Databehandleraftale

Databehandleraftale

Mellem Databehandler Alia Aps, xxx.xx. 29630062 Xxxxxxxxx 00

0000 Xxxxx

(i det følgende kaldet databehandleren)

og Dataansvarlig Kunde

(i det følgende kaldet dataansvarlig)

(hver for sig benævnt ”Part” og samlet benævnt ”Parterne”)

er der dags dato indgået følgende databehandleraftale (herefter benævnt ”Databehandleraftalen”) på nedennævnte nærmere vilkår og betingelser. Begge Parter bekræfter, at de har fuldmagt til at underskrive databehandleraftalen.

1. Formål og baggrund

1.1. Databehandleraftalen, skal sikre, at Parterne lever op til deres forpligtelser under de til enhver tid gældende nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/279 ("GDPR"). Databehandleraftalen udgør instruksen fra den Dataansvarlige til Databehandleren og regulerer dermed Databehandlerens Behandling af personoplysninger på vegne af den Dataansvarlige.

2. Hvem gælder Databehandleraftalen

2.1. Databehandleraftalen gælder for al databehandling i Alia’s hjemmesider (herefter benævnt ”Applikationen”) leveret af databehandleren. Hosting af løsningen varetages af Itadel (tidligere TDC Hosting), som er sikkerhedscertificeret med DS/ISO/IEC 27001. Datacenteret er beliggende i Danmark, specifikt Interxion Danmark, Xxxxxxxxxxxxxx 00X, 0000 Xxxxxxxx. Databehandleren skal i en skriftlig aftale pålægge underdatabehandleren Itadel/Interxion minimum de samme forpligtelser, som Databehandleren er underlagt i Databehandleraftalen.

Databehandleraftalen er gyldig, så længe den Dataansvarlige abonnerer på Applikationen, og Databehandleren derfor skal behandle Personoplysninger på vegne af den Dataansvarlige.

3. Hvilke personoplysninger behandles

3.1. Databehandleren behandler følgende typer af personoplysninger:

Hjemmeside

a. Navn, adresse, telefonnummer og e-mail på interessenter (f.eks. beskedservice)

b. Situationsbilleder af personer (f.eks. børn i dagtilbud og personale)

c. Portrætbilleder, evt. med navn og stillingsbeskrivelse, af personale

4. Den dataansvarliges forpligtelser

4.1. Den Dataansvarlige bekræfter ved indgåelse af denne aftale, at:

i) Den Dataansvarlige skal ved brug af Applikationen stillet til rådighed af Databehandleren, udelukkende behandle Personoplysninger i overensstemmelse med kravene i den gældende Databeskyttelseslovgivning.

ii) Den Dataansvarlige har et lovligt grundlag for at behandle og videregive Personoplysninger til Databehandleren (herunder til underdatabehandlere som Databehandleren anvender).

iii) Den Dataansvarlige har ansvaret for nøjagtigheden og lovligheden af de Personoplysninger som behandles af Databehandleren

iv) Den Dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår Behandlingen af Personoplysninger.

v) Den Dataansvarlige har opfyldt sin oplysningsforpligtelser over for de Registrerede vedrørende behandlingen af Personoplysninger i henhold til gældende databeskyttelseslovgivning.

5. Databehandlerens forpligtelser

5.1. Databehandleren må udelukkende behandle Personoplysninger på vegne af og som følge af den Dataansvarliges instruktioner. Ved at indgå denne Databehandleraftale, instruerer den Dataansvarlige Databehandleren i at behandle Personoplysninger i overensstemmelse med formålet angivet punkt 1.1.

5.2. Databehandleren skal overholde den til enhver tid gældende persondatalovgivning.

5.3. Databehandleren skal sikre, at adgangen til personoplysningerne er begrænset til de medarbejdere, der som led i deres arbejde har behov for adgang til personoplysningerne. Medarbejderne skal underlægges tavshedspligt.

5.4. Under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, samt omfanget, konteksten og formålet med Behandlingen, er

Databehandleren forpligtet til at foretage alle rimelige foranstaltninger, herunder tekniske og organisatoriske, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til den risiko og kategorien af Personoplysninger, der skal beskyttes.

5.5. Databehandleren skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, som dette er muligt og under hensyntagen til Behandlingens art og kategorien af oplysninger, der er tilgængelige for Databehandleren, for at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder for så vidt angår bistand i forhold til opfyldelse af anmodninger fra Registrerede samt generel overholdelse af bestemmelserne under GDPR artikel 32-36.

5.6. Databehandleren skal uden unødig forsinkelse - efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden eller fortroligheden - underrette den Dataansvarlige herom. Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige i forhold til afklaring af bruddet på persondatasikkerheden, herunder i forbindelse med anmeldelse til Datatilsynet og/eller de registrerede.

5.7. Hvis den Dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Databehandleren behandler Personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services. Databehandleren og dennes ansatte skal sikre fortrolighed i forhold til Personoplysninger, som behandles i henhold til Databehandleraftalen. Denne bestemmelse skal ligeledes gælde efter ophør af Databehandleraftalen.

5.8. Databehandleren skal slette alle personoplysninger der er behandlet på vegne af den Dataansvarlige, umiddelbart efter at abonnementet på Applikationen er ophørt.

Undtaget herfra er backup af data, som er nødvendig for kunne genskabe løsningen i tilfælde af nedbrud. Backup der indeholder personoplysninger, der er behandlet på vegne af den Dataansvarlige, skal slettes senest 6 måneder efter at abonnementet på Applikationen er ophørt.

5.9. Den Dataansvarlige, eller en tredjemand udpeget af den Dataansvarlige, skal med rimeligt varsel have adgang til Databehandlerens systemer og faciliteter, der vedrører behandling omfattet af Databehandleraftalen. Databehandleren skal ligeledes hjælpe den Dataansvarlige med at få adgang til Underdatabehandleres systemer og faciliteter. Den Dataansvarlige afholder selv omkostningerne hertil.

5.10. Databehandleren skal efter den Dataansvarliges ønske indhente en erklæring fra en uafhængig revisor angående Databehandlerens, og eventuelle underdatabehandleres, overholdelse af kravene til foranstaltninger som fastsat i Databehandleraftalen. Erklæringen skal udarbejdes på grundlag af en anerkendt standard for sådanne erklæringer.

Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato.

Hvis det foreslåede omfang for revisionen følger en ISAE, ISO eller lignende certificeringsrapport udført af en kvalificeret tredjepartsrevisor inden for de forudgående

tolv måneder, og Databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den Dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket. Under alle omstændigheder skal revision finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter.

Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision.

6. Fortrolighed

6.1. Databehandleren skal behandle personoplysningerne som fortrolige oplysninger og skal sikre, at adgangen til personoplysningerne er begrænset til de medarbejdere, der som led i deres arbejde har behov for adgang til personoplysningerne.

7. Brug af underdatabehandler(e)

7.1. Databehandleren må ikke gøre brug af en anden databehandler (underdatabehandler), som ikke er nævnt i denne aftale, eller videregive personoplysningerne uden forudgående specifik skriftlig godkendelse fra den Dataansvarlige.

7.2. Databehandleren skal sikre sig, at dennes Underdatabehandlere overholder tilsvarende forpligtelser og krav, som er beskrevet i Databehandleraftalen.

8. Situationsbilleder og Portrætbilleder

8.1. Situationsbilleder må som udgangspunkt offentliggøres uden samtykke jf. persondatalovens

§ 6, stk. 1, nr. 7. Det afgørende kriterium er, at den afbildede ikke med rimelighed må kunne føle sig udstillet, udnyttet eller krænket, f.eks. i markedsførings eller andet kommercielt øjemed. Billederne skal således være harmløse.

Hvis personerne på et situationsbillede ikke vil have det offentliggjort, må det ikke offentliggøres. Ligeledes, hvis der kommer indvendinger, efter offentliggørelsen af et situationsbillede, skal billedet fjernes fra Applikationen.

8.2. Portrætbilleder kræver samtykke givet til den Dataansvarlige før offentliggørelse.

Det gælder f.eks. portrætbilleder af personale eller et gruppebillede, hvor formålet er at afbilde en eller flere bestemte personer.

9. Kontrol med afviste adgangsforsøg

9.1. Alle afviste adgangsforsøg registreres. Ved 6 afviste adgangsforsøg inden for 24 timer, blokeres adgangen for brugeren. Blokeringen skal i så fald manuelt fjernes af Databehandleren.

10. Webserver

10.1. Applikationen hostes på en Microsoft Windows Server 2016.

Databehandleren har adgang til serveren via Windows Remote Desktop med 128-bit kryptering og FTPS. Der er IP-whitelist på både Remote Desktop og FTPS, så kun Databehandlerens IP-numre har adgang til serveren. Whitelisten opdateres hver måned, så færrest mulige IP-adresser er whitelistet.

11. Datacenter

11.1. Applikationen hostes hos Itadel i Danmark, specifikt Interxion Danmark, Xxxxxxxxxxxxxx 00X, 0000 Xxxxxxxx. Alle data opbevares alene på datacenteret i Ballerup i Danmark. Sikkerhedsdokumenter fra Itadel/Interxion kan fremsendes efter indgåelse af en fortrolighedsaftale.

12. Varighed og ophør

12.1. Databehandleraftalen er gældende, så længe Databehandleren behandler Personoplysninger på vegne af den Dataansvarlige i forbindelse med den Dataansvarliges brug af Applikationen. Denne Aftale vil automatisk ophøre ved udgangen af den Dataansvarliges opsigelsesperiode i forhold til abonnement på Applikationen. Ved ophør af abonnementet vil Databehandleren slette alle Personoplysninger, som Databehandleren har behandlet på vegne af den Dataansvarlige under Databehandleraftalen. Såfremt den Dataansvarlige ønsker bistand til returnering af data, fastsættes omkostninger forbundet hermed i fællesskab af Parterne og skal baseres på:

vi) timetakster for Databehandlerens anvendte tid

vii) kompleksiteten af den anmodede proces og

viii) det valgte format.

12.2. Databehandleren er berettiget til at beholde Personoplysninger i backup i maksimalt 6 måneder efter ophør af Databehandleraftalen i det omfang, det er nødvendigt i forhold til almindelig drift af løsningen, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i Databehandleraftalen.

13. Lovvalg og værneting

13.1. Aftalen er underlagt dansk ret og enhver tvist skal forelægges en dansk domstol.

Den 15 / 5 - 2018

For databehandleren

…………………………

Xxxxxx Xxxxxx Xxxxx

Den /

For dataansvarlig

…………………………