UDKAST 1.1 DATABEHANDLERAFTALE
UDKAST 1.1
DATABEHANDLERAFTALE
Mellem [VIRKSOMHED]
og [LEVERANDØR]
Dette er et udkast til en databehandleraftale fra Plesner Advokatpartnerselskab.
Udkastet bør aldrig bruges uden en vurdering af, om det kan anvendes uændret i det konkrete tilfælde.
Udkastet udgør ikke juridisk rådgivning.
Der er den [Dato] indgået følgende databehandleraftale ("Aftalen") mellem:
[VIRKSOMHEDEN], et [●]selskab registreret under CVR-nr. [●] hos Erhvervsstyrelsen og med hjemstedsadresse [●], DK-[●], Danmark ("Kunden"); og
[LEVERANDØREN], et [●]selskab registreret under CVR-nr. [●] hos Erhvervsstyrelsen og med hjemstedsadresse [●], DK-[●], Danmark ("Leverandøren")
- Kunden og Leverandøren samlet benævnt "Parterne" og separat tillige en "Part"
Aftalens omfang
Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.
De personoplysninger, der behandles af Leverandøren, omfatter de formål med behandlingen, de kategorier af personoplysninger og de kategorier af registrerede personer, som er anført i Appendiks 1.
Ved "personoplysning" forstås enhver form for information om en identificeret eller identificerbar, fysisk person, jf. artikel 4(1) i Forordning (EU) 2016/679 af 27. april 2016 ("persondataforordningen"). Hvis der som led i opfyldelsen af Aftalen behandles andre fortrolige oplysninger end personoplysninger, f.eks. oplysninger som i medfør af lov om finansiel virksomhed anses for fortrolige, så omfatter enhver henvisning til "personoplysninger" også de øvrige fortrolige oplysninger.
Behandling af personoplysninger
Instruks: Leverandøren er instrueret i alene at behandle personoplysningerne med det formål at varetage de i Appendiks 1 fastsatte databehandlingsopgaver. Leverandøren må ikke behandle eller anvende personoplysningerne til andre formål end angivet i instruksen, herunder overføre personoplysningerne til et tredjeland eller en international organisation, medmindre Leverandøren er forpligtet hertil efter EU-retten eller lovgivningen i en medlemsstat, som Leverandøren er underlagt. I givet fald skal Leverandøren skriftligt underrette Kunden om denne juridiske forpligtelse, forinden behandlingen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.
Hvis Kunden i instruksen i Appendiks 1 eller konkret har givet tilladelse til en overførsel af personoplysninger til et tredjeland eller til internationale organisationer, påhviler det Leverandøren at sikre, at der foreligger et lovligt overførselsgrundlag, f.eks. EU-Kommissionens standardkontrakter til overførsel af personoplysninger til tredjelande.
Hvis Leverandøren skønner, at en instruktion fra Kunden er i strid med persondataforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller i lovgivningen i en medlemsstat, skal Leverandøren omgående, skriftligt orientere Kunden herom.
Hvis Leverandøren er undergivet lovgivningen i et tredjeland, erklærer Leverandøren ved Aftalens indgåelse, at Leverandøren ikke er bekendt med, at den nævnte lovgivning forhindrer Leverandøren i at efterleve Aftalen, og at Leverandøren straks skriftligt vil orientere Kunden, hvis Leverandøren bliver bekendt med, at en sådan forhindring er til stede eller vil indtræde.
Krav til Leverandøren
Leverandøren skal sikre, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Leverandøren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at de behandlede personoplysninger
hændeligt eller ulovligt tilintetgøres, fortabes eller ændres,
videregives eller gøres tilgængelige uden autorisation eller
i øvrigt behandles i strid med lovgivningen, herunder persondataforordningen.
Leverandøren skal endvidere overholde de særlige krav til sikkerhedsforanstaltninger, der gælder for Kunden, jf. Appendiks 1, samt overholde de krav til sikkerhedsforanstaltninger, som direkte forpligter Leverandøren, herunder kravene til sikkerhedsforanstaltninger i det land, hvor Leverandøren er etableret, eller i det land hvor databehandlingen finder sted.
Fastsættelsen af de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under hensyntagen til
det aktuelle tekniske niveau,
omkostningerne ved implementeringen, samt
behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
Leverandøren skal på Kundens anmodning give Kunden alle nødvendige oplysninger til, at denne kan påse, at Leverandøren overholder sine forpligtelser under Aftalen, herunder at de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.
Leverandøren skal hvert år i december for egen regning indhente en erklæring fra en uafhængig ekspert angående Leverandørens overholdelse af sine forpligtelser under Aftalen. Erklæringen skal udarbejdes på grundlag af en anerkendt standard for sådanne erklæringer. Erklæringen skal sendes til Kunden senest den 31. december det pågældende år.
Derudover har Xxxxxx ret til for egen regning at udpege en uafhængig ekspert, som skal have adgang til Leverandørens fysiske faciliteter til behandling af personoplysninger samt modtage de nødvendige informationer til udførelse af undersøgelsen af, hvorvidt Leverandøren overholder sine forpligtelser under Aftalen. Eksperten skal på Leverandørens anmodning underskrive en sædvanlig fortrolighedserklæring og behandle enhver information indhentet hos eller modtaget direkte fra Leverandøren fortroligt, og må alene dele informationen med Xxxxxx.
Leverandøren skal til myndigheder og Kundens eksterne rådgivere, herunder revisorer, give alle ønskede oplysninger i relation til udførelse af databehandlingsopgaven, i det omfang oplysningerne er nødvendige for deres opgavevaretagelse i medfør af EU-retten eller lovgivningen i en medlemsstat.
Leverandøren skal give myndigheder, der efter EU-retten eller lovgivningen i en medlemsstat har adgang til Kundens og Kundens leverandørers faciliteter, eller repræsentanter der optræder på myndighedernes vegne, adgang til Leverandørens fysiske faciliteter mod forevisning af behørig legitimation.
Leverandøren skal uden unødig forsinkelse efter at være blevet opmærksom herpå, skriftligt orientere Kunden om
enhver anmodning fra en myndighed om videregivelse af personoplysninger omfattet af Aftalen, medmindre orientering af Kunden er forbudt i henhold til EU-retten eller lovgivningen i en medlemsstat,
enhver mistanke om, eller konstatering af, (a) brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet af Leverandøren under Aftalen, eller (b) enhver anden manglende overholdelse af Leverandørens forpligtelser efter punkt 3.2 og 3.3 eller
enhver anmodning om indsigt i personoplysningerne modtaget direkte fra den registrerede eller fra tredjemand.
Leverandøren skal straks assistere Xxxxxx med håndteringen af enhver anmodning fra en registreret under kapitel III i persondataforordningen, herunder anmodning om indsigt, berigtigelse, blokering eller sletning. Leverandøren skal ligeledes implementere passende tekniske og organisatoriske foranstaltninger til at bistå Kunden med opfyldelse af Kundens forpligtelse til at besvare sådanne anmodninger.
Leverandøren skal assistere Xxxxxx med at overholde de øvrige forpligtelser, der måtte påhvile Kunden efter EU-retten eller lovgivningen i en medlemsstat, hvor Leverandørens assistance er forudsat, samt hvor Leverandørens assistance er nødvendig for, at Kunden kan overholde sine forpligtelser. Dette omfatter blandt andet, men er ikke begrænset til, på anmodning at give Kunden alle nødvendige oplysninger om en hændelse omfattet af punkt 3.10 (ii) samt alle nødvendige oplysninger til brug for en konsekvensanalyse i medfør af artikel 35-36 i persondataforordningen.
I Appendiks 1 har Leverandøren oplyst den fysiske placering af servere, servicecentre mv., som indgår i udførelse af databehandlingen. Leverandøren forpligter sig til at give skriftligt varsel til Kunden mindst 2 måneder forud for ændringer af den fysiske placering. Dette kræver ikke en formel ændring af Appendiks 1; forudgående skriftligt varsel via post eller email er tilstrækkeligt.
Underleverandører
[ALTERNATIV 1 - generel tilladelse]
Leverandøren må gøre brug af en underleverandør. På tidspunktet for indgåelsen af Aftalen anvender Leverandøren de i Appendiks 2 anførte underleverandører. Leverandøren skal skriftligt underrette Kunden om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underleverandører, senest 2 måneder inden brugen påbegyndes. Xxxxxx har ret til uden begrundelse at nægte brugen af en underleverandør. Ved ophør af brugen af en underleverandør skal Leverandøren give Xxxxxx skriftlig meddelelse herom.
[ALTERNATIV 2 - konkret tilladelse]
Leverandøren må ikke gøre brug af en underleverandør til behandling af personoplysninger omfattet af Aftalen, medmindre Kunden forinden skriftligt har givet samtykke hertil. Xxxxxx har ret til uden begrundelse at nægte brugen af en underleverandør. Ved ophør af brugen af en underleverandør skal Leverandøren give Xxxxxx skriftlig meddelelse herom.
Leverandøren skal forinden brug af en underleverandør indgå en skriftlig aftale med underleverandøren, hvori underleverandøren som minimum pålægges de samme forpligtelser, som Leverandøren har påtaget sig ved Aftalen, herunder pligten til at gennemføre passende tekniske og organisatoriske foranstaltninger til sikring af, at behandlingen opfylder kravene i persondataforordningen.
Xxxxxx har ret til at få udleveret en kopi af Leverandørens aftale med en underleverandør, for så vidt angår bestemmelser i nævnte aftale, som vedrører databeskyttelsesforpligtelser. Leverandøren hæfter over for Kunden for underleverandørens opfyldelse af sine databeskyttelsesforpligtelser. Det forhold, at Kunden har meddelt samtykke til Leverandørens aftaleindgåelse med en underleverandør er uden præjudice for Leverandørens pligt til at efterleve Aftalen.
Fortrolighed
Leverandøren skal holde personoplysningerne fortrolige.
Leverandøren må ikke formidle personoplysningerne til nogen eller tage kopi af personoplysningerne, medmindre dette er absolut nødvendigt til varetagelse af Leverandørens forpligtelser over for Kunden i henhold til Aftalen og forudsat, at den, til hvem personoplysningerne overlades, er bekendt med oplysningernes fortrolige karakter og har indvilget i at holde personoplysningerne fortrolige i overensstemmelse med Aftalen.
Hvis Leverandøren er en juridisk person, gælder bestemmelserne i Aftalen enhver af Leverandørens medarbejdere, og Leverandøren indestår for, at medarbejderne overholder Aftalen.
Leverandøren skal begrænse adgangen til personoplysningerne til de medarbejdere, for hvem det er nødvendigt at have adgang til personoplysninger for at kunne opfylde Leverandørens forpligtelser over for Kunden.
Leverandørens forpligtelser efter nærværende punkt 5 består uden tidsbegrænsning, og uanset om Parternes samarbejde i øvrigt måtte være ophørt.
Kunden skal behandle fortrolige oplysninger, som modtages fra Leverandøren, fortroligt og må ikke uberettiget udnytte eller videregive de fortrolige oplysninger.
Xxxxxxxxx og overdragelser
Parterne kan til enhver tid aftale at ændre Aftalen. Ændringer skal være skriftlige.
Leverandøren må ikke overdrage sine rettigheder og forpligtelser i henhold til Aftalen uden Kundens forudgående skriftlige samtykke.
Varighed og ophør af Aftalen
Aftalen træder i kraft ved begge Parters underskrift og er gældende, indtil den opsiges eller ophæves af en af Parterne.
Hver Part kan opsige Aftalen med 3 måneders skriftlig varsel.
Uanset Aftalens formelle aftaleperiode skal Aftalen vedblive at gælde, så længe Leverandøren behandler de personoplysninger, som Kunden er dataansvarlig for.
I tilfælde af ophør af Aftalen, uanset det juridiske grundlag herfor, skal Leverandøren yde de fornødne overgangstjenesteydelser til Kunden. Leverandøren er forpligtet til loyalt og hurtigst muligt at medvirke til, at databehandlingen overgår til en anden leverandør eller tilbageføres til Kunden.
Leverandøren skal straks efter anmodning fra Kunden overføre eller slette personoplysninger, som Leverandøren behandler for Kunden, medmindre EU-retten eller lovgivningen i en medlemsstat foreskriver opbevaring af personoplysningerne.
Leverandøren er under ingen omstændigheder berettiget til at betinge den fulde og ubegrænsede efterlevelse af Kundens instrukser af Kundens betaling af udestående fakturaer mv., og Leverandøren har ingen tilbageholdsret i personoplysningerne.
Forrang
I tilfælde af uoverensstemmelse mellem bestemmelserne i Aftalen og bestemmelserne i andre skriftlige eller mundtlige aftaler indgået mellem Parterne, skal bestemmelserne i Aftalen have forrang. Bestemmelserne i punkt 3 finder dog ikke anvendelse i det omfang, der er fastsat strengere forpligtelser for Leverandøren ved anden aftale mellem Partnerne. Herudover finder Aftalen ikke anvendelse, i det omfang der er fastsat strengere forpligtelser for Leverandøren og/eller underleverandører ved brug af Kommissionens standardkontrakter til overførsel af personoplysninger til tredjelande.
Der er ved Aftalen ikke taget stilling til Xxxxxxx honorering af Leverandøren for Leverandørens ydelser i medfør af Aftalen.
- 0 -
På vegne af Kunden: På vegne af Leverandøren:
Dato: Dato:
___________________________ ___________________________
Navn: Navn:
Titel: Titel:
APPENDIKS 1
Dette Appendiks udgør Kundens instruks til Leverandøren i forbindelse med Leverandørens databehandling for Kunden og er en integreret del af Aftalen.
Behandlingen af personoplysninger
a) Formål og karakteren af databehandlingen
[Eksempel: Leverandøren skal hoste Kundens it-systemer.]
b) Kategorier af registrerede personer
[Udfyld kategorier, tilføj flere kategorier, hvis det er nødvendigt.]
I. [F.eks. Potentielle kunder]
II. [F.eks. Kunder]
III. [F.eks. Medarbejdere]
c) Kategorier af personoplysninger
[Beskrivelse af kategorierne af personoplysninger for hver kategori af registrerede personer.]
Re b) I: [F.eks. Navn, emailadresse]
Re b) II: [F.eks. Navn, adresse, emailadresse, cpr. nr., telefonnummer]
Re b) III: [F.eks. Navn, adresse, emailadresse, xxx.xx., telefonnummer, reg.- og kontonummer]
d) Særlige kategorier af personoplysninger
[Indsæt en beskrivelse af de særlige kategorier af personoplysninger for hver kategori af registrerede personer. Særlige kategorier af personoplysninger omfatter: Oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data, som behandles med det formål entydigt at identificere en fysisk person, helbredsoplysninger, oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering samt personoplysninger om straffedomme og lovovertrædelser.]
Re b) I: [F.eks. Ingen]
Re b) II: [F.eks. Ingen]
Re b) III: [F.eks. Fagforeningsmæssigt tilhørsforhold, helbredsoplysninger]
e) Lokation(er), inklusive angivelse af land for behandlingen
[Indsæt adresse, by og land for alle lokationer, hvor behandlingen af personoplysninger foregår.]
f) Særlige krav til sikkerhedsforanstaltninger, der gælder for Kunden
[Anfør eventuelle særlige sikkerhedskrav, der gælder for Kunden, f.eks. i medfør af sektorregulering eller Kundens særlige krav til informationssikkerhed.]
APPENDIKS 2
[Brug af underleverandører]
[Indsæt navn, adresse, postnr. mv. på underleverandøren(erne).]
- 0 -