Databehandleraftale

FORMÅL OG BESKRIVELSE AF BEHANDLING

1.1 Databehandleraftalen har til formål at styre og regulere Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige, med henblik på opfyldelse af parternes hovedaftale: (navn på hovedaftale), som er indgået den (Dato)

1.2 Aftalen reguleres af Europa Parlamentets og Rådets forordning EU 2016/2017 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Databeskyttelsesforordningen) samt i Databeskyttelsesloven.

1.3 Formålet er, at Databehandleren skal udføre følgende opgaver på vegne af den Dataansvarlige.

[beskriv opgaver].

1.4 Databehandleren behandler følgende typer personoplysninger vedrørende den Dataansvarlige og den Dataansvarliges kunder.

[beskriv typen af personoplysninger, der behandles].

1.5 Den Dataansvarlige definerer selv, hvilke oplysninger Databehandleren får, og står selv for overdragelsen af disse oplysninger, hvorfor steffenbohnsen.dk er databehandler, jfr. persondatalovens § 3, stk. 5 og artikel 4, stk. 8 i persondataforordningen. Dataansvarlig er ansvarlig for de personoplysninger, som den Dataansvarlige instruerer Databehandler om at behandle. Dataansvarlig har ansvaret for, at de personoplysninger, som Dataansvarlig instruerer Databehandler om at behandle, må behandles af Databehandler, herunder at behandlingen er nødvendig og saglig i forhold til den Dataansvarliges opgavevaretagelse.

1.6 Oplysningerne opbevares, så længe aftalen løber og 6 måneder herefter. Aftalen kan til en hver tid opsiges.

DATABEHANDLERENS FORPLIGTELSER

2.1 Databehandleren må alene behandle de af den Dataansvarlige overførte personoplysninger i overensstemmelse med formålet angivet i pkt. 1.4.

2.2 Databehandler skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter herfor.

2.3 Databehandleren skal sikre, at adgangen til personoplysningerne er begrænset til de medarbejdere, der som led i deres arbejde har behov for adgang til personoplysningerne. Medarbejderne skal underlægges tavshedspligt.

2.4 Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder, skal Databehandleren gennemføre passende tekniske og organisatoriske foranstaltninger. Dette for at sikre et sikkerhedsniveau der passer til disse risici, og på en sådan måde, at behandlingen opfylder kravene i persondatalovgivningen og sikrer beskyttelse af den registreredes rettigheder.

2.5 Databehandleren skal uden unødig forsinkelse efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden eller fortroligheden underrette den Dataansvarlige herom. Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige i forhold til afklaring af bruddet på persondatasikkerheden, herunder i forbindelse med anmeldelse til Datatilsynet og/eller de registrerede.

2.6 Databehandleren vil på den Dataansvarliges anmodning give denne tilstrækkelige oplysninger til, at den Dataansvarlige kan påse, at kravene i Databeskyttelsesforordningen samt Databeskyttelsesloven overholdes.

2.7 Den Dataansvarlige, eller en tredjemand udpeget af den Dataansvarlige, kan med rimeligt varsel få adgang til Databehandlerens systemer, der vedrører behandling omfattet af Databehandleraftalen. Den Dataansvarlige kan kun kræve at få adgang til de dele af systemerne, der indeholder den Dataansvarliges data, og adgangen kan kun gives ved, at den Dataansvarlige, eller tredjemand udpeget af den Dataansvarlige, er tilstede på et af Databehandlerens kontorer, og at minimum en af Databehandlerens ansatte deltager. Den Dataansvarlige afholder selv omkostningerne hertil.

BRUG AF UNDERDATABEHANDLER(E) OG VIDEREGIVELSE

3.1 Den dataansvarlige har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:

(Underdatabehandler 1)

(Underdatabehandler 2)

3.2 Det er en forudsætning for antagelse af en underdatabehandler, at denne lever op til de databeskyttelsesforpligtelser og kontraktuelle betingelser, som dem der er fastsat i nærværende aftale, herunder at underdatabehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelsesforordningen samt Databeskyttelsesloven.

3.3. Databehandler indgår skriftlig (under)databehandleraftale med alle underdatabehandleren.

3.4. Underdatabehandleraftalen skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som Databehandler er pålagt, herunder at underdatabehandleren garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling til enhver tid opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

3.5 Dataansvarlig kan til enhver tid forlange dokumentation fra Databehandler for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Databehandler anvender i forbindelse med opfyldelsen af sine forpligtelser over for Dataansvarlig.

3.6 Al kommunikation mellem Dataansvarlig og underdatabehandleren skal ske via Databehandler.

3.7 Hvis underdatabehandleren ikke opfylder sine forpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

FORTROLIGHED

4.1 Al information, der afgives eller modtages i forbindelse med denne aftale, er fortrolig information.

4.2 Fortrolig information skal behandles strengt fortroligt og må ikke anvendes eller videregives til nogen tredjepart, medmindre dette sker til opfyldelse af denne aftale eller er påkrævet af Databeskyttelsesforordningen og/eller dansk lov.

4.3 Ved ophør af denne aftale skal Databehandler slette alle informationer og al materiale modtaget i forbindelse med samarbejdet mellem Dataansvarlig og Databehandler.

MISLIGHOLDELSE

5.1 I tilfælde af Databehandlers eller Dataansvarligs væsentlige misligholdelse af aftalen, kan den ikkemisligholdende part ophæve aftalen. Ophævelse kan dog tidligst ske 20 arbejdsdage efter, at den ikkemisligholdende part har fremsendt skriftligt påkrav vedrørende misligholdelsen til den misligholdende part med krav om udbedring inden en frist på ikke under 5 arbejdsdage.

5.2 Såfremt udbedring er sket inden for den angivne frist, jf. pkt. 5.1 kan ophævelse ikke ske.

5.3 Databehandler er erstatningsansvarlig efter dansk rets almindelige regler, dog ikke for indirekte tab og følgeskader, medmindre der er udvist forsæt eller grov uagtsomhed.

LOVVALG OG VÆRNETING

6.1 Databehandleraftalen reguleres af dansk ret.

6.2 Ethvert krav og enhver tvist, der udspringer eller på anden måde er forbundet med denne Databehandleraftale, skal afgøres ved byretten i Svendborg

6.3 Lokalitet for behandling

Behandling af de i aftalen omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end de følgende:

Steffenbohnsen.dk – Gl. Stenderupvej 31, 5672 Broby, DK

(Underdatabehandler 1)

(Underdatabehandler 2)

IKRAFTTRÆDELSE OG OPHØR

7.1 Denne aftale træder i kraft ved begge parters underskrift heraf.

7.2 Databehandleren er forpligtet af Databehandleraftalen, så længe denne behandler personoplysninger på vegne af den Dataansvarlige.

7.3 Databehandleraftalen bortfalder automatisk ved opsigelse af samarbejdet mellem den Dataansvarlige og Databehandleren eller til det tidspunkt, hvor Databehandleren ikke længere behandler personoplysninger for den Dataansvarlige.