Databehandleraftale
DATABEHANDLERAFTALE
Den Dataansvarlige og Databehandleren kaldes tilsammen ”Parterne” og hver for sig en ”Part”
1. BAGGRUND OG FORMÅL
1.1. Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere
beskrevet i Parternes særskilte aftale herom, jf. ”Kundeaftalen” herunder kaldet ”Hovedaftalen”.
1.2. I det omfang Databehandleren i henhold til persondataretten behandler personoplysninger på vegne af den
Dataansvarlige og dermed persondataretligt er at betragte som databehandler, gælder følgende
bestemmelser.
2. OMFANG OG INSTRUKS
2.1. Databehandleren bemyndiges til at fortage behandling af personoplysninger på den Dataansvarliges vegne
på vilkårene fastsat i Databehandleraftalen.
2.2. Databehandleren må alene behandle personoplysninger efter dokumenteret instruks. Hovedaftalen og
Databehandleraftalen udgør Instruksen på underskriftstidspunktet. Databehandleren må alene behandle de
overladte personoplysninger med henblik på opfyldelse af Hovedaftalen og må ikke behandle
personoplysningerne til andre formål uden samtykke fra den Dataansvarlige. For at opfylde ”Kundeaftalen”
bemyndiges Databehandleren til at behandle oplysninger i relation til dette.
2.3. Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige. Forud for ændringer af Instruksen skal Parterne drøfte, og aftale, implementeringen af ændringerne, inkl. implementeringstiden og omkostningerne.
2.4. Uanset Databehandleraftalens ophør skal aftalens punkt 11 vedrørende fortrolighed fortsat have virkning efter Databehandleraftalens ophør.
2.5. Parterne har ikke krav på betaling for opfyldelse af denne Databehandleraftale med undtagelse af
Databehandleraftalens punkt 4.5.3.
3. VARIGHED
3.1. Databehandleraftalen gælder indtil Hovedaftalen ophører, eller Databehandleraftalen opsiges eller ophæves.
4. DATABEHANDLERENS FORPLIGTELSER
4.1. Tekniske og organisatoriske sikkerhedsforanstaltninger.
4.1.1. Databehandleren skal, under hensyntagen til det aktuelle tekniske niveau,
implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og
formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og
frihedsrettigheder, gennemføre fornødne tekniske og organisatoriske foranstaltninger for at sikre et
passende sikkerhedsniveau.
4.1.2. Databehandleren garanterer overfor den Dataansvarlige, at Databehandleren vil gennemføre de
passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens
behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige
regulering.
4.2. Medarbejderforhold
4.2.1. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har
forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4.2.2. Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for
hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens
forpligtelser over for den Dataansvarlige.
4.3. Dokumentation for overholdelse af forpligtelser
4.3.1. Databehandleren skal efter skriftlig anmodning fra den Dataansvarlige dokumentere overfor den
Dataansvarlige, at Databehandleren:
- overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.
- overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.
4.3.2. I forbindelse med dokumentationen skal Databehandleren stille alle oplysninger, der er nødvendige for at
påvise overholdelse af de nævnte forhold til rådighed for den Dataansvarlige.
4.3.3. Databehandleren skal efter den Dataansvarliges skriftlige anmodning give mulighed for og bidrage til
revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er
bemyndiget af den Dataansvarlige.
4.3.4. Databehandlerens dokumentation heraf skal ske inden rimelig tid.
4.4. Sikkerhedsbrud
4.4.1. Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige om brud på
persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring,
uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige
(”Sikkerhedsbrud”).
4.4.2. Databehandleren skal herunder fremskaffe de oplysninger, der skal indgå i en anmeldelse til
tilsynsmyndigheden, i det omfang Databehandleren er den nærmeste hertil.
4.4.3. Databehandleren bærer omkostningerne til denne bistand, for så vidt den er nødvendig for at sikre den
Dataansvarliges overholdelse af sine forpligtelser efter persondatareglerne.
4.5. Bidrag til overholdelse af den dataansvarliges forpligtelser
4.5.1. Databehandleren skal organisatorisk og teknisk være i stand til at bidrage til, at den dataansvarlige kan
overholde sine forpligtelser efter persondataforordningens kapitel 3, i det omfang databehandlerens
medvirken kræver det.
4.5.2. Databehandleren bistår den dataansvarlige med overholdelse af sine forpligtelser efter
persondataforordningens artikel 32 og 35-36, i det omfang databehandlerens deltagelse kræver det.
4.5.3. Den Dataansvarlige honorerer Databehandleren særskilt og efter medgået tid og materiale for at
håndtere forespørgsler og opgaver i henhold til Aftalens pkt.4.3, 4.5.1 og 4.5.2. Honoreringen fastsættes
efter Databehandlerens til enhver tid gældende timepriser.
5. DEN DATAANSVARLIGES FORPLIGTELSER
5.1. Den Dataansvarlige skal sikre, at Instruksen er lovlig set i forhold til den til enhver tid gældende
persondataretlige regulering.
5.2. Den Dataansvarlige skal sikre, at Instruksen er hensigtsmæssig set i forhold til denne Databehandleraftale og
Hovedaftalen.
6. UNDERDATABEHANDLERE
6.1. Den Dataansvarlige har accepteret, at Databehandleren må gøre brug af leverandører til behandlingen af
personoplysninger for den Dataansvarlige (”Underdatabehandler”). Databehandleren skal underrette den
dataansvarlige om planlagte tilføjelser eller erstatninger af andre databehandlere og derved give den
dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
6.2. Databehandlerens brug af Underdatabehandleren reguleres af en aftale, som sikrer, at underdatabehandleren
alene behandler data i overensstemmelse med aftalen mellem Databehandleren og den Dataansvarlige. Al
kommunikation med Underdatabehandleren varetages af Databehandleren, medmindre andet særskilt
aftales.
6.3. Underdatabehandleren må alene overføre oplysninger til tredjelande, såfremt det fremgår af aftalen med
Databehandleren.
6.4. Hvis Underdatabehandleren ikke lever op til aftalen med Databehandleren, kan den Dataansvarlige forbyde
anvendelse af den pågældende Underdatabehandler.
6.5. Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme
vis, som var behandling foretaget af Databehandleren selv.
6.6. Ved aftaleindgåelsen benytter Databehandleren følger Underdatabehandlere:
- E-conomic. Vi bruger E-conomic til vores eget regnskab, og så har vi administrator til vores kunders regnskaber, således at vi kan supportere, når der er behov for det.
- Roger. Vi bruger Roger til betaling af leverandørfakturaer.
- Zenegy er vores lønsystem, og her klares nemt og hurtigt udbetaling af løn m.m.
- Pipedrive. Vi bruger Pipedrive som CRM system.
- Dashlane sørger for sikkert at holde styr på alle vores koder til de forskellige systemer vi
har adgang til. - Google apps. Vi bruger google apps til e-mails, dokumenter og kalenderdeling.
7. OVERFØRSEL TIL TREDJELANDE OG INTERNATIONALE ORGANISATIONER
7.1. Databehandleren må ikke overføre personoplysninger til tredjelande medmindre andet skriftlig aftales.
8. MISLIGHOLDELSE
8.1. Reguleringen af misligholdelse i Hovedaftalen finder anvendelse også for denne Databehandleraftale, som
om Databehandleraftalen var en integreret del heraf.
9. ANSVAR OG ANSVARSBEGRÆNSNINGER
9.1. Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler, dog med de
begrænsninger der følger af dette afsnit.
9.2. Parterne fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, tab af goodwill, tab
af besparelser og indtægter, inklusive udgifter til at indvinde mistede indtægter, rentetab og tab af data.
9.3. Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger er ikke omfattet af
ansvarsbegrænsningen i pkt. 10.
10. FORCE MAJEURE
10.1. Databehandleren kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure,
herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer,
valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, afbrydelse af eller
svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos
nøglemedarbejdere, virus samt indtrædelse af force majeure hos underleverandører.
10.2. Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure-situationen varer.
11. FORTROLIGHED
11.1. Information vedrørende indholdet af denne Databehandleraftale, den anden Parts forretning, der enten i
forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin
natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og
diskretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige
informationer.
11.2. Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentlig tilgængelig, uden
dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende
Parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller information, som selvstændigt er udviklet af
den modtagende Part.
12. OPHØR
12.1. Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om
opsigelse og ophævelse i Hovedaftalen.
12.2. Ved databehandleraftalens ophør skal Databehandleren og dennes underdatabehandlere efter den
Dataansvarliges valg enten slette eller tilbagelevere og slette eksisterende kopier af alle personoplysninger,
som Databehandleren har behandlet på vegne af den Dataansvarlige. Den Dataansvarlige kan anmode om
fornøden dokumentation for, at dette er sket.
13. TVISTLØSNING
13.1. Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort endeligt
ved retssag ved de almindelige domstole.