Aftale om databehandling

Aftale om databehandling

mellem

Kunde

(herefter benævnt "Dataansvarlig")

og

Synology

(herefter benævnt "Databehandler").

Denne oversættelse er kun til oplysninger. I tilfælde af afvigelser vil den engelske version være gældende.

1. Definitioner

Aftale betyder denne Aftale om databehandling.

Samtykke fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling

Dataansvarlig betyder n fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret.

Grænseoverskridende behandling betyder enten:

1. behandling af personoplysninger, der finder sted som led i aktiviteter, som udføres for en dataansvarligs eller en databehandlers virksomheder i mere end én medlemsstat i Unionen, hvor den dataansvarlige eller databehandleren er etableret i mere end én medlemsstat, eller

2. behandling af personoplysninger, der finder sted som led i aktiviteter, som udføres for en dataansvarligs eller en databehandlers eneste etablering i Unionen, men som i væsentlig

grad påvirker eller sandsynligvis i væsentlig grad vil kunne påvirke registrerede i mere end én medlemsstat.

Databeskyttelsesrådgiver betyder en ekspert i databeskyttelse, som arbejder uafhængigt for at sikre, at en enhed overholder de politikker og procedurer, der er angivet i GDPR.

Registreret betyder en fysisk person, hvis personlige data behandles af en dataansvarlig eller databehandler.

Krypterede data betyder personlige data, der er beskyttet ved hjælp af teknologiske foranstaltninger for at sikre, at dataene kun er tilgængelige/kan læses af personer med specifik adgang.

GDPR betyder regulativ (EU) 2016/679 i Europa-Parlamentet og Europarådet den 27. april 2016 vedrørende beskyttelse af naturlige personer med hensyn til behandling af personlige data og fri bevægelse af sådanne data samt ophævelse af Direktiv 95/46/EC.

Personlige data betyder enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Brud på personlige data et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Indbygget privatlivsbeskyttelse betyder et princip, som kræver, at databeskyttelse inkluderes i forbindelse med designprocessen af systemer, frem for en tilføjelse.

Konsekvensanalyse vedrørende beskyttelse af privatlivets fred betyder et værktøj, der bruges til at identificere og reducere risikoen for beskyttelse af personlige data for enheder ved at analysere de personlige data, der behandles, og de politikker, der er på plads for at beskytte dataene.

Behandling betyder enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Databehandler er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, som behandler personlige data på vegne af den dataansvarlige.

Profilering betyder enhver form for automatisk behandling af personlige data, der er beregnet til at evaluere, analysere eller forudsige registreredes adfærd.

Pseudonymisering betyder behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af

supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person.

Modtager betyder en fysisk eller juridisk person, offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej. Offentlige myndigheder, som vil kunne få meddelt personoplysninger som led i en isoleret forespørgsel i henhold til EU-retten eller medlemsstaternes nationale ret, anses dog ikke for modtagere; de offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler afhængigt af formålet med behandlingen.

Repræsentant betyder en fysisk eller juridisk person, der er etableret i Unionen, som skriftligt er udpeget af den dataansvarlige eller databehandleren i henhold til artikel 27, og som repræsenterer den dataansvarlige eller databehandleren hvad angår deres respektive forpligtelser i henhold til GDPR.

Forhandler betyder en tredjepartsserviceudbyder, der abonnerer på Synology C2-tjenesten og betaler vederlag for en sådan tjeneste direkte til databehandleren på vegne af den dataansvarlige.

Bestemmelser betyder GDPR og andre generelt bindende lovbestemmelser vedrørende beskyttelse af personlige data.

Tredjepart betyder en anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle personlige data

Tilsynsmyndighed betyder en uafhængig offentlig myndighed, der er etableret i medlemsstat i henhold til artikel 51 GDPR.

2. Aftalens genstand og varighed

(1) Genstand

Aftalens genstand er afledt af Synology C2 Service Agreement, som findes på xxxxx://x0.xxxxxxxx.xxx/xx-xxxxxx/xxxxx/xxxxx_xxxxxxxxxx (herefter kaldet "Serviceaftale").

(2) Varighed

Varigheden af denne aftale svarer til varigheden af Serviceaftalen.

3. Aftalens art og formål

(1) Arten og formålet med den tilsigtede behandling af data

Arten af og formålet med databehandlerens behandling af personlige data for den dataansvarlige er præcist defineret i serviceaftalen.

(2) Datatype

Genstanden for behandling af personlige data består af følgende datatyper/kategorier:

o Personlige hoveddata: Den dataansvarlige kan gemme data af enhver art på den lejede server efter eget skøn. Synology har ingen indflydelse eller adgang til disse.

o Kontraktfakturering og betalingsdata: Inden for rammerne af udførelsen af Synology C2 Service Agreement skal Synology indsamle de personlige kontraktdata, herunder kontaktadresse, oplysninger om betalingsmetode og kontaktperson.

(3) Kategorier af registrerede

Kategorier af registrerede omfatter kunder og kontaktpersoner hos forhandlere.

4. Databehandlerens forpligtelser

(1) Databehandleren behandler udelukkende personlige data og i fuld overensstemmelse med bestemmelserne og instruktionerne fra den dataansvarlige eller på anden måde påkrævet i denne aftale. Denne forpligtelse gælder også databehandlerens overførsel af personlige data til et tredjeland eller en international organisation, medmindre databehandleren er forpligtet hertil i henhold til de bestemmelser eller love, som databehandleren er underlagt. I sådanne tilfælde skal databehandleren informere den dataansvarlige om sådanne juridiske krav før behandling, medmindre loven forbyder sådanne oplysninger af vigtige hensyn til den offentlige interesse.

(2) Databehandleren og den dataansvarlige accepterer, at denne aftale og Synology C2 Service Agreement repræsenterer den dataansvarliges komplette og endelige vejledning til databehandleren. Behandling uden for denne aftales omfang (hvis relevant) kræver forudgående skriftlig aftale mellem begge parter angående yderligere behandlingsinstruktioner. Den dataansvarlige kan opsige denne aftale, hvis databehandleren afviser at følge de instruktioner, som den dataansvarlige anmoder om, og som ligger uden for omfanget af denne aftale.

(3) Med henblik på overholdelse af denne aftale skal den dataansvarlige straks bekræfte alle mundtlige instruktioner skriftligt.

(4) Kopier eller dubletter af de data, der behandles på vegne af den dataansvarlige, må aldrig oprettes uden den dataansvarliges kendskab, med undtagelse af backupkopier, der er nødvendige for at sikre korrekt databehandling, samt de data, der er nødvendige for at imødekomme de lovgivningsmæssige krav for at opbevare data i henhold til bestemmelserne.

(5) Databehandleren må ikke efter egen bemyndigelse berigtige, slette eller begrænse behandlingen af de data, der behandles på vegne af den dataansvarlige eller overføre sådanne data til en tredjepart, men kun gøre det i henhold til de dokumenterede instruktioner fra den dataansvarlige. Når en registreret kontakter databehandleren direkte vedrørende en konkret berigtigelse, sletning eller begrænsning af databehandlingen eller for at udøve retten til portabilitet, vil databehandleren straks fremsende den registreredes anmodning til den dataansvarlige. Hvis det er omfattet af servicens omfang, skal sletningspolitikken, "retten til at blive glemt", berigtigelse, dataportabilitet og adgang sikres af databehandleren i overensstemmelse med dokumenterede instruktioner fra den dataansvarlige uden unødig forsinkelse.

(6) Databehandleren skal straks informere den dataansvarlige, hvis databehandleren vurderer, at en instruktion fra den dataansvarlige overtræder GDPR (med hensyn til artikel 28 stk. 3 sætning 3) eller bestemmelserne. Databehandleren er derefter berettiget til at suspendere udførelsen af de relevante instruktioner, indtil den dataansvarlige bekræfter eller ændrer dem.

(7) Ud over at overholde reglerne i nærværende aftale skal databehandleren overholde de lovmæssige krav, der er angivet i artikel 28 til 33, GDPR. Således sikrer databehandleren nøje overensstemmelse med følgende krav:

a) Databehandleren betror kun sådanne medarbejdere med den databehandling, der er beskrevet i denne aftale, som er bundet af fortrolighed og tidligere har fået kendskab til de databeskyttelsesbestemmelser, der er relevante for deres arbejde. Databehandleren og enhver, der udfører arbejde for den dataansvarlige, og som har adgang til personlige data, behandler kun disse oplysninger efter instruks fra den dataansvarlige. Dette omfatter de beføjelser, der er givet i denne aftale, medmindre loven kræver det (artikel 28 stk. 3 sætning 2, litra b, artikel 29 og 32 stk. 4, GDPR).

b) Databehandleren skal hjælpe den dataansvarlige med at imødekomme anmodninger fra enkeltpersoner, der udøver deres ret til at få adgang til, berigtige, overføre, slette eller gøre indsigelse mod behandling af deres personlige data.

c) Databehandleren skal hjælpe den dataansvarlige med at overholde anmodninger fra tilsynsmyndigheden. Den dataansvarlige og databehandleren samarbejder efter anmodning med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver.

d) Udpegelse af databeskyttelsesrådgiver/kontaktperson/repræsentant

Synologys ansvarlige for databeskyttelse kan kontaktes på xxxxx://xxx.xxxxxxxx.xxx/xxxx/xxxxxxx_xxxxx. Den dataansvarlige skal informeres øjeblikkeligt om eventuelle ændringer hos databeskyttelsesrådgiveren.

e) Den dataansvarlige skal straks informeres om eventuelle inspektioner og foranstaltninger, der udføres af den relevante tilsynsmyndighed som beskrevet i pkt. 9 i denne aftale, hvis de vedrører behandlingen af denne aftale.

f) Hvis den dataansvarlige er omfattet af en kontrol udført af en tilsynsmyndighed, en administrativ eller strafbar lovovertrædelse eller straffesag, et erstatningskrav fremsat af en registreret eller af en tredjepart eller ethvert andet krav i forbindelse med databehandlerens behandling af aftalen, skal databehandleren gøre alt for at yde support til den dataansvarlige. Yderligere bistandspligt er beskrevet i pkt. 8 i denne aftale.

g) Databehandleren skal bistå den dataansvarlige med at sikre overholdelse af forpligtelserne i henhold til artikel 32 til 36, som beskrevet i pkt. 9 i denne aftale.

h) Implementering og overholdelse af alle tekniske og organisatoriske foranstaltninger, der er nødvendige for denne aftale i overensstemmelse med artikel 28 stk. 3 sætning 2 litra c, artikel 32, GDPR, som beskrevet i bilaget.

5. Underretningspligt

(1) Databehandleren skal straks underrette den dataansvarlige om eventuelle brud på persondatasikkerheden. Enhver berettiget mistanke om hændelser skal også indberettes. Alle meddelelser skal mindst indeholde de oplysninger, der er angivet i artikel 33 pkt. 3 i GDPR.

(2) Den dataansvarlige skal også straks underrettes om eventuelle væsentlige forstyrrelser, når opgaven udføres, samt misligholdelse af de juridiske bestemmelser om databeskyttelse eller bestemmelserne i denne aftale, der udføres af databehandleren eller andre personer, som han/hun beskæftiger.

(3) Databehandleren skal straks informere den dataansvarlige om eventuelle eftersyn eller foranstaltninger, som udføres af tilsynsmyndigheder eller andre tredjeparter, hvis de vedrører den bemyndigede databehandling.

(4) Databehandleren skal sikre, at den dataansvarlige understøttes i disse forpligtelser i overensstemmelse med GDPR artikel 33 og 34 i det omfang, det er nødvendigt.

6. Tekniske og organisatoriske foranstaltninger og datasikkerhed

(1) Før behandlingen påbegyndes og før aftalens indgåelse, skal databehandleren implementere og overholde de tekniske og organisatoriske foranstaltninger ("Tekniske og organisatoriske foranstaltninger") i henhold til GDPR artikel 28, stk. 3, litra c, og GDPR artikel 32, især i forbindelse med GDPR artikel 5, stk. 1 og stk. 2. De foranstaltninger, der skal træffes, er foranstaltninger i forbindelse med datasikkerhed og foranstaltninger, der sikrer et passende beskyttelsesniveau opnået af tekniske og organisatoriske foranstaltninger. Disse foranstaltninger tager højde for omstændighederne og formålet med behandlingen samt den forventede sandsynlighed og alvorligheden af en mulig krænkelse af loven som følge af sikkerhedsbrister, og som muliggør øjeblikkelig registrering af relevante overtrædelser. De foranstaltninger, der skal træffes, garanterer et beskyttelsesniveau, der er relevant for risikoen i forbindelse med fortrolighed, integritet, tilgængelighed og robusthed af systemerne. Der skal tages højde for det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang og formål samt sandsynligheden og alvor for fysiske personers rettigheder og frihedsrettigheder i overensstemmelse med GDPR artikel 32, stk. 1.

(2) De tekniske og organisatoriske foranstaltninger er underlagt tekniske fremskridt og yderligere udvikling. Derfor skal databehandleren periodisk overvåge de interne processer og de tekniske og organisatoriske foranstaltninger for at sikre, at behandlingen inden for vedkommendes ansvarsområde er i overensstemmelse med kravene i bestemmelserne og beskyttelsen af datarettighederne for den registrerede. I denne henseende er databehandleren forpligtet til at implementere aktuelt teknisk niveau eller erstatte med tilstrækkelige foranstaltninger. Væsentlige ændringer skal dokumenteres.

(3) De tekniske og organisatoriske foranstaltninger er beskrevet detaljeret i Bilag 1 i denne aftale

7. Underentreprise

(1) Underentreprise i forbindelse med denne aftale skal forstås som tjenester, der er direkte relateret til de primære tjenesteydelser. Dette omfatter ikke datterselskabstjenester såsom f.eks. telekommunikationstjenester, post-/transporttjenester, vedligeholdelses- og brugersupporttjenester eller bortskaffelse af databærere samt andre foranstaltninger for at sikre fortrolighed, tilgængelighed, integritet og robusthed af hardware og software i databehandlingsudstyr. Databehandleren er dog forpligtet til at træffe hensigtsmæssige og juridisk bindende kontraktlige aftaler og træffe passende kontrolforanstaltninger for at sikre databeskyttelsen og datasikkerheden for den dataansvarliges data, selv i tilfælde af udliciterede datterselskabstjenester.

(2) Databehandleren må kun godkende underleverandører efter forudgående udtrykkelig skriftlig eller dokumenteret samtykke fra den dataansvarlige. Uanset førnævnte skal den dataansvarlige ikke tilbageholde sit samtykke uden objektivt begrundede årsager.

(3) Det er tilladt at udlicitere til underleverandører eller ændre den eksisterende underleverandør, når:

o Databehandleren indsender en sådan udlicitering til en underleverandør til den dataansvarlige skriftligt eller i tekstform med relevant forudgående varsel, og

o den dataansvarlige ikke gør indsigelser mod den planlagte udlicitering skriftligt eller i tekstform på datoen for overdragelse af data til databehandleren, og

o de samme databeskyttelsesforpligtelser som angivet i denne aftale skal pålægges den anden databehandler (underleverandør) ved en kontrakt/aftale, eller en underkontrakt, der er baseret på en kontraktlig aftale i overensstemmelse med GDPR artikel 28 stk. 2-4.

(4) Databehandleren vil pålægge relevante kontraktmæssige forpligtelser på skrift til underleverandøren, som ikke er mindre beskyttende end denne aftale eller de juridiske krav, der er fastsat af GDPR, herunder relevante kontraktmæssige forpligtelser vedrørende fortrolighed, databeskyttelse, datasikkerhed og revisionsrettigheder.

(5) Overførsel af personlige data fra den dataansvarlige til underleverandøren og påbegyndelsen af underleverandørens databehandling skal kun ske, når alle overholdelseskrav er imødekommet.

(6) Databehandleren begrænser underleverandørens adgang til netop de data, der er nødvendige for at opretholde underleverandørens tjenester og forhindrer dermed underleverandøren i at få adgang til data til andre formål.

(7) Databehandleren vil fortsat være ansvarlig for overholdelse af forpligtelserne i denne aftale og for eventuelle handlinger eller udeladelser fra underleverandørens side, som får databehandleren til at bryde en hvilken som helst af databehandlerens forpligtelser i henhold til denne aftale.

(8) Hvis underleverandøren yder de aftalte tjenester uden for EU/EØS, skal databehandleren sikre overholdelse af bestemmelserne ved hjælp af passende foranstaltninger. Det samme gælder, hvis serviceudbydere skal anvendes inden for betydningen af stk. 1 sætning 2 i GDPR.

(9) Yderligere udlicitering fra underleverandøren kræver udtrykkelig tilladelse fra databehandleren (som minimum i tekstform). Alle kontraktmæssige bestemmelser i denne aftale skal formidles til og aftales med hver enkelt underleverandør.

8. Databehandlerens forpligtelser, rettigheder og tilsynsmyndighed

(1) Den dataansvarlige er alene ansvarlig for at vurdere lovligheden i den behandling, der anmodes om, og for de berørte parters rettigheder.

(2) Den dataansvarlige har ret til at udføre eftersyn hos databehandleren eller til at få dem udført af en revisor, der udpeges i hvert enkelt tilfælde. Den dataansvarlige har ret til at kontrollere databehandlerens overholdelse af denne aftale som del af sin forretningsproces ved tilfældige kontrolprocedurer, der normalt vil blive varslet i rimelig tid.

(3) Inspektioner i databehandlerens lokaler skal udføres uden undgåelige forstyrrelser i driften af databehandlerens virksomhed. Medmindre andet er angivet af akutte årsager, som skal

dokumenteres af den dataansvarlige, skal inspektioner udføres efter passende forudgående varsel og i løbet af databehandlerens åbningstider - og ikke oftere end hver 12. måned. Hvis databehandleren viser, at de aftalte databeskyttelsesforpligtelser implementeres korrekt, som angivet i kapitel 8 (5) i denne aftale, begrænses alle inspektioner til stikprøver.

(4) Databehandleren skal sikre, at den dataansvarlige er i stand til at kontrollere overholdelse af databehandlerens forpligtelser i overensstemmelse med GDPR artikel 28. Databehandleren forpligter sig til at give den dataansvarlige de nødvendige oplysninger på anmodning for at demonstrere udførelsen af de tekniske og organisatoriske foranstaltninger.

(5) Bevis på sådanne foranstaltninger, som ikke kun vedrører denne aftale, kan fremvises af nuværende revisors certifikater, rapporter eller uddrag fra rapporter, der er leveret af uafhængige organer (f.eks. revisor, databeskyttelsesrådgiver, it-sikkerhedsafdeling, databeskyttelsesrevisor eller kvalitetsrevisor).

(6) Databehandleren kan kræve vederlag for at tillade inspektioner af den dataansvarlige.

9. Databehandlerens assistance og informationsansvar

(1) Databehandleren skal assistere de dataansvarlige med at overholde forpligtelserne vedrørende sikkerheden af personlige data, rapporteringskrav ved databrud, vurderinger af databeskyttelsespåvirkning og tidligere konsultationer, se også GDPR artikel 32 til 36. Disse omfatter:

a. Sikring af et passende niveau af beskyttelse gennem tekniske og organisatoriske foranstaltninger, der tager højde for omstændighederne og formålet med behandlingen samt den forventede sandsynlighed og alvorligheden af en mulig krænkelse af loven som følge af sikkerhedsbrister, som muliggør øjeblikkelig registrering af Relevante krænkelser.

b. Forpligtelse til straks at rapportere et brud på sikkerheden af personlige data til den dataansvarlige.

c. Xxxxx til at assistere den dataansvarlige med hensyn til databehandlerens pligt til at levere oplysninger til pågældende registrerede og til straks at give den dataansvarlige alle relevante oplysninger i denne henseende.

d. Xxxxx til at assistere den dataansvarlige med hensyn til den dataansvarliges forpligtelse til at levere oplysninger til tilsynsmyndighederne. Den dataansvarlige skal efter anmodning samarbejde med tilsynsmyndigheden i udførelsen af deres opgaver.

e. Støtte den dataansvarlige med evaluering af databeskyttelsespåvirkning.

f. Støtte den dataansvarlige med hensyn til forudgående konsultation af tilsynsmyndigheden.

(2) Den dataansvarlige skal straks informeres om eventuelle inspektioner og foranstaltninger, der udføres af en tilsynsmyndighed, i det omfang, de vedrører behandlingen af data i forbindelse med denne aftale. Dette gælder også, hvis databehandleren undersøges eller er part i en undersøgelse foretaget af en kompetent myndighed i forbindelse med krænkelser af en hvilken som helst lov eller administrativ vedtægt eller bestemmelserne vedrørende behandling af data i forbindelse med behandlingen af denne aftale. Hvis den dataansvarlige er omfattet af en inspektion udført af tilsynsmyndigheden, en administrativ eller kortfattet lovovertrædelse eller straffesag, et erstatningskrav fremsat af en registreret eller af en tredjepart eller ethvert andet krav i forbindelse

med databehandlerens databehandling i henhold til denne aftale, skal databehandleren gøre alt for at yde support til den dataansvarlige og fremskaffe den dokumentation, hjælp og støtte, som den dataansvarlige kan have brug for. Hvis data vedrørende denne aftale bliver genstand for konfiskation under konkurs eller insolvens, eller lignende foranstaltninger fra tredjeparter, mens de behandles af databehandleren, skal databehandleren informere den dataansvarlige uden unødig forsinkelse. Databehandleren skal uden unødig forsinkelse underrette og uden unødig forsinkelse opdatere den dataansvarlige om alle typer udvikling og opdateringer i sådanne handlinger og vil træffe alle de foranstaltninger som følge af sådanne handlinger, som den dataansvarlige kræver.

(3) Databehandleren kan kræve kompensation for supporttjenester, som ikke er inkluderet i beskrivelsen af tjenesterne heri, og som ikke kan tilskrives fejl hos databehandleren, forudsat at en sådan kompensation er godkendt skriftligt af den dataansvarlige.

10. Vederlag

Databehandlerens vederlag for de tjenesteydelser, der er blevet afklaret i henhold til denne aftale, er endeligt fastsat i serviceaftalen. Der er ingen særskilt vederlag eller godtgørelse i denne aftale.

11. Ansvar og skadesløsholdelse

(1) Den dataansvarlige og databehandleren er gensidigt ansvarlige for skader forårsaget af en uautoriseret part eller for forkert databehandling inden for rammerne af denne aftale i overensstemmelse med gældende lovgivning.

(2) Databehandleren skal bære byrden ved at bevise, at eventuelle skader ikke skyldes omstændigheder, som databehandleren er ansvarlig for, hvis de relevante data er blevet behandlet i henhold til denne aftale. Hvis dette bevis ikke er blevet fremsendt, skal databehandleren ved første anmodning frigive den dataansvarlige fra alle de krav, der måtte blive stillet over for sidstnævnte i forbindelse med databehandling i henhold til denne aftale.

(3) Databehandleren er ansvarlig over for den dataansvarlige og skal fuldt ud holde den dataansvarlige skadesløs for alle de direkte skader, som den dataansvarlige måtte pådrage sig, og holde den dataansvarlige skadesløs for alle direkte skader forårsaget af databehandleren, databehandlerens medarbejdere eller udpegede underleverandører i forbindelse med tjenester fra databehandleren i henhold til denne aftale.

(4) Parterne er under ingen omstændigheder ansvarlige over for andre vedrørende indirekte skader, straffe-, special-, hændelige skader eller følgeskader i forbindelse med eller relateret til denne aftale (herunder tab af fortjeneste, brug, data eller andre økonomiske fordele), uanset om det gælder brud på denne aftale, herunder garantibrud eller erstatningsret, også selvom denne part tidligere er blevet underrettet om muligheden for sådanne skader.

(5) Pkt. 11 (2) og 11 (3) gælder ikke i det omfang, at skaderne opstod som følge af, at databehandleren korrekt implementerer tjenester på den måde, som den dataansvarlige anmoder eller instruerer om.

12. Ret til ekstraordinær opsigelse

(1) Den dataansvarlige kan til enhver tid opsige serviceaftalen og/eller denne aftale uden varsel ("ekstraordinær opsigelse"), hvis der foreligger en alvorlig overtrædelse af bestemmelserne i denne aftale fra databehandleren, hvis databehandleren ikke kan eller ikke vil udføre den dataansvarliges juridiske instruktioner, eller hvis databehandleren nægter at acceptere den dataansvarliges generelle kontrolrettigheder, i strid med denne aftale.

(2) Et alvorligt brud skal især anses for at være sket, hvis databehandleren ikke har opfyldt eller har undladt at opfylde de forpligtelser, der er fastsat i denne aftale, især de tekniske og organisatoriske foranstaltninger.

(3) I tilfælde af ubetydelige brud skal den dataansvarlige give databehandleren et rimeligt tidsrum, ikke over tredive (30) dage, til at afhjælpe situationen. Hvis situationen ikke afhjælpes i en sådan periode, er den dataansvarlige berettiget til en ekstraordinær opsigelse som angivet her.

13. Afslutning, returnering og sletning af data

(1) Efter ophør af denne aftale eller ophør af den underliggende serviceaftale eller efter anmodning fra den dataansvarlige overdrager databehandleren til den dataansvarlige eller - med forudgående tilladelse fra den dataansvarlige - destruerer alle data, behandlingsresultater, udnyttelse af resultater og datasæt, der er relateret til denne aftale eller serviceaftale, som er kommet i databehandlerens besiddelse, under hensyntagen til databeskyttelse i overensstemmelse med bestemmelserne. Det samme gælder for alt tilsluttet testmateriale, spildmateriale samt redundant og kasseret materiale. Logfilen over destruktion eller sletning skal sendes til den dataansvarlige, når destruktionen er fuldført, eller når som helst, den dataansvarlige anmoder om det.

(2) Den dokumentation, der anvendes til at demonstrere korrekt databehandling i overensstemmelse med denne aftale, skal opbevares af databehandleren ud over varigheden af denne aftale i overensstemmelse med de respektive opbevaringsperioder i henhold til bestemmelserne. Databehandleren kan overdrage sådanne dokumenter til den dataansvarlige ved udløb af denne aftale eller på et hvilket som helst tidspunkt, hvis anmodet af den dataansvarlige.

(3) Databehandleren er forpligtet til straks at sikre returnering eller sletning af data fra underleverandører.

(4) Databehandleren skal fremskaffe bevis på, at dataene destrueres korrekt af databehandleren eller underleverandørerne og straks sende dette bevis til den dataansvarlige.

14. Diverse

(1) Begge parter er forpligtet til at behandle al viden om forretningshemmeligheder og datasikkerhedsforanstaltninger, som er blevet indhentet fra den anden part inden for rammerne af det kontraktmæssige forhold, fortroligt, selv efter denne aftale er udløbet. Hvis der er tvivl om, hvorvidt oplysningerne er fortrolige, behandles disse fortroligt, indtil den anden part har modtaget skriftlig godkendelse. Ingen ejerskabsinteresse i intellektuelle ejendomsrettigheder skal videregives fra den dataansvarlige til databehandleren i henhold til denne aftale.

(2) Enhver ændring af denne aftale skal ske skriftligt og aftales mellem begge parter.

(3) Fritagelse for tilbageholdelsesret i henhold til gældende lovgivning udelukkes hermed med hensyn til de behandlede data og de tilknyttede databærere.

(4) Hvis dele af denne aftale er ugyldige, vil dette ikke påvirke gyldigheden af resten af denne aftale.

(5) Denne aftale skal være underlagt og fortolkes i overensstemmelse med lovene i [det land, hvor databehandleren er placeret], uden hensyn til den juridiske myndighed, der kontrollerer lovkonflikter.

(6) Enhver tvist som følge af nærværende aftale ligger inden for Forbundsrepublikken Tysklands jurisdiktion og underlagt forpligtelser i international privatlovgivning, bortset fra FNs konvention om kontrakter for internationalt salg af varer. Hvis klienten er en handlende i overensstemmelse med § 1 i den tyske handelslovgivning (HGB) har domstolene i Düsseldorf jurisdiktion over alle tvister, der måtte opstå i forbindelse med denne kontraktuelle relation, for en juridisk enhed eller særlig fond inden for offentlig ret.

Bilag - Tekniske og organisatoriske foranstaltninger

1. Fortrolighed (artikel 32 stk. 1 litra b, GDPR)

• Fysisk adgangskontrol

Ingen uautoriseret adgang til databehandlingsfaciliteter, f.eks.: magnetiske kort eller chipkort, nøgler, elektroniske døråbnere, anlægssikkerhedsservice og/eller indgangspersonale, alarmsystemer, video-/CCTV-systemer

• Elektronisk adgangskontrol

Ingen uautoriseret brug af databehandlings- og datalagringssystemer, f.eks. (sikre) adgangskoder, automatiske blokerings-/låsemekanismer, to faktor-godkendelse, kryptering af dataudbydere/lagermedier

• Intern adgangskontrol (tilladelser til brugerrettigheder for adgang til og ændring af data) Ingen uautoriseret læsning, kopiering, ændring eller sletning af data i systemet, f.eks. behovsbaserede adgangsrettigheder, logning af systemadgangshændelser

• Isoleret kontrol

Den isolerede behandling af data, som indsamles til forskellige formål, f.eks. værn

• Pseudonymisering (artikel 32 Stk. 1 litra a, GDPR - artikel 25 stk. 1, GDPR)

Behandling af personlige data på en sådan måde, at dataene ikke kan knyttes til en bestemt registreret uden hjælp fra yderligere oplysninger, forudsat at disse yderligere oplysninger lagres separat og er underlagt relevante tekniske og organisatoriske foranstaltninger.

2. Integritet (artikel 32 stk. 1 litra b, GDPR)

• Dataoverførselskontrol

Ingen uautoriseret læsning, kopiering, ændring eller sletning af data med elektronisk overførsel eller transport, f.eks.: Kryptering, VPN (Virtual Private Networks), elektronisk signatur

• Kontrol af dataindtastning

Bekræftelse af om og af hvem, personlige data, der er indtastet i et databehandlingssystem, ændres eller slettes, f.eks.: Login, Dokumenthåndtering

3. Tilgængelighed og robusthed (artikel 32 stk. 1 litra b, GDPR)

• Tilgængelighedskontrol

Forebyggelse af utilsigtet eller forsætlig ødelæggelse eller tab, f.eks.: Backupstrategi (online/offline; on-site/off-site), UPS (Uninterruptible Power Supply), virusbeskyttelse, firewall, rapporteringsprocedurer og planlægning af uforudsete hændelser

• Hurtig gendannelse (Artikel 32 stk. 1 litra c, GDPR)

4. Procedurer for regelmæssig afprøvning, vurdering og evaluering (artikel 32 stk. 1 litra d, GDPR, artikel 25 stk. 1, GDPR)

• Databeskyttelsesstyring

• Kontrol af hændelsesreaktion

• Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger (artikel 25 stk. 2, GDPR)

• Ordre- eller kontraktstyring

Ingen tredjeparts databehandling i henhold til artikel 28, GDPR, uden tilhørende instruktioner fra den dataansvarlige, f.eks.: Klar og utvetydig kontraktlig aftale, formaliseret ordrestyring, streng kontrol af valg af tjenesteudbyder, pligt til præ-evaluering, kontrol af overordnet opfølgning.