DATABEHANDLERAFTALE

DATABEHANDLERAFTALE

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

1. Baggrund

1.1 Den Dataansvarlige er den juridiske enhed/kunde som har indgået aftale med Dansk Løn Service

1.2 Databehandleren Dansk Løn Service ApS, Xxxxxxxxx 00, 8653 Them cvr. nr. 27281591, Udfører løn- og personaleadministration services for kunden i flg særskilt aftale.

1.3 Databehandleren og den Dataansvarlige har indgået en aftale om levering af løn og personalead- ministration (”Kundeaftalen”). I forbindelse med leverancen af Ydelserne (givet i medfør af gæl- dende lov på områderne for løn og personaleadministration) vil Databehandleren behandle en række Personoplysninger (som defineret nedenfor) på vegne af den Dataansvarlige. Disse oplys- ninger videregives eller overlades til 3. part i forhold til den indgående aftale om levering af ser- vices fra Dansk Lønservice

1.4 Parterne har derfor indgået denne Databehandleraftale for at styre og regulere Databehandlerens behandling af Personoplysninger på vegne af den Dataansvarlige i henhold til Kundeaftalen. I til- fælde af uoverensstemmelser mellem Kundeaftalen og Databehandleraftalen har Databehandler- aftalen forrang.

1.5 Databehandlingens karakter, formål m.v. er nærmere beskrevet i Bilag 1.

2. Definitioner

2.1 De betegnelser og definitioner, der er angivet i Databehandleraftalen, har følgende betydning:

”Persondataloven” betyder lov nr. 429 af 31. maj 2000 med senere ændringer samt enhver frem- tidig regulering til erstatning eller ændring deraf herunder Forordning (EU) 2016/679 af 27. april 2016 (”EU-persondataforordningen”).

”Personoplysninger” betyder enhver form for information om en identificeret eller identificerbar fysisk person.

”Ydelserne” betyder de produkter og/eller services, der skal leveres af Databehandleren i henhold til Kundeaftalen.

3. Den Dataansvarliges forpligtelser

3.1 Den Dataansvarlige er ansvarlig for korrekt overholdelse af sine forpligtelser som dataansvarlig i henhold til Persondataloven.

3.2 Den Dataansvarlige skal tilgængeliggøre de Personoplysninger for Databehandleren, som Databe- handleren med rimelighed kan forlange adgang til for at kunne levere Ydelserne.

3.3 Den Dataansvarlige honorerer Databehandleren særskilt og efter medgået tid for at håndtere fo- respørgsler og opgaver i henhold til Databehandleraftalens punkt 4,4, 8.3, 9, 10.1, 11, 12.2-12.3. Honoraret er 600 kr. pr. påbegyndt time

4. Databehandlerens forpligtelser

4.1 Databehandleren skal behandle Personoplysningerne i overensstemmelse med Databeskyttelses- forordningen regler.

4.2 Databehandleren er alene berettiget til at behandle Personoplysningerne efter instruks fra den Dataansvarlige.

4.3 Databehandleren er alene berettiget til at behandle Personoplysningerne med det formål at levere Ydelserne samt til at behandle Personoplysningerne i et sådant omfang og på en sådan måde, som er nødvendig for at levere Ydelserne i den indgåede aftale herom.

4.4 Databehandleren skal på opfordring fra den Dataansvarlige bistå med at opfylde den Dataansvar- liges forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra medarbejdere om indsigt i egne personoplysninger, udlevering af personoplysninger, rettelse og sletning af personoplysninger, begrænsning af behandling af personoplysninger samt assistere den Dataansvarlige med udarbejdelse af krævede konsekvensanalyser og høringsanmodninger til Datatilsynet.

5. Fortrolighed

5.1 Databehandleren skal behandle Personoplysningerne som fortrolige oplysninger og skal sikre, at adgangen til Personoplysningerne er begrænset til de medarbejdere, der som led i deres arbejde har behov for adgang til Personoplysningerne i forbindelse med leverancen af Ydelserne. Medar- bejdere med adgang til Personoplysningerne er underlagt tavshedspligt med hensyn til indholdet af oplysningerne.

6. Videregivelse af Personoplysningerne

6.1 Databehandleren er ikke berettiget til at videregive Personoplysningerne til tredjemand, medmin- dre der foreligger en forudgående skriftlig anmodning herom fra den Dataansvarlige.

6.2 Databehandleren er ikke berettiget til at overføre Personoplysningerne til lande uden for EU/EØS eller tilgå Personoplysningerne fra lande uden for EU/EØS uden den Dataansvarliges forudgående skriftlige samtykke, medmindre det kræves i henhold til EU-retten eller de nationale regler, som Databehandleren er underlagt. I så fald skal Databehandleren underrette den Dataansvarlige om dette retlige krav, inden behandlingen påbegyndes, medmindre de pågældende regler forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

7. Brug af underleverandører

7.1 Databehandleren må benytte underleverandører til behandling af Personoplysningerne.

7.2 Databehandleren er forpligtet til at indgå en skriftlig aftale med enhver underleverandør, der får adgang til Personoplysningerne som led i sin aftale med den Dataansvarlige. I sådanne tilfælde indgår databehandleren særskilt databehandleraftaler eller som minimum en fortrolighedserklæ- ring med sine underleverandører.

7.3 Den skriftlige aftale mellem Databehandleren og underleverandøren skal pålægge underleveran- døren at overholde vilkårene i Databehandleraftalen. Såfremt underleverandøren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ud ansvarlig over for den Da- taansvarlige for opfyldelsen af underleverandørens forpligtelser.

8. Sikkerhed

8.1 Databehandleren er forpligtet til at træffe de fornødne tekniske og organisatoriske sikkerhedsfor- anstaltninger mod, at Personoplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behand- les i strid med Persondataloven.

8.2 Såfremt Databehandlerens behandling af Personoplysningerne sker helt eller delvist ved anven- delse af hjemmearbejdspladser, skal Databehandleren oplyse den Dataansvarlige herom forud for databehandlingens påbegyndelse samt træffe de fornødne tekniske og organisatoriske sikkerheds- foranstaltninger i denne henseende.

8.3 Databehandleren skal på den Dataansvarliges anmodning skal give den Dataansvarlige tilstrække- lige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsfor- anstaltninger er truffet.

9. Meddelelse om sikkerhedshændelser

9.1 Databehandleren skal meddele den Dataansvarlige om eventuelle sikkerhedshændelser, der har eller må antages at kunne få betydning for informationssikkerheden i relation til Databehandlerens behandling af Personoplysninger i henhold til Databehandleraftalen.

9.2 Den Dataansvarlige skal have meddelelse om eventuelle sikkerhedshændelser, inden 12 timer efter at Databehandleren har fået kendskab til en sådan hændelse.

10. Revision

10.1 Den Dataansvarlige er berettiget til for egen regning at foretage én årlig audit, med det formål at kontrollere om Databehandleren opfylder sine forpligtelser i henhold til Databehandleraftalen. Databehandleren skal i forbindelse hermed stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Persondataloven og Databehandleraftalen, til rådighed for den Dataan- svarlige eller dennes revisor.

Den dataansvarlige eller dennes uafhængige ekspert kan ikke opnå adgang til oplysninger om le- verandørens generelle omkostningsstruktur eller til oplysninger, der vedrører andre af leverandø- rens kunder. Den dataansvarlige eller dennes revisor skal underskrive sædvanlig fortrolighedser- klæring og skal under alle omstændigheder behandle enhver information indhentet hos eller mod- taget fra leverandøren fortroligt og må alene dele denne information med kunden. Kunden må ikke videregive informationen eller benytte informationen til andre formål end at vurdere hvor vidt, leverandøren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.

10.2 Den Dataansvarlige skal skriftligt underrette Databehandleren om gennemførelsen af den årlige audit med mindst fire ugers varsel.

10.3 Databehandleren uploader årligt til dennes hjemmeside en erklæring om overholdelse af Person- dataloven. Erklæringen skal udarbejdes med udgangspunkt i ISAE 3000-standarden.

11. Myndighedernes kontroludøvelse

11.1 Databehandleren er forpligtet til at bistå den Dataansvarlige i forbindelse med inspektioner eller lignende kontrolforanstaltninger iværksat af myndigheder eller af en af myndighederne udpeget tredjemand.

12. Varighed og ophør

12.1 Denne Aftale træder i kraft den 01.05.2018 og løber frem til Kundeaftalens ophør.

12.2 Ved Databehandleraftalens ophør skal Databehandleren overføre en kopi af alle Personoplysninger,

som Databehandleren er kommet i besiddelse af i forbindelse med leverancen af Ydelserne, og/el- ler på den Dataansvarliges anmodning destruere denne information.

Destruktion skal foretages på en sådan måde, at oplysningerne ikke kan genskabes. Databehand- leren skal på den Dataansvarliges anmodning skriftligt bekræfte, at destruktionen har fundet sted, og fremsende en beskrivelse af den anvendte destruktionsmetode.

13. Lovvalg og værneting

13.1 Denne Databehandleraftale er underlagt dansk ret med undtagelse af dansk rets internationale lovvalgsregler.

13.2 Enhver tvist som måtte opstå i forbindelse med denne Databehandleraftale, skal afgøres ved Aar- hus Byret som rette værneting.

14. Bilag

14.1 Bilag 1: Behandlingens karakter, kategorier af Personoplysninger mv

Bilag 1 – Behandlingens karakter, kategorier af personoplysninger mv.

Kategorier af datasubjekter og kategorier af personoplysninger:

Kunder (stamoplysninger, kontrakter).

Kunders medarbejdere (stamoplysninger og oplysninger som er nødvendige for at kunne lave løn).

Formålet med behandling af personoplysninger:

At udføre løn- og personaleadministration for kunden på baggrund af den indgåede aftale/instruks herom.

Videregivelse / overladelse af oplysninger:

Leverandøren kan videregive persondata på vegne af Kunden som led i Leverandørens services til kunden, herunder eksempelvis SKAT, ATP, Pensionsselskaber, NETS, Danmarks statistik m.fl.

Underleverandører:

Microsoft Office 365

KMD A/S, Lautrupparken 40-42, 2750 Ballerup til udsendelse af lønsedler til E-boks Lessor A/S, Gydevang 46, 3450 Allerød

Eventuel overførsel af oplysninger til lande uden for EU/EØS: Ingen