<!DOCTYPE html>
<html>
<head>
<title>Page Title</title>
</head>
<body>
<h1>DATABEHANDLERAFTALE</h1>
<p><b>1. Aftalens omfang</b></p>
<p>1.1
Denne Databehandleraftale (herefter ”Aftale”) vedrører behandlingen af de personoplysninger, som Databehandleren behandler på vegne af den Dataansvarlige, idet Databehandleren findes at kunne stille de fornødne garantier for, at det vil gennemføre de passende tekniske og organisatoriske foranstaltninger, således at behandlingen opfylder kravene i henholdsvis Persondataforordningen, Databeskyttelsesloven samt sikrer beskyttelsen af den registreredes rettigheder.</p>
<p>1.2
Aftalen vedrører Databehandlerens forpligtelse til at efterleve de forpligtelser og sikkerhedskrav, som fremgår af Europa-Parlamentets og Rådets forordning (EU 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Persondataforordningen), særligt artikel 15-22, 28, 32-36, 40, 42-43 samt Databeskyttelsesloven i sin helhed.</p>
Såfremt Aftalen indgås før den 25. maj 2018 vil Lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven), særligt § 42, jf. § 41, tillige finde anvendelse.
<p>1.3
Genstanden for behandlingen er personoplysningerne, behandlingens karakter og formål, typen af personoplysninger og kategorierne af de registrerede er positivt angivet i bilag 1 til Aftalen, der dermed udgør den Dataansvarliges instruks til Databehandleren.</p>
<p>1.4
Varigheden af behandlingen er sammenfaldende med den periode, hvor nærværende Aftale opretholdes. Aftalen er gældende fra tidspunktet for underskrift af begge parter, jf. pkt. 8.1., og indtil Aftalen opsiges eller bortfalder ved opsigelse af hovedaftale/kontrakt.</p>
Aftalen kan opsiges af henholdsvis den Dataansvarlige eller Databehandleren med et skriftligt opsigelsesvarsel på 3 måneder, regnet fra den 1. i den førstkommende måned.
<p><b>2. Databehandlerens ansvar og sikkerhed</b></p>
<p>2.1 Databehandleren handler på vegne af den Dataansvarlige, når Databehandleren handler efter instruks fra den dataansvarlige, hvor instruksen skal være dokumenterbar forinden behandlingen foretages, medmindre behandlingen kræves af EU-ret eller national lovgivning, som Databehandleren er underlagt.</p>
I sidstnævnte fald skal Databehandleren underrette den Dataansvarlige om det retlige krav forinden behandlingen foretages, medmindre den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.</br>
<br>Kravet om instruks indebærer, at Databehandleren ikke må behandle personoplysninger til andre end de formål, som den Dataansvarlige har fastsat. Databehandlerens overtrædelse heraf medfører, at det skal betragtes som en selvstændig Dataansvarlig, der selvstændigt skal efterleve bl.a. forordningens krav, herunder tilvejebringe et behandlingsgrundlag.</br>
<br>Dokumentationskravet, der omhandler at instruksen skal kunne dokumenteres, er et gensidigt krav, dermed forstået at såvel den Dataansvarlige som Databehandleren skal kunne dokumentere instruksen, således Parterne kan sikre, at kravene til persondatabehandlingen efterleves i den konkrete behandling af personoplysningerne.</br>
<br>Instruksen, der danner grundlaget for nærværende Aftale, findes i bilag 1, jf. pkt. 1.3.</br>
<p>2.2
Databehandleren må ikke behandle oplysninger om de registrerede til andre formål end de, der er angivet af den Dataansvarlige og som er nødvendige for den Dataansvarliges anvendelse og drift. Databehandleren må således ikke behandle oplysningerne til egne formål.</p>
<p>2.3
Databehandleren skal omgående underrette den Dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med Persondataforordningen, Persondataloven, Databeskyttelsesloven, Sikkerhedsbekendtgørelsen eller øvrige databeskyttelsesbestemmelser i anden EU-ret eller national ret.</p>
<p>2.4
Databehandleren skal træffe alle de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om handling af personoplysninger.</p>
Sikkerhedsforanstaltningerne, under hensyn til det aktuelle niveau og omkostningerne forbundet med deres iværksættelse, skal tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de personoplysninger, der skal beskyttes.
<p>2.5
Databehandleren har en selvstændig pligt til at efterleve kravene til behandlingssikkerheden, da forpligtelsen i medfør af dansk persondataret eksisterer uanset aftaleforholdet mellem Databehandleren og den Dataansvarlige.</p>
<p>2.6
Ovenstående sikkerhedsbestemmelser gælder ligeledes i det omfang, Databehandleren gør brug af hjemmearbejdspladser.</p>
<p>2.7
Databehandleren skal sikre, at kun relevante ansatte for behandlingen autoriseres hertil og dermed opnår adgang til de personoplysninger, der behandles.</p>
<p>2.8
Databehandleren opbevarer, som led i denne aftale, de registrerede personoplysninger og påtager sig i denne forbindelse ansvaret for, at oplysningerne behandles med en tilstrækkelig datasikkerhed, jf. pkt. 2.4. ovenfor.</p>
<p>2.9
Databehandleren skal på opfordring fra den Dataansvarlige hjælpe med at opfylde den Dataansvarliges forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra de registrerede om indsigt i egne oplysninger, udlevering af de registreredes oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af de registreredes oplysninger samt den Dataansvarliges forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud.</p>
<p>2.10
Databehandler skal straks underrette den Dataansvarlige ved ethvert sikkerhedsbrud, regnet fra det tidspunkt, hvor Databehandleren blev opmærksom på, at der var sket et brud på persondatasikkerheden eller burde have fået kendskab hertil, samt løbende føre en fortegnelse over disse, der skal indeholde de faktiske omstændigheder ved bruddet, dets virkninger og de trufne foranstaltninger.</p>
Underretningen til den Dataansvarlige skal mindst:
<ol type="a">
<li type="a">beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger,</li>
<li type="a">angive navn på og kontaktoplysninger for Databeskyttelsesrådgiveren (DPO) eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes,</li>
<li type="a">beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden,</li>
<li type="a">beskrive de foranstaltninger, som Databehandleren har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadesvirkninger.</li>
</ol type="a">
Såfremt det ikke er muligt, at afgive førnævnte oplysninger samlet, skal oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.
<p><b>3. Underdatabehandlere</b></p>
<p>3.1
Databehandleren er afskåret fra at benytte Underdatabehandlere, uanset om Underdatabehandleren er etableret inden- eller udenfor EU/EØS, medmindre Databehandleren forinden har fået en forudgående specifik eller generel skriftlig godkendelse fra den Dataansvarlige.</p> I tilfælde af generel skriftlig godkendelse skal Databehandleren underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af Underdatabehandlere og derved give den Dataansvarlige mulighed for, at gøre indsigelse mod sådanne ændringer.
<p>3.2
Hvis Databehandleren overlader behandlingen eller en del af behandlingsaktiviteten af den Dataansvarliges personoplysninger til en Underdatabehandler, hvortil den Dataansvarlige har givet en forudgående eller generel skriftlig godkendelse, skal Databehandleren indgå en skriftlig Underdatabehandleraftale med Underdatabehandleren.</p>
<p>3.3
Førnævnte Underdatabehandleraftale skal som minimum pålægge Underdatabehandleren de samme databeskyttelsesforpligtelser, som Databehandleren er pålagt efter nærværende aftale og skal foreligge skriftligt, herunder elektronisk.</p> Såfremt Underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af Underdatabehandlerens forpligtelser.
<p><b>4. Persondataoverførsler til andre lande</b></p>
<p>4.1
Databehandleren eller dennes Underdatabehandler må ikke overføre eller tillade overførsel af personoplysninger til udlandet, således at personoplysningerne alene behandles nationalt, medmindre den Dataansvarlige har givet skriftligt samtykke hertil eller det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. I sidstnævnte tilfælde underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige hensyn.</p>
<p><b>5. Kontroller og erklæringer</b></p>
<p>5.1
Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet, bistå med at anmelde brud på persondatasikkerheden til Datatilsynet, eller den til enhver tid værende tilsynsmyndighed, bistå den Dataansvarlige med sin forpligtelse til at udarbejde konsekvensanalyser, herunder foretage forudgående høring af tilsynsmyndigheden samt bistå med opfyldelsen af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder.</p>
<p>5.2
Det er herudover aftalt, at Databehandleren én gang årligt vederlagsfrit fremsender dokumentation for, at sikkerhedsforanstaltningerne er truffet, og at der føres tilsyn med, at de overholdes. Dette skal ske i form af en erklæring udarbejdet af en uafhængig tredjemand udarbejdet af et advokatkontor, der er specialiseret i persondataret. Erklæringen skal omfatte både Databehandlerens og eventuelle underdatabehandleres databehandling. Den første erklæring skal foreligge 12 måneder efter aftalens indgåelse.</p>
<p>5.3
Databehandleren er forpligtet til at oplyse med præcise adresseangivelser, hvor den Dataansvarliges personoplysninger opbevares. Databehandleren skal ajourføre oplysningerne overfor den Dataansvarlige ved enhver ændring.</p>
<p>5.4
Databehandleren er forpligtet til at oplyse, hvilke Underdatabehandlere, der eventuelt anvendes. Databehandleren skal ajourføre oplysningerne overfor den Dataansvarlige ved enhver ændring.</p>
<p>5.5
I tilfælde af, at den Dataansvarlige og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter Databehandleren og dets Underdatabehandlere sig til vederlagsfrit at stille tid og ressourcer til rådighed herfor.</p>
<p><b>6. Udlevering og sletning af data</b></p>
<p>6.1
Ved aftalens opgør er den Dataansvarlige berettiget til at få udleveret alle data, som aftalen omfatter, uanset årsagen til aftalens ophør.</p>
<p>6.2
Udlevering af data og informationer skal ske til den Dataansvarlige og/eller til en af den Dataansvarlige udpeget tredjemand i et læsbart format.</p>
<p>6.3
Databehandleren skal, efter den Dataansvarliges skriftlige anvisninger, slette data eller informationer af enhver art – herunder eventuelle kopier/backup, der er kommet i leverandørens besiddelse i medfør af Aftalen, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.</p>
<p>6.4
Databehandleren skal fremsende dokumentation for, at den påkrævede sletning, jf. pkt. 6.3., er foretaget.</p>
<p>6.5
Databehandleren skal foretage den påkrævede sletning, jf. pkt. 6.3., i henhold til gældende internationale standarder for de anvendte typer af lagringsmedier (fx NIST 800-88). Anvendes tredjepart til destruktion af lagringsmedier, skal dette ske under opsyn af den Dataansvarlige samt efter den Dataansvarliges instruks.</p>
<p>6.6
Såfremt der benyttes Underdatabehandlere, vil disse tillige være forpligtede til at foretage sletning og/eller tilbagelevering af persondata i overensstemmelse med ovennævnte, jf. pkt. 6.1.-6.5.</p>
<p><b>7. Tavshedspligt</b></p>
<p>7.1
Databehandleren og dennes medarbejdere skal iagttage ubetinget tavshed med hensyn til oplysninger om den Dataansvarlige, de registreredes eller andres forhold og data, som de opnår kendskab til i forbindelse med opfyldelse af Aftalen. Databehandleren skal pålægge eventuelle Underdatabehandlere, dets medarbejdere og andre, der bistår Databehandleren i forbindelse med opfyldelse af aftalen og får adgang til fortrolige data, en tilsvarende forpligtelse.</p>
<p>7.2
Tavshedspligten ophører ikke ved Aftalens ophør eller medarbejderes ansættelsesophør.</p>
<p><b>8. Underskrifter</b></p>
<p>8.1 Samtykke til denne aftale er bekræftet ved afkrydsning på online formular på ansøgning til certificeringsaftale</p>
</body>
</html>