SKABELON 1 – Medlemmet er dataansvarlig DATABEHANDLERAFTALE DATO [ ]


SKABELON 1 – Medlemmet er dataansvarlig



















DATABEHANDLERAFTALE

DATO [ ]



















INDHOLDSFORTEGNELSE




Overskrift

Side















BILAGSFORTEGNELSE


Bilag 1:

Beskrivelse af de enkelte tjenester og leverancer, som Databehandleren leverer til den Dataansvarlige samt eventuelle underdatabehandlere

Bilag 2:

Beskrivelse af sikkerhedsforanstaltninger



DENNE DATABEHANDLERAFTALE er indgået [dag] den [dato] 20[ ]

MELLEM

[Navn]

[Adr.]

[Post og by]

(den ”Dataansvarlige”)


og


[Navn]

[Adr.]

[Post og by]

(”Databehandleren”)




(Den Dataansvarlige og Databehandleren hver for sig en ”Part” eller ”Parten” og sammen ”Parter” eller ”Parterne”)



  1. AFTALENS BAGGRUND OG FORMÅL

    1. Parterne har indgået aftale om Databehandlerens levering til den Dataansvarlige af [ydelser] (”Ydelserne”), som beskrevet i [Hovedaftalens navn] af [dato] ("Hovedaftalen").

    2. Som led i levering af Ydelserne vil den Dataansvarlige overlade personoplysninger til Databehandleren, og/eller Databehandleren vil som led i levering af Ydelserne indsamle og behandle personoplysninger på den Dataansvarliges vegne (”Personoplysningerne”). I Bilag 1 er indeholdt en nærmere beskrivelse af typen af personoplysninger samt kategorien af personer, der behandles, tillige med behandlingens karakter og formål.

    3. Med nærværende Aftale ønsker parterne at etablere deres respektive forpligtelser og rettigheder i relation til behandlingen af Personoplysningerne.

    4. Parterne er gensidigt forpligtede til i enhver behandling af personoplysninger at overholde den til enhver tid gældende persondatalovgivning i Danmark; for nuværende særligt Persondataloven (lov nr. 421 af 31. maj 2000 med senere ændringer) indtil den ophæves, Sikkerhedsbekendtgørelsen (bekendtgørelse 528/2000 med senere ændringer) i det omfang, denne finder anvendelse efter sit indhold, og fra den 25. maj 2018 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF samt lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger samt sådan anden lovgivning, der implementerer eller supplerer disse regler (”Databeskyttelseslovgivningen”).

  2. DEN DATAANSVARLIGES INSTRUKS TIL DATABEHANDLEREN

    1. Databehandleren er databehandler for de Personoplysninger, som Databehandleren behandler for og på vegne af den Dataansvarlige.

    2. Databehandleren behandler alene Personoplysningerne i det omfang det er nødvendigt for at levere Ydelserne i overensstemmelse med Hovedaftalen og bilag 1 og i henhold til den til enhver tid dokumenterede instruks fra den Dataansvarlige (”Instruksen”). Hovedaftalen samt nærværende Aftale med bilag udgør Instruksen på underskriftstidspunktet.

    3. Databehandleren skal underrette den Dataansvarlige, hvis Instruksen efter Databehandlerens vurdering er i strid med Databeskyttelseslovgivningen.

    4. Ændringer til og udvidelser af Instruksen, der ikke er forudsat i Hovedaftalen, samt implementeringen heraf skal i rimelig tid forinden implementeringen drøftes mellem Parterne. Databehandleren er berettiget til vederlag for tidsforbrug samt øgede omkostninger ved leveringen af Ydelserne.

    5. Databehandleren kan behandle Personoplysninger udenfor Instruksen i tilfælde, hvor det kræves i henhold til EU-retten eller national ret, som Databehandleren er underlagt. Ved behandling af Personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige herom, medmindre det vil være i strid med EU-retten eller den nationale ret.

    6. Databehandleren er berettiget til, i det omfang det er nødvendigt for at kunne dokumentere levering af Ydelserne eller forsvare sig mod retskrav, at gemme en kopi af den Dataansvarliges Personoplysninger. Den Dataansvarliges Personoplysninger må i så fald udelukkende behandles til de anførte formål.

  3. DEN DATAANSVARLIGES FORPLIGTELSER

    1. Den Dataansvarlige er dataansvarlig for Personoplysningerne.

    2. Den Dataansvarlige har ansvaret for at have hjemmel efter Databeskyttelseslovgivningen til den behandling af Personoplysningerne, der sker i henhold til Instruksen. Den Dataansvarlige har herunder forpligtelsen til at sikre, at der i det omfang, det kræves af Databeskyttelseslovgivningen, foreligger fornødent samtykke fra de omhandlede personer, når Databehandleren som led i Ydelsen indsamler Personoplysninger på vegne af den Dataansvarlige.

    3. Den Dataansvarlige har ansvaret for opfyldelse af personers rettigheder efter Databeskyttelseslovgivningen. Modtager Databehandleren anmodninger fra de omhandlede personer, skal Databehandleren uden ugrundet ophold underrette den Dataansvarlige herom. Databehandleren skal, i fornødent omfang og så vidt muligt, bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning, sletning, indsigelse og dataportabilitet.

  4. BEHANDLINGSSIKKERHED

    1. Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på at forhindre Personoplysninger mod a) utilsigtet eller ulovlig destruktion, tab eller ændring, b) uautoriseret offentliggørelse, adgang eller misbrug, eller c) anden ulovlig behandling. Databehandleren garanterer at ville gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i Databeskyttelseslovgivningen.

    2. Databehandleren har på underskriftstidspunktet implementeret de i Bilag 2 beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger.

    3. Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige om ethvert brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysninger behandlet for den Dataansvarlige (”Sikkerhedsbrud”). Underretningen skal indeholde en beskrivelse af i) karakteren af Sikkerhedsbruddet, herunder om muligt kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger; ii) de sandsynlige konsekvenser af Sikkerhedsbruddet; og iii) de foranstaltninger, der er truffet eller foreslået af Databehandleren med henblik på at afhjælpe Sikkerhedsbruddet, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

    4. Databehandleren skal efter anmodning bistå den Dataansvarlige med at sikre overholdelse af krav om anmeldelse af og underretning om Sikkerhedsbrud til den kompetente tilsynsmyndighed og/eller registrerede. I det omfang Sikkerhedsbruddet ikke kan tilregnes Databehandleren, er Databehandleren berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.

    5. Databehandleren skal i fornødent omfang og på den Dataansvarliges anmodning bistå den Dataansvarlige med gennemførelse af konsekvensanalyser og forudgående høring af tilsynsmyndigheden.

  5. KONTROLLER OG ERKLÆRINGER

    1. Databehandleren skal på den Dataansvarliges anmodning stille de nødvendige oplysninger til rådighed for den Dataansvarlige, så denne kan påse, at Databehandleren overholder; i) sine forpligtelser i henhold til Aftalen og; ii) bestemmelserne i den til enhver tid gældende Databeskyttelseslovgivning, for så vidt angår de Personoplysninger, Databehandleren behandler på vegne af den Dataansvarlige.

    2. Databehandleren foranlediger uden særligt vederlag årlig udarbejdelse af en revisionserklæring om Databehandlerens databehandling og databeskyttelsesforanstaltninger. Revionserklæringen udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området af en kompetent tredjepart. Den første revisionserklæring skal foreligge [tidspunkt]. Revisionserklæringen udleveres til den Dataansvarlige.

    3. Databehandleren skal give mulighed for og bidrage til, at den Dataansvarlige, eller en revisor, som er bemyndiget af den Dataansvarlige, har adgang til at foretage revisioner, herunder inspektioner hos Databehandleren, med henblik på at konstatere, at Databehandleren overholder de i punkt 5.1 anførte forpligtelser. I det omfang, der ikke ved den pågældende revision bliver påpeget væsentlige mangler i forhold til de i pkt. 5.1. anførte forpligtelser, er Databehandleren berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.

  6. BRUG AF UNDERDATABEHANDLERE

    1. Databehandleren har ved underskrivelsen af nærværende aftale oplyst at gøre brug af de i bilag 1 anførte underdatabehandlere. Den Dataansvarlige har godkendt, at denne brug af underdatabehandlere er omfattet af Instruksen.

    2. Databehandleren underretter den Dataansvarlige om eventuelle planlagte tilføjelser eller erstatninger af underdatabehandlere og giver den Dataansvarlige mulighed for inden for rimelig frist at gøre indsigelse mod sådanne ændringer.

    3. Hvis Databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den Dataansvarlige, pålægges underdatabehandleren tilsvarende databeskyttelsesforpligtelser som dem, der er fastsat i Aftalen, gennem en kontrakt eller et andet retligt dokument, hvorved der navnlig stilles de fornødne garantier for, at de vil gennemføre de passende og tekniske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelseslovgivningen.

    4. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

  7. OVERFØRSEL TIL TREDJELANDE

    1. Databehandleren må ikke forårsage eller tillade, at Personoplysninger overføres til lande uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), medmindre en sådan overførsel er forudsat i Instruksen, eller den Dataansvarlige har givet sit forudgående skriftlige samtykke til en sådan overførsel.

    2. I det omfang den Dataansvarlige i overensstemmelse med punkt 7.1 har tilladt en overførsel af Personoplysninger, skal Databehandleren sikre sig, at der er et gyldigt overførselsgrundlag iht. Databeskyttelseslovgivningen.

  8. TAVSHEDSPLIGT OG FORTROLIGHED

    1. Databehandleren skal behandle Personoplysninger fortroligt. Databehandleren skal sikre, at de personer, der er autoriseret til at behandle Personoplysninger, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

    2. Databehandleren forpligter sig til at sikre, at adgangen til Personoplysninger begrænses til de medarbejdere, for hvem det er nødvendigt at behandle Personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

    3. Databehandlerens forpligtelser i henhold til denne bestemmelse gælder uden tidsbegrænsning, og uanset om Parternes samarbejde er ophørt.

  9. VARIGHED OG OPHØR

    1. Aftalen træder i kraft ved Parternes underskrift og er gældende frem til Hovedaftalen ophører.

    2. Uanset punkt 9.1 gælder Aftalen, så længe Databehandleren er i besiddelse af nogen af den Dataansvarliges Personoplysninger.

    3. I tilfælde af Hovedaftalens ophør uanset årsag skal Databehandleren efter den Dataansvarliges valg slette eller tilbagelevere alle Personoplysninger til den Dataansvarlige, og slette eksisterende kopier, medmindre lovgivningen i øvrigt foreskriver opbevaring af Personoplysningerne. Uanset det foranstående er Databehandleren berettiget til, i det omfang det er nødvendigt for at kunne dokumentere levering af Ydelserne eller forsvare sig mod retskrav, at gemme en kopi af den Dataansvarliges Personoplysninger. Den Dataansvarliges Personoplysninger må i så fald udelukkende behandles til de anførte formål.

    4. Databehandleren er ikke berettiget til at udøve tilbageholdsret i Personoplysninger for krav, herunder betaling af udestående fakturaer mm., som Databehandleren måtte have i forhold til den Dataansvarlige.

  10. MISLIGHOLDELSE og ANSVARSBEGRÆNSNING

    1. Parterne fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, der måtte opstå i tilknytning til denne Aftale. En Parts samlede økonomiske ansvar i medfør af Aftalen er endvidere begrænset til det vederlag, den Dataansvarlige har betalt til Databehandleren i medfør af Aftalen og/eller Hovedaftalen i 12 måneder før kravets opståen. Hvis Aftalen og/eller Hovedaftalen ikke har været i kraft i 12 måneder, opgøres beløbet som den aftalte betaling i Aftalen og/eller Hovedaftalen i den periode Aftalen og/eller Hovedaftalen har været i kraft divideret med antallet af måneder, Aftalen og/eller Hovedaftalen har været i kraft og derefter multipliceret med 12. Ansvarsbegrænsningen i dette punkt 10.1 omfatter ikke tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger.

    2. Uagtet ovenstående, skal Databehandleren skadesløsholde den Dataansvarlige for ethvert krav om erstatning eller godtgørelse rejst af tredjemand mod den Dataansvarlige, som følge af forhold, der overstiger ansvarsbegrænsningen i punkt 10.1

  11. OVERDRAGELSE, LOVVALG OG VÆRNETING

    1. Hovedaftalens bestemmelser om overdragelse, lovvalg og værneting skal også gælde denne Aftale

  12. FORRANG

    1. Såfremt, der er modstrid mellem Hovedaftalen og denne Aftales bestemmelser om behandling af Personoplysninger, har nærværende Aftale forrang.

  13. UNDERSKRIFTER

    1. Aftalen underskrives i 2 originaleksemplarer, ét til hver af Parterne.



[Sted], den [dato]:


[Sted], den [dato]:

Navn:


Navn:

Titel:


Titel:






BILAG 1

Beskrivelse af de enkelte tjenester og leverancer, som Databehandleren leverer til den Dataansvarlige samt eventuelle underdatabehandlere


1 Beskrivelse af Hovedaftalen

[Beskriv Hovedaftalens indhold – hvilke produkter og tjenesteydelser er omfattet, f.eks. hosting (incl. cloud), markedsføring, lønudbetaling, rekruttering, etablering af kunde- eller loyalitetsklub mv]

1.2 Behandlingsaktiviteter

[Beskriv behandlingsaktiviterne. F.eks.:

  • Varetagelse af HR-relaterede opgaver, f.eks. interviews af ansøgere og efterfølgende indtastning af svar i spørgeskemaer

  • Opbevaring af personoplysninger og sikring af systemers tilgængelighed, integritet og fortrolighed

  • Levering af remote service til den Dataansvarliges brugere af [xx] system

1.3 Kategorier af personoplysninger

[Beskriv kategorier af de registrerede personer, som personoplysningerne vedrører.]

a) [F.eks.: ansatte]

b) [F.eks. kursusdeltagere]

c) [F.eks. kunder]

1.4 Personoplysninger

Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:

Vedr. a): [Indsæt beskrivelse af de personoplysninger, der behandles. F.eks. navn, adresse, e-mail adresse os.v.]

Vedr. b): [Indsæt beskrivelse af de personoplysninger, der behandles]

Vedr. c): [Indsæt beskrivelse af de personoplysninger, der behandles]

1.5 Følsomme personoplysninger

Oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, helbredsoplysninger, oplysninger om seksuelle forhold og orientering samt oplysninger om strafbare forhold – på sigt også genetiske og biometriske data

[Såfremt der behandles ovennævnte følsomme personoplysninger, indsættes hvilke følsomme personoplysninger. Såfremt der ikke behandles følsomme personoplysninger skal der alene stå: "Der behandles ikke følsomme personoplysninger".]


1.6 Brug af underdatabehandlere

Den Dataansvarlige giver hermed samtykke til Databehandlerens brug af følgende underdatabehandlere:

  1. [Indsæt navne og kontaktoplysninger på underdatabehandlere og disses underdatabehandlere] til at [indsæt beskrivelse af underdatabehandlerens opgave].

  2. [Indsæt navne og kontaktoplysninger på underdatabehandlere og disses underdatabehandlere] til at [indsæt beskrivelse af underdatabehandlerens opgave].

2 Overførsel til tredjelande

Den Dataansvarlige giver hermed samtykke til Databehandlerens overførsel af personoplysninger til følgende tredjelande:

  1. [Indsæt databehandlerens navn og/eller navne på underdatabehandlere, som overfører oplysninger til lande udenfor EU/EØS, og oplys hvilke lande].

  2. [Indsæt databehandlerens navn og/eller navne på underdatabehandlere, som overfører oplysninger til lande udenfor EU/EØS, og oplys hvilke lande].


BILAG 2

Beskrivelse af sikkerhedsforanstaltninger [Nedenfor følger nogle forslag til sikkerhedskrav. Forslagene er ikke udtømmende og skal altid afstemmes i forhold til den konkrete behandling]



Indledning

Dette Xxxxx beskriver de sikkerhedsforanstaltninger, som den Dataansvarlige som minimum stiller til den fysiske, tekniske og organisatoriske sikkerhed i forbindelse med Databehandlerens levering af tjenester under Hovedaftalen.

Fysisk sikkerhed

Brand, strømafbrydelser, oversvømmelser m.v.

Der skal sikres på sædvanlig vis mod brand og således, at driften kan forsætte, også ved strømafbrydelser af en vis varighed, ligesom der er beskyttet på sædvanlig vis mod oversvømmelse.

Når udstyr og mobile enheder ikke anvendes, skal udstyret og enhederne være låst og/eller låst inde.

Adgangskontrol

Databehandleren skal beskytte sine faciliteter med sædvanlige indbruds- og tyverialarmer. Det er udelukkende relevante personer, der må få adgang til Databehandlerens faciliteter.

Teknisk sikkerhed

Firewalls og antivirus

Databehandleren skal sørge for, at alle arbejdsmaskiner og servere er udstyret med antivirussoftware med henblik på at blokere vira, malware m.v. Netværket skal være placeret bag firewalls for at kunne beskytte netværket mod uautoriseret adgang.

Kryptering

Databehandleren skal sørge for, at al kommunikation af personoplysningerne sker over sikre forbindelser. Personoplysninger, der overføres uden for et lukket netværk kontrolleret af Databehandleren, skal beskyttes med kryptering.

Lagring af data og backup

Databehandleren skal rutinemæssigt sikkerhedskopiere personoplysningerne. Kopierne skal opbevares adskilt og forsvarligt, således at personoplysningerne kan genskabes. Instruks om sletning af personoplysninger omfatter sletning af personoplysninger indeholdt i sikkerhedskopier.

Organisatorisk sikkerhed

Adgangsrettigheder

Databehandleren skal sikre, at medarbejdere hos Databehandleren alene har adgang til de systemer, der er relevante for den enkelte medarbejder.

Alle ansatte skal have unikke brugernavne og passwords. Brugernavne og passwords skal oprettes og ændres efter alment anerkendte principper. Der skal foretages registrering af alle afviste adgangsforsøg. Efter gentagne afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg.

Fortrolighed

Alle medarbejdere hos Databehandleren, der har adgang til personoplysninger, skal være underlagt fortrolighedsaftaler.

Logning

Der skal ske logning af alle tilgange til tjenesterne. Sådan logning registrerer tidspunktet, hvilken medarbejder, der tilgår tjenesterne samt formålet med tilgangen.

Sletning og kassation

IT-lagermedier

Harddiske og øvrige lagermedier, der udgår fra driften, skal destrueres på en måde, så det ikke er muligt at genetablere data. Alle genbrugte diske skal formateres i overensstemmelse med gældende branchestandarder.



Document Metadata

Filed: September 19th, 2019