Databehandleraftale
Dataansvarlig
Navn: CVR nr.: Adresse:
Databehandler
Navn: Dataspecialisten
CVR nr.: 25252985
Adresse: Xxxxxxxxx 00, 0000 Xxxxxxxx
Baggrund og formål
1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom samt bilag 1 til denne aftale (Hovedydelserne).
1.2 I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag (Databehandleraftalen)
1.3 Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig:
• persondataloven (lov 2000-05-31 nr. 429 med senere xxxxxxxxx)
• persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.april 2016), når denne får virkning.
Omfang
2.1 Databehandleren bemyndiges til at fortage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
2.2 Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (Instruks). Denne Databehandleraftale inkl. bilag udgør Instruksen på underskriftstidspunktet.
2.3 Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige.
2.4 Databehandleren må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.
Varighed
3.1 Databehandleraftalen gælder indtil enten:
• aftale(r)n(e) om levering af Hovedydelserne ophører.
• Databehandleraftalen opsiges eller ophæves.
Databehandlerens forpligtelser
4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger
4.1.1 Databehandleren har ansvaret for at gennemføre fornødne tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i bilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.
4.1.2 Databehandleren skal uanset punkt 4.1.1 gennemføre de tekniske og organisatoriske sikkerhedsforanstaltninger som fremgår af bilag 2 til denne Databehandleraftale samt aftale(r)n(e) om levering af Hovedydelserne.
4.1.3 Databehandleren gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.
4.1.4 Parterne er enige om, at de afgivne garantier anført i bilag 2 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandleraftale.
4.2 Medarbejderforhold
4.2.1 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4.3 Dokumentation for overholdelse af forpligtelser
4.3.1 Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren:
• overholder sine forpligtelser efter denne Databehandleraftale og Instruksen
• overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.
4.3.2 Databehandlerens dokumentation heraf skal ske inden rimelig tid.
4.3.3 Det nærmere indhold af forpligtelserne under punkt 4.3.1 er beskrevet i bilag 2 til denne Databehandleraftale.
4.4 Sikkerhedsbrud
4.4.1 Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (Sikkerhedsbrud).
4.4.2 Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.
4.5 Bistand
4.5.1 Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandleraftale, herunder ved:
• besvarelser til registrerede ved udøvelse af disses rettigheder
• Sikkerhedsbrud
• konsekvensanalyser
• forudgående høringer fra tilsynsmyndighederne
Underdatabehandlere
5.1 Databehandleren gør brug af tredjepart til behandling af personoplysning for den Dataansvarlige (Underdatabehandlere). Underdatabehandlere anvendes til opfyldelse af købskontrakten mellem Dataansvarlige og Databehandler, herunder Microsoft, Google, Solarwinds, ALSO, DCS, Telavox, Incom, Xxxxxx Xxxxxxx Holding og Aze.
5.2 Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af denne Databehandleraftale) i de tilfælde, hvor de er nødvendigt jævnfør Persondataforordningen.
5.3 Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige.
5.4 Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.
Overførsel til tredjelande
6.1 Databehandleren må kun overføre personoplysninger til tredjelande eller internationale organisationer i det omfang dette fremgår af:
• Særskilt bilag til denne Databehandleraftale
• Instruks fra den Dataansvarlige
6.2 Overførsel af personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.
Databehandling udenfor instruks
7.1 Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU- retten eller national ret, som Databehandleren er underlagt.
7.2 Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.
7.3 Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.
Ophør
8.1 Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
Forrang
9.1 Såfremt der er modstrid mellem denne Databehandleraftale og aftale(r)n(e) om levering af Hovedydelserne, har denne Databehandleraftale forrang, med mindre andet følger direkte af Databehandleraftalen.
Underskrifter
For den dataansvarlige:
den / -
Navn: Titel:
For databehandleren:
Gislinge den 18-04-2019
Navn: Xxxxx xxx Xxxx
Titel: Indehaver
HOVEDYDELSEN
Hovedydelsen består af følgende: Levering af hard- og software samt hostede tjenester og IT relateret konsulentydelser i form af vejledning, konfiguration, installation og drift til Dataansvarlig i henhold til løbende mundtlig eller skriftlig aftale mellem Dataansvarlig og Databehandler.
1. Personoplysninger
1.1 Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:
• Almindelige personoplysninger, herunder navn, telefonnummer og adresse.
• Ordreoplysninger, herunder eventuelt rekvisition.
• Brugernavne og passwords til de tjenester, vi leverer og / eller supporterer.
1.2 Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databehandleraftalen:
• Dataansvarliges kunder.
• Dataansvarliges medarbejdere.
DOKUMENTATION FOR OVERHOLDELSE AF FORPLIGTELSER
Som led i Databehandlerens demonstrering overfor den Dataansvarlige af overholdelse af sine forpligtelser efter punkt 4.3 i Databehandleraftalen skal nedenstående punkter udføres og overholdes.
1. Generel dokumentation til den dataansvarlige
1.1 Databehandleren er på skriftlig anmodning forpligtet til at fremsende dokumentation til den Dataansvarlige:
1.2 Den generelle dokumentation skal udleveres senest fem arbejdsdage efter, at den Dataansvarlige har fremsat sin skriftlige anmodning overfor Databehandleren, med mindre andet aftales konkret. Databehandlerens udarbejdelse af dokumentation sker for den dataansvarliges regning.
2. Audit
2.1 Databehandleren skal på skriftlig anmodning bidrage til og give adgang til audit.
2.2 Audit skal foretages af en uafhængig tredjepart valgt af den Dataansvarlige og godkendt af Databehandleren. Databehandleren kan ikke afvise en foreslået tredjepart uden rimelig begrundelse.
2.3 Databehandleren har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 2.
3. Øvrigt
3.1 Overstående punkter skal ikke anses for udtømmende, og Databehandleren er derfor forpligtet til at foretage sådanne yderligere handlinger og tiltag, som er nødvendige for demonstration af Databehandlerens forpligtelse efter punkt 4 i Databehandleraftalen.
3.2 Databehandleren er ikke forpligtet til at følge en anmodning fra den Dataansvarlige i henhold til dette bilag 3 hvis anmodningen strider mod den persondataretlige regulering. Databehandleren skal underrette den Dataansvarlige i det omfang, det er Databehandlerens vurdering, at dette er tilfældet.