DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
Mellem
(herefter benævnt ”Den dataansvarlige”)
Og
e-studio ApS Xxxxxxxxxxx 00
8620 Kjellerup
CVR. nr.: 37074640
(herefter benævnt ”Databehandleren”)
er der indgået nedenstående databehandleraftale (herefter ”Aftalen”) om Databehandleren behandling af personoplysninger på vegne af Den dataansvarlige.
1. Generelt
1.1 Aftalen vedrører Databehandleren forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Persondataloven og Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen).
1.2 I Aftalen er indarbejdet de krav, som såvel Persondataloven som de kommende regler i Databeskyttelsesforordningen stiller til databehandleraftaler.
1.3 Databehandleren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger.
2. Formål
2.1 Databehandleren behandler i medfør af aftale med Den dataansvarlige personoplysninger for Den dataansvarlige, hvor Databehandlerens behandlinger og formålet med behandlingerne er forsvarlig opbevaring af data på Databehandlerens servere.
3. Den dataansvarliges rettigheder og forpligtelser
3.1 Den dataansvarlige er dataansvarlig for de personoplysninger, som Den dataansvarlige opbevarer på Databehandlerens servere.
3.2 Den dataansvarlige har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og 1.2.
4. Databehandleren forpligtelser
4.1 Databehandleren er databehandler for de personoplysninger, som Databehandleren behandler på vegne af Den dataansvarlige. Databehandleren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og 1.2.
4.2 Databehandleren behandler alene de overladte personoplysninger efter instruks fra Den dataansvarlige og alene med henblik på opfyldelse af aftalen.
4.3 Databehandleren skal fra 25. maj 2018 løbende føre en fortegnelse over behandlingen af personoplysninger samt en fortegnelse over alle sikkerhedsbrud.
4.4 Databehandleren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Sikkerhedsbekendtgørelsen og Sikkerhedsvejledningen (frem til 25. maj 2018) og Databeskyttelsesforordningen (fra 25. maj 2018).
4.5 Databehandleren skal på opfordring fra Den dataansvarlige hjælpe med at opfylde Den dataansvarliges forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra kunder om
indsigt i egne oplysninger, udlevering af kunders oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af kunders oplysninger, samt Den dataansvarliges forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningens kap. III samt artikel 34.
4.6 Databehandleren skal fra 25. maj 2018 hjælpe Den dataansvarlige med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36.
4.7 Databehandleren garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Databehandleren behandling af Den dataansvarliges personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
4.8 Databehandleren er forpligtet til at oplyse med præcise adresseangivelser, hvor Den dataansvarliges personoplysninger opbevares, Databehandleren skal ajourføre oplysningerne over for Den dataansvarlige ved enhver ændring. Personoplysninger opbevares ved aftalens underskrift på adressen Xxxxx Xxxxx Xxx 00, Xxxxxxxxxxx (Datacenter: Global Connect A/S Stilling)
5. Underleverandør (underdatabehandler)
5.1 Ved underdatabehandler forstås en underleverandør, til hvem Databehandleren har overladt hele eller dele af den behandling, som Databehandleren foretager på vegne af Den dataansvarlige.
5.2 Databehandleren må ikke uden udtrykkelig skriftlig godkendelse fra Den dataansvarlige anvende andre underdatabehandlere, herunder foretage udskiftning af disse, til at behandle de personoplysninger, som Den dataansvarlige har overladt til Databehandleren i medfør af aftalen. Den dataansvarlige kan ikke nægte at godkende tilføjelse eller udskiftning af en underdatabehandler medmindre, der foreligger en konkret saglig begrundelse herfor.
5.3 Hvis Databehandleren overlader behandlingen af personoplysninger, som Den dataansvarlige er dataansvarlig for, til underdatabehandlere, skal Databehandleren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.
5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Databehandleren er pålagt efter Aftalen, herunder, at underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
5.5 Når Databehandleren overlader behandlingen af personoplysninger, som Den dataansvarlige er dataansvarlig for, til underdatabehandlere, har Databehandleren over for Den dataansvarlige ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt. 5.3.
5.6 Den dataansvarlige kan til enhver tid forlange dokumentation fra Databehandleren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Databehandleren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Den dataansvarlige.
5.7 Al kommunikation mellem Den dataansvarlige og underdatabehandleren sker via Databehandleren.
6. Instrukser
6.1 Databehandleren behandling af personoplysninger på vegne af Den dataansvarlige sker udelukkende efter instruks.
6.2 Databehandleren giver fra 25. maj 2018 omgående besked til Den dataansvarlige, hvis en instruks efter Databehandleren vurdering er i strid med lovgivningen, jf. pkt. 1.2.
7. Tekniske og organisatoriske sikkerhedsforanstaltninger
7.1 Databehandleren skal frem til 25. maj 2018 træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger:
(i) kommer til uvedkommendes kendskab eller misbruges, eller
(ii) i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1.
7.2 Databehandleren skal fra 25. maj 2018 iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
7.3 Databehandleren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget, jf. pkt. 7.1 og 7.2.
7.4 Databehandleren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver.
7.5 Databehandleren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Den dataansvarliges personoplysninger, om Databehandleren forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt. 9.
7.6 Databehandleren er forpligtet til straks at underrette Den dataansvarlige om ethvert sikkerhedsbrud uanset, om dette sker hos Databehandleren eller hos en underdatabehandler.
7.7 Databehandleren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, jf. pkt 7.6, uden forudgående skriftlig aftale med Den dataansvarlige om indholdet af en sådan kommunikation, medmindre Databehandleren har en retlig forpligtelse til sådan kommunikation.
8. Overførsler til andre lande
8.1 Databehandlerens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Den dataansvarliges instruks herfor.
8.2 Ved overførsel til tredjelande er Databehandleren og Den dataansvarlige i fællesskab ansvarlige for, at der foreligger et gyldigt overførselsgrundlag.
8.3 Hvis Den dataansvarliges personoplysninger overføres til en EU-medlemsstat, er det frem til 25. maj 2018 Databehandleren ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes.
9. Tavshedspligt og fortrolighed
9.1 Databehandleren er - under og efter aftalens ophør - pålagt fuld tavshedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet. Aftalen indebærer, at tavshedspligtsbestemmelserne i straffelovens §§ 152-152f, jf. straffelovens § 152a, finder anvendelse.
9.2 Databehandleren skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
10. Kontroller og erklæringer
10.1 Databehandleren er forpligtet til uden ugrundet ophold at give Den dataansvarlige nødvendige oplysninger til, at Den dataansvarlige til enhver tid kan sikre sig, at Databehandleren overholder de krav, der følger af denne Aftale.
10.2 Den dataansvarlige har adgang til at foretage inspektioner hos Databehandleren, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Databehandleren overholder de krav, der følger af denne Aftale.
11. Ændringer i Aftalen
11.1 I det omfang ændringer i lovgivningen, jf. pkt. 1.1 og 1.2, eller tilhørende praksis, giver anledning til dette, er Den dataansvarlige med et varsel på 90 dage og uden at dette medfører krav om betaling fra Databehandleren, berettiget til at foretage ændringer i Aftalen.
12. Sletning af data
12.1 Den dataansvarlige træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Aftalen.
12.2 Den dataansvarlige skal senest 30 dage inden Aftalens ophør skriftligt meddele Databehandleren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Den dataansvarlige. I det tilfælde, hvor
personoplysningerne tilbageleveres til Den dataansvarlige, skal Databehandleren ligeledes slette eventuelle kopier. Databehandleren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Den dataansvarliges meddelelse.
12.3 Databehandleren skal efter anmodning fremsende erklæring på, at den påkrævede sletning, jf. pkt. 12.2, er foretaget.
13. Ikrafttræden og varighed
13.1 Aftalen indgås ved begge parters underskrift og løber indtil ophør af Aftalen.
14. Formkrav
14.1 Aftalen skal foreligge enten elektronisk eller skriftligt hos Den dataansvarlige.
For Den dataansvarlige
Navn
Dato
Underskrift
For Databehandleren
e-studio ApS CVR 3707460
Dato: 11/10-2023
Xxxxxxx Xxxx