indgået mellem [Navn] CVR-nr.: [CVR-nr.] [Adresse] [Postnr. og by] (den ”Dataansvarlige”) og DataSign A/S CVR-nr.: 26 92 44 21 Toldbodgade 10, 3. sal.
|
|
|
|
|
|
indgået mellem
[Navn]
CVR-nr.: [CVR-nr.]
[Adresse]
[Postnr. og by]
(den ”Dataansvarlige”)
og
DataSign A/S
CVR-nr.: 26 92 44 21
Xxxxxxxxxxx 00, 0. sal.
6000 Kolding
(”Databehandleren”)
tilsammen ”Parterne” og hver for sig en ”Part”.
Baggrund og Formål
1.1Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige som beskrevet i Parternes købsaftale. I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige. Databehandleraftalen har til formål at sikre at Databehandleren overholder den persondataretlige regulering, herunder EU`s persondataforordning (Europaparlaments og Rådets forordning (EU) 2016/679 af 27.april 2016) når denne får virkning 25.maj 2018.
1.2Databehandleraftalen og købsaftalen er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige ”købsaftalen” – erstattes fx en anden gyldig databehandleraftale.
1.3Databehandleraftalen med tilhørende bilag opbevares herunder elektronisk af begge parter.
2Omfang
2.1Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
2.2Databehandleren behandler alene personoplysninger efter dokumenteret instruks fra den Dataansvarlige. Denne instruks vedligeholdes i særskilt bilag.
2.3Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige.
3Varighed
3.1Databehandleraftalen gælder indtil Købsaftalen ophører.
4Databehandlerens forpligtelser
4.1Tekniske og organisatoriske sikkerhedsforanstaltninger
4.1.1Databehandleren har ansvaret for at gennemføre passende tekniske- og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau der forhindrer, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger.
4.1.2Databehandleren gennemfører de passende tekniske- og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i gældende persondataretlige regulering.
4.1.3Databehandleren vedligeholder og opdaterer regelmæssigt systemsoftware og middleware, med henblik på at reducere risiko for kompromittering.
4.2Medarbejderforhold
4.2.1Databehandlerens medarbejder er underlagt fortrolighed i forbindelse med behandling af personoplysninger for den Dataansvarlige.
4.2.2Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.
4.3Dokumentation for overholdelse af forpligtelser
4.3.1Databehandleren stiller efter anmodning alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databehandleraftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. En sådan anmodning besvares inden for rimelig tid.
4.4Sikkerhedsbrud og underretningspligt
4.4.1Databehandleren underretter uden unødig forsinkelse den dataansvarlige, såfremt det er sket brud på persondatasikkerheden.
4.4.2Databehandleren er forpligtet til omgående at underrette den Dataansvarlige, hvis en instruks efter Databehandlerens menig er i strid med gældende regler om persondata.
4.5Bistand
4.6Databehandleren bistår Dataansvarlig i fornødent og rimelig omfang, i forbindelse med behandlingssikkerhed, sikkerhedsbrud, ved henvendelser vedrørende besvarelse af registreredes rettigheder, samt konsekvensanalyser vedrørende databeskyttelse.
5Dataansvarliges instruks til Databehandler
5.1Databehandleren handler alene efter instruks fra den Dataansvarlige herunder for så vidt angår videregivelse af personoplysninger til et tredje land eller en international organisation. Den Dataansvarlige afgør til hvilke formål og hvordan, der må foretages behandling af personoplysninger. Instrukser fremgår af bilag A og bilag B.
6Databehandlerens forpligtelse
6.1Databehandleren varetager leverance af:
Infrastruktur i datacenter
Virtualiceringslag med sikkerhedsopdatering
Operativsystem inklusiv sikkerhedsopdatering
Drift og overvågning af applikationer
Ændringer i miljø baseret på Dataansvarliges forespørgsel
De nærmere betingelser og vilkår fremgår i Hovedaftalen.
7Databehandling udenfor instruks
7.1Databehandleren kan behandle personoplysninger udenfor instruks, alene i de tilfælde hvor situationen eller myndigheder med lovhjemmel kræver dette.
7.2Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.
8Administrativ adgang for Databehandleren
8.1Databehandleren sikrer, at de personer, der er bemyndiget til at behandle personoplysninger, er underlagt pligt til at behandle personoplysningerne fortroligt.
9Databehandlerens anvendelse af underbehandlere
9.1Databehandleren må kun gøre brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang det fremgår af bilag C til denne Databehandleraftale, eller Instruks fra den Dataansvarlige.
9.2Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren
9.3Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige.
9.4Databehandleren er direkte ansvarlig for Underdatabehandlerrens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandlerens selv.
10Håndtering af data efter aftalens ophør
10.1Databehandleren er forpligtet til at slette eller tilbagelevere den Dataansvarliges data, herunder persondata, efter anmodning fra den Dataansvarlige. Tidspunktet og proceduren for overdragelsen sker efter nærmere aftale mellem den Dataansvarlige og Databehandleren
10.2Databehandleren sikre, at den Dataansvarliges data hos Databehandleren slettes, når aftaleforholdet ophører, medmindre der foreligger et lovkrav om, at Databehandleren skal lagre oplysningerne
Det er den Dataansvarliges ansvar at oplyse Databehandleren, såfremt den Dataansvarlige ønsker dataene tilbageleveret i forbindelse med aftalens ophør, idet Databehandleren dog i alle tilfælde giver den Dataansvarlige skriftlig besked forud for sletning af data i forbindelse med ophør af aftalen.
10.3Ikrafttræden og ophør
10.3.1Denne aftale træder i kraft ved begge parters underskrift heraf.
10.3.2Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
10.3.3Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftale(r)n(e) om levering af Hovedydelserne.
10.4Vederlag og omkostninger
10.4.1Databehandleren har krav på betaling efter medgået tid samt Databehandlerens øvrige omkostninger herved, for de ydelser der udføres efter Databehandleraftalen på den Dataansvarliges anmodning. Ydelserne kan omfatte, men er ikke begrænset til, ændringer af instruksen, assistance ved anmeldelse af brud på persondatasikkerheden, udlevering og sletning af oplysninger, samarbejde med tilsynsmyndigheder og hjælp til efterlevelse af anmodninger fra registrerede.
10.4.2Vederlaget opgøres efter de aftalte timesatser i aftale(r)n(e) om levering af ydelserne, og hvor det ikke er aftalt timesatser heri, da efter Databehandlerens gældende timesatser.
11tvistløsning
11.1Reguleringen af tvistløsningen e Hovedkontrakten finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.
12underskrifter
[●], den [●] For den Dataansvarlige
|
|
|
Navn:
|
|
Navn: |
For Databehandleren
|
|
|
Navn:
|
|
Navn: |
13Bilag A: Dataansvarliges instruks til Databehandler
Dataansvarlig beskriver i dette bilag de instrukser som Databehandleren skal benytte.
14Bilag B: Almindelige persondata eller følsomme persondata
Dataansvarlig skal informere Databehandler om der i behandling indgår følsomme data.
15Bilag C: underdatabehandleraftale
tekst med blå er frivillig for kunderne samt bilag B.
Bilag A instrukser vedrørende behandling af personoplysninger
DataSign A/S kan, som Databehandler, indsamle kontakt-, personoplysninger og virksomhedsoplysninger fra ”Softwareløsning/Produkt”. Disse data behandles kun efter instruks fra Dataansvarlig.
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker også ved databehandleren anmodning og instrukser ved at udfylde skemaet nedenfor samt bilag B.
A.1 Behandlingens instruks
[Beskriv behandlingen, som databehandleren instrueres i at foretage]
A.2 Behandlingssikkerhed
[Beskriv elementer, der er afgørende for sikkerhedsniveauet]
Eksempelvis:
”At der er tale om behandling af en stor mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau”.
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) sikkerhedsniveau omkring oplysningerne.
A.3 OPBEVARINGSPERIODE/SLETTERUTINE
[Angiv eventuel opbevaringsperiode/sletterutine for databehandleren]
Eksempelvis
”Personoplysningerne opbevares i [angiv tidsperiode eller hændelse], hvorefter de slettes hos databehandleren.”
Eller
”Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slette eller tilbageleveret”.
Bilag B: Almindelige persondata eller følsomme persondata
Typer af personoplysninger Databehandleren behandler på vegne af den Dataansvarlige er almindelige personoplysninger, herunder [navn, e-mail, adresse, telefonnummer, fødselsdato, køn]
Kategorien af personoplysninger eller identificerbare fysiske personer omfattet af Databehandleraftalen, herunder [medarbejdere, børn/medlemmer/borgere og pårørende].
Databehandlerens behandling af personoplysninger og kategorier af personoplysninger på vegne af den Dataansvarlige udover ovenstående skal beskrives i bilag B.1.
|
Almindelige personoplysninger: |
|
Andet: |
|
|
|
Følsomme personoplysninger: |
|
Racemæssig eller etnisk baggrund |
|
Fagforeningsmæssige tilhørsforhold |
|
Helbredsforhold (Diagnoser, sygdom, medicin, målinger mm.) |
|
Seksuelle forhold |
|
Biometriske data |
|
Andet: |
|
|
|
Særlige persondata: |
|
Strafbare forhold |
|
CPR nr.: |
|
CPR nr. |
Bilag C underdatabehandler
C.1 Generelt
C. 1.1 Databehandleren skal skriftlig underrette den Dataansvarlige om tilføjelse eller erstatning af en Underdatabehandler forud for anvendelsens påbegyndelse. Tilsvarende skal Databehandleren underrette den Dataansvarlige om ophør af brug af en Underdatabehandler.
C. 1.2
Navn |
adresseoplysninger |
CURANET |
højvangen 4 8660 skanderborg |
LINK MOBILITY |
Xxxxxxxx Xxxxxxxxx 000, 0. 2300 København S |
|
|
|
|
|
|
C. 1.2 Den Dataansvarlige kan ikke nægte at godkende tilføjelse eller udskiftning af en Underdatabehandler medmindre, der foreligger en konkret saglig begrundelse derfor og skal meddele sådan indsigelse indenfor 30 dage.