DATABEHANDLERAFTALE
Kontraktbilag F
- DATABEHANDLERAFTALE
Om behandling af personoplysninger i forbindelse med Drift, vedligehold, support og videreudvikling af hjemmeside og nyhedsbrev i UCC
mellem
Professionshøjskolen UCC Buddinge Xxxxxxxxx 00
2860 Søborg
CVR nr.: 30 78 79 86
(i det følgende benævnt "UCC") og
Leverandørens navn Adresse Postnummer og by CVR nr.:
(i det følgende benævnt "Leverandøren")
Side 1 af 4
1. Anvendelsesområde
1.1 Denne aftale vedrører Leverandørens varetagelse af opgaver som databehandler i forbindelse med Drift, vedligehold, support og videreudvikling af hjemmeside og nyhedsbrev i UCC, jf. nærmere aftale af dato, i det følgende benævnt "Projektet".
1.2 Aftalen er en databehandlingsaftale, jf. Persondatalovens § 42, stk. 2, og vedrører behandling af personoplysninger om ansatte, studerende og kunder hos UCC, defineret som ”de registrerede” i henhold til Persondatalovens §3, nr. 1.
1.3 Aftalens bestemmelser om databehandling gælder for al behandling af personoplysninger i forbindelse med Projektet, hvor UCC anses som dataansvarlig og Leverandøren som databehandler i henhold til definitionerne i Persondatalovens kapitel 2.
2. Leverandøren som databehandler
2.1 Leverandøren må alene handle efter instruks fra UCC, der således afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.
2.2 Personoplysninger må alene behandles til formål, som er nødvendige for Leverandørens gennemførelse af Projektet. Oplysningerne skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af disse formål.
2.3 Leverandøren må ikke bruge de overladte oplysninger til andet end udførelsen af opgaven, jf. pkt. 1.1 og 2.2, for UCC.
2.4 Leverandøren skal overholde de til enhver tid gældende regler i lov om behandling af personoplysninger (”Persondataloven”) med tilhørende bekendtgørelser, herunder
bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001 (”Sikkerhedsbekendtgørelsen”). Det indebærer bl.a., at Leverandøren har pligt til at iværksætte og opretholde de nødvendige organisatoriske, administrative og it-mæssige foranstaltninger, der sikrer, at oplysninger ikke hændeligt eller ulovligt tilintetgøres, fortabes, forringes, kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovens krav. Endvidere må kun de personer, som autoriseres hertil, have adgang til de personoplysninger, der behandles.
2.5 Leverandøren instruerer de ansatte, der har adgang til personoplysningerne eller på anden måde varetager behandling af disse personoplysninger, om behandling af personoplysninger.
2.6 Leverandøren er underlagt forvaltningslovens regler om tavshedspligt. Alle data, såvel persondata som virksomhedsdata, som Leverandøren får adgang til, er fortrolige. Leverandøren må således ikke videregive data til tredjemand, medmindre det sker som led i opfyldelse af myndigheds- eller lovkrav, eller medmindre dette sker i henhold til en skriftlig dataudvekslingsaftale, som UCC har indgået.
2.7 Reglerne i Persondatalovens § 41, stk. 3-5 gælder også for Leverandørens databehandling i henhold til nærværende aftale.
2.8 Leverandørens behandling af persondata må kun ske ved anvendelse af hjemmearbejdspladser eller fra lokaler, som Leverandøren ikke fast driver sin virksomhed fra, hvis
de pågældende arbejdspladser er sikret på fuldt samme måde, som hvis behandlingen skete ved en arbejdsplads på selve virksomheden.
2.9 UCC har ret til at indhente en årlig revisionserklæring fra en uafhængig tredjemand. UCC har også mulighed for, at lade egne medarbejdere foretage en selvstændig auditering af it- sikkerheden hos Leverandøren. Auditeringer og udstedelse af erklæringer skal varsles af UCC i
rimelig tid, og sker på UCC’s opfordring og på UCC’s regning.
2.10 Oplysningerne må ikke opbevares længere end nødvendigt af hensyn til de formål, hvortil de er indsamlet. UCC kontaktes ved tvivlsspørgsmål herom.
3. Leverandørens brug af underleverandører
3.1 Leverandøren kan ikke uden UCC’s skriftlige godkendelse overlade personoplysninger til et eksternt IT-servicebureau, som opbevarer oplysninger på Leverandørens vegne.
3.2 Leverandøren må ikke benytte underleverandører til varetagelse af opgaver for UCC, der involverer personoplysninger, medmindre det forudgående er godkendt skriftligt af UCC.
3.3 Hvis UCC giver sin skriftlige godkendelse i de i pkt. 3.1 og 3.2 nævnte tilfælde, skal Leverandøren indgå en databehandleraftale med underleverandøren. Aftalen skal godkendes af UCC.
4. Aftalens ikrafttræden, opsigelse og varighed
4.1 Denne aftale er gældende så længe projektaftalen er gældende, og bortfalder, når denne ophører.
4.2 Aftalen kan opsiges skriftligt af en af parterne med 3 måneders varsel. Opsigelse skal ske til den første i en måned. Aftalen kan af UCC opsiges uden varsel, hvis Leverandøren misligholder aftalen ved ikke at behandle personoplysninger i overensstemmelse med denne aftale og/eller i øvrigt overtræder bestemmelser i Persondataloven.
Aftalen bortfalder endvidere automatisk, hvis den kontrakt, der ligger til grund for Projektet bortfalder eller ophører.
4.3 Denne databehandleraftale kan til enhver tid ændres uden varsel, såfremt ændringerne er nødvendige for at overholde de til enhver tid gældende regler og forskrifter for behandling af personoplysninger, herunder overholde ændringer i lov nr. 429 af 31/05/2000
(”Persondataloven”) med senere ændringer, bekendtgørelse nr. 528 af 15/06/2000
(”Sikkerhedsbekendtgørelsen”) med senere ændringer, samt vejledning nr. 37 af 02/04/2001.
5. Aftalens underskrift
5.1 Aftalen underskrives af parterne i to ligelydende eksemplarer, og hver part opbevarer et eksemplar. Begge parter skal opbevare aftalen i 5 år efter aftalens ophør.
Dato: dato Dato: dato
For UCC: For Leverandøren:
Navn Navn
…………………………………… …………………………………….
Professionshøjskolen UCC Leverandørens navn
Buddinge Xxxxxxxxx 00 Leverandørens adresse
2860 Søborg Postnummer og by
CVR nr.: 30 78 79 86 CVR nr.: