DATABEHANDLERAFTALEN

DATABEHANDLERAFTALEN

Databehandleraftale (“Aftalen”) mellem:

Jeres virksomhed (“Kunden”); og Xxxxxxx-xxxxxxxxxxx.xxx, Xxxxxxxxxxxxxx 00, 0000 Xxxxxxx DK-36726350 (“Leverandøren”)

A: OMFANG

A.1 Databehandleraftale er indgået mellem parterne, effektiv fra maj 2018 omhandlende Leverandørens levering af ydelser og tjenester til Kunden. Aftalen er et tillæg til ”almindelige vilkår –og betingelser” for Xxxxxxx-xxxxxxxxxxx.xxx og ”bestemmelserne i almindelige vilkår –og betingelser for Xxxxxxx-xxxxxxxxxxx.xxx” gælder i det omfang, at et spørgsmål ikke er reguleret i denne aftale.

A.2 Leverandøren er databehandler for Kunden, ud fra de i appendiks 1 beskrevne databehandlingsopgaver.

A.3 Personoplysninger, der behandles af Leverandøren, omfatter de formål med behandlingen, de kategorier af personoplysninger og de kategorier af registrerede personer, som er anført i Appendiks 1.

A.4 Ved “personoplysning” forstås enhver form for information om en identificeret eller identificerbar, fysisk person, jf. artikel 4

(1) i Forordning (EU) 2016/679 af 27. april 2016 (“persondataforordningen”).

B: BEHANDLING AF PERSONOPLYSNINGER

B.1 Leverandøren behandler alene personoplysningerne med det formål at varetage de i Appendiks 1 fastsatte databehandlingsopgaver. Leverandøren må ikke anvende eller behandle personoplysningerne til andre formål end angivet, medmindre Leverandøren er forpligtet hertil efter EU-retten. I givet fald skal Leverandøren skriftligt underrette Kunden om denne juridiske forpligtelse, forinden behandlingen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfunds interesser forbyder en sådan underretning.

B.2 Hvis Kunden i instruksen i Appendiks 1 eller konkret har givet tilladelse til en overførsel af personoplysninger til et tredjeland eller til internationale organisationer, påhviler det Leverandøren at sikre, at der foreligger et lovligt overførselsgrundlag, f.eks. EU-Kommissionens standardkontrakter til overførsel af personoplysninger til tredjelande.

B.3 Hvis Leverandøren skønner, at en instruktion fra Kunden er i strid med persondataforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller i lovgivningen i en Medlemsstat, skal Leverandøren omgående, skriftligt orientere Kunden herom.

C: KRAV TIL LEVERANDØREN

C.1 Skal sikre, at de personer, der behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

C.2 Skal træffe de fornødne organisatoriske og tekniske sikkerhedsforanstaltninger mod, at de behandlede personoplysninger behandles i strid med lovgivningen, herunder persondataforordningen.

C.3 Skal overholde de særlige krav til sikkerhedsforanstaltninger, der gælder for Kunden, jf. Appendiks 1, samt overholde de krav til sikkerhedsforanstaltninger, som direkte forpligter Leverandøren, herunder kravene til sikkerhedsforanstaltninger i det land, hvor Leverandøren er etableret, eller i det land hvor databehandlingen finder sted.

C.4 Fastsættelsen af tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under hensyntagen til det aktuelle tekniske niveau, behandlingens karakter og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.

C.5 Leverandøren skal på Kundens anmodning give nødvendige oplysninger til, at denne kan påse, at Leverandøren overholder sine forpligtelser under Aftalen, herunder at de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.

C.6 Xxxxxx har ret til for egen regning at udpege en uafhængig ekspert, til undersøgelse af, hvorvidt Leverandøren overholder sine forpligtelser under Aftalen, herunder sikre at alle nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. Eksperten skal på Leverandørens anmodning underskrive en sædvanlig fortrolighedserklæring. Kundens ret til at udføre undersøgelser hos Leverandøren begrænses til højst én undersøgelse per kalenderår.

C.7 Leverandøren skal til myndigheder og Kundens eksterne rådgivere, herunder revisorer, give alle ønskede oplysninger i relation til udførelse af databehandlingsopgaven, i det omfang oplysningerne er nødvendige for deres opgavevaretagelse i medfør af EU-retten eller lovgivningen.

C.8 Leverandøren skal assistere Xxxxxx med håndteringen af enhver anmodning fra en registreret under kapitel III i persondataforordningen, herunder anmodning om indsigt, berigtigelse, blokering eller sletning. Leverandøren skal ligeledes implementere passende tekniske og organisatoriske foranstaltninger til at bistå Kunden med opfyldelse af Kundens forpligtelse til at besvare sådanne anmodninger.

D: UNDERLEVERANDØRER

D.1 Leverandøren må gøre brug af underleverandører. Leverandøren skal forinden brug af en underleverandør indgå en skriftlig aftale med underleverandøren, hvori underleverandøren som minimum pålægges de samme forpligtelser, som Leverandøren har påtaget sig ved Aftalen, herunder pligten til at gennemføre passende tekniske og organisatoriske foranstaltninger til sikring af, at behandlingen opfylder kravene i persondataforordningen.

D.2 Kunden har ret til at få udleveret en kopi af Leverandørens aftale med en underleverandør, for så vidt angår bestemmelser i nævnte aftale, som vedrører databeskyttelsesforpligtelser. Leverandøren hæfter over for Kunden for underleverandørens opfyldelse af sine databeskyttelsesforpligtelser. Det forhold, at Kunden har meddelt samtykke til Leverandørens aftaleindgåelse med en underleverandør er uden præjudice for Leverandørens pligt til at efterleve Aftalen.

E: FORTROLIGHED

E.1 Leverandøren skal holde personoplysningerne fortrolige.

E.2 Leverandøren må ikke formidle personoplysningerne til nogen eller tage kopi af personoplysningerne, medmindre dette er

absolut nødvendigt til varetagelse af Leverandørens forpligtelser over for Kunden i henhold til Aftalen og forudsat, at den, til hvem personoplysningerne overlades, er bekendt med oplysningernes fortrolige karakter og har indvilget i at holde personoplysningerne fortrolige i overensstemmelse med Aftalen.

E.3 Leverandøren skal begrænse adgangen til personoplysningerne til de medarbejdere, for hvem det er nødvendigt at have adgang til personoplysninger for at kunne opfylde Leverandørens forpligtelser over for Kunden.

E.4 Leverandørens forpligtelser efter nærværende punkt E består uden tidsbegrænsning, og uanset om Parternes samarbejde i øvrigt måtte være ophørt.

E.5 Kunden skal behandle fortrolige oplysninger, som modtages fra Leverandøren, fortroligt og må ikke udnytte eller videregive oplysninger.

F: OVERDRAGELSER OG ÆNDRINGER

F.1 Parterne kan til enhver tid aftale at ændre/overdrage Aftalen. Ændringer skal være skriftlige.

G VARIGHED OG OPHØR AF AFTALEN

G.1 Aftalen træder i kraft ved underskrift og er gældende, indtil Databehandleraftalen opsiges eller ophæves af en af Parterne.

G.2 Uanset Aftalens formelle aftaleperiode skal Aftalen vedblive at gælde, så længe Leverandøren behandler de personoplysninger, som Kunden er dataansvarlig for.

G.3 I tilfælde af ophør af Aftalen, er Leverandøren forpligtet til loyalt og hurtigst muligt at medvirke til, at databehandlingen overgår til en anden leverandør eller tilbageføres til Kunden.

G.4 Leverandøren skal straks efter anmodning fra Kunden overføre eller slette personoplysninger, som Leverandøren behandler for Kunden, medmindre EU-retten eller lovgivningen foreskriver opbevaring af personoplysningerne.

APPENDIKS 1

Dette Appendiks er instruks til Leverandøren i forbindelse med Leverandørens databehandling for Kunden.

Behandlingen af personoplysninger i Xxxxxxx-Xxxxxxxxxxx.xxx er beskrevet i det efterfølgende. Bemærk at Leverandøren kun behandler de kategorier af personoplysninger, hvor ”Behandling” er markeret med ”Ja”

Bistand til den dataansvarlige (Kunden) jf. kapitel III i Persondataforordningen vedrører:

• Oplysningspligten ved indsamling af personoplysninger hos den registrerede

• Oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede

• Den registreredes indsigtsret

• Retten til berigtigelse

• Retten til sletning (»retten til at blive glemt«)

• Retten til begrænsning af behandling

• Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling

• Retten til dataportabilitet

• Retten til indsigelse

• Retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering (Bemærk: Foretages ikke i Xxxxxxx-Xxxxxxxxxxx.xxx)

Forpligtelser overfor til den dataansvarlige (Kunden) mht. sikkerhedsforstaltninger jf. artikel 32-36 i Persondataforordningen vedrører:

• Gennemførelse passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen

• Anmeldelse af evt. brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

• Uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

• Gennemførelse en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

• Høring af tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.