Databehandleraftale

Databehandleraftale

Firma XYZ

▇▇▇.▇▇.: 12345678

Gade, nr.

Postnummer, by

Danmark

("den Dataansvarlige")

og

[Navn på databehandler]

CVR-nr.: [CVR-nr.]

[Adresse]

[Land]

("Databehandleren")

(hver for sig kaldet en "Part" og samlet "Parterne")

har indgået nærværende

DATABEHANDLERAFTALE

("Aftalen")

om Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.

1. De behandlede personoplysninger

1. Denne Aftale er indgået i forbindelse med Parternes indgåelse af aftale om [indsæt] (”Hovedaftalen”).

2. Databehandleren behandler de typer af personoplysninger, som fremgår af bilag 1, på vegne af den Dataansvarlige. Personoplysningerne angår de til enhver tid værende medarbejdere i Firma XYZ samt tidligere medarbejder for så vidt oplysninger om sidstnævnte stadig kan behandles og således ikke er slettet.

3. Den Dataansvarlige er berettiget til at slette og/eller tilføje yderligere typer af personoplysninger og/eller datasubjekter til ovenstående liste ved fremsendelse af en ny liste over personoplysninger og/eller datasubjekter til Databehandleren.

4. Hvis en forpligtelsen er beskrevet flere steder i nærværende aftale, er den mest restriktive for den forpligtede part gældende.

2. Formål

1. Databehandleren må alene behandle personoplysninger til formål, som er nødvendige for opfylde Hovedaftalen.

3. Databehandlerens forpligtelser

1. Databehandleren må alene behandle de af den Dataansvarlige overførte personoplysninger i overensstemmelse med den Dataansvarliges instrukser og er i øvrigt forpligtet til at overholde den til enhver tid gældende persondatalovgivning.

2. Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder sådanne yderligere foranstaltninger, som måtte være nødvendige, mod at de i pkt. 1.2, anførte personlysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen. Databehandleren er således blandt andet forpligtet til at

· indføre log-in- og adgangskodeprocedurer samt opsætte og vedligeholde en firewall og antivirus-software;

· sikre, at alene medarbejdere med arbejdsrelaterede formål hertil har adgang til personoplysningerne;

• sikre, at de medarbejdere, der er involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt lovbestemt tavshedspligt;

· opbevare datalagermedier på forsvarlig vis, således at disse ikke er tilgængelige for tredjemand;

· sikre, at bygninger og systemer, der anvendes i forbindelse med databehandlingen, er sikre, samt at der alene anvendes hardware og software af høj kvalitet, som opdateres løbende;

· sikre, at prøver og affaldsmateriale tilintetgøres i overensstemmelse med kravene til databeskyttelse efter nærmere instrukser fra den Dataansvarlige. I særlige tilfælde, som afgøres af den Dataansvarlige, skal nævnte prøver og affaldsmateriale opbevares eller returneres;

· sikre, at medarbejdere modtager passende uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne. Databehandleren er forpligtet til at sikre, at de medarbejdere, som er involveret i behandlingen af personoplysningerne, er bekendte med sikkerhedskravene.

3. Databehandler skal overholde bestemmelserne om behandlingssikkerhed i lov om behandling af personoplysninger (persondataloven), herunder især §§ 41, 42 og 53, bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning med senere ændringer (sikkerhedsbekendtgørelsen) og vejledning nr. 37 af 2. april 2001 hertil.

Hvis opgaven angår behandling af fortrolige eller følsomme oplysninger, skal databehandleren overholde de særlige sikkerhedskrav, der er fastsat i sikkerhedsbekendtgørelsens kapitel 3.

Databehandleren skal på den dataansvarliges anmodning straks give den dataansvarlige fyldestgørende oplysninger til, at denne kan vurdere og kontrollere, at de nødvendige sikkerhedsforanstaltninger er iværksat og overholdes.

Databehandleren har pligt til på eget initiativ at søge eventuel tvivl om sikkerhedskravene og opfyldelsen heraf afklaret, herunder via den dataansvarlige. Databehandleren underretter den dataansvarlige, hvis der konstateres svigt i sikkerheden.

Opmærksomheden skal særligt henledes på:

Oplysningerne må ikke opbevares længere end nødvendigt af hensyn til de formål, hvortil de er indsamlet.

Oplysningerne må ikke videregives til tredjemand, medmindre dette følger af gældende lovgivning eller efter instruks fra den dataansvarlige.

Databehandleren skal sikre, at kun personer, som autoriseres hertil af databehandler, har adgang til de personoplysninger, der behandles.

Databehandleren skal sikre, at behandling af persondata sker i overensstemmelse med sikkerhedsbekendtgørelsen, herunder især ved tilslutning til internet eller andre åbne net eller trådløse net.

Databehandleren sikrer ved behandling af oplysninger uden for databehandlerens lokaliteter, herunder ved brug af hjemmearbejdspladser eller lignende, at dette sker i overensstemmelse med sikkerhedsbekendtgørelsen.

Der kan ikke ske overførsel af personoplysningerne til tredjelande. Overførsel til underleverandører (underdatabehandlere) er ikke tilladt.

Sletning af datamedier i forbindelse med reparation, genanskaffelse, kassation og salg af datamediet skal ske effektivt ved dataoverskrivning med specialprogram eller ved destruktion eller afmagnetisering af selve datamediet.

4. Databehandleren skal på den Dataansvarliges anmodning redegøre for og/eller dokumentere, at Databehandleren opfylder kravene i persondatalovgivningen, herunder fremvise dokumentation for Databehandlerens datastrømme og procedurer/politikker for behandling af personoplysninger.

5. Hvis Databehandleren behandler personoplysninger i et andet EU/EØS medlemsland, skal Databehandleren følge lovgivningen om sikkerhedsforanstaltninger i det pågældende medlemsland.

6. Databehandleren er forpligtet til straks at give den Dataansvarlige meddelelse om driftsforstyrrelser, mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Ved datasikkerhedsbrud skal Databehandleren underrette den Dataansvarlige straks og senest 6 timer efter opdagelse af sikkerhedsbruddet. Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige i forhold til afklaring af sikkerhedsbruddet, herunder i forbindelse med eventuel anmeldelse til Datatilsynet og/eller datasubjekter.

7. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Den Dataansvarlige er i den forbindelse berettiget til for egen regning at lade Databehandlerens behandling af personoplysninger underkaste en årlig revision af en uafhængig tredjepart.

8. Hvis Databehandleren eller en anden databehandler, som har modtaget oplysninger, modtager en anmodning om adgang til registrerede personoplysninger fra et datasubjekt eller dennes agent, eller et datasubjekt gør indsigelse mod behandlingen af ​​hans/hendes registrerede personoplysninger, skal Databehandleren straks sende sådan anmodning og/eller indsigelse til den Dataansvarlige med henblik på den Dataansvarliges videre behandling, medmindre Databehandleren er berettiget til at håndtere en sådan forespørgsel selv. Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige i relation til besvarelse af anmodningen og/eller indsigelsen.

4. Overførsel af oplysninger til andre databehandlere eller tredjeparter

1. Databehandleren er alene forpligtet til at overføre de i pkt. 1.2 angivne personoplysninger til andre databehandlere eller tredjeparter, såfremt den Dataansvarlige giver skriftlig instruks herom. Databehandleren er ikke berettiget til at videregive eller overlade personoplysninger til tredjeparter eller databehandlere uden den Dataansvarliges forudgående skriftlige instruks, medmindre sådan videregivelse eller overladelse følger af lovgivningen.

5. Ændring

1. I tilfælde af ændringer af den danske databeskyttelseslovgivning er den Dataansvarlige berettiget til at ændre de i denne Aftale indeholdte instrukser med 2 (to) ugers skriftligt varsel ved fremsendelse af nye skriftlige instrukser til Databehandleren, dog således at Databehandleren til enhver tid skal overholde gældende persondatalovgivning.

6. Misligholdelse

1. Databehandleren skal skadesløsholde den Dataansvarlige for enhver form for sagsanlæg, krav, omkostninger (herunder rimelige udgifter til advokatbistand), tab, ansvar, bøder, udgifter eller skader, som er en følge af misligholdelse af denne Aftale, herunder ved manglende overholdelse af gældende persondatalovgivning.

7. Ikrafttrædelse og ophør

1. Aftalen træder i kraft samtidig med Hovedaftalen.

2. I tilfælde af opsigelse af Hovedaftalen skal denne Aftale også ophøre. Databehandleren er dog forpligtet af denne Aftale, så længe denne behandler personoplysninger på vegne af den Dataansvarlige.

3. I tilfælde af Aftalens ophør er den Dataansvarlige berettiget til at forlange, at personoplysningerne tilbageleveres på et af den Dataansvarlige valgt medie, eller at de slettes.

8. Lovvalg og værneting

1. Denne Aftale reguleres af dansk ret.

2. Ethvert krav og enhver tvist, der udspringer eller på anden måde er forbundet med denne Aftale, skal afgøres ved den instans som er nævnt i Hovedaftalen.

9. Underskrifter

1. Denne Aftale er underskrevet i to enslydende, originale eksemplarer, hvoraf hver Part modtager et eksemplar.

***

På vegne af den Dataansvarlige:

_________________________________

Navn:

Dato og sted:

På vegne af Databehandleren:

_________________________________

Navn:

Dato og sted: