DATABEHANDLERAFTALE

Denne samarbejdsaftale indgår, medmindre der er indgået anden skriftlig og specifik databehandleraftale parterne imellem, som en delaftale til den mellem kunden og RTM A/S indgåede samarbejdsaftale. Databehandleraftalen er baseret på et aftaleformat som Forsikringsmæglerforeningen (FMF) har udarbejdet til brug for Forsikringsmæglerforeningens medlemsvirksomheder.

(Xxxxxx og RTM A/S er hver for sig en ”Part” eller ”Parten” og sammen ”Parter” eller ”Parterne”)

1. AFTALENS BAGGRUND OG FORMÅL ‌

1.1 Parterne har indgået aftale om RTM A/S´ levering til Kunden af forsikringsmæglerserviceydelser (”ydelserne”), som beskrevet i samarbejdsaftalen.

1.2 Som led i levering af ydelserne vil Kunden overlade personoplysninger til RTM A/S, og/eller RTM A/S vil som led i levering af Ydelserne indsamle og behandle personoplysninger på Kundens vegne (”Kundens Personoplysninger”). I denne relation er RTM A/S databehandler jfr. pkt. 2. I Bilag 1 er indeholdt en nærmere beskrivelse af typen af personoplysninger samt kategorien af personer, der behandles, tillige med en beskrivelse af behandlingens karakter og formål.

1.3 RTM A/S vil – efter omstændighederne og afhængig af samarbejdsaftalen – skulle yde personlig rådgivning og bistand til Kundens ansatte, herunder i forbindelse med rådgivning om samt etablering og vedligeholdelse af personlige forsikrings og/eller pensionsaftaler samt bistand ved skades og pensionsbegivenheder. I relation til denne rådgivning og bistand er RTM A/S efter omstændighederne dataansvarlig jfr. pkt. 9.

1.4 Med nærværende aftale ønsker parterne at etablere deres respektive forpligtelser og rettigheder i relation til behandlingen af Kundens personoplysninger Jfr. aftalens pkt. 2-8 og 10-12. I aftalens pkt. 9 er reguleret den situation hvor RTM A/S måtte optræde som dataansvarlig i relation til oplysninger om Kundens ansatte ("RTM A/S´ personoplysninger").

1.5 Parterne er gensidigt forpligtede til i enhver behandling af personoplysninger at overholde den til enhver tid gældende persondatalovgivning i Danmark; for nuværende særligt Databeskyttelsesloven (lov nr. 502 af 23. maj 2018 med senere ændringer) indtil den ophæves, Sikkerhedsbekendtgørelsen (bekendtgørelse 1509 af 18. december 2019 med senere ændringer) i det omfang, denne finder anvendelse efter sit indhold, og Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF samt lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt sådan anden lovgivning, der implementerer eller supplerer disse regler (”Databeskyttelseslovgivningen”).

2. KUNDENS INSTRUKS TIL RTM A/S ‌

2.1 RTM A/S er databehandler for Kundens personoplysninger, som RTM A/S behandler for og på vegne af Kunden.

2.2 RTM A/S behandler alene Kundens personoplysninger i det omfang det er nødvendigt for at levere ydelserne i overensstemmelse med samarbejdsaftalen og bilag 1 og i henhold til den til enhver tid dokumenterede instruks fra Kunden (”Instruksen”). Samarbejdsaftalen samt nærværende aftale med bilag udgør Instruksen på underskriftstidspunktet.

2.3 RTM A/S skal underrette Xxxxxx, hvis instruksen efter RTM A/S´ vurdering er i strid med Databeskyttelseslovgivningen.

2.4 Ændringer til og udvidelser af instruksen, der ikke er forudsat i samarbejdsaf- talen, samt implementeringen heraf skal i rimelig tid forinden implementeringen drøftes mellem parterne. RTM A/S er eller kan være berettiget til vederlag for det tidsforbrug samt de øgede omkostninger ved leveringen af ydelserne ændringen af Instruksen indebærer.

2.5 RTM A/S kan behandle Kundens personoplysninger udenfor Instruksen i tilfælde, hvor det kræves i henhold til EU-retten eller national ret, som RTM A/S er underlagt. Ved behandling af Kundens personoplysninger udenfor Instruksen skal RTM A/S underrette Kunden herom, medmindre det vil være i strid med EU-retten eller den nationale ret.

2.6 RTM A/S er berettiget til, i det omfang det er nødvendigt for at kunne dokumentere levering af ydelserne eller forsvare sig mod retskrav, at bevare en kopi af Kundens personoplysninger. Kundens personoplysninger må i så fald udelukkende behandles til de anførte formål.

3. KUNDENS FORPLIGTELSER ‌

3.1 Kunden er dataansvarlig for Kundens personoplysninger.

3.2 Kunden har ansvaret for at have hjemmel efter Databeskyttelseslovgivningen til den behandling af Kundens personoplysninger, der sker i henhold til Instruksen. Kunden har herunder forpligtelsen til at sikre, at der i det omfang, det kræves af Databeskyttelseslovgivningen, foreligger fornødent samtykke fra de omhandlede personer.

3.3 Kunden har ansvaret for opfyldelse af personers rettigheder efter Databeskyttelseslovgivningen. Modtager RTM A/S anmodninger fra de omhandlede personer vedrørende Kundens personoplysninger, skal RTM A/S uden ugrundet ophold underrette Kunden herom. RTM A/S skal, i fornødent omfang og så vidt muligt, bistå Kunden med opfyldelse af Kundens forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning, sletning, indsigelse og dataportabilitet.

RTM A/S er eller kan være berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.

4. BEHANDLINGSSIKKERHED ‌

4.1 RTM A/S skal gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på at forhindre Kundens personoplysninger mod a) utilsigtet eller ulovlig destruktion, tab eller ændring, b) uautoriseret offentliggørelse, adgang eller misbrug, eller c) anden ulovlig behandling. RTM A/S garanterer at ville gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i Databeskyttelseslovgivningen.

4.2 RTM A/S har implementeret de i Bilag 2 beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger. Parterne er enige om, at disse foranstaltninger på tidspunktet for samarbejdsaftalens indgåelse opfylder garantien i pkt. 4.1.

4.3 RTM A/S skal uden unødig forsinkelse underrette Xxxxxx om ethvert brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til

Kundens personoplysninger (”sikkerhedsbrud”). Underretningen skal indeholde en beskrivelse af i) karakteren af sikkerhedsbruddet, herunder om muligt kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger; ii) de sandsynlige konsekvenser af Sikkerhedsbruddet; og iii) de foranstaltninger, der er truffet eller foreslået af RTM A/S med henblik på at afhjælpe sikkerhedsbruddet, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

4.4 RTM A/S skal efter anmodning bistå Kunden med at sikre overholdelse af krav om anmeldelse af og underretning om sikkerhedsbrud til den kompetente tilsynsmyndighed og/eller den registrerede. I det omfang Sikkerhedsbruddet ikke kan tilregnes RTM A/S, er RTM A/S berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.

4.5 RTM A/S skal i fornødent omfang og på Kundens anmodning bistå Kunden med gennemførelse af konsekvensanalyser og forudgående høring af tilsynsmyndigheden. RTM A/S er berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.

5. KONTROLLER OG ERKLÆRINGER ‌

5.1 RTM A/S skal på Kundens anmodning stille de nødvendige oplysninger til rådighed for Kunden, så denne kan påse, at RTM A/S som databehandler for Kundens personoplysninger overholder; i) sine forpligtelser i henhold til Aftalen og; ii) bestemmelserne i den til enhver tid gældende Databeskyttelseslovgivning.

5.2 RTM A/S foranlediger uden særligt vederlag årlig udarbejdelse af en kontrolrapport om RTM A/S´ databehandling og databeskyttelsesforanstaltninger. Kontrolrapporten udarbejdes i overensstemmelse med anerkendte branchestandarder på området af en kompetent tredjepart og vil til enhver tid kunne rekvireres hos RTM A/S. Kontrolrapporten vil ligeledes være tilgængelig på xxx.xxx.xx

5.3 RTM A/S skal give mulighed for og bidrage til, at Kunden, eller en revisor, som er bemyndiget af Kunden, har adgang til at foretage revisioner, herunder inspektioner hos RTM A/S, med henblik på at konstatere, at RTM A/S overholder de i punkt 5.1 anførte forpligtelser.

RTM A/S er berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed, medmindre revisionen konkluderer, at RTM A/S væsentligt har misligholdt sine forpligtelser i aftalen. I denne situation er RTM A/S ikke berettiget til at fakturere sin arbejdstid.

6. BRUG AF UNDERDATABEHANDLERE ‌

6.1 RTM A/S har ved denne databehandleraftales ikrafttrædelse aftale oplyst at gøre brug af de i Bilag 3 anførte underdatabehandlere. Kunden har godkendt, at denne brug af underdatabehandlere er omfattet af instruksen.

6.2 RTM A/S vil løbende opdatere databehandlingsaftalen med tilføjelser eller erstatninger af underdatabehandlere. Databehandleraftalen kan ses på xxx.xxx.xx

6.3 Hvis RTM A/S gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af Kunden, pålægges underdatabehandleren tilsvarende databeskyttelsesforpligtelser som dem, der er fastsat i aftalen, gennem en kontrakt eller et andet retligt dokument, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende og tekniske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelseslovgivningen.

6.4 Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver RTM A/S fuldt ansvarlig over for Kunden for opfyldelsen af underdatabehandlerens forpligtelser.

7. OVERFØRSEL TIL TREDJELANDE ‌

7.1 RTM A/S må ikke forårsage eller tillade, at Kundens personoplysninger overføres til lande uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), medmindre en sådan overførsel er forudsat i instruksen, eller Kunden har givet sit forudgående skriftlige samtykke til en sådan overførsel.

7.2 I det omfang Kunden i overensstemmelse med punkt 7.1 har tilladt en overførsel af Kundens Personoplysninger, skal RTM A/S sikre sig, at der er et gyldigt overførselsgrundlag iht. Databeskyttelseslovgivningen.

8. TAVSHEDSPLIGT OG FORTROLIGHED ‌

8.1 RTM A/S skal behandle Kundens personoplysninger fortroligt. RTM A/S skal sikre, at de personer, der er autoriseret til at behandle Kundens personoplysninger, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

8.2 RTM A/S forpligter sig til at sikre, at adgangen til Kundens personoplysninger begrænses til de medarbejdere, for hvem det er nødvendigt at behandle Xxxxxxx oplysninger eller yde den aftalte rådgivning.

9. RTM A/S PERSONOPLYSNINGER ‌

9.1 Nærværende pkt. 9 finder anvendelse i de tilfælde hvor RTM A/S optræder som rådgiver i forhold til Xxxxxxx ansatte og dermed efter omstændighederne indtager rollen som dataansvarlig i forhold til visse af Kundens ansattes personoplysninger.

9.2 RTM A/S skal efter omstændighederne yde personlig rådgivning og bistand til Kundens ansatte i forbindelse med etablering og vedligeholdelse af den ansattes personlige forsikrings og pensionsaftaler samt bistand ved skades og pensionsbegivenheder.

9.3 Til brug herfor vil RTM A/S indsamle personoplysninger om den ansatte fra den ansatte selv og i henhold til samtykke fra den ansatte tillige fra tredjeparter (såsom forsikringsleverandører, læger mv.).

9.4 Den ansatte vil ligeledes give RTM A/S samtykke til at indhente oplysninger fra Kunden som arbejdsgiver for den ansatte, herunder at gøre brug af de personoplysninger om den ansatte, som RTM A/S har modtaget fra Kunden, og som er nødvendige for at RTM A/S kan rådgive og bistå Kundens ansatte.

9.5 Betinget af, at den ansatte har givet RTM A/S samtykke kan RTM A/S, som dataansvarlig, indsamle og behandle de personoplysninger om den ansatte som Xxxxxx har overladt til RTM A/S, og som er nødvendige for, at RTM A/S kan opfylde sin rådgivnings og bistandsforpligtelse over for Kundens ansatte.

9.6 Parterne er bevidste om, at RTM A/S derved kan indsamle og behandle personoplysninger, som delvist måtte være identiske med en del af Kundens personoplysninger. Parterne ønsker med denne aftale at klarlægge deres respektive ansvar efter Databeskyttelseslovgivningen.

9.7 RTM A/S er dataansvarlig for RTM A/S´ personoplysninger.

9.8 RTM A/S har ansvaret for at have hjemmel efter Databeskyttelseslovgivningen til behandlingen af kundens personoplysninger i relation til rådgivning og bistand til Xxxxxx og Kundes ansatte.

9.9 RTM A/S har herunder forpligtelsen til at sikre, at der i det omfang, det kræves af Databeskyttelseslovgivningen, foreligger fornødent samtykke fra Kundens ansatte til RTM A/S behandling af personoplysninger som dataansvarlig.

9.10 RTM A/S har i relation til modtagne personoplysninger ansvaret for opfyldelse af personers rettigheder efter Databeskyttelseslovgivningen. RTM A/S har herunder forpligtelsen til at sikre, at Kundens ansatte har modtaget den information om RTM A/S indsamling og behandling af personoplysninger som dataansvarlig som kræves af Databeskyttelseslovgivningen.

9.11 Modtager RTM A/S en rettighedsbegæring fra en af Kundens ansatte, som relaterer sig til den behandling af personoplysninger, som RTM A/S er dataansvarlig for, opfylder RTM A/S begæringen som dataansvarlig. Er der tvivl om hvorvidt rettighedsbegæringen relaterer sig til den behandling RTM A/S foretager som dataansvarlig eller den behandling RTM A/S foretager som databehandler for Kunden beder RTM A/S, den pågældende der har indgivet rettighedsbegæringen, præcisere hvilken behandling begæringen vedrører, og orienterer uden unødigt ophold Kunden om rettighedsbegæringen.

9.12 Overdragelse af personoplysninger fra RTM A/S til Kunden kan kun ske i det omfang det har fornøden hjemmel i Databeskyttelseslovgivningen.

10. VARIGHED OG OPHØR ‌

10.1 Databehandleraftalen er en delaftale til parternes samarbejdsaftale og træder i kraft ved Parternes underskrift på samarbejdsaftalen og gældende frem til samarbejdsaftalen ophører.

10.2 Uanset punkt 10.1 gælder aftalen, så længe RTM A/S er i besiddelse af nogen af Kundens Personoplysninger som databehandler.

10.3 I tilfælde af Samarbejdsaftalens ophør uanset årsag skal RTM A/S efter Kundens valg slette eller tilbagelevere alle Kundens Personoplysninger til Kunden, og slette eksisterende kopier, medmindre Databeskyttelseslovgivningen, EU-retten eller en EU-medlemsstats nationale ret, foreskriver opbevaring af Kundens Personoplysninger. Uanset det foranstående er RTM A/S berettiget til, i det omfang det er nødvendigt for at kunne dokumentere levering af ydelserne eller forsvare sig mod retskrav, at gemme en kopi af Kundens personoplysninger. Kundens Personoplysninger må i så fald udelukkende behandles til de anførte formål. Intet heri skal forhindre

RTM A/S i at beholde og opbevare personoplysninger i overensstemmelse med Databeskyttelsesretten.

10.4 RTM A/S er ikke berettiget til at udøve tilbageholdsret i Kundens personoplysninger for krav, herunder betaling af udestående fakturaer mm., som RTM A/S måtte have i forhold til Xxxxxx.

11. ANDRE FORHOLD ‌

11.1 Samarbejdsaftalens bestemmelser om overdragelse, misligholdelse og ansvarsbegrænsning, lovvalg og værneting gælder også for denne databehandleraftale. Såfremt Samarbejdsaftalen ikke regulerer parternes ansvarsfordeling, skal dansk rets almindelige regler herfor finde anvendelse.

12. FORRANG ‌

12.1 Såfremt, der er modstrid mellem Samarbejdsaftalen og denne aftales bestemmelser om behandling af personoplysninger, har nærværende aftale forrang.

13. UNDERSKRIFT ‌

Denne version af databehandleraftalen er udarbejdet den 21. juni 2023

RTM A/S

Xxxxxxx Xxxxxx

BILAG 1:‌

Beskrivelse af typen af personoplysninger samt kategorien af personer, der behandles, tillige med behandlingens karakter og formål.

Til brug for gennemførelse af forsikringsanalyse og vurdering af Kundens dækningsbehov samt til efterfølgende udfærdigelse af udbudsmateriale på grundlag af hvilket der kan indhentes tilbud fra forsikringsleverandører, i hvilken forbindelse personoplysninger kan videregives til forsikrings- og pensionsleverandører, samt efterfølgende løbende administration og rådgivning til Kunden modtager RTM A/S fra Kunden og – i henhold til fuldmagt fra Kunden – fra Kundens eksisterende forsikrings- og pensionsleverandører - følgende typer af personoplysninger:

Kategorier af personer

Kundens ansatte

Kategorier af personoplysninger

Almindelige personoplysninger:

• Navn

• Adresse

• Telefonnummer

• Mail

• Stilling

• Ansættelses og fratrædelsesdato

• Indtrædelsesdato

• Køn

• Fødselsdato

• Løn og anden kompensation

• Pensionsbidrag

• Dækninger

• skadeshistorik

• Depot & saldo oplysninger

• Sygemeldte medarbejdere

• Ansættelsesforhold

(f.eks. ind- udstationeret)

• Fraværende medarbejdere

(f.eks. orlov)

Særlige kategorier af personoplysninger:

• Fagforeningsmæssigt tilhørsforhold

Andre oplysninger:

• CPR-nummer

BILAG 2:‌

Beskrivelse af RTM A/S´ tekniske og organisatoriske sikkerhedsforanstaltninger RTM A/S gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på at forhindre Kundens personoplysninger mod

a) utilsigtet eller ulovlig destruktion, tab eller ændring,

b) uautoriseret offentliggørelse, adgang eller misbrug, eller

c) anden ulovlig behandling.

Sikkerhedsforanstaltninger fastsættes under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene for de omfattede personers rettigheder og frihedsrettigheder

RTM A/S har for nærværende implementeret de nedenfor beskrevne tekniske og Organisatoriske-sikkerhedsforanstaltninger. Parterne er enige om, at disse foranstaltninger på tidspunktet for samarbejdsaftalens indgåelse opfylder garantien i pkt. 4.1.

Sikkerhedsforanstaltning	Beskrivelse
Fysisk sikkerhed	• Servere og andet udstyr hvorpå der behandles personoplysninger befinder sig i aflåst rum • Serverrum er beskyttet mod brand og tyveri • Oplysninger på papir eller andet fysiks eller manuelt medie opbevares aflåst når de ikke er i brug
Systemsikkerhed	• Servere og kommunikationslinjer er beskyttet af markedskonform firewall og virusbeskyttelse
Organisatorisk sikkerhed	• Adgang til personoplysninger er begrænset til ansatte og andre, der har et sagligt behov for adgang til oplysningerne • Adgang til oplysninger er passwordbeskyttet • Ansatte og andre der skal have adgang til oplysningerne modtager et unikt og personligt password • Password må ikke overdrages eller overlades til andre • Der er etableret procedurer for ajourføring og deaktivering af tildelte passwords såvel periodisk som ved fratrædelser og andre rolleskift • Alle ansatte er pålagt tavshedspligt • Ansatte der behandler persondata modtager instruktion og træning i beskyttelse af persondata • Der anvendes alene databehandlere, der kan garantere at have gennemført sikkerhedsforanstaltninger, der opfylder kravene i Databeskyttelseslovgivningen. Der indgås altid skriftlig aftale med databehandlere • [andre organisatoriske sikkerhedsforanstaltninger]
Datasikkerhed	• Personoplysningerne sikkerhedskopieres periodisk. • Sikkerhedskopien opbevares adskilt og forsvarligt. • [Der foretages logning af adgang til data] • [anden datasikkerhed]
Andre sikkerheds-	• Clean Desk Policy

foranstaltninger

BILAG 3:‌

Underdatabehandlere der anvendes af RTM A/S

RTM A/S har ved indgåelse af samarbejdsaftalen oplyst at gøre brug af de nedenfor anførte underdatabehandlere. Kunden har godkendt, at denne brug af underdata- behandlere er omfattet af Instruksen.

Leverandør

Opgave

Visma Consulting A/X Xxxxxxxxxxx 00

0000 Xxx. Lyngby

CVR. 2997 3334

Dokument- og dataudvekslingssystem til aftaledokumenter mellem kunde, mægler og pensions- og forsikringsselskab

Pensions Partner ApS Bygstubben 3

2950 Vedbæk

CVR. 2978 8081

Leverandør af rådgivnings- og behovsanalyseværktøj til RTM Pension

IT-Sharevision ApS Greve Xxxxxxxxx 00

0000 Xxxxx

XXX. 3796 4271

In house IT leverandør

Mancofi A/S

Xxxx Xxxxxxxxx Xxx 00 0000 Xxxxx

CVR. 3935 630

Leverandør af IT løsningen Broker Insight som vedrører håndtering og bogføring af mæglervederlag for RTM Pension

Udskiftning af de anførte databehandlere samt udpegelse af nye databehandlere sker under iagttagelse af aftalens pkt. 6.

Document Metadata

Table of Contents

DATABEHANDLERAFTALE

Document Metadata