Databehandleraftale
1. Parterne
Der indgås hermed en databehandleraftale mellem følgende to parter:
Databehandler: Dataansvarlig:
ForeningLet ApS Kerteminde Museumsforening
Xxxxxxxxxxxxx 000, 0. xxx Xxxxxxxxxx 0
4000 Roskilde 5300 Kerteminde
CVR-nr.: 35827676 CVR-nr.: 38880691
2. Aftalens baggrund
Baggrunden for aftalen er, at databehandleren behandler personoplysninger for den dataansvarlige. Aftalen fastlægger de forpligtelser, der relaterer sig til behandlingen og beskyttelsen af personoplysningerne.
Den dataansvarlige har i forhold til de registrerede personer ansvaret for overholdelse af lovgivningen. Den dataansvarlige har ansvaret for, at henvendelser fra de registrerede personer angående deres rettigheder håndteres.
3. Behandling efter instruks
Databehandleren handler alene efter instruks fra den dataansvarlige. Instruksen er indeholdt i denne aftale. Hermed accepterer databehandleren i enhver henseende at behandle personoplysninger i overensstemmelse med persondataforordningen og kun med de formål og på en sådan måde, som fremgår af denne databehandleraftale. Parternes samarbejde er i øvrigt reguleret af en særskilt aftale om system, ydelser, betaling m.v.
3.1 Formålene med behandlingen
1. Formål med behandling af medlemsoplysninger:
• Den dataansvarliges medlemshåndtering, herunder kontingentopkrævning og indbetalinger
3.2 Kategorier af registrerede
Der behandles oplysninger om følgende kategorier af registrerede personer:
• Medlemmer
3.3 Genstanden for behandlingen og typen af oplysninger
Databehandleren behandler almindelige oplysninger og skal behandle alle personoplysninger strengt fortroligt. Databehandleren har alene ret til at behandle personoplysninger til de ovennævnte formål.
Databehandleren skal behandle følgende personoplysninger: Almindelige personoplysninger:
• Navn, adresse, email-adresse, telefonnr.
3.4 Etablering af passende sikkerhedsforanstaltninger
Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataforordningen og lovgivningen i øvrigt.
Databehandleren må til varetagelse af sine opgaver i henhold til denne aftale alene benytte personer, der er underlagt en fortrolighedsforpligtelse.
Databehandleren skal overordnet set bistå den dataansvarlige med at opfylde dennes forpligtelser over for den registrerede. Dette indebærer bl.a., at databehandleren på den dataansvarliges anmodning skal give den dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet samt sikre, at der kan ske rettidig anmeldelse af sikkerhedsbrud til Datatilsynet.
Den dataansvarlige har ret til at kræve adgang til databehandlerens fysiske lokaler og kan også afkræve en årlig revisionserklæring. Den dataansvarlige skal i forbindelse med anmodning om en revision fremsende en plan som beskriver omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato.
Den dataansvarlige er ansvarlig for at afholde alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens tidsforbrug i forbindelse hermed, som overskrider den almindelige service som databehandleren skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes særskilt.
Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse, hvis databehandleren bliver bekendt med et sikkerhedsbrud.
4. Brug af underdatabehandlere
Databehandleren anvender en række underleverandører (også benævnt ”Underdatabehandlere”). Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere.
Databehandleren skal sikre sig, at underdatabehandlere skal overholde samme forpligtelser og krav, som er beskrevet i denne aftale. Hvis en underdatabehandler er etableret uden for EU/EØS skal databehandleren sikre sig, at overførsel af personoplysninger er tilladt ifølge gældende databeskyttelseslovgivning.
Den dataansvarlige skal orienteres, inden databehandleren udskifter en underdatabehandler. Den dataansvarlige har ret til at protestere imod en ny underdatabehandler, som behandler personoplysninger på vegne af den dataansvarlige, hvis behandlingen ikke sker i overensstemmelse med gældende databeskyttelseslovgivning.
Hvis der er uenighed om databehandlerens valg af underdatabehandler, så kan den dataansvarlige opsige sit abonnement med det samme, således at den dataansvarliges personoplysninger ikke behandles af underdatabehandleren.
5. Varigheden af behandlingen
Denne aftale gælder, så længe databehandleren behandler personoplysninger for den dataansvarlige i henhold til parternes særskilte aftale om system, ydelser, betaling m.v. Databehandleren skal på den dataansvarliges anmodning og efter dennes valg slette eller tilbagelevere de behandlede personoplysninger ved den nævnte aftales ophør.
For databehandleren For den dataansvarlige
Dato & sted: Dato & sted:
Roskilde, den 20. maj 2018 Kerteminde, den 20. maj 2018
Xxxxxx Xxxxxxxxxxx Xxxxxx Xxxxxxxx