DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
indgået mellem Hedensted Badminton Klub
Xxxxxxxxxx 00-00
8722 Hedensted (den ”Dataansvarlige”)
og
MinForening ApS CVR-nr.: 37942553
Nyhavn 18 2. sal
9000 Aalborg
(”Databehandleren”)
Den Dataansvarlige og Databehandleren kaldes tilsammen ”Parterne” og hver for sig en ”Part”
1. BAGGRUND OG FORMÅL
1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige.
1.2 Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen) , som stiller specifikke krav til indholdet af en databehandleraftale.
1.3 I det omfang Databehandleren i henhold til persondataretten behandler personoplysninger på vegne af den Dataansvarlige og dermed persondataretligt er at betragte som databehandler, gælder følgende bestemmelser.
2. OMFANG OG INSTRUKS
2.1 Databehandleren bemyndiges til at foretage behandling af personoplysninger, som indtastes og opsamles om brugere af MinForening-softwaren, på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
2.2 Databehandleren må alene behandle personoplysninger efter instruks fra den Dataansvarlige. Databehandleren må ikke behandle personoplysningerne til andre formål uden samtykke fra den Dataansvarlige.
2.3 Uanset Databehandleraftalens ophør skal aftalens punkt 11 vedrørende fortrolighed fortsat have virkning efter Databehandleraftalens ophør.
2.4 Parterne har ikke krav på betaling for opfyldelse af denne Databehandleraftale med undtagelse af Databehandleraftalens punkt 4.5.3.
3. VARIGHED
3.1 Databehandleraftalen gælder indtil Databehandleraftalen opsiges eller ophæves.
4. DATABEHANDLERENS FORPLIGTELSER
4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger
4.1.1 Databehandleren skal, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemføre fornødne tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau.
4.1.2 Databehandleren garanterer over for den Dataansvarlige, at Databehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.
4.2 Medarbejderforhold
4.2.1 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4.2.2 Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.
4.3 Dokumentation for overholdelse af forpligtelser
4.3.1 Databehandleren skal efter skriftlig anmodning fra den Dataansvarlige dokumentere over for den Dataansvarlige, at Databehandleren:
a) overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.
b) overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.
4.3.2 I forbindelse med dokumentationen skal Databehandleren stille alle oplysninger, der er nødvendige for at påvise overholdelse af de nævnte forhold til rådighed for den Dataansvarlige.
4.3.3 Databehandleren skal efter den Dataansvarliges skriftlige anmodning give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
4.3.4 Databehandlerens dokumentation heraf skal ske indenfor rimelig tid.
4.4 Sikkerhedsbrud
4.4.1 Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
4.4.2 Databehandleren skal herunder fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang Databehandleren er den nærmeste hertil.
4.4.3 Databehandleren bærer omkostningerne til denne bistand, for så vidt den er nødvendig for at sikre den Dataansvarliges overholdelse af sine forpligtelser efter persondatareglerne.
4.5 Bidrag til overholdelse af den dataansvarliges forpligtelser
4.5.1 Databehandleren skal organisatorisk og teknisk være i stand til at bidrage til, at den dataansvarlige kan overholde sine forpligtelser efter persondataforordningens kapitel 3, i det omfang databehandlerens medvirken kræver det. Herunder implementering af GDPR i den Dataansvarliges software med indhentning af samtykke og opbevaring af samtykke. Databehandleren må ikke udvikle og/eller opdatere software efter GDPR ikrafttræden d. 25/05/18 uden implementering af tekst om GDPR og indhentning af samtykke for brugen af app’en.
4.5.2 Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slettet, tilbageleveret eller samarbejdet ophører.
4.5.3 Den Dataansvarlige honorerer Databehandleren særskilt og efter medgået tid og materiale for at håndtere forespørgsler og opgaver i henhold til Aftalens pkt. 4.3, 4.5.1 og 4.5.2. Honoreringen fastsættes efter Databehandlerens til enhver tid gældende timepriser.
5. DEN DATAANSVARLIGES FORPLIGTELSER
5.1 Den Dataansvarlige skal sikre, at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering.
5.2 Den Dataansvarlige skal sikre, at Instruksen er hensigtsmæssig set i forhold til Databehandleraftalen.
6. UNDERDATABEHANDLERE
6.1 Den Dataansvarlige har accepteret, at Databehandleren må gøre brug af leverandører til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”). Databehandleren skal underrette den dataansvarlige om planlagte tilføjelser eller erstatninger af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
6.2 Databehandlerens brug af Underdatabehandleren reguleres af en aftale, som sikrer, at underdatabehandleren alene behandler data i overensstemmelse med aftalen mellem Databehandleren og den Dataansvarlige. Al kommunikation med Underdatabehandleren varetages af Databehandleren, medmindre andet særskilt aftales.
6.3 Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.
6.4 Ved aftaleindgåelsen benytter Databehandleren følgende Underdatabehandlere:
Navn | CVR-nr | Adresse | Beskrivelse af handling |
Snapp | 35875735 | Vesterbro 21A, 9000 Aalborg | Udvikling og vedligehold af app. |
Aarhus IT | 37978183 | Xxxxxxxxxx 00 0000 Xxxxxxxx | Udvikling og vedligehold af server til opbevaring af data. |
Progras ApS | 36055537 | Nytorv 18 3, 9000 Aalborg | Udvikling og vedligehold af web. |
UnoEuro Danmark A/S | 31277477 | Højvangen 4 8660 Skanderborg | Databehandling/opbevaring, webhosting og lignende serviceydelser. |
Google Denmark ApS | 28866984 | Xxxxx Xxxxx Xxxxxxx 0 0, 0000 Xxxxxxxxx X | Xxxxxx Xxxxx (Server), Google Mail, Google Analytics. |
Den dataansvarlige har ved databehandleraftalens ikrafttræden specifikt godkendt anvendelsen af ovennævnte underdatabehandlere til netop den behandling, som er beskrevet ud for parten.
6.5 Underdatabehandlere videregiver ikke data til 3. part og handler udelukkende efter instruks fra Databehandleren.
6.6 Der er indhentet Databehandleraftaler hos vores Underdatabehandlere og Databehandleren er ansvarlig for at disse efterleves og overholdes.
7. OVERFØRSEL TIL TREDJELANDE OG INTERNATIONALE ORGANISATIONER
7.1 Databehandleren må ikke overføre personoplysninger til tredjelande medmindre andet skriftlig aftales.
8. MISLIGHOLDELSE
8.1 Ved misligholdelse af Databehandleraftale henføres til punkt 3.1.
9. ANSVAR OG ANSVARSBEGRÆNSNINGER
9.1 Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler, dog med de begrænsninger der følger af dette afsnit.
9.2 Parterne fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, tab af goodwill, tab af besparelser og indtægter, inklusive udgifter til at indvinde mistede indtægter, rentetab og tab af data.
9.3 Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger er ikke omfattet af ansvarsbegrænsningen i pkt. 10.
10. FORCE MAJEURE
10.1 Databehandleren kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, virus samt indtrædelse af force majeure hos underleverandører.
10.2 Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure- situationen varer.
11. FORTROLIGHED
11.1 Information vedrørende indholdet af denne Databehandleraftale, den anden Parts forretning, der enten i forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og diskretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige informationer.
11.2 Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentlig tilgængelig, uden dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende Parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller information, som selvstændigt er udviklet af den modtagende Part.
12. OPHØR
12.1 Databehandleraftalen kan til enhver gældende tid ophæves i overensstemmelse med bestemmelserne om ophør i punkt 3.1.
12.2 Ved databehandleraftalens ophør skal Databehandleren og dennes underdatabehandlere efter den Dataansvarliges valg enten slette eller tilbagelevere og slette eksisterende kopier af alle
personoplysninger, som Databehandleren har behandlet på vegne af den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
13. TVISTLØSNING
13.1 Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole.
14. UNDERSKRIFTER
For den Dataansvarlige For Databehandleren
(Hedensted Badminton Klub) (MinForening ApS)
Navn: Navn: Xxxxx Xxxxxxxx
Titel: Titel: Stifter