Databehandleraftale
Mellem
Kunde (”Dataansvarlig”)
og
Octopus PMS ApS CVR nr.: 38296418
Xxxxxxxxxxxx 0
6400 Sønderborg (“Databehandler”)
(hver for sig kaldet en "Part" og samlet "Parterne")
er indgået nærværende, lovpligtige databehandleraftale (”Aftalen”) om Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.
1 Definitioner
1.1 ”Personoplysninger”: Alle informationer, der identificerer en person, eller kan gøre en person identificerbar.
1.2 ”Hovedaftale”: Databehandlerens ordrebekræftelse.
1.3 ”Aftalen”: Den foreliggende databehandleraftale.
1.4 ”Handelsbetingelser”: Databehandlerens salgs-, support- og leveringsbetingelser.
1.5 ”Privatlivspolitik”: Generel politik for Databehandlerens behandling af personoplysninger.
1.6 ”Tredjeparts revisionserklæring”: IT-revisionserklæring fra uafhængig tredjepart.
2 De behandlede Personoplysninger
2.1 Denne Aftale er indgået i forbindelse med Parternes indgåelse af aftale vedrørende Octopus Property Management System.
2.2 Databehandleren behandler de typer af personoplysninger, som fremgår af Bilag 1, på vegne af den Dataansvarlige. Personoplysningerne angår de i Bilag 1 oplistede registrerede kategorier af personer.
2.3 Den Dataansvarlige er berettiget til at slette og/eller tilføje yderligere typer af personoplysninger og/eller registrerede personer til listen i Bilag 1 ved at fremsende en ny liste over personoplysninger og/eller registrerede personer til Databehandler.
3.1 Databehandler må alene behandle personoplysninger til formål, som er nødvendige for levering af Octopus Property Management System.
3.2 Den Dataansvarlige instruerer hermed Databehandleren i alene at behandle personoplysningerne omfattet af pkt. 2.2 med henblik på varetagelse af følgende databehandlingsopgaver:
Octopus Property Management System
3.3 Databehandler skal straks underrette den Dataansvarlige, hvis Databehandler finder, at en given instruks er eller senere måtte blive i strid med databeskyttelseslovgivningen.
4 Den Dataansvarliges forpligtelser
4.1 Den Dataansvarlige indestår for, at formålet med behandlingen af personoplysningerne er lovligt og sagligt, og at der ikke overlades flere personoplysninger til Databehandler end nødvendigt til opnåelse af formålet.
4.2 Den Dataansvarlige er ansvarlig for, at der på tidspunktet for personoplysningernes overladelse til Databehandleren eksisterer et gyldigt behandlingsgrundlag, herunder at et eventuelt samtykke er udtrykkeligt, frivilligt, utvetydigt og informeret. Den Dataansvarlige er forpligtet til på Databehandlerens anmodning skriftligt at redegøre for og/eller dokumentere behandlingsgrundlaget.
4.3 Den Dataansvarlige indestår endvidere for, at de registrerede personer, som personoplysningerne vedrører, har fået tilstrækkelig information vedrørende behandlingen af personoplysningerne.
4.4 Enhver instruktion vedrørende behandling af personoplysninger i henhold til denne Aftale skal forelægges Databehandleren skriftligt. Hvis den Dataansvarlige instruerer en underdatabehandler udpeget i overensstemmelse med pkt. 6.1 direkte, skal den Dataansvarlige straks informere Databehandleren herom. Databehandler kan ikke gøres ansvarlig for underdatabehandlerens behandling af personoplysninger foretaget i overensstemmelse med sådanne instruktioner.
5 Databehandlerens forpligtelser
5.1 Databehandleren må alene behandle de af den Dataansvarlige leverede personoplysninger i overensstemmelse med den Dataansvarliges instrukser og er i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning.
5.2 Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder sådanne yderligere foranstaltninger, som måtte være nødvendige, mod at de i pkt. 2.2 anførte personlysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med den til enhver tid gældende databeskyttelseslovgivning.
5.3 Databehandleren skal på den Dataansvarliges anmodning redegøre for og/eller dokumentere, at Databehandleren opfylder kravene i persondatalovgivningen og forpligtelserne i medfør af denne Aftale, herunder at de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. Den Dataansvarlige skal kompensere Databehandleren for den tid, som bruges på at efterkomme denne anmodning.
5.4 Databehandleren skal sikre, at de medarbejdere, der er involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt lovbestemt tavshedspligt.
5.5 Databehandleren er forpligtet til at underrette den Dataansvarlige om driftsforstyrrelser, mistanke om brud på persondatalovgivningen eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Denne underretning skal gives uden unødig forsinkelse og senest 48 timer efter, at Databehandleren er blevet bekendt med ovenstående. Efter den Dataansvarliges anmodning skal Databehandleren bistå den Dataansvarlige i forhold til afklaring af sikkerhedsbruddet, herunder i forbindelse med eventuel underretning af Datatilsynet og/eller registrerede personer.
5.6 Den Dataansvarlige er berettiget til for egen regning at lade Databehandlerens behandling af personoplysninger underkaste en årlig revision af en uafhængig tredjepart. Den Dataansvarlige skal kompensere Databehandleren, efter dennes normale timetaksering, for den tid, som Databehandleren anvender i forbindelse med en sådan revision.
5.7 Hvis Databehandleren eller en anden databehandler, som har modtaget personoplysninger, modtager en anmodning om indsigt i vedkommendes personoplysninger fra en registreret eller dennes agent, eller hvis en registreret gør indsigelse mod behandlingen af vedkommendes personoplysninger, skal Databehandleren sende anmodningen og/eller indsigelsen til den Dataansvarlige med henblik på den Dataansvarliges videre behandling. Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige i relation til besvarelse af anmodningen og/eller indsigelsen.
6 Overførsel af oplysninger til andre databehandlere eller tredjeparter
6.1 Ved underskrivelsen af Aftalen godkender den Dataansvarlige, at Databehandleren kan gøre brug af andre databehandlere (underdatabehandlere) i forbindelse med Databehandlers opfyldelse af sine forpligtelser efter denne Xxxxxx. Ved Aftalens indgåelse anvender Databehandleren de i Bilag 2 oplistede underdatabehandlere. Inden tilføjelse eller erstatning af de i Bilag 2 oplistede underdatabehandlere underretter Databehandleren den Dataansvarlige herom. Den Dataansvarlige skal inden for 5 (fem) dage meddele Databehandleren, hvis den Dataansvarlige ønsker at gøre indsigelse mod tilføjelsen eller erstatning af underdatabehandlere.
6.2 Databehandleren har en opdateret liste, svarende til Bilag 2 med de underdatabehandlere, som Databehandleren har overladt personoplysninger under den Dataansvarliges ansvar til.
6.3 Udover det i pkt. 6.1 anførte er Databehandleren ikke berettiget til at videregive personoplysninger til tredjeparter eller databehandlere uden den Dataansvarliges forudgående skriftlige instruks, medmindre sådan videregivelse eller overladelse følger af lovgivningen.
6.4 Databehandleren skal, inden overførsel af personoplysninger til en underdatabehandler, indgå en skriftlig databehandleraftale med underdatabehandleren, hvor denne forpligter sig til over for Databehandleren at være bundet på "back-to-back"-vilkår i forhold til bestemmelserne i denne Aftale.
6.5 Hvis personoplysningerne overføres til udenlandske underdatabehandlere, skal det i nævnte databehandleraftale anføres, at det er den Dataansvarliges lands databeskyttelseslovgivning, der gælder for udenlandske underdatabehandlere.
6.6 Databehandleren skal i eget navn indgå skriftlige databehandleraftaler med underdatabehandlere indenfor EU/EØS. For så vidt angår underdatabehandlere udenfor EU/EØS skal Databehandleren indgå standardaftaler i overensstemmelse med Kommissionens beslutning 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for overførsel af Personoplysninger til databehandlere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF ("Standardaftale"), senere versioner eller Kommissionsbeslutninger, som erstatter denne.
6.7 Den Dataansvarlige giver hermed Databehandleren fuldmagt til at indgå Standardaftaler med underdatabehandlere udenfor EU/EØS på den Dataansvarliges vegne og i den Dataansvarliges navn.
7.1 Parterne er erstatningsansvarlige efter dansk rets almindelige erstatningsregler, dog således at ingen af Xxxxxxxx er berettiget til at kræve erstatning for indirekte tab eller følgeskader, uanset om det er den Dataansvarlige, Databehandleren eller tredjemand, som lider disse indirekte tab eller følgeskader. Tab af forretningsmuligheder, tab af fortjeneste, driftstab, tab af omsætning, tab af goodwill, tab af data, herunder tab i forbindelse med genskabelse af data skal altid betragtes som indirekte tab/følgeskader.
7.2 Med hensyn til erstatningspligt henvises til Databehandlerens handelsbetingelser, der findes på xxx.xxxxxxxxxx.xx.
8.1 Denne Aftale træder i kraft på dagen for accept af hovedaftalen.
8.2 I tilfælde af ophør af Hovedaftalen skal denne Aftale også ophøre. Databehandleren er dog forpligtet af denne Aftale, så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige.
8.3 I tilfælde af denne Aftales ophør er den Dataansvarlige berettiget til at forlange, at Databehandleren tilbageleverer/anonymiserer personoplysningerne, eller at Databehandleren sletter personoplysningerne.
9.1 Denne Aftale reguleres af og fortolkes i overensstemmelse med dansk ret.
9.2 Ethvert krav og enhver tvist, der udspringer eller på anden måde er forbundet med denne Aftale, skal afgøres ved Retten i Sønderborg, Danmark.
Bilag 1 - Typer af personoplysninger og registrerede personer
Ved databehandleraftalens indgåelse, behandles personoplysninger som anført nedenfor.
Databehandleren skal på vegne af den Dataansvarlige behandle en eller flere af nedenstående informationer.
Registrerede personer:
• Dataansvarlig
• Dataansvarliges medarbejdere
• Dataansvarliges kunder
Typer af personoplysninger:
Almindelige oplysninger:
• Navn
• Adresse
• E-mailadresse
• Telefonnr.
• Firmanavn
• Xxxxx/fødselsdag
• Kortoplysninger
Følsomme oplysninger (*)
Helbredsoplysninger herunder allergier
*Databehandler behandler kun de personoplysninger som Dataansvarlig har stillet til rådighed for Databehandler, uden af disse er systematik fastholdt eller adspurgt.
Bilag 2 - Underdatabehandlere
ipnordic A/X Xxxxxx 00
6300 Gråsten
CVR nr.: 33577591
• Udvikling og vedligeholdelse af database samt levering af cloud løsninger.