Databehandleraftale

Databehandleraftale

Mellem kunden,

hvis identitet fremgår af den digitale signatur og i det følgende kaldet ”Dataansvarlige” og

INNOMATE a/s

Xxxxxxxxx 00

XX-0000 Xxxxxxxxx X CVR-nr.: DK15882271

(“Databehandleren”)

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt “Part” og under et “Par- terne”)

har indgået følgende aftale om behandling af personoplysninger (”Aftalen”):

1. Personoplysninger og databehandling

1.1 Som led i Databehandlerens tjenesteydelser for den Dataansvarlige behandler Databehandleren, jf. denne Aftale, oplysninger om medarbejdere, jobansøgere mv.] (herefter benævnt ”Registre- rede”) på vegne af den Dataansvarlige.

1.2 Databehandleren behandler følgende kategorier af personoplysninger (herefter benævnt ”Per- sonoplysninger”) om de Registrerede på vegne af den Dataansvarlige:

- Særlige kategorier af personoplysninger: helbredsoplysninger, fagforeningsmæssigt tilhørsfor- hold.

- Generelle kategorier af personoplysninger: navn, telefonnummer, postadresse, fødselsdato, kom- petencer, kurser/uddannelser, aftaler og lignende.

- Straffeoplysninger: oplysninger om straffedomme og lovovertrædelser (straffeattest)

- Oplysninger om nationalt identifikationsnummer: Xxx.xx. og lignende.

1.3 Databehandlerens behandling af Personoplysninger for den Dataansvarlige sker til følgende for- mål: at understøtte den Dataansvarliges opgaver vedr. Rekruttering og Human Ressource Mana- gement.

1.4 Databehandlerens behandling af Personoplysninger for den Dataansvarlige omfatter følgende ak- tiviteter:

− Opbevaring af Personoplysninger og sikring af systemers tilgængelighed, integritet og for- trolighed

− Databehandling i form af automatisering ved hjælp programmérbare workflows.

− Varetagelse af diverse HR-relaterede opgaver.

1.5 Databehandleren er ansvarlig for, at Personoplysningerne opbevares inden for EU/EØS og at Per- sonoplysningerne ikke uden den Dataansvarliges forudgående, skriftlige accept overføres til lande uden for EU/EØS.

2. Instrukser og fortrolighed

2.1 Databehandleren må kun behandle Personoplysninger efter dokumenteret instruks fra den Data- ansvarlige, herunder for så vidt angår overførsel af Personoplysningerne til et tredjeland eller en international organisation. Databehandleren må dog undtagelsesvis behandle Personoplysninger, uden at dette følger af den Dataansvarliges instruks, såfremt det kræves i henhold EU-retten eller lovgivningen i en medlemsstat, som Databehandleren er underlagt. I så fald underretter Databe- handleren den Dataansvarlige om dette retlige krav, inden behandlingen finder sted, medmindre det er forbudt at foretage en sådan underretning af hensyn til vigtige samfundsmæssige interes- ser.

2.2 Databehandleren må ikke behandle Personoplysningerne til egne formål, medmindre det udtryk- keligt fremgår af denne Aftale.

2.3 Databehandleren er underlagt fortrolighed, og Databehandleren må ikke uberettiget kopiere, vi- deregive eller udnytte Personoplysningerne. Databehandleren skal sikre, at medarbejdere, der er autoriserede til at behandle Personoplysninger, har påtaget sig en kontraktlig fortrolighedsfor- pligtelse eller er underlagt en passende lovbestemt tavshedspligt.

2.4 Databehandleren skal sikre, at adgang til Personoplysningerne begrænses til medarbejdere med et arbejdsrelateret behov for adgang til oplysningerne.

3. Sikkerhed mv.

3.1 For at beskytte Personoplysningerne skal Databehandleren implementere passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder EU-forordning 2016/679 om Generel Databeskyttelse (herefter benævnt ”Databeskyttelsesforordning”). Så- danne foranstaltninger fastsættes og tilpasses løbende under hensyntagen til det aktuelle tekni- ske niveau, omkostninger og behandlingens karakter, omfang, sammenhæng og formål samt risi- ciene for fysiske personers rettigheder.

3.2 Databehandleren skal sørge for, at Personoplysningerne slettes fra samtlige IT-systemer, arkiver m.v., når fortsat opbevaring ikke længere tjener et sagligt formål og den Dataansvarlige giver in- struks herom.

3.3 Databehandleren skal informere og uddanne relevante medarbejdere i fortrolighed for behand- ling af personoplysninger og skal sikre, at behandling sker i henhold til Aftalens formål og den Da- taansvarliges instrukser.

3.4 Herudover skal databehandleren som minimum anvende følgende foranstaltninger:

3.4.1 Fysisk sikkerhed: Når udstyr og mobile enheder ikke anvendes, skal udstyret og enhederne være låst og/eller låst inde.

3.4.2 Sikkerhedskopier: Personoplysningerne skal rutinemæssigt sikkerhedskopieres. Kopierne skal op- bevares adskilt og forsvarligt, således at Personoplysningerne kan genskabes. Instruks om sletning af Personoplysninger omfatter sletning af Personoplysninger indeholdt i sikkerhedskopier.

3.4.3 Adgangskontrol: Adgangen til Personoplysningerne skal begrænses med en teknisk adgangskon- trol. Bruger-ID og kodeord skal være personlige og må ikke overdrages. Der skal findes forret- ningsgange for tildeling og lukning af adgang.

3.4.4 Logning: Der skal føres log eller lignende funktion over tilgang og behandling af Personoplysnin- gerne. Det skal være muligt at se, hvilke personer, som har haft adgang og den behandling, som den enkelte har foretaget.

3.4.5 Datakommunikation: Kommunikation af Personoplysningerne skal ske over sikre forbindelser. Personoplysninger, der overføres uden for et lukket netværk kontrolleret af Databehandleren, skal beskyttes med kryptering.

3.4.6 Hardware destruktion: Når udstyr eller mobile enheder, som indeholder Personoplysninger, ikke længere anvendes til behandlingen af Personoplysningerne, skal Personoplysningerne permanent slettes på udstyret, så oplysningerne ikke kan genskabes.

4. Underdatabehandlere

4.1 Databehandleren er med forbehold af pkt. 4.3 hermed bemyndiget til at gøre brug af underdata- behandlere uden at skulle indhente yderligere skriftlig tilladelse fra den Dataansvarlige, forudsat at Databehandleren skriftligt underretter den Dataansvarlige om identiteten på den potentielle underdatabehandler inden indgåelse af aftale med de pågældende underdatabehandlere, hvor- ved den Dataansvarlige får mulighed for at gøre indsigelse.

4.2 Underretninger og mulighed for at gøre indsigelse efter pkt. 4.1 skal tilsvarende gives ved eventu- elt planlagte ændringer vedrørende tilføjelse, erstatning eller ophør af anvendelse af underdata- behandlere. En indsigelse skal være Databehandleren i hænde senest 30 dage efter modtagelsen hos den Dataansvarlige.

4.3 Det er en forudsætning for antagelse af en underdatabehandler, at Databehandleren indgår en skriftlig aftale med underdatabehandleren om, at underdatabehandleren pålægges de samme databeskyttelsesforpligtelser og kontraktuelle betingelser, som dem der er fastsat i Aftalen, her- under at underdatabehandleren skal gennemføre passende tekniske og organisatoriske foran- staltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelsesforordningen.

4.4 Databehandleren er ansvarlig over for den Dataansvarlige for eventuelle underdatabehandlere på samme måde som for Databehandlerens egne handlinger og undladelser.

5. Bistand til den Dataansvarlige

5.1 Databehandleren skal bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i hen- hold til Artikel 32 til 36 i Databeskyttelsesforordningen og anden gældende databeskyttelses- og informationssikkerhedslovgivning, dvs. sikkerhedsforanstaltninger, underretning af tilsynsmyndig- heder, underretning af individuelle personer, udarbejdelse af konsekvensanalyser vedrørende da- tabeskyttelse og forudgående høring hos tilsynsmyndigheder mv.

5.2 Under hensyntagen til behandlingens karakter skal Databehandleren så vidt muligt bistå den Da- taansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges lovmæssige forpligtelse til at besvare anmodninger om udøvelse af de regi- streredes rettigheder som fastlagt i Databeskyttelsesforordningens Kapitel III.

5.3 Databehandleren skal omgående underrette den Dataansvarlige ved konstatering af brud på sik- kerheden af betydning for Personoplysningerne.

5.4 Databehandleren skal omgående informere den Dataansvarlige, hvis Databehandleren mener, at en instruks overtræder Databeskyttelsesforordningen eller andre databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaters nationale ret.

6. Påvisning af overholdelse, revisioner mv.

6.1 Databehandleren skal efter anmodning og uden særskilt vederlag stille alle de oplysninger til rå- dighed for den Dataansvarlige, der er nødvendige for at påvise overholdelse af forpligtelserne i Aftalen, Databeskyttelsesforordningen og eventuel særlovgivning.

6.2 Databehandleren skal give mulighed for og bidrage til revisioner, herunder inspektioner, der fore- tages af den Dataansvarlige eller revisorer bemyndiget af den Dataansvarlige, de offentlige myn- digheder i Danmark eller af anden kompetent jurisdiktion. Den pågældende revisor skal være un- derlagt fortrolighed, enten aftalemæssigt eller ved lov.

7. Varighed og ophør

7.1 Aftalen træder i kraft ved indgåelsen og skal gælde, indtil den opsiges af en af Parterne med 3 måneders varsel til udløb af en abonnementsperiode, jf. Abonnementsaftalen.

7.2 Ved Aftalens ophør skal Databehandleren tilbagelevere alle Personoplysningerne til den Dataan- svarlige eller aflevere Personoplysningerne til en ny databehandler efter den Dataansvarliges in- struks. Herefter er Databehandleren forpligtet til omgående at slette alle eksisterende kopier af Personoplysningerne, medmindre EU-retten eller lovgivningen i en medlemsstat foreskriver fort- sat opbevaring af Personoplysningerne.

7.3 Hvis der efter ophør af Aftalen opstår tvivl om, hvorvidt Databehandleren har slettet alle Person- oplysningerne, kan den Dataansvarlige anmode Databehandleren om for egen regning at ind- hente en revisionserklæring, der påviser at databehandlingen ikke fortsat pågår og at Personop- lysningerne er blevet slettet.

8. Underskrifter

8.1 Aftalen underskrives i to enslydende originale eksemplarer, hvoraf Den Dataansvarlige og Databe- handleren hver modtager et eksemplar.

Udmøntning af Databehandleraftalen, se xxxx://xxx.xxxxxxxx.xxx/xxxxx.xxx/xx/xxxxxxx/XXXX

Signeret digital af kunden (som dataansvarlig) og INNOMATE a/s (som databehandler)