Databehandleraftale pr. 27-08-2018
Databehandleraftale pr. 27-08-2018
1 Baggrund og formål
1.1 DBS (”Databehandleren”) leverer en række IT-ydelser til Kunden (”den Dataansvarlige”) (hver for sig en ”Part” og sammen ”Parterne”), som nærmere beskrevet i Parternes Aftale (”Hovedydelsen”).
1.2 I forbindelse med levering af Hovedydelsen behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale (”Databehandleraftalen”), der udgør en integreret del af Parternes aftale(r) om Hovedydelsen. I tilfælde af uoverensstemmelser mellem Databehandleraftalen og aftale(r) om Hovedydelsen har Databehandleraftalen forrang.
1.3 I det omfang den til enhver tid gældende databeskyttelsesretlige regulering medfører, at der er brug for tilpasninger af Databehandleraftalen, er Parterne enige om, at dette skal medføre fornyet forhandling af indholdet af denne Databehandleraftale.
2 Omfang
2.1 Databehandleren bemyndiges til at fortage behandling af personoplysninger på den Dataansvarliges vegne som led i opfyldelsen af Hovedydelsen på vilkårene fastsat i Databehandleraftalen.
2.2 Databehandleren må alene behandle personoplysningerne på vegne af den Dataansvarlige, og alene i det omfang det er nødvendigt for Databehandlerens levering af Hovedydelsen.
2.3 Databehandleren må ikke behandle personoplysninger til egne formål.
2.4 Databehandleren behandler almindelige ikke-følsomme personoplysninger på vegne af den Dataansvarlige. Dette omfatter alle personoplysninger leveret fra den Dataansvarlige til Databehandler, bl.a. navn, e-mail, cvr, cpr, mobilnummer og andre nødvendige kontaktinformationer, cpr-nr. og personoplysninger Dataansvarlige giver om ansatte, som skal have kontakt med DBS.
2.5 I det omfang Databehandleren bliver opmærksom på, at der bliver overladt følsomme oplysninger til Databehandleren slettes sådanne oplysninger af Databehandleren uden varsel, medmindre Databehandleren modtager særlige instruktioner fra den Dataansvarlige, der tillader behandling af sådanne oplysninger.
2.6 Databehandleren behandler personoplysninger om Dataansvarliges ansatte af registrerede på vegne af den Dataansvarlige. Såfremt Dataansvarlige er en fysisk person, behandler Databehandleren også personoplysninger om Dataansvarlige.
2.7 Databehandleren må alene behandle personoplysningerne efter instruks fra den Dataansvarlige, medmindre en behandling kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om det retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning.
3 Varighed og Ophør
3.1 Databehandleraftalen gælder, så længe Databehandleren leverer Hovedydelsen og ophører automatisk når Databehandleren ikke længere behandler personoplysninger på vegne af den Dataansvarlige.
3.2 I det omfang den Dataansvarlige ikke selv er i besiddelse af personoplysningerne, ved Databehandleraftalens ophør, skal Databehandleren tilbagelevere personoplysningerne behandlet under Databehandleraftalen til den Dataansvarlige. Databehandleren er herefter forpligtet til at slette personoplysningerne, medmindre opbevaring kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt.
4 Dataansvarliges forpligtigelser
4.1 Den Dataansvarlige er ansvarlig for at overholde den til enhver tid gældende databeskyttelsesretlige regulering i forhold til de personoplysninger, som overlades til Databehandlerens behandling på vegne af den Dataansvarlige.
4.2 Den Dataansvarlige er herunder navnlig ansvarlig for og indestår for, at:
• Den Dataansvarlige har fornøden hjemmel til at behandle og til at lade Databehandleren behandle de personoplysninger, der behandles i forbindelse med Hovedydelsen.
• Angivelsen af personoplysninger i Databehandleraftalens punkt 2 er udtømmende, og at der ikke behandles andre oplysninger i forbindelse med Hovedydelsen.
• De afgivne instrukser er lovlige og tilstrækkelige for, at Databehandleren kan opfylde sine forpligtigelser.
5 Databehandlerens forpligtigelser
5.1 Tekniske- og organisatoriske sikkerhedsforanstaltninger
5.1.1 Databehandleren skal iværksætte og implementere passende tekniske og organisatoriske foranstaltninger, til at opnå et sikkerhedsniveau der passer til de risici der er involveret i behandlingsaktiviteterne udført af Databehandleren på vegne af den Dataansvarlige.
5.1.2 Sikkerhedsforanstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
5.1.3 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underkastet en passende lovpligtig tavshedspligt.
5.2 Påvisning af overholdelse
5.2.1 Databehandleren skal stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databehandleraftalen, til rådighed for den Dataansvarlige. Databehandleren skal give adgang og bidrage til audits, herunder inspektioner, der foretages af den Dataansvarlige eller en revisor, som er bemyndiget af den Dataansvarlige. Denne bestemmelse kan også opfyldes af Databehandlerens indlevering af en revisions- eller ledelseserklæring.
5.2.2 Databehandleren skal underrette den Dataansvarlige omgående såfremt en instruks om at gøre oplysninger tilgængelig eller give adgang til audits eller inspektioner, efter Databehandlerens opfattelse, er i strid med gældende dansk ret eller databeskyttelsesbestemmelser i anden EU-ret eller nationale ret.
5.3 Sikkerhedsbrud
5.3.1 Databehandleren underretter uden unødig forsinkelse den Dataansvarlige, hvis Databehandleren bliver opmærksom på, at der er sket brud på persondatasikkerheden.
5.4 Bistand
5.4.1 På den Dataansvarliges anmodning og under hensyntagen til behandlingens karakter, bistår Databehandleren så vidt muligt den Dataansvarlige ved hjælp af passende, tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som angivet i gældende lovgivning om behandling af personoplysninger.
5.4.2 På den Dataansvarliges anmodning og under hensyntagen til behandlingens karakter, samt den information der er tilgængelig for Databehandleren, bistår Databehandleren den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser vedrørende:
• Implementering af passende tekniske og organisatoriske foranstaltninger;
• anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheder;
• underretning om brud på persondatasikkerheden til registrerede;
• gennemføre konsekvensanalyser vedrørende databeskyttelse; samt
• forudgående høringer af kompetente tilsynsmyndigheder.
6 Vederlag
6.1 Databehandleren har krav på betaling efter medgået tid, samt Databehandlerens øvrige direkte forbundne omkostninger herved, for de ydelser, der udføres efter Databehandleraftalen på den Dataansvarliges anmodning. Ydelserne kan omfatte, men er ikke begrænset til, assistance ved anmeldelse af brud på persondatasikkerheden, hjælp til efterlevelse af anmodninger fra registrerede, bistand ved audit, samarbejde med tilsynsmyndigheder og assistance med efterlevelse af anmodninger fra registrerede.
6.2 Databehandleren har krav på betaling efter medgået tid, samt Databehandlerens øvrige direkte forbundne omkostninger herved, for de ydelser, der udføres efter Databehandleraftalen, som følger af ændringer i den Dataansvarliges forhold. Ydelserne kan omfatte, men er ikke begrænset til, bistand til ændringer, der følger af nye risikovurderinger og konsekvensanalyser samt ændringer nødvendiggjort af, at den Dataansvarlige forpligtes af anden lovgivning end dansk ret.
6.3 Vederlaget beregnes efter de aftalte timesatser i aftale(r)n(e) om levering af Hovedydelserne, og hvor der ikke er aftalt timesatser heri, da beregnes vederlaget efter Databehandlerens gældende timesatser.
6.4 En Part har uanset ovenstående ikke krav på betaling for assistance eller implementering af ændringer i det omfang, sådan assistance eller ændring er en direkte følge af Partens egen misligholdelse af denne Databehandleraftale.
7 Underdatabehandlere
7.1 Databehandleren kan gøre brug af en tredjepart til behandlingen af personoplysninger på vegne af den Dataansvarlige (en underdatabehandler) uden forudgående samtykke hertil.
7.2 Ændringer i underdatabehandlere vil blive oplyst til den Dataansvarlige, via e-mail, nyhedsbreve, systembeskeder eller på anden vis. Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod tilføjelser eller erstatninger af underdatabehandler i det omfang, den Dataansvarlige har en rimelig grund hertil.
7.3 Når Databehandleren gør brug af en Underdatabehandler, skal Databehandleren og underdatabehandleren indgå en skriftlig aftale, som pålægger underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren, navnlig ved at give tilstrækkelige garantier til implementering af passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen vil opfylde kravene i databeskyttelsesforordningen.
7.4 Uanset ovenstående accepterer den Dataansvarlige at behandling af personoplysninger, på vegne af den Dataansvarlige, som fortages af underdatabehandlere, sker på vilkårene fastsat i den pågældende underdatabehandlers til en hver tid gældende standardvilkår, når den Dataansvarlige er informeret herom. Sådanne oplysninger vedrørende underdatabehandlere tilsendes den Dataansvarlige på e-mail, meddeles i det leverede IT-system eller kan på anden vis tilvejebringes den Dataansvarlige.
7.5 Databehandleren er direkte ansvarlig for underdatabehandlerens opfyldelse af sine forpligtelser overfor den Dataansvarlige.
7.6 På tidspunktet for indgåelsen af denne Databehandleraftale anvendes følgende underdatabehandlere:
• Abakomp
• Dansk bilagsservice
8 Overførsel af personoplysninger til lande udenfor EU eller EØS
8.1 Databehandleren vil søge at opbevare alle personoplysninger inden for EU eller EØS; det er ikke Databehandlerens hensigt at eksportere data. Den Dataansvarlige accepterer dog, at Databehandleren kan overføre/give personoplysninger til et land uden for EU eller EØS – forudsat at Databehandleren, forud for overførslen, har sikret sig det nødvendige lovlige grundlag for sådan overførsel – eller at den Dataansvarlige har instrueret Databehandleren til at foretage overførslen (f.eks. ved at benytte de tjenester, der leveres af Databehandleren til at sende information til modtagere uden for EU eller EØS), i hvilket tilfælde den Dataansvarlige er ansvarlig for sikring af det nødvendige lovlige grundlag.
8.2 Såfremt det i henhold til det anvendte overførselsgrundlag kræves, at den Dataansvarlige er direkte aftalepart i overførselsgrundlaget, f.eks. EU Kommissionens modelkontrakt for overførsel af personoplysninger til tredjelande, skal Databehandleren anses for bemyndiget til at indgå sådan aftale på vegne af den Dataansvarlige. Indholdet af denne Databehandleraftale anses ikke for at ændre indholdet af sådan overførselsgrundlag, herunder EU Kommissionens modelkontrakter.
9 Ansvar og ansvarsbegrænsninger
9.1 Ansvarsbegrænsningen i aftale(r)n(e) om Hovedydelsen finder anvendelse for Databehandlerens behandling af personoplysning under Databehandleraftalen, samt med hensyn til art. 82(5) i den generelle databeskyttelsesregulering.
10 Tvister og lovvalg
10.1 Databehandleraftalen er underlagt dansk ret med undtagelse af (a) regler, der fører til anvendelse af anden lov end dansk lov samt (b) FN-konventionen om internationale løsørekøb (CISG).
10.2 Enhver tvist der ikke kan løses ved forhandling, skal løses ved den kompetente
domstol ved Databehandlerens hjemting.