Databehandleraftale
Databehandleraftale
XXXXXXX
(herefter ”De dataansvarlige”) og
XXXXXX
(herefter “Databehandleren”)
(De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt “Part” og under ét “Parterne”)
har indgået følgende aftale om behandling af personoplysninger (”Aftalen”):
1. Personoplysninger og databehandling
1.1 Som led i Databehandlerens tjenesteydelser for de Dataansvarlige behandler Databe- handleren, jf. denne Aftale, oplysninger om medarbejdere, ansøgere, samarbejds- partnere, kunder og leverandører (herefter benævnt ”Registrerede”) på vegne af de Dataansvarlige.
1.2 Databehandleren behandler følgende kategorier af personoplysninger (herefter be- nævnt ”Personoplysninger”) om de Registrerede på vegne af de Dataansvarlige:
- Særlige kategorier af personoplysninger: Etnisk oprindelse (til brug for rejsebestillin- ger) og helbredsmæssige oplysninger.
- Generelle kategorier af personoplysninger: Navn, telefonnummer, postadresse, mail- adresse, fødselsdato og nærmeste pårørende.
- Straffeoplysninger: Straffeattest
- Oplysninger om nationalt identifikationsnummer: CPR-nr. og pasnummer
1.3 Databehandlerens behandling af Personoplysninger for de Dataansvarlige sker til følgende formål: Lønadministration, HR-support og drift inkl. rekruttering, rejsebe- stillinger, forsikringssager, IT-support og drift inkl. hosting.
1.4 Databehandlerens behandling af Personoplysninger for de Dataansvarlige omfatter følgende aktiviteter:
- Opbevaring af Personoplysninger og sikring af systemers tilgængelighed, integritet og fortrolighed
- Levering af remote service til de Dataansvarliges brugere, jf. oversigt over anvendte systemer (Excelark ”Skemaer”).
- Varetagelse af HR-relaterede opgaver
- Varetagelse af IT-relaterede opgaver
- Varetagelse af bogholderi- og administrative opgaver
- Varetagelse af rejserelaterede aktiviteter
- Kundeoplysninger
- Leverandøroplysninger
1.5 Databehandleren er ansvarlig for, at Personoplysningerne opbevares inden for EU/EØS og at Personoplysningerne ikke uden de Dataansvarliges forudgående, skriftlige accept overføres til lande uden for EU/EØS.
2. Instrukser og fortrolighed
2.1 Databehandleren må kun behandle Personoplysninger efter dokumenteret instruks fra de Dataansvarlige, herunder for så vidt angår overførsel af Personoplysningerne til et tredjeland eller en international organisation. Databehandleren må dog undta- gelsesvis behandle Personoplysninger, uden at dette følger af de Dataansvarliges in- struks, såfremt det kræves i henhold EU-retten eller lovgivningen i en medlemsstat, som Databehandleren er underlagt. I så fald underretter Databehandleren de Dataan- svarlige om dette retlige krav, inden behandlingen finder sted, medmindre det er for- budt at foretage en sådan underretning af hensyn til vigtige samfundsmæssige inte- resser.
2.2 Databehandleren må ikke behandle Personoplysningerne til egne formål, medmindre det udtrykkeligt fremgår af denne Aftale.
2.3 Databehandleren er underlagt fortrolighed, og Databehandleren må ikke uberettiget kopiere, videregive eller udnytte Personoplysningerne. Databehandleren skal sikre, at medarbejdere, der er autoriserede til at behandle Personoplysninger, har påtaget sig en kontraktlig fortrolighedsforpligtelse eller er underlagt en passende lovbestemt tavshedspligt.
2.4 Databehandleren skal sikre, at adgang til Personoplysningerne begrænses til medar- bejdere med et arbejdsrelateret behov for adgang til oplysningerne.
3. Sikkerhed mv.
3.1 For at beskytte Personoplysningerne skal Databehandleren implementere passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen op- fylder EU-forordning 2016/679 om Generel Databeskyttelse (herefter benævnt ”Da- tabeskyttelsesforordning”). Sådanne foranstaltninger fastsættes og tilpasses lø- bende under hensyntagen til det aktuelle tekniske niveau, omkostninger og behand- lingens karakter, omfang, sammenhæng og formål samt risiciene for fysiske perso- ners rettigheder.
3.2 Databehandleren skal sørge for, at Personoplysningerne slettes fra samtlige IT- systemer, arkiver m.v., når fortsat opbevaring ikke længere tjener et sagligt formål og de Dataansvarlige giver instruks herom.
3.3 Databehandleren skal informere og uddanne relevante medarbejdere i fortrolighed for behandling af personoplysninger og skal sikre, at behandling sker i henhold til Af- talens formål og de Dataansvarliges instrukser.
3.4 Herudover skal databehandleren som minimum anvende følgende foranstaltninger:
3.4.1 Fysisk sikkerhed: Når udstyr og mobile enheder ikke anvendes, skal udstyret og en- hederne være låst og/eller låst inde.
3.4.2 Sikkerhedskopier: Personoplysningerne skal rutinemæssigt sikkerhedskopieres. Ko- pierne skal opbevares adskilt og forsvarligt, således at Personoplysningerne kan gen- skabes. Instruks om sletning af Personoplysninger omfatter sletning af Personoplys- ninger indeholdt i sikkerhedskopier.
3.4.3 Adgangskontrol: Adgangen til Personoplysningerne skal begrænses med en teknisk adgangskontrol. Bruger-ID og kodeord skal være personlige og må ikke overdrages. Der skal findes forretningsgange for tildeling og lukning af adgang.
3.4.4 Logning: Der skal føres log eller lignende funktion over tilgang og behandling af Per- sonoplysningerne. Det skal være muligt at se, hvilke personer, som har haft adgang og den behandling, som den enkelte har foretaget.
3.4.5 Datakommunikation: Kommunikation af Personoplysningerne skal ske over sikre forbindelser. Personoplysninger, der overføres uden for et lukket netværk kontrolle- ret af Databehandleren, skal beskyttes med kryptering.
3.4.6 Hardware destruktion: Når udstyr eller mobile enheder, som indeholder Personop- lysninger, ikke længere anvendes til behandlingen af Personoplysningerne, skal Per- sonoplysningerne permanent slettes på udstyret, så oplysningerne ikke kan genska- bes.
4. Underdatabehandlere
4.1 Databehandleren er med forbehold af pkt. 4.3 hermed bemyndiget til at gøre brug af underdatabehandlere uden at skulle indhente yderligere skriftlig tilladelse fra de Da- taansvarlige, forudsat at Databehandleren skriftligt underretter de Dataansvarlige om identiteten på den potentielle underdatabehandler (og dennes eventuelle databe- handlere) inden indgåelse af aftale med de pågældende underdatabehandlere, hvor- ved de Dataansvarlige får mulighed for at gøre indsigelse.
4.2 Underretninger og mulighed for at gøre indsigelse efter pkt. 4.1 skal tilsvarende gives ved eventuelt planlagte ændringer vedrørende tilføjelse, erstatning eller ophør af an- vendelse af underdatabehandlere. En indsigelse skal være Databehandleren i hænde senest 7 dage efter modtagelsen hos de Dataansvarlige.
4.3 Det er en forudsætning for antagelse af en underdatabehandler, at Databehandleren indgår en skriftlig aftale med underdatabehandleren om, at underdatabehandleren pålægges de samme databeskyttelsesforpligtelser og kontraktuelle betingelser, som dem der er fastsat i Aftalen, herunder at underdatabehandleren skal gennemføre pas- sende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlin- gen opfylder kravene i Databeskyttelsesforordningen.
4.4 Databehandleren er ansvarlig over for de Dataansvarlige for eventuelle underdatabe- handlere på samme måde som for Databehandlerens egne handlinger og undladelser.
5. Bistand til de Dataansvarlige
5.1 Databehandleren skal bistå de Dataansvarlige med at sikre overholdelse af forpligtel- serne i henhold til Artikel 32 til 36 i Databeskyttelsesforordningen og anden gælden- de databeskyttelses- og informationssikkerhedslovgivning, dvs. sikkerhedsforanstalt- ninger, underretning af tilsynsmyndigheder, underretning af individuelle personer, udarbejdelse af konsekvensanalyser vedrørende databeskyttelse og forudgående hø- ring hos tilsynsmyndigheder mv.
5.2 Under hensyntagen til behandlingens karakter skal Databehandleren så vidt muligt bistå de Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstalt- ninger med opfyldelse af de Dataansvarliges lovmæssige forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i Databeskyt- telsesforordningens Kapitel III.
5.3 Databehandleren skal omgående underrette de Dataansvarlige ved konstatering af brud på sikkerheden af betydning for Personoplysningerne.
5.4 Databehandleren skal omgående informere de Dataansvarlige, hvis Databehandleren mener, at en instruks overtræder Databeskyttelsesforordningen eller andre databe- skyttelsesbestemmelser i anden EU-ret eller medlemsstaters nationale ret.
6. Påvisning af overholdelse, revisioner mv.
6.1 Databehandleren skal efter anmodning og uden særskilt vederlag stille alle de oplys- ninger til rådighed for de Dataansvarlige, der er nødvendige for at påvise overholdelse af forpligtelserne i Aftalen, Databeskyttelsesforordningen og eventuel særlovgivning.
6.2 Databehandleren skal give mulighed for og bidrage til revisioner, herunder inspektio- ner, der foretages af de Dataansvarlige eller revisorer bemyndiget af de Dataansvarli- ge, de offentlige myndigheder i Danmark eller af anden kompetent jurisdiktion. Den
pågældende revisor skal være underlagt fortrolighed, enten aftalemæssigt eller ved lov.
7. Varighed og ophør
7.1 Aftalen træder i kraft ved indgåelsen og skal gælde, indtil den opsiges af en af Parter- ne med 3 måneders varsel.
7.2 Ved Aftalens ophør skal Databehandleren tilbagelevere alle Personoplysningerne til de Dataansvarlige eller aflevere Personoplysningerne til en ny databehandler efter de Dataansvarliges instruks. Herefter er Databehandleren forpligtet til omgående at slet- te alle eksisterende kopier af Personoplysningerne, medmindre EU-retten eller lov- givningen i en medlemsstat foreskriver fortsat opbevaring af Personoplysningerne.
7.3 Hvis der efter ophør af Aftalen opstår tvivl om, hvorvidt Databehandleren har slettet alle Personoplysningerne, kan de Dataansvarlige anmode Databehandleren om for egen regning at indhente en revisionserklæring, der påviser at databehandlingen ikke fortsat pågår og at Personoplysningerne er blevet slettet.
8. Underskrifter
8.1 Aftalen underskrives i to enslydende originale eksemplarer, hvoraf de Dataansvarlige og Databehandleren hver modtager et eksemplar.
Sted: Sted:
Dato: Dato:
For: For:
Underskrifter