DATABEHANDLERAFTALE
 

Denne databehandleraftale er et bilag til den licensaftale der er indgået mellem

    Virksomhed    
CVR-nr.: 
Adresse
Postnummer og by
(den ”Dataansvarlige”)

og

ABC Softwork
CVR-nr.: 26360714
Rued Langgaards Vej 7
2300 København S
 (”Databehandleren”, tilsammen ”Parterne” og hver for sig en ”Part”)


BILAG TIL DATABEHANDLERAFTALEN
Bilag 1    Hovedydelsen
Bilag 2    Underdatabehandlere


1    BAGGRUND OG FORMÅL
1.1    Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom (”Hovedkontrakten”) beskrevet i bilag 1 til denne aftale (”Hovedydelserne”). 
1.2    I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag (”Databehandleraftalen”). 
1.3    Databehandleraftalen har til formål at sikre, at Parterne overholder den ved Databehandleraftalens indgåelse gældende persondataretlige regulering, dvs.:
(i)    Persondataloven (lov 2000-05-31 nr. 429 med senere ændringer)
(ii)    Persondataforordningen (Europaparlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne får virkning 25. maj 2018.

2    OMFANG
2.1    Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
2.2    Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”). Denne Databehandleraftale udgør Instruksen på underskriftstidspunktet. 
2.3    Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige. Sådanne ændringer foretages i henhold til den mellem Parterne aftalte ændringshåndteringsproces, jf. Hovedkontrakten. 

3    VARIGHED
3.1    Databehandleraftalen gælder indtil Hovedkontrakten ophører. 

4    DATABEHANDLERENS FORPLIGTELSER
4.1    Tekniske og organisatoriske sikkerhedsforanstaltninger
4.1.1    Databehandleren har ansvaret for at gennemføre fornødne (a) tekniske- og (b) organisatoriske sikkerhedsforanstaltninger. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, samt typerne af personoplysninger beskrevet i bilag 1. 
4.1.2    Databehandleren gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i gældende persondataretlige regulering.

4.2    Medarbejderforhold
4.2.1    Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

4.3    Påvisning af overholdelse
4.3.1    Databehandleren stiller efter anmodning alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databehandleraftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. En sådan anmodning besvares inden rimelig tid.
4.3.2    For så vidt angår punkt 4.3.1 underretter Databehandleren omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelseslovgivningen eller databeskyttelsesbestemmelser i anden EU-ret eller nationale ret.

4.4    Fortegnelse over behandlingsaktiviteter
4.4.1    Hver af Parterne fører fortegnelser over behandlingsaktiviteter i det omfang det er påkrævet i artikel 30 i Persondataforordningen.

4.5    Sikkerhedsbrud
4.6    Databehandleren underretter uden unødig forsinkelse den dataansvarlige hvis Databehandleren bliver opmærksom på, at der er sket brud på persondatasikkerheden.

4.7    Underretningen skal indeholde de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne og planlagte afhjælpende foranstaltninger.

4.8    Bistand

4.8.1    På den Dataansvarliges anmodning, bistår Databehandleren så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder. 

4.8.2    Under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren bistår Databehandleren den Dataansvarlige med at sikre overholdelse af forpligtelserne vedrørende den Dataansvarliges: 

a)    Behandlingssikkerhed,
b)    Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheder,
c)    Underretning om brud på persondatasikkerheden til registrerede, 
d)    Konsekvensanalyser vedrørende databeskyttelse, og
e)    Forudgående høringer. 


5    UNDERDATABEHANDLERE
5.1    Databehandleren må kun gøre brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang det fremgår af (a) bilag 2 til denne Databehandleraftale, eller (b) Instruks fra den Dataansvarlige.

5.2    Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af denne Databehandleraftale). 

5.3    Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige.   

5.4    Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv. 

6    DATABEHANDLING UDENFOR INSTRUKSEN
6.1    Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt. 

6.2    Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen. 

6.3    Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.  

7    ØVRIGE BESTEMMELSER
7.1    Generelt
7.2    Misligholdelse
7.2.1    Misligholdelse er reguleret i Hovedkontrakten. 
7.3    Ansvar og ansvarsbegrænsninger
7.3.1    Ansvar og ansvarsbegrænsninger er reguleret i Hovedkontrakten. 
7.4    Force Majeure
7.4.1    Force majeure er reguleret i Hovedkontrakten.
7.5    Fortrolighed
7.5.1    Fortrolighed er reguleret i Hovedkontrakten.

8    OPHØR
8.1    Virkning af ophør
8.1.1    Reguleringen af virkning af ophør er reguleret i Hovedkontrakten.
8.2    Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige med mindre andet fremgår af Hovedkontrakten. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket. 

9    TVISTLØSNING
9.1    Reguleringen af tvistløsning i Hovedkontrakten finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

10    UNDERSKRIFTER

Dato: 
For den Dataansvarlige
        

Navn:
Titel:        Navn:
Titel:
For Databehandleren
        

Navn:
Titel:        Navn:
Titel:



BILAG 1

HOVEDYDELSEN

1    FORMÅL OG HOVEDKONTRAKT
1.1    Med Hovedkontrakten menes: ABC Enterprise Contract / ABC Software Contract.

2    PERSONOPLYSNINGER
2.1    Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:  

a)    Almindelige personoplysninger:

Type af personoplysninger

  • Navn, adresse, telefonnr, email, etc  
  • Journal ID
  • Kundeprofil, ordrehistorik, lign.
  • IP adresse

b)    Følsomme personoplysninger: INGEN
 

BILAG 2
UNDERDATABEHANDLERE

1    GENERELT
1.1    Den Dataansvarlige giver hermed sin godkendelse til, at Databehandleren anvender følgende Underdatabehandlere:

Firmanavn
Rackspace Ltd

Adresseoplysninger
5 Millington Road
Hyde Park Hayes
Middlesex, UB3
United Kingdom


1.2    Databehandleren må ikke gøre brug af andre Underdatabehandlere uden forudgående specifik skriftlig godkendelse fra den Dataansvarlige. 
1.3    Den Dataansvarlige kan ikke nægte at godkende tilføjelse eller udskiftning af en Underdatabehandler medmindre, der foreligger en konkret saglig begrundelse herfor og skal meddele sådan indsigelse indenfor 30 dage.
 

 

Klik her for at hente aftalen som PDF og underskrevet.