DATABEHANDLERAFTALE
Kongsvang Cleaning & Facility A/S
DATABEHANDLERAFTALE
Klamsagervej 2
8230 Åbyhøj
Tlf.: 00 00 00 00
xxxx@xxxxxxxxx.xxx xxx.xxxxxxxxx.xxx
CVR 28689276
Nærværende databehandleraftale er indgået mellem Kunden (dataansvarlig) og Kongsvang (databehandler), herefter benævnes samlet som Parterne. Parterne er enige om, at nærværende databehandleraftale er accepteret af begge Parter og skal finde anvendelse i Parternes samarbejde.
I henhold til aftalen mellem den dataansvarlige og databehandleren vedrørende databehandlerens levering af nærmere specificerede ydelser, vil den dataansvarlige videregive visse personoplysninger til databehandleren.
Parterne har aftalt følgende:
a) Databehandleraftalens omfang
Afhængigt af karakteren af aftalen og de ydelser, som databehandleren leverer, vil omfanget og formålet med databehandlingen variere. Nedenfor er oplistet de typer af personoplysninger, som bliver behandlet i forbindelse med databehandlerens levering af den nævnte ydelse, samt formålet med behandlingen.
i. Sikkerhed: Databehandleren vil i aftalens løbetid behandle personoplysninger som navn, mailadresse og adgang til faciliteter på vegne af den dataansvarlige med det formål at levere den aftalte ydelse i form af adgangskontrol, vagter og overvågning på den dataansvarliges lokationer.
ii. Håndtering af affald: Databehandleren vil i aftalens løbetid behandle personoplysninger som navn og adresse indeholdt i fortrolige papirer på både databærende medier og i fysisk arkiveret format. Databehandlingen sker på vegne af den dataansvarlige med det formål at levere den aftalte ydelse i form af transport af elektroniske og fysiske medier til arkivering.
iii. Gaveartikler: Databehandleren vil i aftalens løbetid behandle personoplysninger som navn og adresse på vegne af den Dataansvarlige med det formål at levere den aftalte ydelse i form af gaveartikler.
iv. Kantinedrift: Databehandleren vil i aftalens løbetid behandle personoplysninger som navn, medarbejderkortnummer, oplysninger om helbredsforhold herunder allergier og forplejningsønsker. Databehandlingen sker på vegne af den dataansvarlige med det formål at levere den aftalte ydelse indenfor catering og kantinedrift.
v. Personoplysningerne vedrører følgende kategorier af datasubjekter:
1. Den dataansvarliges medarbejdere og gæster
2. Den dataansvarliges kunders medarbejdere
b) Instrukser, sikkerhed med mere
i. Databehandleren vil alene behandle personoplysninger på vegne af den dataansvarlige og i henhold til den dataansvarliges instrukser herom. Instruksen omfatter leveringen af de relevante ydelser som den dataansvarlige modtager i henhold til pkt. a.
ii. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med bestemmelserne i Europa- Parlamentets og Rådets Direktiv 95/46 EF og gældende lovgivning, som implementerer disse og eventuelle senere ændringer heraf, herunder Forordningen (EU) 2016/679 af den 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (herefter benævnt ”Databeskyttelseslovgivningen”).
iii. På den dataansvarliges anmodning skal databehandleren fremlægge en auditeringsrapport for den dataansvarlige, som skal udarbejdes af en uvildig tredjemand, som bekræfter overholdelsen af de nødvendige sikkerhedskontroller. Den dataansvarlige kan alternativt fremsende et sikkerheds- spørgeskema til databehandleren, som en uvildig tredjemand herefter udfylder. Databehandleren skal have ret til at kræve et rimeligt vederlag herfor. Med mindre andet fremgår af databeskyttelseslovgivningen kan den dataansvarlige kun anmode om fremlæggelse af en auditeringsrapport en 1 gang indenfor en 12 måneders periode.
iv. Databehandleren skal sikre, at de medarbejdere, der behandler personoplysninger på dennes vegne, er underlagt en fortrolighedsforpligtelse. Fortrolighedsforpligtelsen skal også gælde efter aftalens ophør.
v. Fra den 25. maj 2018, og som led i ovenstående krav, skal databehandleren bistå den dataansvarlige med at sikre dennes overholdelse af forpligtelserne i Databeskyttelseslovgivningen.
c) Databehandling foretaget af underleverandører
i. Den dataansvarlige giver ved aftalens indgåelse databehandleren et generelt samtykke til at udlicitere behandlingsaktiviteter, som udføres på vegne af den dataansvarlige, til en underleverandør. Ved henvendelse fra den dataansvarlige udleverer databehandleren en liste med de underleverandører, der benyttes af databehandleren som led i leveringen af ydelserne under aftalen. Den dataansvarlige har til enhver tid mulighed for at protestere mod anvendelsen af en underleverandør. Den dataansvarliges opfyldelse af aftalen kan dog være afhængig af underleverandørens behandlingsaktivitet, hvorfor den dataansvarliges protest mod anvendelsen af den pågældende underleverandør kan have virkning som en opsigelse af aftalen efter aftalens bestemmelser herom.
ii. Såfremt databehandleren udliciterer sine forpligtelser, som beskrevet i pkt. c.i. til en underleverandør, skal dette ske ved indgåelse af skriftlig aftale, som pålægger underleverandøren de samme forpligtelser, som databehandleren er underlagt i henhold til denne databehandleraftale.
iii. Såfremt underleverandøren ikke opfylder sine forpligtelser i henhold til en sådan skriftlig aftale, skal databehandleren være fuldt ud ansvarlig overfor den dataansvarlige for opfyldelsen af underleverandørens forpligtelser.
d) Meddelelse om brud på datasikkerheden
i. Databehandleren skal uden ugrundet ophold meddele den Dataansvarlige, såfremt der konstateres eller er risiko for brud på datasikkerheden for personoplysninger, der behandles under aftalen.
e) Erstatningsansvar
i. Den dataansvarliges kumulerede krav, som opstår i forbindelse med databehandleren eller underleverandørens brud på deres forpligtigelser i henhold til kontraktretlige eller lovbestemt regulering om databeskyttelse skal være underlagt begrænsningen som angivet i aftalen.
f) Databehandleraftalens ophør
i. Denne databehandleraftale træder i kraft på datoen for aftalens underskrivelse og bestemmelserne i denne databehandleraftale skal forblive i kraft så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige.
ii. Ved ophør af denne databehandleraftale skal databehandleren tilbagelevere al materiale indeholdende personoplysninger som databehandleren har behandlet på vegne af den dataansvarlige eller på den dataansvarliges opfordring slette alle personoplysninger, som databehandleren har behandlet på vegne af den dataansvarlige, med mindre databehandleren er forpligtiget til at beholde oplysningerne som følge af lovgivning.
Dato: 04. november 2019
Kongsvang Cleaning & Facility A/S:
Xxxxx Xxxxxxx
Direktionssekretær
x00 00 00 00 00
Klamsagervej 2
8230 Åbyhøj
Tlf.: 00 00 00 00