BILAG 2 DATABEHANDLERAFTALE
BILAG 2 DATABEHANDLERAFTALE
Rambøll som databehandler
1. Indledning
1.1 Denne Databehandleraftale fastsætter de rettigheder og forpligtelser, som finder anven- delse, når Rambøll (i det følgende benævnt ”Databehandleren”) foretager behandling af per- sonoplysninger på vegne af kunden (i det følgende benævnt den ”Dataansvarlige”) i henhold til Rambøll WEB/LER indgået mellem parterne (”Aftalen”). Databehandleraftalen udgør en integreret del af Aftalen. I tilfælde af uoverensstemmelse mellem en bestemmelse/bestem- melser i denne Databehandleraftale og en bestemmelse/bestemmelser i Aftalen, har be- stemmelserne i denne Databehandleraftale forrang.
1.2 Databehandleraftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3 i forordning 2016/679 af 27. april 2016 (Databeskyttelsesforordningen).
1.3 De øvrige begreber, der anvendes i Databehandleraftalen, har den betydning, der fremgår af Databeskyttelseslovgivningen.
2. Aftalens omfang
2.1 Databehandleren vil i Aftalens løbetid behandle personoplysninger på vegne af den Dataan- svarlige med det i bilag 1 definerede afgrænsede formål. Databehandleren accepterer ude- lukkende at behandle personoplysninger til dette formål og afstår fra enhver anden uberetti- get behandling.
2.2 Kategorien af registrerede og typen af personoplysninger, der behandles, fremgår ligeledes af bilag 1.
3. Forpligtelser, instrukser og sikkerhed
3.1 Databehandleren pålægges at udføre de behandlingsaktiviteter, der er nødvendige for at Databehandleren kan opfylde sine forpligtelser som leverandør i henhold til Aftalen og i overensstemmelse med det anførte formål.
3.2 Databehandleren skal:
a) overholde den for Databehandleren gældende Databeskyttelseslovgivning,
b) behandle personoplysninger overført til/eller indsamlet af Databehandleren i over- ensstemmelse med den Dataansvarliges instruks.
c) sikre at dennes eventuelle underdatabehandlere behandler personoplysningerne i henhold til denne Databehandleraftale, de enkelte instrukser og Databeskyttelses- lovgivningen,
d) opfylde forpligtelserne i henhold til Aftalen på en sådan måde, at den Dataansvarlige kan overholde Databeskyttelseslovgivningen, herunder at Databehandleren under
hensyntagen til behandlingens karakter, så vidt muligt bistår den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de re- gistreredes rettigheder som fastlagt i forordningen.
3.3 Databehandleren er forpligtet til at implementere og opretholde passende tekniske og orga- nisatoriske sikkerhedsforanstaltninger med henblik på at beskytte personoplysningerne mod hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse, misbrug eller anden behandling i strid med databeskyttelseslovgivningens bestemmelser. Databe- handleren skal sikre, at denne og dennes eventuelle underdatabehandlere, til enhver tid overholder de forpligtelser, der følger af Databehandleraftalen og forordningens artikel 32- 36.
3.4 Databehandleren skal sikre, at de medarbejdere, der behandler personoplysninger på den- nes vegne, påtager sig en fortrolighedsforpligtelse eller er underlagt en passende lovbe- stemt tavshedspligt vedrørende personoplysninger behandlet i henhold til Aftalen. Fortrolig- hedsforpligtelsen består efter Databehandleraftalens ophør.
3.5 Databehandleren skal stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i art. 28., til rådighed for den Dataansvarlige. På skriftlig anmodning fra den Data- ansvarlige skal Databehandleren give den Dataansvarlige eller eventuelle tredjeparter udpe- get af den Dataansvarlige (under forudsætning af, at disse påtager sig rimelige og tilstræk- kelige fortrolighedsforpligtelser) tilladelse til at udføre audit af Databehandlerens databe- handlingsaktiviteter og opfylde alle den Dataansvarliges rimelige anmodninger og instrukser, således at den Dataansvarlige har mulighed for at verificere og/eller sikre, at Databehandle- ren og eventuelle underdatabehandlere til fulde overholder deres forpligtelser i henhold til Databehandleraftalen og Databeskyttelseslovgivningen.
3.6 Databehandleren skal straks underrette den Dataansvarlige, hvis en instruks efter Databe- handlerens opfattelse strider mod Databeskyttelseslovgivningen.
4. Underdatabehandlere
4.1 Databehandleren skal opfylde de betingelser, der er omhandlet i Databeskyttelsesforordnin- gens artikel 28, stk. 2 og 4, for at gøre brug af en underdatabehandler.
4.2 Såfremt Databehandleren ønsker at skifte en underdatabehandler eller antage en ny under- databehandler skal Databehandleren give den Dataansvarlige et skriftligt varsel på 2 måne- der, således den Dataansvarlige gives mulighed for at gøre indsigelse mod den planlagte brug/ændring af underdatabehandleren.
4.3 Databehandlerens brug af underdatabehandlere, kan alene ske ved skriftlig aftale med un- derdatabehandleren. Aftalen skal pålægge underdatabehandleren de samme forpligtelser, som Databehandleren er underlagt i henhold til denne Databehandleraftale. Såfremt under- databehandleren undlader at opfylde sine forpligtelser i henhold til den skriftlige aftale, er
Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabe- handlerens forpligtelser.
4.4 Ved underskrivelsen af denne Databehandleraftale har den Dataansvarlige godkendt, at Da- tabehandleren kan anvende den/de underdatabehandlere, der er anført i Bilag 1.
5. Overførsel af data til tredjelande
5.1 Databehandleren og dennes eventuelle underdatabehandlere må ikke overføre personoplys- ninger til lande uden for EU/EØS uden den Dataansvarliges forudgående skriftlige godken- delse. Såfremt denne godkendelse opnås, skal Databehandleren opfylde ethvert krav vedta- get af en tilsynsmyndighed eller anden statslig myndighed nødvendigt for at opnå godken- delse fra sådanne myndigheder til overførsel af personoplysninger til lande uden for EU/EØS, herunder i videst mulige omfang sikre overholdelse af Kommissionens standard- kontraktbestemmelser.
6. Meddelelse om brud på persondatasikkerheden
6.1 Databehandleren skal uden ugrundet ophold skriftligt meddele den Dataansvarlige om et eventuelt konstateret eller potentielt brud på persondatasikkerheden. Denne meddelelse skal indeholde enhver oplysning, der er nødvendig for, at den Dataansvarlige kan overholde Databeskyttelseslovgivningen, herunder oplysninger om arten af bruddet og foranstaltninger truffet for at kontrollere bruddet.
7. Erstatningsansvar
7.1 Databehandlerens erstatningsansvar er begrænset som anført i Aftalen.
8. Ophør
8.1 Denne Databehandleraftale er gældende, indtil den sidste af følgende begivenheder indtræ- der: Aftalens ophør eller indtræden af det tidspunkt, hvor Databehandleren ophører med at behandle personoplysningerne.
8.2 Efter Aftalens ophør og efter anmodning fra den Dataansvarlige skal Databehandleren a) slette, eller b) tilbagelevere alle personoplysninger til den Dataansvarlige (i et gensidigt af- talt, let tilgængeligt og kommercielt rimeligt filformat) og slette eksisterende kopier. Så- fremt der fremsættes anmodning om sletning af personoplysninger skal Databehandleren, skriftligt erklære, at personoplysningerne og eventuelle kopier heraf er slettet.
8.2.1 Foreligger der ikke senest en (1) måned efter ophør af Aftalen instruks fra den Dataansvar- lige angående tilbagelevering eller sletning af personoplysningerne, er Databehandleren be- rettiget til at slette personoplysningerne.
9. Underskrifter
Dato: 2018-05-28 Dato:
På vegne af Rambøll Danmark A/S På vegne af
Xxxxxx Xxxxxxx Xxxxxx Xxxx og underskrift
Bilag 2A: Konkrete forhold
1. Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er:
At den Dataansvarlige kan anvende Rambøll WEB/LER til at indsamle og behandle oplysnin- ger om den Dataansvarliges forbrugere til ledningsregistrering.
2. Databehandlerens behandling af personoplysninger på vegne af den Data- ansvarlige drejer sig primært om (karakteren af behandlingen):
Databehandleren stiller Rambøll WEB til rådighed for den Dataansvarlige og herigennem op- bevarer personoplysninger om den Dataansvarliges forbrugere på vandværkets installation.
3. Behandlingen omfatter følgende typer af personoplysninger om de regi- strerede:
Navne, forbrugernumre, adresser og mailadresser samt bemærkninger og noter
Det er muligt at angive følsomme oplysninger i fritekstfelter (bemærkninger og noter), men der er ikke intentionen, at systemet skal indeholde følsomme oplysninger.
4. Behandlingen omfatter følgende kategorier af registrerede:
Personer, som har eller har haft et kundeforhold hos den Dataansvarlige.
5. Databehandlerens behandling af personoplysninger på vegne af den Data- ansvarlige kan påbegyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:
Behandlingen er ikke tidsbegrænset og varer indtil Aftalen eller Databehandleraftalen opsi- ges eller ophæves af en af parterne.
6. Godkendte underdatabehandlere:
Navn | CVR | Land | Beskrivelse af behandlinger |
KMD A/S | 26911745 | Danmark | Hosted løsning |
Sendgrid Inc. | Selskabet er EU privacy shield certificeret USA | Sender mails via Rambøll FAS | |
Microsoft | Irland | Webservice til brugernavne, password samt gemme mails. |