DATABEHANDLERAFTALE
Den Dataansvarlige og Databehandleren kaldes tilsammen ”Parterne” og hver for sig en ”Part”
1. BAGGRUND OG FORMÅL
1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den
Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom, jf.
samarbejdsaftalen.
1.2 I det omfang Databehandleren i henhold til persondataretten behandler
personoplysninger på vegne af den Dataansvarlige og dermed persondataretligt er
at betragte som databehandler, gælder følgende bestemmelser.
1.3 Databehandleraftalen accepteres ligeledes ved underskrivelse af
samarbejdsaftalen.
2. OMFANG OG INSTRUKS
2.1 Databehandleren bemyndiges til at fortage behandling af personoplysninger
på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
2.2 Databehandleren må alene behandle personoplysninger efter dokumenteret
instruks. Hovedaftalen og Databehandleraftalen udgør Instruksen på
underskriftstidspunktet. Databehandleren må alene behandle de overladte
personoplysninger med henblik på opfyldelse af Hovedaftalen og må ikke behandle
personoplysningerne til andre formål uden samtykke fra den Dataansvarlige. For at
opfylde Hovedaftalen bemyndiges Databehandleren til at behandle fortrolige
oplysninger om Dataansvarliges virksomhed, samt virksomhedes ansatte.
2.3 Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den
Dataansvarlige. Forud for ændringer af Instruksen skal Parterne drøfte, og
aftale, implementeringen af ændringerne, inkl. implementeringstiden og
omkostningerne.
2.4 Uanset Databehandleraftalens ophør skal aftalens punkt 11 vedrørende
fortrolighed fortsat have virkning efter Databehandleraftalens ophør.
2.5 Parterne har ikke krav på betaling for opfyldelse af denne
Databehandleraftale med undtagelse af Databehandleraftalens punkt 4.5.3.
3. VARIGHED
3.1 Databehandleraftalen gælder indtil Hovedaftalen ophører, eller
Databehandleraftalen opsiges eller ophæves.
4. DATABEHANDLERENS
FORPLIGTELSER
4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger
4.1.1 Databehandleren skal, under hensyntagen til det aktuelle tekniske niveau,
implementeringsomkostningerne og den pågældende behandlings karakter, omfang,
sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for
fysiske personers rettigheder og frihedsrettigheder, gennemføre fornødne
tekniske og organisatoriske foranstaltninger for at sikre et passende
sikkerhedsniveau.
4.1.2 Databehandleren garanterer overfor den Dataansvarlige, at Databehandleren
vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en
sådan måde, at Databehandlerens behandling af personoplysninger opfylder
kravene i den til enhver tid gældende persondataretlige regulering.
4.2 Medarbejderforhold
4.2.1 Databehandleren skal sikre, at medarbejdere, der behandler
personoplysninger for Databehandleren, har forpligtet sig til fortrolighed
eller er underlagt en passende lovbestemt tavshedspligt.
4.2.2 Databehandleren skal sikre, at adgangen til personoplysningerne begrænses
til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger
for at kunne opfylde Databehandlerens forpligtelser over for den
Dataansvarlige.
4.3 Dokumentation for overholdelse af forpligtelser
4.3.1 Databehandleren skal efter skriftlig anmodning fra den Dataansvarlige
dokumentere overfor den Dataansvarlige, at Databehandleren:
a) overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.
b) overholder bestemmelserne i den til enhver tid gældende persondataretlige
regulering, for så vidt angår de personoplysninger, som behandles på den
Dataansvarliges vegne.
4.3.2 I forbindelse med dokumentationen skal Databehandleren stille alle
oplysninger, der er nødvendige for at påvise overholdelse af de nævnte forhold
til rådighed for den Dataansvarlige.
4.3.3 Databehandleren skal efter den Dataansvarliges skriftlige anmodning give
mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af
den Dataansvarlige eller en anden revisor, som er bemyndiget af den
Dataansvarlige.
4.3.4 Databehandlerens dokumentation heraf skal ske inden rimelig tid.
4.4 Sikkerhedsbrud
4.4.1 Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige
om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller
ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller
adgang til personoplysningerne behandlet for den Dataansvarlige
(”Sikkerhedsbrud”).
4.4.2 Databehandleren skal herunder fremskaffe de oplysninger, der skal indgå i
en anmeldelse til tilsynsmyndigheden, i det omfang Databehandleren er den
nærmeste hertil.
4.4.3 Databehandleren bærer omkostningerne til denne bistand, for så vidt den
er nødvendig for at sikre den Dataansvarliges overholdelse af sine
forpligtelser efter persondatareglerne.
4.5 Bidrag til overholdelse af den dataansvarliges forpligtelser
4.5.1 Databehandleren skal organisatorisk og teknisk være i stand til at
bidrage til, at den dataansvarlige kan overholde sine forpligtelser efter
persondataforordningens kapitel 3, i det omfang databehandlerens medvirken
kræver det.
4.5.2 Databehandleren bistår den dataansvarlige med overholdelse af sine
forpligtelser efter persondataforordningens artikel 32 og 35-36, i det omfang
databehandlerens deltagelse kræver det.
4.5.3 Den Dataansvarlige honorerer Databehandleren særskilt og efter medgået
tid og materiale for at håndtere forespørgsler og opgaver i henhold til
Aftalens pkt.4.3, 4.5.1 og 4.5.2. Honoreringen fastsættes efter
Databehandlerens til enhver tid gældende timepriser.
5. DEN DATAANSVARLIGES
FORPLIGTELSER
5.1 Den Dataansvarlige skal sikre, at Instruksen er lovlig set i forhold til
den til enhver tid gældende persondataretlige regulering.
5.2 Den Dataansvarlige skal sikre, at Instruksen er hensigtsmæssig set i
forhold til denne Databehandleraftale og Hovedaftalen.
6. UNDERDATABEHANDLERE
6.1 Den Dataansvarlige har accepteret, at Databehandleren må gøre brug af
leverandører til behandlingen af personoplysninger for den Dataansvarlige
(”Underdatabehandler”). Databehandleren skal underrette den dataansvarlige om
planlagte tilføjelser eller erstatninger af andre databehandlere og derved give
den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
6.2 Databehandlerens brug af Underdatabehandleren reguleres af en aftale, som
sikrer, at underdatabehandleren alene behandler data i overensstemmelse med
aftalen mellem Databehandleren og den Dataansvarlige. Al kommunikation med
Underdatabehandleren varetages af Databehandleren, medmindre andet særskilt
aftales.
6.3 Underdatabehandleren må alene overføre oplysninger til tredjelande, såfremt
det fremgår af aftalen med Databehandleren.
6.4 Hvis Underdatabehandleren ikke lever op til aftalen med Databehandleren,
kan den Dataansvarlige forbyde anvendelse af den pågældende Underdatabehandler.
6.5 Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling
af personoplysninger på samme vis, som var behandling foretaget af
Databehandleren selv.
6.6 Ved aftaleindgåelsen benytter Databehandleren følger
Underdatabehandlere: Gældende regnskabsprogram for Dataansvarlige
(E-conomic, Dinero, etc.), Kommunikationskanaler, såsom mailkorrespondance
gennem Outlook, Dropbox.
7. OVERFØRSEL TIL
TREDJELANDE OG INTERNATIONALE ORGANISATIONER
7.1 Databehandleren må ikke overføre personoplysninger til tredjelande
medmindre andet skriftlig aftales.
8. MISLIGHOLDELSE
8.1 Reguleringen af misligholdelse i Hovedaftalen finder anvendelse også for
denne Databehandleraftale, som om Databehandleraftalen var en integreret del
heraf.
9. ANSVAR OG
ANSVARSBEGRÆNSNINGER
9.1 Parterne er ansvarlige i overensstemmelse med gældende rets almindelige
regler, dog med de begrænsninger der følger af dette afsnit.
9.2 Parterne fraskriver sig ethvert ansvar for indirekte tab og følgeskader,
herunder driftstab, tab af goodwill, tab af besparelser og indtægter, inklusive
udgifter til at indvinde mistede indtægter, rentetab og tab af data.
9.3 Tab som følge af den anden Parts groft uagtsomme eller forsætlige
handlinger er ikke omfattet af ansvarsbegrænsningen i pkt. 10.
10. FORCE MAJEURE
10.1 Databehandleren kan ikke gøres ansvarlig for forhold, der almindeligvis må
betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer,
terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner,
import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel,
afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og
kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, virus samt
indtrædelse af force majeure hos underleverandører.
10.2 Force majeure kan højst gøres gældende med det antal arbejdsdage, som
force majeure-situationen varer.
11. FORTROLIGHED
11.1 Information vedrørende indholdet af denne Databehandleraftale, den anden
Parts forretning, der enten i forbindelse med overgivelsen til den modtagende
Part er angivet som fortrolig information, eller som efter sin natur eller i
øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst
samme omhu og diskretion som partens egne fortrolige informationer. Data,
herunder persondata, udgør altid fortrolige informationer.
11.2 Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller
bliver offentlig tilgængelig, uden dette skyldes brud på en Parts
fortrolighedsforpligtelse eller information, som allerede er i den modtagende
Parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller information,
som selvstændigt er udviklet af den modtagende Part.
12. OPHØR
12.1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse
med bestemmelserne om opsigelse og ophævelse i Hovedaftalen.
12.2 Ved databehandleraftalens ophør skal Databehandleren og dennes
underdatabehandlere efter den Dataansvarliges valg enten slette eller
tilbagelevere og slette eksisterende kopier af alle personoplysninger, som
Databehandleren har behandlet på vegne af den Dataansvarlige. Den
Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
13. TVISTLØSNING
13.1 Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget
til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole.
