DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
Der indgås hermed databehandleraftale mellem den ”Dataansvarlig”, (som er den juridiske enhed, som benævnes ”Dataansvarlig” i nærværende aftale og er klient hos Administrator) og Advokaterne Bygum & Johnsen CVR-nr.: 10 58 56 78 og 36 83 13 40, Xxxxxxxxxxxxxxx 0, 0000 Xxxxxxxxx K ("Administratoren").
Samlet benævnt ”Parterne” og hver for sig benævnt ”Part”.
Side
3 Dataansvarliges behandling af persondata og øvrige forpligtelser 4
5 Administratorens behandling af persondata 4
6 Behandling af registreredes rettigheder 5
7 Administratorens brug af underdatabehandlere 5
8 Administratorens øvrige forpligtelser 6
9 Sikkerhedsforanstaltninger 6
10 Behandling af brud på persondatasikkerheden 6
11 Dokumentation og revision 7
12 Sletning og tilbagelevering af personoplysninger 7
13 Tavshedspligt og fortrolighed 7
Formål og baggrund
Parterne har indgået Administrationsaftale hvorefter Administratoren foretager betaling og opkrævning af fællesudgifter, leje m.v. for Dataansvarlig. Administrationsaftalen med tilhørende bilag, samt eventuelle senere aftalte ændringer omtales samlet som Administrationsaftale .
Denne aftale vedrører Administratorens behandling af persondata i forbindelse med Administratorens udførelse af de aftalte ydelser om betaling og opkrævning af fællesudgifter, leje m.v. Herigennem vil Administratoren få adgang til eller modtage visse personoplysninger, som Administratoren behandler på vegne af Dataansvarlig, og Administratoren udfører alene denne opgave efter instruks fra Dataansvarlig i henhold til Administrationsaftalen.
Denne databehandleraftale regulerer Administratorens ansvar som databehandler, samt Parternes fælles forpligtelser efter persondataforordningen (forordning 2016/679) samt lov om personoplysninger (persondataloven, lov nr. 502 af 23. maj 2018 med senere ændringer).
Administratoren forpligter sig til at sikre, at der indgås databehandleraftaler med samtlige Underleverandører, der som minimum indeholder samme krav som denne databehandleraftale.
Definitioner
Ved ” Dataansvarlig” forstås den juridiske enhed, som er dataansvarlig, jf. Persondataforordningen art. 4 (7).
Ved ”Administratoren” eller ”Underleverandører” forstås den eller de parter, som udgør databehandler(e), jf. Persondataforordningen art. 4 (8). Administratoren er aldrig dataansvarlig for arbejde, der udføres for Dataansvarlig, jf. Persondataforordningen art. 4 (7), idet Administratoren arbejder under instruks fra Dataansvarlig.
Ved "behandling" forstås den betydning, som fremgår af Personforordningen art. 4 (2) og er således defineret som enhver aktivitet eller række af aktiviteter, som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse. Selve det at opbevare Persondata er således en behandling i sig selv.
Data, der udveksles i forbindelse med Administrationsaftale n, og som klassificeres som personoplysninger i henhold til Persondataforordningen art. 4 (1), både af almindelig og følsom karakter, benævnes ”Persondata”. Persondata omfatter ikke data, der ikke er personhenførbart, herunder er anonymiseret data ikke Persondata.
Persondata er bl.a. navn, e-mail, telefonnummer, adresse og tilsvarende kontaktdata.
Persondata kan omfatte personoplysninger, som Dataansvarlig er dataansvarlig for, eksempelvis personoplysninger om Dataansvarliges ansatte (fx vicevært), medlemmer, evt. lejere og samarbejdspartnere (fx målerselskaber, hjemmesideudbyder, ekstern bogholder eller lignende).
Dataansvarliges behandling af persondata og øvrige forpligtelser
Dataansvarlig er forpligtet til at behandle personoplysninger i overensstemmelse med persondataforordningen og persondataloven, herunder reglerne om god databehandlingsskik, jf. persondataforordningen art. 5, samt lovlig behandling af personlige oplysninger, jf. persondataforordningen art. 6, 7, 8, 9, 10 og 11.
Dataansvarlig forpligter sig i den forbindelse til at informere den Dataansvarliges medlemmer, debitorer og evt. lejere i henhold til persondataforordningen art. 13 og samtlige andre oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den Dataansvarliges medlemmer, debitorer og evt. lejere kan varetage sine interesser.
Ved den Dataansvarliges overdragelse af personoplysninger til Administrator indestår Dataansvarlig for, at personoplysninger er indsamlet lovligt, og at Dataansvarlig er berettiget til at overdrage personoplysninger til behandling ved Administratoren. Det er den Dataansvarliges ansvar at sikre, at der alene overdrages personoplysninger til Administratoren, som er relevante, nødvendige og begrænset til formålet med behandlingen hos Administratoren.
Ved Administratorens indsamling og behandling af personoplysninger som led i Administrators øvrige virksomhed, altså hvor personoplysninger ikke er modtaget fra eller indsamlet på vegne af Dataansvarlig, er det Administratoren, som er dataansvarlig. Denne indsamling og behandling er således ikke omfattet af denne databehandleraftale.
Instruks
Administratoren skal udføre de i Administrationsaftalen aftalte opgaver. Til dette bemyndiges Administratoren til at foretage behandling af personoplysninger på den Dataansvarliges vegne, som det fremgår af bilag 1 til nærværende databehandleraftale.
Dataansvarlig har oplyst, at behandling af Persondata sker på grundlag af følgende formål, men ikke begrænset hertil: Generel administration af Dataansvarlig ved daglig boligadministration, afholdelse af generalforsamlinger, udarbejdelse af vand- og varmeregnskab, registrering af ejerskifte, registrering af lejere, administration af forsikrings- og andre abonnementsaftaler m.v.
Administratoren må anonymisere og gøre Persondata ikke-personhenførbart, og behandling af sådan data er ikke omfattet af denne databehandleraftale.
Administratorens behandling af persondata
Administratoren må udelukkende behandle Persondata på vegne af Dataansvarlig samt i overensstemmelse med den i pkt. 4 beskrevne instruktioner og aftalte formål, herunder for at kunne udføre den aftalte service i henhold til Administrationsaftale n og denne databehandleraftale.
Offentlige kontrolmyndigheder og andre myndigheder skal i henhold til den til enhver tid gældende lovgivning inden for Administratorens normale kontortid, have adgang til uanmeldt at efterse, undersøge, kontrollere samt revidere data, datamedier og informationsbehandlende enheder hos Administratoren. For den Dataansvarliges interne revision og den Dataansvarliges eksterne revisorer gælder samme rettigheder, dog forudsat at der afgives et varsel på minimum 10 arbejdsdage til Administratoren og alle omkostninger i denne forbindelse, afholdes af Dataansvarlig selv.
Behandling af registreredes rettigheder
Administrator skal i fornødent og rimeligt omfang bistå Dataansvarlig med opfyldelse af dennes forpligtelse over for registrerede personer i forbindelse med indsamling og behandling af personoplysninger i henhold til den til enhver tid gældende lovgivning om persondata, herunder krav om lovlig behandling, ajourføring, oplysningspligt ved indsamling, indsigtsret, ret til berigtigelse, ret til sletning, ret til begrænsning af behandling, underretningspligt, ret til dataportabilitet og ret til indsigelse.
Såfremt Administratoren modtager en begæring vedrørende en registreret persons rettigheder, skal Administratoren hurtigst muligt videregive denne begæring til Dataansvarlig, og Administratoren skal i rimeligt omfang bistå Dataansvarlig med besvarelse af begæringen.
Administratorens brug af underdatabehandlere
Behandling af personoplysninger må ikke overlades til anden ekstern databehandler, herunder hverken Underleverandører eller andre serviceudbydere uden samtykke fra Dataansvarlig eller i forhold til, hvad der er aftalt i denne databehandleraftale.
I tilfælde af at Administratoren med den Dataansvarliges samtykke benytter en Underleverandør til behandling/opbevaring af data, forpligter Administratoren sig til at indgå en aftale med Underleverandøren, der som minimum forpligter Underleverandøren til at overholde de fastsatte bestemmelser i denne databehandleraftale. I tilfælde af at Underleverandøren ikke formår at leve op til vilkårene i denne databehandleraftale, er Administratoren berettiget til inden for 10 arbejdsdage at udbedre forholdet.
Administratoren anvender på tidspunktet for Administrationsaftale ns indgåelse de Underleverandører, der fremgår af nærværende databehandleraftales bilag 2 til behandling af Persondata.
Dataansvarlig samtykker i Administratorens anvendelse af Underleverandører som anført i pkt. 7.3.
Dataansvarlig samtykker i, at Administratoren og/eller dennes Underleverandører m.v. kan udskifte de i pkt. 7.3 oplistede Underleverandører med andre Underleverandører til løsning af services/ydelser af samme karakter, som de i pkt. 7.3 oplyste Underleverandører og deres Underleverandører.
Al kommunikation med Underleverandører skal ske gennem Administratoren.
Er Underleverandøren etableret uden for EU/EØS, kan Persondata kun overdrages, hvis dette tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, jf. persondataforordningen art. 44, 45, 46, 47, 48 og 49, og hvis persondataforordningen overholdes inden overdragelsen. Administratoren er ansvarlig for at sikre, at den pågældende Underleverandør, jf. pkt. 7.3 og dennes Underleverandører m.v. fra et land uden for EU/EØS har et tilstrækkeligt databeskyttelsesniveau eller at Persondata behandles på betryggende vis.
Administratorens øvrige forpligtelser
Administratoren er forpligtet til at bistå Dataansvarlig med opfyldelse af den Dataansvarliges forpligtelser over for ejerne og evt. lejere om oplysningspligt, indsigtsret, ret til berigtigelse, ret til sletning, ret til begrænsning af behandling, ret til dataportabilitet, ret til indsigelse samt ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling.
Forpligtelsen i pkt. 8.1 gælder også Administratorens Underleverandører, og skal tillige fremgå af den mellem Administratorens og dennes Underleverandører m.v. indgåede aftaler.
Udlevering af data skal ske til Dataansvarlig og/eller til en af Dataansvarlig skriftligt udpeget og fornødent identificeret tredjemand.
Dataansvarlig skal afholde eventuelle omkostninger til Administratoren og/eller Underleverandører i forbindelse med denne bistand, herunder honorar for medgået tid.
Administratoren har pligt til at bistå Dataansvarlig og Datatilsynet.
Administratorens medarbejdere skal modtage instruktioner i behandling af personoplysninger.
Sikkerhedsforanstaltninger
Administratoren skal træffe de nødvendige tekniske og organisatoriske foranstaltninger forelagt denne som databehandler.
Administratoren skal uden unødigt ophold, informere Dataansvarlig om enhver hændelig eller ulovlig adgang til Persondata. Administratoren skal i så fald gennemføre en undersøgelse af hændelsens årsag, forløb og konsekvens, og informere Dataansvarlig om undersøgelsens konklusioner.
Behandling af brud på persondatasikkerheden
Såfremt Administratoren måtte blive bekendt med eller mistænker et brud på persondatasikkerheden, der har ført til eller i væsentlig grad kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger behandlet for Dataansvarlig, skal Administratoren uden unødig forsinkelse orientere Dataansvarlig herom.
Administratorens orientering om brud på persondatasikkerheden skal indeholde fornødne oplysninger til, at Dataansvarlig kan foretage anmeldelse til Datatilsynet samt underrette de registrerede personer som bruddet vedrører.
I forbindelse med et brud på persondatasikkerheden skal Administratoren i fornødent og rimeligt omfang bistå Dataansvarlig med anmeldelse af brud på persondatasikkerheden til Datatilsynet, underretning af de registrerede personer herom.
Dokumentation og revision
Administratoren skal efter skriftlig anmodning fra Dataansvarlig og på den Dataansvarliges egen regning, inden for rimelig tid dokumentere, at Administratoren overholder sine forpligtelser efter databehandleraftalen og den til enhver tid gældende persondatalovgivning for så vidt angår personoplysninger, der behandles for Dataansvarlig.
Administratoren skal give mulighed for og bidrage til, at Dataansvarlig kan påse, at Administratoren overholder sine forpligtelser efter databehandleraftalen og den til enhver tid gældende persondatalovgivning, herunder ved inspektioner foretaget af Dataansvarlig eller revisorer, der er bemyndiget af Dataansvarlig, eller af offentlige myndigheder.
Dataansvarlig er berettiget til for egen regning at lade uafhængig tredjepart efter den Dataansvarliges valg foretage en årlig revision af Administratorens behandling af personoplysninger.
Sletning og tilbagelevering af personoplysninger
Ved bortskaffelse eller overlevering af udstyr sletter Administratoren alle personoplysninger fra udstyret.
Ved Administrationsaftalens ophør skal Administratoren efter anmodning fra Dataansvarlig og inden rimelig tid overføre eller slette alle personoplysninger modtaget fra eller indsamlet på vegne af Dataansvarlig, med mindre Administratoren er forpligtet til fortsat at opbevare oplysningerne i henhold til dansk lovgivning.
Ved den Dataansvarliges opsigelse eller ophævelse af Administrationsaftalen skal anmodning om overførsel fremsættes i forbindelse hermed. Ved Administrators opsigelse eller ophævelse af Administrationsaftalen skal Dataansvarlig fremsætte anmodning om overførsel senest 14 dage efter modtagelse af opsigelse eller ophævelse.
Tavshedspligt og fortrolighed
Administratoren er forpligtet til at iagttage fortrolighed om alle oplysninger vedrørende Dataansvarlig, samt Persondata, som Administratoren har fået kendskab til som led i opfyldelsen af henholdsvis Administrationsaftale n samt denne databehandleraftale.
Administratoren forpligter sig til at pålægge egne medarbejdere, der får adgang til Persondata, tavshedspligt.
Ophør og varighed
Denne databehandleraftale er gældende indtil Administrationsaftale n opsiges af en af Parterne og udløber i overensstemmelse med Administrationsaftale n, eller når en tidsbegrænset Administrationsaftale udløber.
I tilfælde af ophør af Administrationsaftale n, uanset det juridiske grundlag herfor, er Dataansvarlig forpligtet til forinden at sikre sig kopi, transmission eller anden overførsel af Persondata til egen opbevaring eller opbevaring hos anden databehandler. Administratoren skal loyalt bistå hertil og efter anmodning ændre, overføre eller slette Persondata, som Administratoren behandler for Dataansvarlig.
Efter udløb af Administrationsaftale n vil Administratoren gøre Persondata fuldstændig uidentificerbar eller slette Persondata, medmindre andet følger af ufravigelig lovgivning.
Ansvarsbegrænsning
Administratoren er i intet tilfælde - uanset omstændighederne - ansvarlig for den Dataansvarliges direkte eller indirekte tab, herunder tab med baggrund i forventet fortjeneste, tab eller rekonstruktion af data.
Erstatning for fejl og mangler, forsinket levering eller anden misligholdelse fra Administratoren eller dennes Underleverandører, kan aldrig overstige den samlede ordresum, ekskl. moms, for den ordre som relaterer sig til den konkrete skade eller ansvar.
Ikrafttræden og ophør m.v.
Denne databehandleraftale træder i kraft på samme tidspunkt, som Administrationsaftalens ikrafttrædelse.
Databehandleraftalen er en integreret del af vores Administrationsaftale og gælder, indtil Administratoren ophører med at levere ydelser til Dataansvarlig i henhold til Administrationsaftale n.
Ændringer i denne databehandleraftale skal være skriftlige for at være gyldige. Dette gælder dog ikke ændringer, der følger af ændringer i lovgivningen m.v.
I det omfang forhold ikke er reguleret i denne databehandleraftale, gælder Administrationsaftale ns vilkår. Såfremt der er modstrid mellem Administrationsaftalen og databehandleraftalen, har databehandleraftalen forrang.
Lovvalg og tvister
Denne databehandleraftale er underlagt og skal fortolkes i henhold til dansk ret. Denne Databehandleraftale er underlagt dansk ret. Københavns Byret er værneting og De Forenede Nationers konvention om aftaler om internationale løsørekøb (CISG) finder ikke anvendelse på Databehandleraftalen.
|
|
|
|
|
|
Bilag 1
1. Behandling
1.1 Administratoren foretager indsamling og behandling af personoplysninger fra registrerede personer i henhold til Databehandleraftalen til brug for administration samt drift af Dataansvarlig.
2. Registrerede personer
2.1 Administratoren behandler personoplysninger om
Medlemmer hos Dataansvarlig
Evt. lejere hos Dataansvarlig
Personer der figurerer på en venteliste hos Dataansvarlig
Såfremt medlemmer hos Dataansvarlig eller lejere hos Dataansvarlig er en juridisk person, behandler Administratoren tillige oplysninger om personer som er ansat i, repræsenterer eller ejer den juridiske person
Personer ansat hos Dataansvarlig
3. Personoplysninger
3.1 Databehandleraftalen omfatter behandling af almindelige personoplysninger, herunder:
navn
adresse
telefonnummer
e-mail
CPR-nr.
Pasoplysninger
sundhedskortsoplysninger
IP-adresse
RKI-oplysning
lønoplysninger
bankkontonummer
personfotografi
familiemæssige oplysninger
fødselsdato
stilling
tv-overvågning
erhverv
forbrugsoplysninger
omsætningstal
oplysninger som i øvrigt indgår i dialog med potentielle eller eksisterende opdragsgiver, dennes debitorer
eller kreditorer.
Bilag 2
Nærværende underleverandører benytter Administratoren sig af i forbindelse med administration af den Dataansvarliges ejendom, hvilket Dataansvarlig ved indgåelse af nærværende databehandleraftale har meddelt samtykke til brug af:
IT-leverandører:
Vitec
Microsoft
Lønsystemer:
Lessor
Danløn
Digital signatur:
Visma Addo
Side 10 af 10