DATABEHANDLERAFTALE

DATABEHANDLERAFTALE

Omsorgsbemanding

Nærværende databehandleraftale er indgået mellem Omsorgsbemanding, ved Mølgaard Operations ApS (CVR-nr.: 32306667) og brugeren af Omsorgsbemanding. Partnerne omtales i nærværende aftale som ”Databehandleren” (Omsorgsbemanding),”Dataansvarlige” (Brugeren), tilsammen ”Parterne” og hver for sig en ”Part”.

BILAG TIL DATABEHANDLERAFTALEN

Bilag 1 Hovedydelsen

Bilag 2 Konkret bistand

Bilag 3 Den Dataansvarliges forpligtelser

Bilag 4 Overførsel til tredjelande og internationale organisationer

1 BAGGRUND OG FORMÅL

1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom (”Hovedkontrakten”) beskrevet i bilag 1 til denne aftale (”Hovedydelserne”).

1.2 I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag (”Databehandleraftalen”).

1.3 Databehandleraftalen har til formål at sikre, at Parterne overholder den ved Databehandleraftalens indgåelse gældende persondataretlige regulering, dvs.:

(i) Persondataloven (lov 2000-05-31 nr. 429 med senere xxxxxxxxx)

(ii) Persondataforordningen (Europaparlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne får virkning 25. maj 2018.

2 OMFANG

2.1 Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.

2.2 Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”). Denne Databehandleraftale inkl. bilag udgør Instruksen på accepttidspunktet.

2.3 Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige. Sådanne ændringer foretages i henhold til den mellem Parterne aftalte ændringshåndteringsproces, jf. Hovedkontrakten.

3 VARIGHED

3.1 Databehandleraftalen gælder indtil Hovedkontrakten ophører.

4 DATABEHANDLERENS FORPLIGTELSER

4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger

4.1.1 Databehandleren har ansvaret for at gennemføre fornødne (a) tekniske- og (b) organisatoriske sikkerhedsforanstaltninger. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, og den pågældende behandlings

karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, samt typerne af personoplysninger beskrevet i bilag 1.

4.1.2 Databehandleren gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i gældende persondataretlige regulering.

4.2 Medarbejderforhold

4.2.1 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

4.3 Påvisning af overholdelse

4.3.1 Databehandleren stiller efter anmodning alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databehandleraftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. En sådan anmodning besvares inden rimelig tid.

4.3.2 For så vidt angår punkt 4.3.1 underretter Databehandleren omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelseslovgivningen eller databeskyttelsesbestemmelser i anden EU-ret eller nationale ret.

4.4 Fortegnelse over behandlingsaktiviteter

4.4.1 Hver af Parterne fører fortegnelser over behandlingsaktiviteter i det omfang det er påkrævet i artikel 30 i Persondataforordningen.

4.5 Sikkerhedsbrud

4.6 Databehandleren underretter uden unødig forsinkelse den dataansvarlige hvis Databehandleren bliver opmærksom på, at der er sket brud på persondatasikkerheden.

4.7 Underretningen skal indeholde de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne og planlagte afhjælpende foranstaltninger.

4.8 Bistand

4.8.1 På den Dataansvarliges anmodning, bistår Databehandleren så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder.

4.8.2 Under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren bistår Databehandleren den Dataansvarlige med at sikre overholdelse af forpligtelserne vedrørende den Dataansvarliges:

a) Behandlingssikkerhed,

b) Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheder,

c) Underretning om brud på persondatasikkerheden til registrerede,

d) Konsekvensanalyser vedrørende databeskyttelse, og

e) Forudgående høringer.

4.8.3 Databehandleren skal herudover yde bistand med de opgaver, der er anført i Bilag 2.

5 DEN DATAANSVARLIGES FORPLIGTELSER

5.1 Den Dataansvarlige har de forpligtelser, som fremgår af bilag 3 og aftalen om levering af Hovedydelserne.

6 OVERFØRSEL TIL TREDJELANDE OG INTERNATIONALE ORGANISATIONER

6.1 Databehandleren må kun overføre personoplysninger til et land uden for den Europæiske Union eller EØS (et ”Tredjeland”) eller internationale organisationer i det omfang dette fremgår af (a) bilag 4 til denne Databehandleraftale, eller (b) Instruks fra den Dataansvarlige.

7 DATABEHANDLING UDENFOR INSTRUKSEN

7.1 Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt.

7.2 Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.

7.3 Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.

8 VEDERLAG OG OMKOSTNINGER

8.1 Databehandleren har krav på betaling efter medgået tid samt Databehandlerens øvrige omkostninger herved, for de ydelser der udføres efter Databehandleraftalen på den Dataansvarliges anmodning. Ydelserne kan omfatte, men er ikke begrænset til, ændringer af instruksen, assistance ved anmeldelse af brud på persondatasikkerheden, udlevering og sletning af oplysninger, bistand ved audit, bistand ved ophør, samarbejde med tilsynsmyndigheder og hjælp til efterlevelse af anmodninger fra registrerede.

8.2 Databehandleren har krav på betaling efter medgået tid samt Databehandlerens øvrige omkostninger herved, for de ydelser der udføres efter Databehandleraftalen som følger af ændringer i den Dataansvarliges forhold. Ydelserne kan omfatte, men er ikke begrænset til, bistand til ændringer der følger af nye risikovurderinger og konsekvensanalyser samt ændringer nødvendiggjort af ændringer i lovgivningen.

Vederlaget opgøres efter de aftalte timesatser i aftalens Bilag 2, og hvor der ikke er aftalt timesatser, da efter Leverandørens gældende timesatser.

9 ÆNDRING AF INSTRUKSEN

9.1 Forud for ændringer af Instruksen skal Parterne i videst muligt omfang drøfte, og om muligt aftale, implementeringen af ændringerne, inkl. implementeringstiden og omkostningerne.

9.2 I det omfang andet ikke er aftalt, gælder følgende:

a) Databehandleren skal uden ugrundet ophold iværksætte implementering af ændringer af Instruksen og sikre, at sådanne ændringer implementeres uden ugrundet ophold set i forhold til ændringernes karakter og omfang.

b) Vejledende estimat for implementeringstiden og omkostningerne skal meddeles til den Dataansvarlige uden ugrundet ophold.

c) Ændringerne til Instruksen anses først for gældende, fra ændringerne er implementeret, forudsat at implementeringen heraf gennemføres i overensstemmelse med dette punkt 9.2, og med mindre den Dataansvarlige eksplicit meddeler at fravige dette punkt.

d) Databehandlerne er fritaget for ansvar for manglende levering af Hovedydelserne i det omfang (herunder tidsmæssigt), levering heraf vil være i strid med den ændrede Instruks, eller levering i overensstemmelse med den ændrede Instruks er umulig. Dette kan eksempelvis være tilfældet, (i) hvor ændringerne ikke teknisk, praktisk eller juridisk hensigtsmæssigt kan implementeres efter Databehandlerens rimelige vurdering, (ii) hvor den Dataansvarlige eksplicit meddeler, at ændringerne skal være gældende, før implementeringen er mulig eller (iii) i tidsrummet indtil Parterne får gennemført evt. nødvendige ændringer af aftale(r)n(e) i overensstemmelse med ændringsprocedurerne heri.

10 ØVRIGE BESTEMMELSER

10.1 Generelt

10.2 Misligholdelse

10.2.1 Misligholdelse er reguleret i Hovedkontrakten.

10.3 Ansvar og ansvarsbegrænsninger

10.3.1 Ansvar og ansvarsbegrænsninger er reguleret i Hovedkontrakten.

10.4 Force Majeure

10.4.1 Force majeure er reguleret i Hovedkontrakten.

10.5 Fortrolighed

10.5.1 Fortrolighed er reguleret i Hovedkontrakten.

11 OPHØR

11.1 Opsigelse og ophævelse

11.1.1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftale om levering af Hovedydelserne.

11.1.2 Opsigelse eller ophævelse af denne Databehandleraftale kan alene ske ved – og berettiger til - samtidig opsigelse eller ophævelse af dele af aftale om levering af Hovedydelserne, der vedrører behandling af personoplysninger i medfør af Databehandleraftalen.

11.2 Virkning af ophør

11.2.1 Reguleringen af virkning af ophør er reguleret i Hovedkontrakten.

11.3 Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige med mindre andet fremgår af Hovedkontrakten. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.

12 TVISTLØSNING

12.1 Reguleringen af tvistløsning i Hovedkontrakten finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

13 FORRANG

13.1 Såfremt der er modstrid mellem denne Databehandleraftale og aftale(r)n(e) om levering af Hovedydelserne, har denne Databehandleraftale forrang, med mindre andet følger direkte af Databehandleraftalen.

BILAG 1 HOVEDYDELSEN

1 FORMÅL OG HOVEDKONTRAKT

1.1 Med Hovedkontrakten menes registrering af bruger og generel anvendelse af Omsorgsbemandings ydelser.

2 PERSONOPLYSNINGER

2.1 Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:

a) Almindelige personoplysninger, fagområde(r) og eventuelt billede.

2.2 Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databehandleraftalen:

a) Ansatte i, eller konsulenter for, Omsorgsbemanding.

b) Brugere af Omsorgsbemanding.

BILAG 2 KONKRET BISTAND

1 BISTAND

1.1 Parterne har aftalt, at følgende konkrete opgaver udføres af Databehandleren:

Opgave Vederlag

Al bistand og besvarelse af forespørgsler vedrørende databehandling

Pris per påbegyndt time: 1.250 kroner ekskl. moms

BILAG 3

DEN DATAANSVARLIGES FORPLIGTELSER

1 FORPLIGTELSER

1.1 Den Dataansvarlige har følgende forpligtelser

1.1.1 Den Dataansvarlig er ansvarlig for at overholde den til enhver tid gældende persondatalovgivning i forhold til de personoplysninger, som overlades til Databehandlerens behandling. Databehandleren er herunder navnlig ansvarlig for og indestår for, at:

• Angivelsen i databehandleraftalen er udtømmende, og at Databehandleren kan agere herefter, bl.a. i forhold til fastsættelse af nødvendige sikkerhedsforanstaltninger.

• Den Dataansvarlige har fornøden hjemmel til at behandle og til at overlade det til Databehandleren at behandle de personoplysninger, der behandles i forbindelse med levering af Hovedydelserne.

• Den afgivne Instruks, i henhold til hvilken Databehandleren skal behandle personoplysninger på vegne af den Dataansvarlige, er lovlig.

1.1.2 Den Dataansvarlige orienterer skriftligt Databehandleren om eventuelt gennemførte konsekvensanalyser, der er relevante for de overladte behandlingsaktiviteter, og den Dataansvarlige giver samtidig Databehandleren fornøden indsigt i analysen med henblik på at Databehandleren kan opfylde sine forpligtigelser under Databehandleraftalen.

1.1.3 Den Dataansvarlige orienterer i øvrigt Databehandleren om forhold af betydning for Databehandlerens udførelse af sine forpligtigelser under Databehandleraftalen, herunder blandt andet den Dataansvarliges løbende risikovurdering, i det omfang de er relevante for Databehandleren.

1.1.4 Den Dataansvarlige orienterer desuden Databehandleren, hvis den til enhver tid gældende persondatalovgivning i forhold til de personoplysninger, som overlades til Databehandlerens behandling, omfatter andet end lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven) eller Europa-Parlamentets og Rådets forordning (EU) 2016/679 (inkl. efterfølgende tilpasninger af dansk ret, der sker som konsekvens af denne forordning).

1.1.5 Den Dataansvarlige bistår Databehandleren med at indgå aftaler med Underdatabehandlere, i det omfang det er nødvendigt, herunder for at sikre overførselsgrundlag til tredjelande.

BILAG 4 OVERFØRSEL TIL TREDJELAND OG

INTERNATIONALORGANISATION

1 GENERELT

1.1 Den Dataansvarlige giver hermed sin forudgående generelle godkendelse til, at Databehandleren kan overføre personoplysninger til et Tredjeland eller international organisation. Databehandleren skal skriftligt underrette den Dataansvarlige forud for overførelse til et nyt Tredjeland eller international organisation. Tilsvarende skal Databehandleren underrette den Dataansvarlige om ophør heraf.

1.2 Den Dataansvarlige har mulighed for indenfor [15] dage at gøre indsigelser gældende mod en sådan overførelse i det omfang, der er en rimelig grund hertil.