Databehandleraftale

Vi g繪r hermed opm疆rksom p疇, at dette er en kopi af vores nuv疆rende databehandleraftale. Eventuelle bilag fremsendes sammen med samarbejdsaftalen til underskrift af begge parter.

Indhold

  1. Baggrund for databehandleraftalen
  2. Den dataansvarliges forpligtelser og rettigheder
  3. Databehandleren handler efter instruks
  4. Fortrolighed
  5. Behandlingssikkerhed
  6. Anvendelse af underdatabehandlere
  7. Overf繪rsel af oplysninger til tredjelande eller internationale organisationer
  8. Bistand til den dataansvarlige
  9. Underretning om brud p疇 persondatasikkerheden
  10. Sletning og tilbagelevering af oplysninger
  11. Tilsyn og revision
  12. Parternes aftaler om andre forhold
  13. Ikrafttr疆den og oph繪r
  1. Baggrund for databehandleraftalen
    1. Denne aftale fasts疆tter de rettigheder og forpligtelser, som finder anvendelse, n疇r databehandleren foretager behandling af personoplysninger p疇 vegne af den dataansvarlige.
    2. Aftalen er udformet med henblik p疇 parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og R疇dets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af s疇danne oplysninger og om oph疆velse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
    3. Databehandlerens behandling af personoplysninger sker med henblik p疇 opfyldelse af parternes hovedaftale: , som er indg疇et ved samarbejdet start.
    4. Databehandleraftalen og hovedaftalen er indbyrdes afh疆ngige, og kan ikke opsiges s疆rskilt. Databehandleraftalen kan dog uden at opsige hovedaftalen erstattes af en anden gyldig databehandleraftale.
    5. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i hovedaftalen.
    6. Til denne aftale h繪rer fire bilag. Bilagene fungerer som en integreret del af databehandleraftalen.
    7. Databehandleraftalens Bilag A indeholder n疆rmere oplysninger om behandlingen, herunder om behandlingens form疇l og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
    8. Databehandleraftalens Bilag B indeholder den dataansvarliges betingelser for, at databehandleren kan g繪re brug af eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere, som den dataansvarlige har godkendt.
    9. Databehandleraftalens Bilag C indeholder en n疆rmere instruks om, hvilken behandling databehandleren skal foretage p疇 vegne af den dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der f繪res tilsyn med databehandleren og eventuelle underdatabehandlere.
    10. Databehandleraftalens Bilag D indeholder parternes eventuelle regulering af forhold, som ikke ellers fremg疇r af databehandleraftalen eller parternes hovedaftale.
    11. Databehandleraftalen med tilh繪rende bilag opbevares skriftligt, herunder elektronisk af begge parter.
    12. Denne databehandleraftale frig繪r ikke databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er p疇lagt databehandleren.

Den dataansvarliges forpligtelser og rettigheder

  1. Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangs-punkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
  2. Den dataansvarlige har derfor b疇de rettighederne og forpligtelserne til at tr疆ffe beslutninger om, til hvilke form疇l og med hvilke hj疆lpemidler der m疇 foretages behandling.
  3. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.

Databehandleren handler efter instruks

  1. Databehandleren m疇 kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kr疆ves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i s疇 fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den p疇g疆ldende ret forbyder en s疇dan underretning af hensyn til vigtige samfundsm疆ssige interesser, jf. art 28, stk. 3, litra a.
  2. Databehandleren underretter omg疇ende den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

Fortrolighed

  1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles p疇 vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udl繪ber.
  2. Der m疇 alene autoriseres personer, for hvem det er n繪dvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.
  3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger p疇 vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  4. Databehandleren skal efter anmodning fra den dataansvarlige kunne p疇vise, at de relevante medarbejdere er underlagt ovenn疆vnte tavshedspligt.

Behandlingssikkerhed

  1. Databehandleren iv疆rks疆tter alle foranstaltninger, som kr疆ves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremg疇r, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den p疇g疆ldende behandlings karakter, omfang, sammenh疆ng og form疇l samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemf繪res passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
  2. Ovenst疇ende forpligtelse indeb疆rer, at databehandleren skal foretage en risikovurdering, og herefter gennemf繪re foranstaltninger for at im繪deg疇 identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, v疆re tale om f繪lgende foranstaltninger:
    1. a. Pseudonymisering og kryptering af personoplysninger
    2. b. Evne til at sikre vedvarende fortrolighed, integritet, tilg疆ngelighed og robusthed af behandlingssystemer og tjenester
    3. c. Evne til rettidigt at genoprette tilg疆ngeligheden af og adgangen til personoplysninger i tilf疆lde af en fysisk eller teknisk h疆ndelse
    4. d. En procedure for regelm疆ssig afpr繪vning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed
  3. Databehandleren skal i forbindelse med ovenst疇ende i alle tilf疆lde som minimum iv疆rks疆tte det sikkerhedsniveau og de foranstaltninger, som er specificeret n疆rmere i denne aftales Bilag C.
  4. Parternes eventuelle regulering/aftale om vederl疆ggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterf繪lgende krav om etablering af yderligere sikkerhedsforanstaltninger vil fremg疇 af parternes hovedaftale eller af denne aftales bilag D.

Anvendelse af underdatabehandlere

  1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at g繪re brug af en anden databehandler (underdatabehandler).
  2. Databehandleren m疇 s疇ledes ikke g繪re brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudg疇ende specifik eller generel skriftlig godkendelse fra den dataansvarlige.
  3. I tilf疆lde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte 疆ndringer vedr繪rende tilf繪jelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at g繪re indsigelse mod s疇danne 疆ndringer.
  4. Den dataansvarliges n疆rmere betingelser for databehandlerens brug af eventuelle underdatabehandlere fremg疇r af denne aftales Bilag B.
  5. N疇r databehandleren har den dataansvarliges godkendelse til at g繪re brug af en underdatabehandler, s繪rger databehandleren for at p疇l疆gge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de forn繪dne garantier for, at underdatabehandleren vil gennemf繪re de passende tekniske og organisatoriske foranstaltninger p疇 en s疇dan m疇de, at behandlingen opfylder kravene i databeskyttelsesforordningen.

    Databehandleren er s疇ledes ansvarlig for igennem indg疇elsen af en underdatabehandleraftale at p疇l疆gge en eventuel underdatabehandler mindst de forpligtelser, som databehandleren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilh繪rende bilag.

  6. Underdatabehandleraftalen og eventuelle senere 疆ndringer hertil sendes efter den dataansvarliges anmodning herom - i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indg疇et en gyldig aftale mellem databehandleren og underdatabehandleren. Eventuelle kommercielle vilk疇r, eksempelvis priser, som ikke p疇virker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
  7. Databehandleren skal i sin aftale med underdatabehandleren indf繪je den dataansvarlige som begunstiget tredjemand i tilf疆lde af databehandlerens konkurs, s疇ledes at den dataansvarlige kan indtr疆de i databehandlerens rettigheder og g繪re dem g疆ldende over for underdatabehandleren, f.eks. s疇 den dataansvarlige kan instruere underdatabehandleren om at foretage sletning eller tilbagelevering af oplysninger.
  8. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

Overf繪rsel af oplysninger til tredjelande eller internationale organisationer

  1. Databehandleren m疇 kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for s疇 vidt ang疇r overf繪rsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kr疆ves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i s疇 fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den p疇g疆ldende ret forbyder en s疇dan underretning af hensyn til vigtige samfundsm疆ssige interesser, jf. art 28, stk. 3, litra a.
  2. Uden den dataansvarliges instruks eller godkendelse kan databehandleren indenfor rammerne af databehandleraftalen - derfor bl.a. ikke;
    1. a. videregive personoplysningerne til en dataansvarlig i et tredjeland eller i en international organisation,
    2. b. overlade behandlingen af personoplysninger til en underdatabehandler i et tredjeland,
    3. c. lade oplysningerne behandle i en anden af databehandlerens afdelinger, som er placeret i et tredjeland.
  3. Den dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overf繪rsel af personoplysninger til et tredjeland, vil fremg疇 af denne aftales Bilag C.

Bistand til den dataansvarlige

  1. Databehandleren bist疇r, under hensyntagen til behandlingens karakter, s疇 vidt muligt den dataansvarlige ved hj疆lp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om ud繪velsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.Dette indeb疆rer, at databehandleren s疇 vidt muligt skal bist疇 den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
    1. a. oplysningspligten ved indsamling af personoplysninger hos den registrerede
    2. b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
    3. c. den registreredes indsigtsret
    4. d. retten til berigtigelse
    5. e. retten til sletning (罈retten til at blive glemt竄)
    6. f. retten til begr疆nsning af behandling
    7. g. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begr疆nsning af behandling
    8. h. retten til dataportabilitet
    9. i. retten til indsigelse
    10. j. retten til at g繪re indsigelse mod resultatet af automatiske individuelle afg繪relser, herunder profilering
  2. Databehandleren bist疇r den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medf繪r af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilg疆ngelige for databehandleren, jf. art 28, stk. 3, litra f.Dette indeb疆rer, at databehandleren under hensynstagen til behandlingens karakter skal bist疇 den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
    1. a. forpligtelsen til at gennemf繪re passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
    2. b. forpligtelsen til at anmelde brud p疇 persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden un繪dig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet p疇 persondatasikkerheden indeb疆rer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
    3. c. forpligtelsen til uden un繪dig forsinkelse at underrette den/de registrerede om brud p疇 persondatasikkerheden, n疇r et s疇dant brud sandsynligvis vil indeb疆re en h繪j risiko for fysiske personers rettigheder og frihedsrettigheder
    4. d. forpligtelsen til at gennemf繪re en konsekvensanalyse vedr繪rende databeskyttelse, hvis en type behandling sandsynligvis vil indeb疆re en h繪j risiko for fysiske personers rettigheder og frihedsrettigheder
    5. e. forpligtelsen til at h繪re tilsynsmyndigheden (Datatilsynet) inden behandling, s疇fremt en konsekvensanalyse vedr繪rende databeskyttelse viser, at behandlingen vil f繪re til h繪j risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begr疆nse risikoen
  3. Parternes eventuelle regulering/aftale om vederl疆ggelse eller lignende i forbindelse med databehandlerens bistand til den dataansvarlige vil fremg疇 af parternes hovedaftale eller af denne aftales bilag D.

Underretning om brud p疇 persondatasikkerheden

  1. Databehandleren underretter uden un繪dig forsinkelse den dataansvarlige efter at v疆re blevet opm疆rksom p疇, at der er sket brud p疇 persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.Databehandlerens underretning til den dataansvarlige skal om muligt ske senest efter at denne er blevet bekendt med bruddet, s疇dan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.
  2. I overensstemmelse med denne aftales afsnit 10.2., litra b, skal databehandleren - under hensynstagen til behandlingens karakter og de oplysninger, der er tilg疆ngelige for denne bist疇 den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden. Det kan betyde, at databehandleren bl.a. skal hj疆lpe med at tilvejebringe nedenst疇ende oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremg疇 af den dataansvarliges anmeldelse til tilsynsmyndigheden:
    1. a. Karakteren af bruddet p疇 persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal ber繪rte registrerede samt kategorierne og det omtrentlige antal ber繪rte registreringer af personoplysninger
    2. b. Sandsynlige konsekvenser af bruddet p疇 persondatasikkerheden
    3. c. Foranstaltninger, som er truffet eller foresl疇s truffet for at h疇ndtere bruddet p疇 persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begr疆nse dets mulige skadevirkninger

Sletning og tilbagelevering af oplysninger

  1. Ved oph繪r af tjenesterne vedr繪rende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

Tilsyn og revision

  1. Databehandleren stiller alle oplysninger, der er n繪dvendige for at p疇vise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til r疇dighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
  2. Den n疆rmere procedure for den dataansvarliges tilsyn med databehandleren fremg疇r af denne aftales Bilag C.
  3. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid g疆ldende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repr疆sentanter, der optr疆der p疇 myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod beh繪rig legitimation.

Parternes aftaler om andre forhold

  1. En eventuel (s疆rlig) regulering af konsekvenserne af parternes misligholdelse af databehandleraftalen vil fremg疇r af parternes hovedaftale eller af denne aftales Bilag D.
  2. En eventuel regulering af andre forhold mellem parterne vil fremg疇 af parternes hovedaftale eller af denne aftales Bilag D.

Ikrafttr疆den og oph繪r

  1. Denne aftale tr疆der i kraft ved begge parters underskrift heraf.
  2. Aftalen kan af begge parter kr疆ves genforhandlet, hvis lov疆ndringer eller uhensigtsm疆ssigheder i aftalen giver anledning hertil.
  3. Parternes eventuelle regulering/aftale om vederl疆ggelse, betingelser eller lignende i forbindelse med 疆ndringer af denne aftale vil fremg疇 af parternes hovedaftale eller af denne aftales bilag D.
  4. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilk疇r, inkl. opsigelsesvarsel, som fremg疇r af "hovedaftalen".
  5. Aftalen er g疆ldende, s疇 l疆nge behandlingen best疇r. Uanset hovedaftalens og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens oph繪r og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.

Senest opdateret: 20. oktober, 2020

Mmmh.. cookies 中
Hvis vi ikke allerede selv har spist dem, s疇 byder vi gerne p疇 en cookie!

Accept矇r L疆s mere