DATABEHANDLERAFTALE
Mellem undertegnede
og medundertegnede
Mobilplan Østergrave 4
DK-8900 Randers C CVR-nr.: 29729816
(herefter ”Databehandleren”)
[Indsæt navn] [Indsæt adresse]
[Indsæt postnummer og by] (herefter benævnt ”Kunden”)
(herefter hver for sig benævnt ”Part” og sammen ”Parterne”)
er dags dato indgået databehandleraftale på følgende vilkår og betingelser:
1.1. “Personoplysninger” og “behandling” skal have den betydning, som følger af artikel 4 i Forordning 2016/679 af Europa-Parlamentets og Rådet af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv (95/46/EF (herefter ”persondataforordningen”).
2.1. Kunden afgør til hvilket formål og med hvilke hjælpemidler personoplysningerne i forbindelse med denne aftale skal behandles, og er derfor den dataansvarlige, jf. persondatalovens § 3, stk. 4 og artikel 4, stk. 7 i persondataforordningen.
2.2. Databehandleren behandler data på vegne af den dataansvarlige, hvorfor Databehandleren er databehandler, jf. persondatalovens § 3, stk. 5 og artikel 4, stk. 8 i persondataforordning.
3.1. Kunden ønsker at anvende Mobilplans’ applikation til registrering af
medarbejdernes arbejdstid, kørsel og placering via GPS overvågning.
3.2. Oplysninger til brug for det i punkt 3.1 angivne system vil blive indsamlet fra følgende kilder: Medarbejdere hos Databehandleren og hos Kunden, samt oplysninger indtastet af den enkelte bruger, som anvender systemet.
3.3. Der kan endvidere forekomme behandling af personoplysninger for så vidt angår
• antal sygedage
• fotos
• løndata
• kontaktoplysninger
såfremt disse er tilvalgt af Xxxxxx (arbejdsgiver) og anvendes med medarbejderens samtykke.
3.4. Der behandles oplysninger for følgende kategorier af registrerede: Medarbejdere og kunder.
4.1. Databehandleren opbevarer persondata på servere, der er placeret inden for EU/EØS.
4.2. Databehandleren må ikke overføre eller behandle de af nærværende aftale omfattede persondata i andre lande uden for EU/EØS, uden den Dataansvarliges forudgående skriftlige godkendelse.
5.1. Databehandleren forpligter sig til alene at behandle personoplysninger på baggrund af dokumenterede instrukser fra Kunden, herunder med hensyn til overførsel af personoplysninger til et tredjeland eller en international organisation.
5.2. Hvis Databehandleren er forpligtet til at overføre personoplysninger til et tredjeland eller en international organisation, skal Databehandleren underrette Kunden om denne pligt forinden behandlingen sker, medmindre loven forbyder sådanne oplysninger grundet samfundets interesse.
5.3. Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre, at alle personoplysninger, der er til rådighed
eller som behandles af Databehandleren, behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, eller enhver anden behandling af personoplysninger i strid med persondataloven og fra den 25. maj 2018 og frem, persondataforordningen.
5.4. Efter anmodning fra Kunden vil Databehandleren give kunden en erklæring vedrørende de tekniske og organisatoriske foranstaltninger.
5.5. Databehandleren sikrer, at personer, der er bemyndiget til at behandle personoplysningerne, er underlagt fortrolighed enten ved aftale eller efter lov.
5.6. Databehandleren skal give Kunden meddelelse om brud på persondatasikkerheden uden unødig forsinkelse. Ved brud på persondatasikkerheden forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, jf. persondataforordningens artikel 4, stk. 12.
5.7. Databehandleren skal behandle personoplysninger, der behandles af Databehandleren på vegne af Kunden, fortroligt. Databehandleren må ikke videregive personoplysninger leveret til Databehandleren af, for, eller på vegne af Kunden til tredjemand, medmindre der foreligger samtykke eller andet lovligt grundlag.
5.8. Databehandleren må ikke gøre brug af personoplysninger leveret til Databehandleren af Kunden på anden måde end til levering af ydelsen.
5.9. Intet i denne aftale forhindrer en af parterne i at opfylde en retlig forpligtelse pålagt af myndigheder eller domstole. Begge parter skal dog så vidt muligt drøfte den passende reaktion på enhver anmodning fra en myndighed eller domstol ved videregivelse af oplysninger.
6.1. Databehandleren stiller alle nødvendige oplysninger til rådighed for Kunden for at påvise overensstemmelse med bestemmelserne i denne aftales forpligtelser og giver mulighed for og bidrager til revidering, herunder inspektioner, gennemført af Xxxxxx eller en revisor, som Kunden har givet mandat til.
6.2. Databehandleren skal straks underrette Xxxxxx, såfremt der efter Databehandlerens opfattelse foreligger en instruktion fra Kunden, der overtræder persondataloven og fra den 25. maj 2018 og frem, persondataforordningen.
6.3. Databehandleren bistår Kunden med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt, for opfyldelsen af Kundens forpligtelse til at svare på anmodninger om udøvelse af den registreredes rettigheder.
6.4. Databehandleren assisterer - idet der tages hensyn til arten af behandlingen og de oplysninger, der er til rådighed for Databehandleren - Kunden i at sikre overholdelse af forpligtelser med hensyn til:
• behandlingssikkerhed,
• anmeldelse af brud på persondatasikkerheden til tilsynsmyndighe- den,
• underretning om brud på persondatasikkerheden til den registrerede og
• konsekvensanalyse vedrørende databeskyttelse.
6.5. Databehandleren skal - hvis artikel 30 i persondataforordningen finder anvendelse - føre en fortegnelse over behandlingsaktiviteter under deres ansvar og efter anmodning give Xxxxxx en kopi heraf.
6.6. Databehandlerens bistand efter dette afsnit 6 vil blive udført i henhold til Databehandlerens almindelige timepriser og efter udlæg.
7.1. Kunden har i overensstemmelse med persondataloven og persondataforordningen en generel forpligtelse til at sikre, at de tekniske og organisatoriske foranstaltninger overholdes, hvilket omfatter tekniske og organisatoriske foranstaltninger fortaget af en databehandler. Databehandleren har vurderet de risici som Databehandlerens behandling af persondata efter denne aftale medfører og har gennemført passende foranstaltninger, jf. punkt 5.3. Kunden er tilfreds med, at Databehandleren har implementeret passende foranstaltninger og har ret til at anmode om en erklæring om de tekniske og organisatoriske foranstaltninger, jf. punkt 5.4.
7.2. Kunden erklærer, at de personoplysninger, som Databehandleren behandler efter denne aftale, må behandles af Databehandleren.
7.3. Det nævnes for en god ordens skyld, at Kunden som dataansvarlig skal overholde reglerne i persondataloven og fra den 25. maj 2018 og frem, persondataforordningen, hvilket blandt andet omfatter at indgå databehandleraftaler med leverandører.
7.4. Kunden skal - hvis artikel 30 i persondataforordningen finder anvendelse - føre et register over behandlingsaktiviteterne under sit ansvar og efter anmodning give Databehandleren en kopi heraf.
8.1. Kunden giver Databehandleren en generel ret til at gøre brug af underdatabehandlere. Databehandleren skal underrette Kunden om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere og derved give Kunden mulighed for at gøre indsigelse mod sådanne ændringer.
8.2. Ved at indgå denne aftale, giver Kunden sit samtykke til, at Databehandleren bruger underdatabehandlere. Databehandleren sikrer, at de samme databeskyttelsesforpligtelser, som fastsat i denne Aftale, pålægges og navnlig, at underdatabehandleren vil iværksætte de fornødne tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i persondataloven og fra den 25. maj 2018 og frem, persondataforordningen. Databehandleren er - i overensstemmelse med persondataloven og persondataforordningen – fuldt ansvarlige over for Kunden for udførelsen af underdatabehandlerens forpligtelser.
9.1. Denne aftale er gældende, så længe Databehandleren behandler personoplysninger på vegne af Kunden.
9.2. Efter ophævelse eller opsigelse af denne aftale skal Databehandleren efter påkrav fra Kunden (a) returnere alle personoplysninger overført til Databehandleren af Kunden til behandling eller (b) efter modtagelse af instruktioner fra Kunden destruere alle sådanne oplysninger. Foranstående gælder dog ikke, såfremt lovgivningen giver ret eller pligt til opbevaringen.
10.1. Denne Aftale er underlagt dansk ret.
10.2. Enhver tvist, der udspringer af eller i forbindelse med denne kontrakt, herunder tvister vedrørende eksistens, gyldighed eller ophør, skal afgøres af Byretten i Randers, hvis tvisten ikke kan løses efter forhandling.
11.1. Ved at underskrive nedenfor tiltræder parterne denne aftale.
For Mobilplan |
| For Xxxxxx |
Xxxxxxx, den 31. maj 2019 |
|
[Indsæt by her], den 31. maj 2019 |
Xxxxxx Xxxxx |
| [Indsæt underskrives navn her] |