DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
Xxxx Xxxxxxxx & Partnere
Advokatpartnerselskab
Indgået mellem [Dataansvarlig: F.eks. Hansen Håndværk ApS]
[Adresse]
(”Selskabet”)
og [Databehandleren: F.eks. en lønbehandler] [Adresse]
(”Databehandleren”) (”Aftalen”)
1. Generelt
1.2 Databehandleren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger.
2. Formål
2.1 Formål med behandlingerne er:
Indsæt formål F.eks.: Lønbehandling
3. Selskabets rettigheder og forpligtelser
3.1 Selskabet er dataansvarlig for de personoplysninger, som Selskabet instruerer Databehandleren om at behandle. Selskabet har ansvaret for, at de personoplysninger, som Selskabet instruerer Databehandle- ren om at behandle, må behandles af Databehandleren, herunder at behandlingen er nødvendig og saglig i forhold til Selskabets opgaveva- retagelse.
3.3 Selskabet er forpligtet til at orientere Databehandleren i tilfælde af Selskabets eventuelle skærpede it-sikkerhedsregler og ændringer heri.
4. Databehandlerens forpligtelser
4.1 Databehandleren er databehandler for de personoplysninger, som Da- tabehandleren behandler på vegne af Selskabet, jf. pkt. 6. Databe- handleren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af Persondatalovgivningen, jf. Aftalens pkt. 1.1.
4.3 Databehandleren skal løbende føre en fortegnelse over behandlingen af personoplysninger samt en fortegnelse over alle sikkerhedsbrud.
4.4 Databehandleren skal på opfordring fra Selskabet hjælpe med at opfyl- de Selskabets forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger om indsigt, udlevering af oplys- ninger, rettelse og sletning af oplysninger, begrænsning af behandling, samt Selskabets forpligtelser i forhold til underretning af den registre- rede ved sikkerhedsbrud.
4.5 Databehandleren skal hjælpe Selskabet med at efterleve dennes for- pligtelser efter Databeskyttelsesforordningens artikel 32 -36.
4.6 Databehandleren garanterer at levere tilstrækkelig ekspertise, pålide- lighed og ressourcer til at implementere passende tekniske og organi- satoriske foranstaltninger sådan, at Databehandlerens behandling af Selskabets personoplysninger opfylder kravene i Databeskyttelsesfor- ordningen og sikrer beskyttelse af den registreredes rettigheder.
4.7 Databehandleren er forpligtet til at oplyse med præcise adresseangi- velser, hvor Selskabets personoplysninger opbevares. Databehandleren skal ajourføre oplysningerne over for Selskabet ved enhver ændring. Dette gælder særligt i en situation, hvor personoplysninger flyttes fra en adresse i en EU-medlemsstat til en adresse udenfor EU.
4.8 Hvis Databehandleren er etableret i en anden EU-medlemsstat, skal Databehandleren ligeledes overholde de bestemmelser om sikkerheds- foranstaltninger, som er fastsat i lovgivningen i den pågældende med- lemsstat.
4.9 Ved et databrud skal Databehandleren orientere Selskabet senest 12 timer efter, at bruddet er konstateret. Databehandleren skal samtidig give oplysninger Selskabet de oplysninger, som fremgår af Forordnin- gens artikel 33.
5. Underdatabehandler
5.1 Ved underdatabehandler forstås en behandler, til hvem Databehandle- ren har overladt hele eller dele af den behandling, som Databehandle- ren foretager på vegne af Selskabet.
5.2 Databehandleren må ikke uden udtrykkelig skriftlig godkendelse fra Selskabet anvende underdatabehandlere.
5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabe- handleren de samme databeskyttelsesforpligtelser, som Databehandle- ren er pålagt efter Aftalen, herunder at underdatabehandleren garan- terer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressour- cer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfyl- der kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
5.6 Selskabet kan til enhver tid forlange dokumentation fra Databehandle- ren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Databehandleren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Selskabet.
5.7 Al kommunikation mellem Selskabet og underdatabehandleren sker via Databehandleren.
6. Instruks
6.1 Databehandlerens behandling af personoplysninger på vegne af Sel- skabet sker udelukkende efter dokumenteret instruks.
holdelse af A-skat, pension mv.]
[indsæt instruks: F.eks.: Formålet med behandlingen af personoplys- ninger er lønbehandling i forhold til Selskabets ansatte, herunder inde-
6.2
6.2.1 Genstanden for behandlingen (hvis lønbehandler):
Typen af personoplysninger | Navn, adresse, bankoplysninger, telefonnummer, e-mail evt. |
Kategorier af registrerede | Medarbejdere Eksterne konsulenter hos den dataansvarlige Den dataansvarliges kontaktper- soner Xxxxx |
Xxxxxxxxxx af behandlingen | F.eks.: Indtil afslutningen af løn- behandleraftalen |
6.3 Det er Databehandlerens ansvar at sikre, at eventuelle underdatabe- handlere, jf. pkt. 5.3, får tilsendt Selskabets instruks, jf. pkt. 6.2.
7. Tekniske og organisatoriske sikkerhedsforanstaltninger
(i) tilintetgøres, mistes, ændres eller forringes;
(ii) kommer til uvedkommendes kendskab eller misbruges, eller
(iii) i øvrigt behandles i strid med Persondatalovgivningen, jf. pkt. 1.1.
7.3 Databehandleren skal mindst én gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personop- lysninger med henblik på at sikre, at de fornødne sikkerhedsforanstalt- ninger til stadighed er iagttaget, jf. pkt. 7.1 og 7.2.
7.4 Databehandleren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udfø- relsen af den pågældendes opgaver.
7.6 Databehandleren er forpligtet til straks at underrette Selskabet om ethvert sikkerhedsbrud.
7.7 Databehandleren må ikke hverken offentligt eller til tredjeparter kom- munikere om sikkerhedsbrud, jf. pkt. 7.6, uden forudgående skriftlig aftale med Selskabet om indholdet af en sådan kommunikation, med- mindre Databehandleren har en retlig forpligtelse til sådan kommuni- kation.
8. Overførsler til andre lande
8.1 Databehandlerens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en under- databehandler, skal ske i overensstemmelse med Selskabets instruks herfor.
8.2 Hvis Selskabets personoplysninger overføres til en EU-medlemsstat, er det Databehandlerens ansvar, at de til enhver tid gældende bestem- melser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes.
9. Tavshedspligt og fortrolighed
9.1 Databehandleren er - under og efter Aftalens ophør - pålagt fuld tavs- hedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet.
9.2 Databehandleren skal sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og un- derdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
10. Kontroller og erklæringer
10.1 Databehandleren er forpligtet til uden ugrundet ophold at give Selska- bet nødvendige oplysninger til, at Selskabet til enhver tid kan sikre sig, at Databehandleren overholder de krav, der følger af denne Aftale.
10.2 Selskabet, en repræsentant for Selskabet eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Databehandleren, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Databehandleren overholder de krav, der følger af denne Aftale.
10.3 I tilfælde af, at Selskabet og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævn- te foranstaltninger i henhold til denne aftale, forpligter Databehandle- ren og Databehandlerens underdatabehandlere sig til uden yderligere omkostninger for Selskabet at stille tid og ressourcer til rådighed her- for.
11. Ændringer i Aftalen
11.1 Selskabet kan til enhver tid, med et forudgående varsel på mindst 14 dage, foretage ændringer i Aftalen og instruksen. Ændringsprocessen og omkostningerne aftales skriftligt mellem Selskabet og Databehand- leren efterfølgende. Databehandleren skal ved sådanne ændringer
uden ugrundet ophold sikre, at underdatabehandlerne tillige forpligtes af ændringerne.
11.2 I det omfang ændringer i Persondatalovgivningen, jf. pkt. 1.1, eller tilhørende praksis, giver anledning til dette, er Selskabet med et varsel på 14 dage og uden at dette medfører krav om betaling fra Databe- handleren, berettiget til at foretage ændringer i Aftalen.
12. Sletning af data
12.1 Selskabet træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af per- sonoplysningerne er ophørt i medfør af Aftalen.
12.3 Databehandleren skal fremsende dokumentation for, at den påkrævede sletning, jf. pkt. 12.2, er foretaget.
13. Generelt, herunder lovvalg og tvister
13.1 Aftalen er underlagt dansk ret.
13.2 Tvister mellem Selskabet og Databehandleren i anledning af Aftalen og forståelsen af denne, skal sag anlægges ved Selskabets værneting.
14. Underskrifter, Aftalens fuldstændighed og ændringer
14.1 Aftalen underskrives i to eksemplarer, hvoraf Selskabet og Databe- handleren hver modtager ét. Aftalen er gældende fra tidspunktet for underskrivelsen.
14.2 Ved underskrivelsen af denne Aftalen bortfalder alle tidligere aftaler, som måtte være indgået vedrørende Databehandlerens tilknytning til Selskabet, det være sig skriftlige som mundtlige.
14.3 Enhver ændring af Aftalen skal ske skriftligt med parternes underskrift. Meddelelser, påkrav eller lignende i henhold t il denne Aftale skal tillige afgives skriftligt til modparten.
Dato
For Selskabet: Databehandleren:
indsæt navn
indsæt navn
[ ] [ ]