1 Behandling af personoplysninger må ikke overlades til anden ekstern databehandler, herunder hverken Underleverandører eller andre serviceudbydere uden samtykke fra A/B eller i forhold til, hvad der er aftalt i denne databehandleraftale.
7.2 I tilfælde af at Administratoren med A/B’s samtykke benytter en Underleverandør til behandling/opbevaring af data, forpligter Administratoren sig til at indgå en aftale med Underleverandøren, der som minimum forpligter Underleverandøren til at overholde de fastsatte bestemmelser i denne databehandleraftale. I tilfælde af at Underleverandøren ikke formår at leve op til vilkårene i denne databehandleraftale, er Administratoren berettiget til inden for 7 arbejdsdage at udbedre forholdet.
7.3 Administratoren anvender på tidspunktet for administrationsaftalens indgåelse de Underleverandører, der fremgår af nærværende databehandleraftales bilag 2 til behandling af Persondata.
7.4 A/B samtykker i Administratorens anvendelse af Underleverandører som anført i pkt. 7.3.
7.5 A/B samtykker i, at Administratoren og/eller dennes Underleverandører m.v. kan udskifte de i pkt. 7.3 oplistede Underleverandører med andre Underleverandører til løsning af services/ydelser af samme karakter, som de i pkt. 7.3 oplyste Underleverandører og deres Underleverandører.
7.6 Al kommunikation med Underleverandører skal ske gennem Administratoren.
7.7 Er Underleverandøren etableret uden for EU/EØS, kan Persondata kun overdrages, hvis dette tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, jf. persondataforordningen art. 44, 45, 46, 47, 48 og 49, og hvis persondataforordningen overholdes inden overdragelsen. Administratoren er ansvarlig for at sikre, at den pågældende Underleverandør, jf. pkt. 7.3 og dennes Underleverandører m.v. fra et land uden for EU/EØS har et tilstrækkeligt databeskyttelsesniveau eller at Persondata behandles på betryggende vis.
8 Administratorens øvrige forpligtelser
8.1 Administratoren er forpligtet til at bistå A/B med opfyldelse af A/B’s forpligtelser over for andelshaverne og evt. lejere om oplysningspligt, indsigtsret, ret til berigtigelse, ret til sletning, ret til begrænsning af behandling, ret til dataportabilitet, ret til indsigelse samt ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling. Dette gælder dog kun for så vidt angår de ydelser, som Parterne har aftalt i Administrationsaftalen § 3, at Administratoren skal udføre for A/B.
8.2 Forpligtelsen i pkt. 8.1 gælder også Administratorens Underleverandører, og skal tillige fremgå af den mellem Administratorens og dennes Underleverandører m.v. indgåede aftaler.
8.3 Udlevering af data skal ske til A/B og/eller til en af A/B skriftligt udpeget og fornødent identificeret tredjemand.
8.4 A/B skal afholde eventuelle omkostninger til Administratoren og/eller Underleverandører i forbindelse med denne bistand, herunder honorar for medgået tid.
8.5 Administratoren skal underrette A/B, hvis Administratoren af væsentlige grunde ikke er i stand til at sikre en korrekt behandling af Persondata i overensstemmelse med denne databehandleraftale, og Administratoren ikke inden for 7 arbejdsdage har været i stand til at genoprette korrekt behandling af Persondata.
8.6 Administratoren har pligt til at bistå A/B og Datatilsynet.
8.7 Administratorens medarbejdere skal modtage uddannelse og instruktioner i behandling af personoplysninger.
9 Sikkerhedsforanstaltninger
9.1 Administratoren skal træffe de nødvendige tekniske og organisatoriske foranstaltninger forelagt denne som databehandler. Disse sikkerhedsforanstaltninger skal sikre mod, at Persondata:
9.1.1 Hændeligt eller ulovligt tilintetgøres, fortabes eller på anden vis forringes,
9.1.2 Kommer til uvedkommendes kendskab eller misbruges eller i øvrigt behandles i strid med gældende regler, hvoraf følger, at Administratoren til stadighed er forpligtet til at opretholde en rimelig og opdateret beskyttelse af Administratorens systemer, herunder af driftsmiljøet, hvor disse kan påvirke Administratorens levering af ydelser, mod ulovlig elektronisk eller fysisk indtrængen, hærværk, tyveri, hacking, edb-virus, ”denial of service” (DDoS) angreb og andre lignende sikkerhedsmæssige brud, samt mod risiko for brand, storm, vandskade og andre forhold, der kan bringe Administratorens opfyldelse af Aftalen i fare eller ødelægge eller give uvedkommende adgang til A/B s it-systemer, og behandles i strid med gældende regler.
9.2 Bemærk at ovenstående ses som eksempler og ikke er udtømmende.
9.3 Administratoren skal uden unødigt ophold informere A/B om enhver hændelig eller ulovlig adgang til Persondata. Administratoren skal i så fald gennemføre en undersøgelse af hændelsens årsag, forløb og konsekvens, og informere A/B om undersøgelsens konklusioner.
10 Behandling af brud på persondatasikkerheden
10.1 Såfremt Administratoren måtte blive bekendt med eller mistænker et brud på persondatasikkerheden, der har ført til eller i væsentlig grad kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger behandlet for A/B, skal Administratoren uden unødig forsinkelse orientere A/B herom.
10.2 Administratorens orientering om brud på persondatasikkerheden skal indeholde fornødne oplysninger til, at A/B kan foretage anmeldelse til Datatilsynet samt underrette de registrerede personer som bruddet vedrører.
10.3 I forbindelse med et brud på persondatasikkerheden skal Administratoren i fornødent og rimeligt omfang bistå A/B med anmeldelse af brud på persondatasikkerheden til Datatilsynet, underretning af de registrerede personer herom, dokumentation af sikkerhedsbruddets omstændigheder og virkning samt afhjælpningsforanstaltninger.
11 Dokumentation og revision
11.1 Administratoren skal efter skriftlig anmodning fra A/B inden for rimelig tid dokumentere, at Administratoren overholder sine forpligtelser efter databehandleraftalen og den til enhver tid gældende persondatalovgivning for så vidt angår personoplysninger, der behandles for A/B.
11.2 Administratoren skal give mulighed for og bidrage til, at A/B kan påse, at Administratoren overholder sine forpligtelser efter databehandleraftalen og den til enhver tid gældende persondatalovgivning, herunder ved inspektioner foretaget af A/B eller revisorer, der er bemyndiget af A/B, eller af offentlige myndigheder.
11.3 A/B er berettiget til for egen regning at lade uafhængig tredjepart efter A/B’s valg foretage en årlig revision af Administratorens behandling af personoplysninger.
11.4 Administratoren skal underrette A/B, hvis Administratoren kontaktes af Datatilsynet eller andre myndigheder angående behandling, sikkerhed eller andre forespørgsler i forbindelse med behandling af personoplysninger for Dataansvarlig, medmindre dansk lovgivning forbyder sådan underretning.
12 Sletning og tilbagelevering af personoplysninger
12.1 Ved bortskaffelse eller overlevering af udstyr sletter Administratoren alle personoplysninger fra udstyret.
12.2 Ved Administrationsaftalens ophør skal Administratoren efter anmodning fra Dataansvarlig og inden rimelig tid overføre eller slette alle personoplysninger modtaget fra eller indsamlet på vegne af A/B, med mindre Administratoren er forpligtet til fortsat at opbevare oplysningerne i henhold til dansk lovgivning.
12.3 Ved A/B’s opsigelse eller ophævelse af Administrationsaftalen skal anmodning om overførsel fremsættes i forbindelse hermed. Ved Administrators opsigelse eller ophævelse af Administrationsaftalen skal A/B fremsætte anmodning om overførsel senest 14 dage efter modtagelse af opsigelse eller ophævelse.
13 Tavshedspligt og fortrolighed
13.1 Administratoren er forpligtet til at iagttage fortrolighed om alle oplysninger vedrørende A/B samt Persondata, som Administratoren har fået kendskab til som led i opfyldelsen af henholdsvis administrationsaftalen samt denne databehandleraftale.
13.2 Administratoren forpligter sig til at pålægge egne medarbejdere og Underleverandører, der får adgang til Persondata, samme tavshedspligt.
13.3 Tavshedspligten ophører ikke ved administrationsaftalens ophør, eller medarbejderes ansættelses-ophør.
14 Ophør og varighed
14.1 Denne databehandleraftale er gældende indtil administrationsaftale opsiges af en af Parterne og udløber i overensstemmelse med administrationsaftale, eller når en tidsbegrænset administrationsaftale udløber.
14.2 En sikkerhedshændelse, hvor Persondata er blevet kompromitteret i alvorlig grad, kan medføre, at administrationsaftale opsiges, hvis der på baggrund af en sikkerhedshændelse af alvorlig karakter og efter påkrav ikke er implementeret tilstrækkelige sikkerhedsforanstaltninger til at imødegå lignende hændelser.
14.3 I tilfælde af ophør af administrationsaftale, uanset det juridiske grundlag herfor, er A/B forpligtet til forinden at sikre sig kopi, transmission eller anden overførsel af Persondata til egen opbevaring eller opbevaring hos anden databehandler. Administratoren skal loyalt bistå hertil og efter anmodning ændre, overføre eller slette Persondata, som Administratoren behandler for A/B.
14.4 Efter udløb af administrationsaftale vil Administratoren gøre Persondata fuldstændig uidentificerbar eller slette Persondata, medmindre andet følger af ufravigelig lovgivning.
15 Væsentlig misligholdelse
15.1 Ved Administratorens væsentlige misligholdelse af denne databehandleraftale og forudsat, at det pågældende forhold ikke umiddelbart kan udbedres inden for 7 arbejdsdage, er A/B berettiget til at opsige alle tilhørende aftaler om databehandling uden varsel.
15.2 A/B’s væsentlige misligholdelse af administrationsaftalen giver Administratoren ret til fortsat at behandle Persondata i henhold til denne databehandleraftale, herunder betinge den fulde og ubegrænsede efterlevelse af A/B’s instrukser af A/B’s betaling af udestående fakturaer m.v., herunder tilbageholde Persondata.
16 Ansvar
16.1 Administratoren er alene erstatningsansvarlig for skade eller tab over for A/B enten ved direkte eller regreskrav, herunder bøder, såfremt skaden eller tabet skyldes ansvarspådragende fejl eller forsømmelser fra Administratorens side.
16.2 Administratoren er ikke ansvarlig for A/B’s indirekte tab og følgeskader, herunder driftstab, tab af goodwill, tab af besparelser og indtægter samt rentetab.
17 Ikrafttræden og ophør m.v.
17.1 Denne databehandleraftale træder i kraft den 25. maj 2018, hvor den erstatter tidligere databehandleraftale.
17.2 Databehandleraftalen er en integreret del af vores Administrationsaftale og gælder, indtil Administratoren ophører med at levere ydelser til A/B i henhold til administrationsaftalen.
17.3 Ændringer i denne databehandleraftale skal være skriftlige for at være gyldige. Dette gælder dog ikke ændringer, der følger af ændringer i lovgivningen m.v.
17.4 I det omfang forhold ikke er reguleret i denne databehandleraftale, gælder administrationsaftalens vilkår. Såfremt der er modstrid mellem Administrationsaftalen og databehandleraftalen, har databehandleraftalen forrang.
18 Lovvalg og tvister
18.1 Denne databehandleraftale er underlagt og skal fortolkes i henhold til dansk ret. Der skal dog ses bort fra dansk rets internationale privatretlige regler, i det omfang disse regler er fravigelige.
18.2 Enhver tvist i forbindelse med denne databehandleraftale skal afgøres i overensstemmelse med administrationsaftalens tvistløsningsbestemmelser.
19 Accept
19.1 Denne databehandleraftale er udfærdiget for at opfylde persondataforordningen, der træder i kraft den 25. maj 2018. Da databehandleraftalen er en integreret del af Administrationsaftalen kræver den ikke selvstændig underskrift af A/B. Med mindre Administratoren hører andet, anses denne databehandleraftale for accepteret uden fremsendelse af udtrykkeligt svar.
1. Behandling
1.1 Administratoren foretager indsamling og behandling af personoplysninger fra registrerede personer i henhold til Databehandleraftalen til brug for administration samt drift af A/B og A/B’s ejendom.
2. Registrerede personer
2.1 Administratoren behandler personoplysninger om f.eks.:
• Andelshavere i A/B
• Evt. lejere i A/B
• Personer der figurerer på en venteliste i A/B
• Såfremt andelshavere eller lejere i A/B er en juridisk person, behandler Administratoren tillige oplysninger om personer som er ansat i, repræsenterer eller ejer den juridiske person
• Personer ansat for A/B
3. Personoplysninger
3.1 Databehandleraftalen omfatter behandling af almindelige personoplysninger, herunder f.eks.:
• navn
• adresse
• telefonnummer
• CPR-nr.
• Pasoplysninger
• sundhedskortsoplysninger
• IP-adresse
• RKI-oplysning
• lønoplysninger
• bankkontonummer
• personfotografi
• familiemæssige oplysninger
• fødselsdato
• stilling
• tv-overvågning
• erhverv
• forbrugsoplysninger
• omsætningstal
• oplysninger som i øvrigt indgår i dialog med potentielle eller eksisterende andelshavere og/eller lejere
3.2 Følsomme personoplysninger, herunder race eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold, samt andre særlige personlige oplysninger, herunder strafbare forhold, væsentlige sociale problemer og andre rent private forhold indsamles og behandles som udgangspunkt ikke, jf. dog pkt. 3.3, 3.4 og 3.5.
3.3 I foreningensretligt regi behandles følsomme samt andre særlige personlige oplysninger i det omfang, at Administratoren er berettiget til at gøre det i henhold til dansk lovgivning, herunder hvis Administratoren har behov for at registrere oplysninger om et strafbart forhold i form af andelshavers hærværk mod andelsbolig eller ejendom samt andelshavers trusler og vold mod andre brugere af ejendommen eller ansatte hos
Administratoren, samt på områder, hvor der kan tænkes at opstå et retskrav mod andelshaver, f.eks. på erstatning som følge af skader.
3.4 I lejeretlige forhold behandles følsomme samt andre særlige personlige oplysninger i det omfang, at Administratoren er berettiget til at gøre det i henhold til dansk lovgivning, herunder hvis Administratoren har behov for at registrere oplysninger om et strafbart forhold i form af lejers hærværk mod lejemål eller ejendom samt lejers trusler og vold mod andre brugere af ejendommen eller ansatte hos Administratoren, samt på områder, hvor der kan tænkes at opstå et retskrav mod lejer, f.eks. på erstatning som følge af skader.
3.5 I ansættelsesmæssige forhold behandles følsomme samt andre særlige personlige oplysninger i det omfang, at Administratoren er forpligtet eller berettiget til at gøre det i henhold til dansk lovgivning, herunder helbredsoplysninger efter dagpengeloven, årsag til afskedigelse efter funktionærloven, fagforeningsmæssige forhold, samt når Administratoren eksempelvis har behov for at registrere oplysninger om et strafbart forhold i form af underslæb begået af en medarbejder, hvis dette er nødvendigt for at kunne gøre krav på erstatning gældende over for medarbejderen, og på områder, hvor der kan tænkes at opstå et retskrav mod eller til medarbejderen, f.eks. på erstatning som følge af en arbejdsskade.
Nærværende underleverandører benytter Administratoren sig af i forbindelse med administration af A/B og A/B’s ejendom, hvilket A/B ved indgåelse af nærværende databehandleraftale har meddelt samtykke til brug af:
IT-leverandører: Vitec Datamann Viva-IT Lønsystemer: Bluegarden Digital signatur: Penneo