Databehandleraftale Administration Aalborg Universitet (herefter benævnt ’den Dataansvarlige’) CVR. Nr. 29102384 V/Institut for… Fredrik Bajers Vej 7k



Databehandleraftale Administration


Aalborg Universitet (herefter benævnt ’den Dataansvarlige’)

CVR. Nr. 29102384

V/Institut for

Xxxxxxx Xxxxxx Vej 7k

9220 Aalborg

Danmark


og


Virksomhedens navn (herefter benævnt ’Databehandleren’)

CVR. Nr. XXXXXXXX

Adresse

Postnummer- sted

Land


(I det følgende også samlet benævnt ’Parterne’ og hver for sig ’Part’)


  1. Definitioner

    1. Databehandleraftale(n)’ skal betyde nærværende databehandleraftale med tilhørende eventuelle bilag.

    2. ’Databeskyttelsesforordningen’ skal betyde Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) med senere ændringer.

    3. ’Databeskyttelsesloven’ skal betyde Lov 2018-05-23 nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og fri udveksling af sådanne oplysninger.

    4. ’Databeskyttelsesreglerne’ skal betyde Databeskyttelsesforordningen, Databeskyttelsesloven og alle bekendtgørelser, der er udstedt i medfør af Databeskyttelsesforordningen og Databeskyttelsesloven, retspraksis samt Datatilsynets afgørelser.

    5. ’Underdatabehandler(e)’ er den (under)databehandler, som Databehandleren overlader en eller flere af de opgaver eller afledte opgaver, som den Dataansvarlige har overladt til Databehandleren.

    6. ’Tredjeland’ skal betyde et land eller en stat, som ikke er medlem af det Europæiske Fællesskab (EU), og som heller ikke har tiltrådt aftalen med EU omkring det Europæiske Økonomiske Samarbejdsområde (de såkaldte EØS-lande).

    7. ’Hovedaftale’ skal betyde den eventuelle samarbejdsaftale, indkøbsaftale eller lignende, som Parterne har indgået, og som regulerer Parternes indbyrdes rettigheder og forpligtelser i forbindelse med opfyldelse af aftalen, herunder f.eks. misligholdelse, misligholdelsesbeføjelser, erstatning, lovvalg mv.


Medmindre andet fremgår nedenfor, gælder de definitioner, som følger af Hovedaftalen, også for Databehandleraftalen. Endvidere skal de anvendte termer (f.eks. behandling, personoplysninger mv.) i Databehandleraftalen have samme betydning som de har i Databeskyttelsesreglerne.


  1. Aftalens formål

    1. Databehandleraftalen vedrører Parternes rettigheder og forpligtelser efter Databeskyttelsesreglerne i forbindelse med opfyldelse af aftale om [Indsæt titel på aftalen eller anden entydig identifikation]’ (herefter ’Hovedaftalen’).


    1. Det er Hovedaftalens formål, at [indsæt kort beskrivelse af hovedaftalens formål], og i den forbindelse skal Databehandleren på vegne af den Dataansvarlige bl.a. [indsæt kort beskrivelse af de(n) opgave(r) som Databehandleren skal løse]


    1. Databehandleraftalen og ”Hovedaftalen” er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at ”Hovedaftalen” opsiges – erstattes af en anden gyldig Databehandleraftale. For at den eksisterende databehandleraftale kan anses som gyldigt opsagt er det et krav, at den nye databehandleraftale underskrives samme dag, som den eksisterende databehandleraftale opsiges. Den nye databehandleraftale har virkning ex tunc.


    1. Denne Databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem Parterne, herunder i ”Hovedaftalen”.


  1. Den dataansvarliges forpligtelser

    1. Den Dataansvarlige har pligt til at instruere Databehandleren i hvordan de personoplysninger, der behandles i Hovedaftalen skal håndteres. Denne instruks fremgår af pkt. 3.3. Eventuelle ændringer i instruksen skal være skriftligt aftalt.


    1. Den Dataansvarlige har pligt til at orientere Databehandleren om hvordan personoplysningerne skal håndteres, herunder om personoplysningerne skal slettes eller tilbageleveres, når Databehandleren er færdig med at udføre den aftalte opgave. Dette er nærmere beskrevet i pkt. 11.


    1. Den Dataansvarliges instruks til Databehandleren:

Dette skema skal udfyldes af parterne – så konkret som muligt og i lægmandssprog.


Til hvilket formål skal data behandles?

Skal udfyldes forud for aftaleindgåelse

Hvilken type(r) behandling(er) skal Databehandleren foretage?


(Indsamling, opbevaring, analyse, transskribering, mv.)

Skal udfyldes forud for aftaleindgåelse

Indsamling

Registrering

Organisering

Systematisering

Opbevaring

Tilpasning eller ændring

Genfinding

Søgning

Brug

Sammenstilling eller samkøring

Sletning

Andet:

Såfremt der er valgt ”andet”, skal dette specificeres her:


Shape1

Hvor mange personer skal Databehandleren behandle oplysninger om?


(Det er tilstrækkeligt med et ”op til” eller ”ca. antal”)

Skal udfyldes forud for aftaleindgåelse

Hvilken type personoplysninger behandles:

  • Alm. personoplysninger

(Klassiske stamoplysninger, dvs. navn, køn, adresse, telefonnummer, fødselsdato, nær familie og foto-ID.

Desuden omfatter almindelige personoplysninger oplysninger om uddannelse, kursusbeviser, arbejdsopgaver, nationalitet, deltagelse i hold/fag, oplysninger om løn, skat, pension, mv.)

  • Fortrolige personoplysninger

(Fortrolige personoplysninger kan omfatte: Personlighedstest, skilsmisse, registreret partnerskab, adoptionsforhold, alkohol- og narkotikatest, registrering af snyd til eksamen, logning af internetbrug, karakterer, væsentlige sociale problemer og familieforhold, bortvisningsgrund, disciplinære sager, referater af personlige samtaler, hvis disse indeholder oplysninger af særlig karakter, hemmelig adresse og telefonnummer, mv.)

  • Følsomme personoplysninger

(Race eller etnisk oprindelse,

Politisk overbevisning, Religiøs overbevisning, Filosofisk overbevisning,

Fagforeningsmæssigt, tilhørsforhold, Helbredsoplysninger,

Seksuelle forhold eller orientering, Genetiske eller biometriske data til brug for identificering)


  • Straffedomme og lovovertrædelser

Herunder oplysninger om at den registrerede er sigtet eller dømt i strafbare forhold, oplysninger om at den registrerede har begået strafbare forhold, o.l.

Sæt kryds forud for aftaleindgåelse

Almindelige personoplysninger

CPR-numre

Fortrolige personoplysninger

Følsomme personoplysninger

Straffedomme og lovovertrædelser

Hvilke kategorier af registrerede, behandles, der personoplysninger om.





Bekræft at oplysningerne kun behandles af personer, der er autoriseret af modtageren til have adgang til oplysningerne, og at der er givet fornøden instruktion til disse medarbejdere om databeskyttelse generelt og specifikt om håndtering af de modtagne personoplysninger.


Udfyldes af databehandleren

Hvem hos Databehandleren skal behandle data?

(angiv stillingsbetegnelse)

Udfyldes af databehandleren

Angiv om Databehandleren skal slette eller tilbagelevere data efter at databehandlingsopgaven er afsluttet.

Anbefales udfyldt forud for aftaleindgåelse, alternativt skal dette meddeles til Databehandleren senest 4 uger før databehandlingens ophør. Se pkt. 12.2

Såfremt personoplysningerne skal tilbageleveres, angiv hvorledes dette skal ske

Anbefales udfyldt forud for aftaleindgåelse, alternativt skal angivelse af hvordan dette skal ske, meddeles til Databehandleren jf. pkt.12.3

Såfremt personoplysningerne skal slettes skal, Databehandleren beskrive den påtænkte fremgangsmåde herfor

Anbefales udfyldt forud for aftaleindgåelse, alternativt skal beskrivelse af hvordan dette skal ske, meddeles til den dataansvarlige jf. pkt.12.4



  1. Databehandlerens forpligtelser

    1. Databehandleren handler alene på vegne af og efter instruks fra den Dataansvarlige i forbindelse med gennemførelsen af de aftalte opgaver i forhold til Hovedaftalen. Det er således alene den Dataansvarlige, der afgør til hvilket formål, der må foretages behandling af personoplysningerne.

      Databehandleren forpligter sig til at overholde Databeskyttelsesreglerne samt vederlagsfrit at bistå den Dataansvarlige med at overholde dennes forpligtelser i henhold til Xxxxxxxxxxxxxxxxxxxxxxxx. Databehandleren skal herunder, blandt andet (ikke udtømmende):

  • Behandle personoplysninger i overensstemmelse med de generelle principper som er fastsat i Databeskyttelsesforordningens art. 5.

  • Bistå den Dataansvarlige med overholdelse af og beskyttelse af de(n) registreredes rettigheder.

  • Udarbejde fortegnelse over behandlingsaktiviteter, jf. Databeskyttelsesforordningens art. 00, xxx. 2.


    1. Databehandleren skal, på den Dataansvarliges anmodning, give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at der er iværksat passende tekniske og organisatoriske sikkerhedsforanstaltninger. Herved bl.a. oplysninger om hvor personoplysningerne befinder sig, samt fysisk adgang til disse, såfremt dette er påkrævet af den Dataansvarlige.


    1. Databehandleren skal sikre, at kun de personer, som har et behov herfor, til opfyldelse af Databehandleraftalens formål og instruks, har adgang til personoplysningerne.

    2. Databehandleren må ikke uden instruks fra den Dataansvarlige videregive oplysninger, som Databehandleren kommer i besiddelse af ved udførelsen af opgaven som Databehandler. Databehandleren må ej heller bruge eller behandle oplysninger fra databehandleropgaven til egne formål eller til andre formål end dem, som den Dataansvarlige har fastsat.


    1. Databehandleren må ikke anvende personoplysningerne til andre formål end dem, som er bestemt af den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. I så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.


    1. Såfremt Databehandleren i modstrid med Databehandleraftalen anvender personoplysninger til andre formål end, de som er bestemt af den Dataansvarlige vil det medføre, at Databehandleren vil få selvstændig status som Dataansvarlig for den konkrete behandling.


    1. Såfremt den Dataansvarlige vurderer, at der skal foretages en konsekvensanalyse, jf. Databeskyttelsesforordningens art. 35, skal Databehandleren vederlagsfrit medvirke til at foretage denne analyse, såfremt den Dataansvarlige anmoder Databehandleren herom. Dette omfatter blandt andet, at Databehandleren på opfordring fra den Dataansvarlige skal udlevere oplysninger, der måtte være nødvendige i forhold til udarbejdelse af konsekvensanalysen.


    1. Databehandleren skal sikre passende tekniske og organisatoriske sikkerhedsforanstaltninger, jf. Databeskyttelsesforordningens art. 32, således, at det sikres, at personoplysningerne ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt sikres mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Databeskyttelsesreglerne. Databehandleren har som minimum pligt til at overholde nedenstående sikkerhedsforanstaltninger:


      • Elektronisk registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt og brugeradgange samt registrering af alle afviste adgangsforsøg.

      • Indføre log-in og adgangsprocedurer samt opsætte og vedligeholde en firewall og antivirus software.

      • Systemer, herunder såvel software og 1hardware, der anvendes i forbindelse med databehandlingen, skal være sikre at anvende og være opdateret.

      • Personoplysninger der skal opbevares og/eller transporteres elektronisk skal være i krypteret form, jf. Datatilsynets anbefalinger til krav til kryptering

      • Personoplysninger skal være passwordbeskyttet.

      • Datalagringsmedier og prints skal opbevares på forsvarlig vis, således disse ikke er tilgængelige for uvedkommende.

      • Databehandleren skal sikre, at alene medarbejdere med et arbejdsrelateret formål hertil, har adgang til personoplysningerne.

      • Det skal sikres, at Databehandlerens medarbejdere modtager passende uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne. Databehandleren er forpligtet til at sikre, at de medarbejdere, der er involveret i behandlingen af personoplysningerne, er bekendt med sikkerhedskravene.

      • I forbindelse med reparation og service af medier, der indeholder personoplysninger, samt ved kassation af anvendte medier, skal der træffes foranstaltninger for at sikre sikkerheden omkring personoplysningerne.

      • Ovenstående sikkerhedsbestemmelser gælder ligeledes i det omfang Databehandleren gør brug af hjemme- eller fjernarbejdspladser.

      • Bygninger og systemer, der anvendes i forbindelse med databehandlingen, skal være sikret, og der skal alene anvendes udstyr og programmel af høj kvalitet, som opdateres løbende.

      • Inddata, som ikke indgår i en manuel sag eller et manuelt register, må kun anvendes af medarbejdere, som er beskæftiget med inddateringen. Inddatamateriale indeholdende fortrolige personhenførbare oplysninger, skal opbevares aflåst, når de ikke anvendes.

      • Uddatamateriale må kun anvendes af personer, der er beskæftiget med de formål, til hvilke behandlingen af personoplysningerne foretages.


Hvis der skal foretages ændringer i ovennævnte opremsning, skal AAU’s CISO kontaktes med henblik på at godkende ændringen eller komme med et alternativ.



    1. Såfremt Databehandleren skal opbevare personoplysninger i kortere eller længere periode, har Databehandleren pligt til at oplyse, hvor data opbevares. Databehandleren skal inden for rimelig tid skriftligt orientere den Dataansvarlige om eventuelle ændringer af opbevaringssted.


Dette skema skal udfyldes af Databehandleren.

Datacenters placering
(Angiv leverandør og den fysiske adresse)

Primær opbevaring

Skal udfyldes ved aftaleindgåelse

Back-up opbevaring

Skal udfyldes ved aftaleindgåelse

Evt. Underdatabehandlers

opbevaring

Skal udfyldes ved aftaleindgåelse


Databehandleren skal ajourføre oplysningerne over for den Dataansvarlige ved enhver ændring af adresseangivelsen. Kontaktoplysninger til den Dataansvarlige er angivet i pkt. 13.1.


  1. TAVSHEDSPLIGT og FORTROLIGHED


    1. Databehandlerens ansatte, samarbejdspartnere, eksterne konsulenter og vikarer m.fl. vil i forbindelse med behandlingen af personoplysninger være omfattet af de regler om tavshedspligt, som gælder for ansatte i den offentlige forvaltning. Der henvises til forvaltningslovens § 27 og straffelovens §§ 152-152 f.


    1. Det påhviler Databehandleren og dennes Underdatabehandlere at informere egne ansatte, samarbejdspartnere, eksterne konsulenter og vikarer mfl. om tavshedspligten.


    1. Databehandleren skal holde personoplysningerne fortrolige, og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser i henhold til Databehandleraftalen.


    1. Databehandlerens forpligtelser om tavshedspligt og fortrolighed gælder også efter aftalens ophør.


  1. Brug af underdatabehandleraftale

    1. Databehandleren har den Dataansvarliges generelle godkendelse til at gøre brug af Underdatabehandlere, som nævnt i 6.4. Databehandleren skal dog underrette den Dataansvarlige om eventuelle planlagte ændringer, vedrørende tilføjelse eller erstatning af andre Databehandlere, og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være den Dataansvarlige i hænde minimum 2 måneder før anvendelsen eller ændringen skal træde i kraft. Såfremt den Dataansvarlige har indsigelser mod ændringerne, skal den Dataansvarlige give meddelelse herom til Databehandleren inden rimelig tid efter modtagelsen af underretningen. Den Dataansvarlige kan alene gøre indsigelse, såfremt den Dataansvarlige har rimelige, konkrete årsager hertil.”


    1. Det er Databehandlerens ansvar, at Underdatabehandlere efterlever Databehandleraftalen, idet Databehandleraftalen også gælder for disse. Databehandleren skal have indgået databehandleraftaler med Underdatabehandlere på tilsvarende vilkår som nærværende Databehandleraftale, og i øvrigt sikre, at Databeskyttelsesforordningens art 28, stk. 2 og stk. 4 overholdes.


    1. Efter anmodning fra den Dataansvarlige skal Databehandleren levere en kopi af Underdatabehandleraftale (-rne), senest 14 dage efter anmodningen er afsendt.


    1. Databehandleren gør ved aftalens ikrafttræden brug af følgende underdatabehandlere:


Navn

CVR-nr.

Adresse

Beskrivelse af behandling

[Navn]

[CVR-nr.]

[Adresse]

[Overordnet beskrivelse af behandlingen hos underdatabehandleren]


[Navn]

[CVR-nr.]

[Adresse]

[Overordnet beskrivelse af behandlingen hos underdatabehandleren]


[Navn]

[CVR-nr.]

[Adresse]

[Overordnet beskrivelse af behandlingen hos underdatabehandleren]


[Navn]

[CVR-nr.]

[Adresse]

[Overordnet beskrivelse af behandlingen hos underdatabehandleren]




  1. Behandling i udlandet

    1. Databehandleren må ikke uden forudgående skriftligt samtykke fra den Dataansvarlige behandle personoplysningerne uden for EU/EØS.


    1. Såfremt skriftligt samtykke er opnået fra den Dataansvarlige i overensstemmelse med ovennævnte, skal Databehandleren sikre, hvis Databehandleren eller en af dennes Underdatabehandlere, jf. ovennævnte pkt. 6, foretager databehandling i et tredjeland, at Databehandleren og eventuelle Underdatabehandlere ud over Databeskyttelsesreglerne også lever op til det pågældende lands databeskyttelseslovgivning.


    1. Hvis Databehandleren efter forudgående skriftligt samtykke fra den Dataansvarlige foretager databehandling i et Tredjeland, skal Databehandleren sikre, at reglerne i Databeskyttelsesforordningens kapitel V (Artikel 44-50) er overholdt.


    1. Uanset ovenstående pkt. 7.1-7.3 kan Databehandleren i overensstemmelse med Databeskyttelsesforordningens art. 28 overføre personoplysningerne til et Tredjeland, såfremt dette er påkrævet efter EU-ret eller anden national lovgivning. Databehandleren har pligt til at orientere den Dataansvarliges kontaktperson, jf. pkt. 13.1, i rimelig tid inden personoplysningerne overføres.



  1. Inspektion, tilsyn og kontrol

    1. I tilfælde af at den Dataansvarlige, herunder en ekstern konsulent/repræsentant og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en fysisk inspektion af de ovennævnte foranstaltninger, forpligter Databehandleren sig til uden krav om vederlag – med et rimeligt varsel – at stille sig til rådighed for en sådan inspektion.


Udover fysisk inspektion, kan tilsyn og kontrol varetages ved: Vælg ét af de to næste vilkår:


    1. Tilsyn og kontrol skal ske ved, at Databehandlerens revisor udfylder og afleverer Bilag 2: Uafhængig revisors ISAE 3000-erklæring til den Dataansvarliges kontaktperson, jf. pkt. 13. Databehandleren skal aflevere revisionserklæringen i forbindelse med indgåelse af Databehandleraftalen, og derefter skal Databehandleren aflevere revisionserklæringen hver 12. måned.

Eller

    1. Tilsyn og kontrol skal ske ved, at Databehandleren udfylder og afleverer Bilag 1: Kontrolskema til den Dataansvarliges kontaktperson, jf. pkt. 13. Databehandleren skal udfylde kontrolskemaet og fremsende det til den Dataansvarliges kontaktperson, jf. pkt. 13 hver 12. måned.


    1. Den Dataansvarlige er forpligtet til at sikre sig, at Databehandleren fører tilsyn med Underdatabehandleren. Dette sikres ved, at Databehandleren i forbindelse med den Dataansvarliges tilsyn med denne fremsender dokumentation til den Dataansvarlige for afholdte tilsyn hos Underdatabehandleren (-erne), til den Dataansvarliges kontaktperson jf. pkt. 13.1. Dokumentation herfor skal fremsendes hver 12. måned.


  1. Underretningspligt

    1. Databehandleren forpligter sig til uden unødig forsinkelse at underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden. Ligeledes forpligter Databehandler sig til at orientere den Dataansvarlige om enhver afvigelse fra kravene i Databehandleraftalen, f.eks. ved:

      • enhver fravigelse fra givne instrukser

      • enhver mistanke om brud på fortroligheden

      • enhver mistanke om misbrug, fortabelse og forringelse af data

      • enhver hændelig eller uautoriseret videregivelse af eller adgang til personoplysningerne behandlet efter denne Databehandleraftale

      • hvis instruksen efter Databehandlerens vurdering er i strid med lovgivningen

      • driftsforstyrrelser

      • risiko for sikkerhedsbrud


    1. Meddelelsen efter pkt. 9.1 skal rettes til den Dataansvarliges kontaktperson og den oplyste funktionspostkasse, jf. pkt. 13.1.

    2. Ved alvorlige brud på datasikkerheden eller lignende alvorlige utilsigtede hændelser skal Databehandleren straks træffe foranstaltninger til at stoppe bruddet/hændelsen, og hvis relevant iværksætte foranstaltninger til at begrænse mulige skadevirkninger.


    1. Ved alvorlige brud på datasikkerheden eller lignende alvorlige utilsigtede hændelser skal Databehandleren, efter anmodning fra den Dataansvarlige, uden unødig forsinkelse udarbejde en skriftlig redegørelse i overensstemmelse med Databeskyttelsesforordningens art. 33, stk. 3.

  1. Erstatningsansvar i forhold til de registrerede

    1. Såfremt en registreret kræver erstatning for materiel eller immateriel skade for overtrædelse af Databeskyttelsesforordningen, finder Databeskyttelsesforordningens art. 82 anvendelse.


    1. Parternes indbyrdes erstatningsansvar

Der påhviler Parterne almindeligt erstatningsansvar i henhold til dansk rets almindelige regler. Bortset fra væsentlig misligholdelse af Databehandleraftalen, skal Parterne dog ikke kunne holdes ansvarlige for indirekte tab, følgeskader, driftstab, tabt arbejdsfortjeneste eller andre økonomiske konsekvenstab. Som eksempel, men ikke udtømmende, er manglende overholdelse af instruksen, jf. afsnit 3, væsentlig misligholdelse.

Bortset fra forsætlige og groft uagtsomme handlinger og undladelser, er Parternes indbyrdes erstatningsansvar i enhver henseende begrænset til et samlet beløb på DKK 500.000 pr. part.


  1. Ændringer til aftalen

    1. Den Dataansvarlige kan til enhver tid, med et forudgående varsel på mindst 30 dage, foretage ændringer i instruksen. Databehandleren skal ved sådanne ændringer, uden ugrundet ophold, sikre, at eventuelle Underdatabehandlerne tillige forpligtes af ændringerne.


    1. I det omfang ændringerne i lovgivningen eller tilhørende praksis giver anledning hertil, er den Dataansvarlige med et varsel på 30 dage, berettiget til at foretage ændringer i aftalen.


    1. Der udarbejdes et tillæg til den gældende Databehandleraftale. Af tillægget fremgår de ændringer, der er foretaget i instruksen eller aftalen som sådan. Tillægget underskrives af parterne og har virkning fra tidspunktet for underskrivelsen.


  1. Håndtering af personoplysninger efter databehandleraftalens ophør

    1. Databehandleren forpligter sig til at sikre, at personoplysningerne tilbageleveres eller slettes, når databehandlingen i henhold til Databehandleraftalens instruks i pkt. 3.3 skal ophøre. Databehandleren er dog berettiget til at gemme personoplysninger, såfremt Databehandleren er forpligtet hertil i medfør af EU ret eller national lovgivning, jf. Databeskyttelsesforordningens art. 28, stk. 3, litra g.


    1. Såfremt der ikke ved aftalens indgåelse er truffet beslutning, om hvorvidt personoplysningerne skal slettes eller tilbageleveres når behandlingen af personoplysninger er afsluttet, er den Dataansvarlige forpligtet til skriftligt at meddele dette til Databehandlerens kontaktperson, jf. pkt. 13.1, senest fire uger før det tidspunkt, hvor Databehandlerens håndtering af personoplysninger ophører, jf. instruksen i pkt. 3.3.


    1. Såfremt der ikke ved aftalens indgåelse er angivet i pkt. 3.3, hvordan personoplysningerne skal tilbageleveres, skal den Dataansvarlige senest to uger før tilbageleveringstidspunktet anvise en metode hertil.


    1. Såfremt der ikke ved aftalens indgåelse er angivet i pkt. 3.3., hvordan personoplysningerne skal slettes, skal Databehandleren beskrive den påtænkte fremgangsmåde for sletning, senest to uger før databehandlingen skal ophøre. Såfremt den Dataansvarlige ikke finder metoden tilstrækkelig effektiv, skal dette meddeles til Databehandleren senest to uger efter, at beskrivelsen er modtaget, og den Dataansvarlige skal meddele Databehandleren hvilken metode, der anses for tilstrækkelig effektiv.


    1. Ved anmodning fra den Dataansvarlige, skal Databehandleren fremsende en skriftlig erklæring på, at Personoplysningerne er slettet som aftalt, inkl. en beskrivelse af den anvendte metode.


    1. Såfremt den Dataansvarlige ikke tager stilling til, hvorvidt personoplysningerne skal slettes eller tilbageleveres, er Databehandleren berettiget til på det tidspunkt, hvor databehandlingen skal ophøre jf. instruksen i pkt. 3.3., at sende en beskrivelse, af hvordan personoplysningerne påtænkes slettet, til den Dataansvarliges kontaktperson, jf. pkt. 13, og hvis den Dataansvarlige ikke reagerer herpå inden 4 uger, er Databehandleren berettiget og forpligtet til at slette personoplysningerne i overensstemmelse med den beskrevne måde.


  1. Kontaktpersoner

    1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner/kontaktpunkter:


Dataansvarlige


Databehandleren

Navn:

[Angiv navn]


Navn:

[Angiv navn]

Stilling:

[Angiv stilling]


Stilling:

[Angiv stilling]

Adresse:

[Angiv adresse]


Adresse:

[Angiv adresse]

Tlf.:

[Angiv telefonnummer]


Tlf.:

[Anfør telefonnummer]

E-mail:

[Angiv e-mail]


E-mail:

[Angiv e-mail]

Funktionspostkasse:



Funktionspostkasse:



    1. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersonen/kontaktpunktet.


  1. Ikrafttræden og varighed

    1. Databehandleraftalen træder i kraft på datoen for begge Parters underskrivelse heraf. Såfremt aftalen ikke underskrives af begge Parter på samme dato, er det dato for den senest afgivne underskrift, der er ikrafttrædelsesdato.



























Underskrifter


Databehandleren

Sted, dato:





Shape2

Navn og titel på underskriftsberettiget







Den Dataansvarlige

Sted, dato:




Shape3

Navn




Shape4

Navn





Shape5

Xxxx Xxxxxxxxxxx, Kontraktchef


Side 1 af 14

Databehandleraftale administration

Document Metadata

Filed: September 17th, 2020