i det følgende betegnet som den ”Dataansvarlige”) Og
Om behandling af personoplysninger Indgås mellem
(i det følgende betegnet som den ”Dataansvarlige”) Og
MaCom A/S (i det følgende betegnet som ”Databehandleren”) Om
Lectio
(Den Dataansvarlige og Databehandleren kaldes tilsammen ”Parterne” og hver for sig ”Part”)
1.0 Introduktion
1.1 Databehandleren behandler persondata på vegne af den Dataansvarlige. Behandlingen af persondata finder sted i det af Databehandleren udviklede studieadministrative system Lectio.
1.2 Lectio behandler studieadministrative og uddannelsesrelaterede persondata for studerende og undervisere samt persondata for teknisk administrativt personale.
1.3 Lectio udbydes som en internetbaseret service på abonnement for en periode på et skoleår ad gangen, i henhold til beskrivelserne på xxx.xxxxxx.xx.
2.0 Instruktioner og sikkerhed
2.1 Databehandleren vil kun behandle persondata på vegne af den Dataansvarlige efter aftale imellem Parterne om brug af Xxxxxx og kun på foranledning af den Dataansvarlige.
2.2 Den Dataansvarlige skal autorisere brugen af Xxxxxx. Med autorisationen bekræftes samtidigt
a) at der foreligger hjemmel hos den Dataansvarlige til at udføre behandlingen af personoplysningerne og
b) at der gives instruks til Databehandleren om at behandlingen skal foretages i Lectio.
2.3 Databehandleren skal implementere de relevante tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte data mod utilsigtet eller ulovlig ødelæggelse, tab eller ændringer samt mod uautoriseret afsløring, misbrug eller anden behandling, som overtræder bestemmelserne i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og den danske følgelov LOV nr.502 af 23/05/2018 (”Databeskyttelsesloven”).
2.4 Lectio skal være i overensstemmelse med kravene i Bekendtgørelse om krav til studieadministrative it-systemer, BEK nr. 2087 af 23. november 2021
(”Systemrevisionsbekendtgørelsen”). Databehandleren skal således foretage en løbende systemrevision som omfatter en ISAE 3402 type 2 erklæring og en ISAE 3000 type 2 erklæring. Systemrevisionserklæringen udarbejdes af en uafhængig certificeret revisor og udgør en integreret del af nærværende Databehandleraftale. Styrelsen for It og Læring offentliggør en oversigt over de studieadministrative it-systemer, hvor styrelsen har modtaget en systemrevisionserklæring uden forbehold, på styrelsens hjemmeside på adressen xxx.xxxx.xx.
2.5 For at den Dataansvarlige kan leve op til sin forpligtigelse om tilsyn med Databehandleren, får Databehandleren netop udarbejdet de to revisionserklæringer nævnt i afsnit 2.4 ovenfor. Den dataansvarlige kan rekvirere de eksterne revisionserklæringer ved at rette henvendelse til Databehandleren.
2.6 Databehandleren skal gennem underskrevne fortrolighedsaftaler med samtlige medarbejdere hos Databehandleren og med konsulenter der har adgang til persondata i Lectio sikre, at personer, som behandler persondata på vegne af Databehandleren, har forpligtet sig selv til fortrolighed omkring al persondata, der behandles i henhold til denne aftale. Denne forpligtelse til fortrolighed fortsætter efter aftalens afslutning.
2.7 Lectio indeholder alle de nødvendige værkstøjer til at sikre, at den Dataansvarlige kan imødekomme indsigtsanmodninger fra personer, hvis data bliver behandlet. Databehandleren vil herudover i videst muligt omfang bistå den Dataansvarlige med relevante tekniske og organisatoriske tiltag med henblik på opfyldelse af den Dataansvarliges forpligtelse til at
imødekomme anmodninger om at overholde rettighederne for individet, som persondataene omhandler, i henhold til den generelle forordning om databeskyttelse.
2.8 Databehandleren forpligter sig til at orientere den Dataansvarlige, hvis Databehandleren vurderer, at en instruktion overtræder EU-lovgivning og/eller national lovgivning.
2.9 Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, videregivelse, tab, ændring af eller adgang til personoplysninger, som Databehandleren behandler for den Dataansvarlige.
3.0 Behandlingssted
3.1 Databehandleren behandler data i Danmark.
3.2 Data opbevares i Danmark.
3.3 Databehandleren anvender ikke underdatabehandlere.
4.0 Overførsel til tredjelande
4.1 Databehandleren overfører ikke data til tredjelande.
5.0 Meddelelse om brud på datasikkerheden
5.1 Databehandleren skal uden unødig forsinkelse og om muligt inden for 72 timer underrette den Dataansvarlige i tilfælde af identificerede eller potentielle brud på datasikkerheden vedrørende persondata, som behandles i henhold til denne aftale, med oplysninger om karakteren af bruddet, de sandsynlige konsekvenser, iværksatte og planlagte skadesbegrænsende foranstaltninger samt kontaktoplysninger hos Databehandleren hvor yderligere oplysninger kan indhentes.
6.0 Varighed
6.1 Databehandleraftalen er gældende indtil instruksen ophører, jf. Pkt. 2.1, eller såfremt en Part vælger at opsige abonnementet.
6.2 Databehandleren skal efter anmodning fra den Dataansvarlige slette alle den Dataansvarliges persondata efter afslutningen af leveringen af tjenester, som relaterer til behandlingen, medmindre lovgivningen i EU eller medlemslandet kræver opbevaring af persondataene.
7.0 Ansvar
7.1 Databehandlerens ansvar over for den Dataansvarlige i denne aftale vedrørende brud på aftalens databeskyttelsesforpligtelser er begrænset til et beløb, svarende til det abonnementsvederlag den Dataansvarlige har betalt til Databehandleren for servicen i gældende abonnementsperiode.
8.0 Force majeure
8.1 Databehandleren kan ikke gøres ansvarlig for forhold, der må betegnes som force majeure, herunder – men ikke begrænset til – optøjer, krig, terror, strejke, brand, naturkatastrofer, afbrydelse af eller svigt i energiforsyningen, omfattende hærværk, omfattende hackerangreb, virus mv.
8.2 I tilfælde af, at der indtræder omstændigheder, der kan betegnes som force majeure, er Databehandleren forpligtet til uden unødigt ophold at orientere den Dataansvarlige herom samt iværksætte alle rimelige tiltag med henblik på at afbøde de gener, som force majeure situationen påfører eller kan påføre den Dataansvarlige.
9.0 Ændringer
9.1 Denne databehandleraftale kan til hver tid ændres uden varsel, bl.a. hvis ændringer er nødvendige for at overholde de til enhver tid gældende regler og forskrifter for behandling af personoplysninger. Gældende aftale vil være at finde på xxx.xxxxxx.xx og træder i kraft i forbindelse med forlængelse af eller tegning af nye abonnementer.
10.0 Aftalens prioritet
10.1 Hvis nogen af bestemmelserne i denne aftale er i modstrid med bestemmelserne i andre aftaler, som måtte være indgået mellem Parterne, har bestemmelserne i denne aftale forrang i forhold til bestemmelserne i de andre aftaler med mindre dette måtte stride imod præceptiv EU- lovgivning eller national lovgivning.
11.0 Tvister
11.1 Tvister mellem Parterne, som ikke kan løses i mindelighed, kan indbringes for de ordinære domstole med Københavns Byret som aftalt værneting. Retsplejelovens henvisningsregler til Landsret og Sø- og Handelsret skal dog fortsat finde anvendelse.
12.0 Underskrifter
12.1 Underskrifter:
/ -20 , 27/1-2022, Xxxx Xxxxxxx For Dataansvarlige For Databehandleren