Tel: 70 26 48 50
Opret din support sag       Remote support 

Databehandleraftale

Parterne, databehandleraftalen er indgået mellem

Kunden

(“Den dataansvarlige”)

og

A-One Solutions ApS

CVR-nr. 28702248

Herstedvang 7A, 1. th

2620 Albertslund

(“Databehandleren”)

(Den Dataansvarlige og Databehandleren kaldes tilsammen ”Parterne” og hver for sig en ”Part”)

  1. Baggrund og Formål

1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Hovedaftalen. Hovedaftalen kan bestå af en særskilt aftale, aftale indgået pr. e-mail, eller alternativt bestå af en udspecificeret faktura hvoraf de omhandlende ydelser og eller produkter fremgår. I den forbindelse kan Databehandleren behandle eller få adgang til personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag (”Databehandleraftalen”)

1.2 Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig:

  • persondataloven (lov 2000-05-31 nr. 429 med senere ændringer)
  • persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne får virkning.
  1. Omfang

2.1 Databehandleren bemyndiges til at fortage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen. Personoplysningerne er på den dataansvarliges ansvar nærmere defineret i Bilag A.

2.2 Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”), som nærmere uddybet i Hovedaftalen, og nedenfor. Hovedaftalen samt denne Databehandleraftale inkl. bilag udgør Instruksen på underskriftstidspunktet.

Instruks:

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:

  • Opbevaring af oplysningerne på den/de dertil indrettede server/ere og løsning/er
  • Løbende IT-support, hvilket giver databehandleren direkte eller indirekte adgang til oplysningerne
  • Ad hoc support og/eller opgaver på vegne af den dataansvarlige, hvilket giver databehandleren direkte eller indirekte adgang til oplysningerne
  • Back up af oplysningerne

2.3 Uanset foranstående kan punkter i denne Databehandleraftale alene ændres efter aftale mellem Parterne.

2.4 Databehandleren må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.

2.5 Uanset Databehandleraftalens ophør skal aftalens punkt 4.1 samt punkt 17 og 19 fortsat have virkning efter Databehandleraftalens ophør.

  1. Varighed

3.1 Databehandleraftalen gælder indtil enten Hovedaftalen ophører eller Databehandleraftalen opsiges eller ophæves.

  1. Databehandlerens forpligtelser (Tekniske og organisatoriske sikkerhedsforanstaltninger)

4.1 Databehandleren har ansvaret for at gennemføre fornødne (a) tekniske og (b) organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i Hovedaftalen i betragtning ved fastlæggelsen af disse foranstaltninger.

4.2 Databehandleren garanterer overfor den Dataansvarlige, at Databehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.

  1. Medarbejderforhold

5.1 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

5.2 Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

5.3 Medarbejdere, der har adgang til personoplysninger i forbindelse med opgavevaretagelse for den Dataansvarlige, skal underskrive en tavshedserklæring. Medarbejdere hos Databehandleren skal desuden overholde reglerne om tavshedspligt i straffelovens § 152, jf. §§ 152 a og 152.

5.4 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, kun behandler disse i overensstemmelse med instruksen i Hovedaftalen.

5.5 Alle personoplysninger, herunder ikke-følsomme personoplysninger, som Databehandleren får adgang til, skal behandles fortroligt.

5.6 Tavshedspligten er gældende også efter, at ansættelsesforholdet hos Databehandleren er ophørt. Tavshedserklæringer opbevares hos Databehandleren i 5 år efter, at en medarbejders ansættelsesforhold er ophørt.

  1. Dokumentation for overholdelse af forpligtelser

6.1 Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren:

  • overholder sine forpligtelser efter denne Databehandleraftale og instruksen i Hovedaftalen.
  • overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.

6.2 Databehandlerens dokumentation heraf skal ske inden rimelig tid.

6.3 Databehandleren skal på skriftlig anmodning bidrage til og give adgang til audit. Databehandleren vederlægges særskilt for sit arbejde i forbindelse hermed, efter Databehandlerens til enhver tid værende timepriser. (Listepris).

6.4 Databehandleren er generelt forpligtet til at bistå den dataansvarlige i det omfang det er nødvendigt for, at den dataansvarlige kan overholde de gældende regler vedrørende persondata. Databehandlerens bistand afregnes efter medgået tid til de til enhver tidværende timepriser. (Listepriser).

6.5 Databehandleren er ikke forpligtet til at følge en anmodning fra den Dataansvarlige, hvis anmodningen strider mod den persondataretlige regulering. Databehandleren skal underrette den Dataansvarlige i det omfang, det er Databehandlerens vurdering, at dette er tilfældet.

  1. Fortegnelser over behandlingsaktiviteter

7.1 Databehandleren skal løbende føre en fortegnelse over behandlingen af personoplysningerne.

7.2 Fortegnelsen skal indeholde følgende af de relevante oplysninger:

  • Kategorier af behandlinger, der foretages på vegne af den Dataansvarlige.
  • Databehandlerens medarbejdere, der fortager databehandling af personoplysningerne.
  • Hvis det er relevant, Underdatabehandlere og disses medarbejdere, der fortager databehandling af personoplysningerne.
  • En generel beskrivelse af tekniske og organisatoriske foranstaltninger, der foretages i forbindelse med behandlingen,
  • Hvis det er relevant, angivelse af tredjelande eller internationale organisationer, hvortil personoplysningerne overføres, samt dokumentation for passende garantier.
  • Kontaktoplysninger på Databehandlerens og Underdatabehandlerens kontaktperson eller databehandlingsrådgiver (hvis udpeget).

7.3 Databehandleren stiller inden rimelig tid efter anmodning fortegnelserne til rådighed for den Dataansvarlige eller enhver relevant tilsynsmyndighed.

  1. Sikkerhedsbrud

8.1 Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).

8.2 Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.

8.3 Databehandleren skal vedligeholde en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende:

  • De faktiske omstændigheder omkring Sikkerhedsbruddet,
  • Sikkerhedsbruddets virkninger, og de trufne afhjælpningsforanstaltninger.

8.4 Fortegnelsen skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne.

  1. Bistand

9.1 Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandler-aftale, herunder ved:

  • besvarelser til registrerede ved udøvelse af disses rettigheder,
  • Sikkerhedsbrud,
  • konsekvensanalyser, og
  • forudgående høringer fra tilsynsmyndighederne.

9.2 Databehandleren skal herunder fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang Databehandleren er den nærmeste hertil.

  1. Den dataansvarliges forpligtelser

10.1 Den Dataansvarlige har følgende forpligtelser

  • at sikre sig, at personoplysningerne er ajourførte.
  • at Instruksen er hensigtsmæssig set i forhold til denne Databehandleraftale og Hovedydelsen.

10.2 Det er den Dataansvarliges ansvar at efterleve Databehandlerens retningslinjer for opbevaring af data, såfremt den Dataansvarlige benytter Databehandlerens udstyr hertil, eksempelvis på en hosted løsning hos Databehandleren. Der henvises til de enhver tid gældende betingelser i Hovedaftalen.

  1. Underdatabehandlere

11.1 Den Dataansvarlige meddeler med Databehandleraftalen sin forudgående generelle skriftlige godkendelse til, at Databehandleren kan gøre brug af en Underdatabehandler.

11.2 Databehandleren skal skriftligt underrette den Dataansvarlige om anvendelse af en Underdatabehandler forud for anvendelsens påbegyndelse. Tilsvarende skal Databehandleren underrette den Dataansvarlige om ophør af brug af en Underdatabehandler.

11.3 Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af denne Databehandleraftale).

11.4 Den Dataansvarlige skal på skriftlig anmodning have udleveret alle aftaler indgået med eventuelle Underdatabehandlere.

11.5 Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige. Al kommunikation med Underdatabehandleren varetages af Databehandleren, med mindre andet særskilt aftales.

11.6 Enhver ændret eller konkretiseret Instruks fra den Dataansvarlige skal straks videregives af Databehandleren til Underdatabehandleren.

11.7 Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan Underdatabehandler i det omfang, der er en rimelig grund hertil.

11.8 Hvis en Underdatabehandler ikke lever op til Instruksen, kan den Dataansvarlige forbyde anvendelse af den pågældende Underdatabehandler.

11.9 Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.

  1. Overførsel til tredjelande og internationale organisationer

12.1 Personoplysninger kan ikke underkastes behandling af Databehandleren eller en Underdatabehandler i et land uden for den Europæiske Union eller EØS (et ”Tredjeland”), eller en international organisation, medmindre den Dataansvarlige giver konkret tilladelse hertil.

12.2 Databehandleren skal underrette den Dataansvarlige om overførslen, inden den finder sted.

12.3 Overførsel af personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.

12.4 I det omfang der sker overførelse af personoplysninger til et tredjeland, bistår den Dataansvarlige uden vederlag herfor Databehandleren ved indgåelse af nødvendige aftaler, eller den Dataansvarlige udsteder bemyndigelse til Databehandleren til at indgå de fornødne aftaler på den Dataansvarliges vegne.

  1. Databehandling udenfor instruksen

13.1 Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt.

13.2 Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.

13.3 Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.

  1. Vederlag og omkostninger
  2. Parterne har alene krav på betaling for opfyldelse af denne Databehandleraftale, hvis dette konkret er angivet heri eller i Hovedaftalen.

14.2 En Part har uanset ovenstående ikke krav på betaling for assistance eller implementering af ændringer i det omfang, sådan assistance eller ændring er en direkte følge af Parternes misligholdelse af denne Databehandleraftale.

  1. Ændring af Instruksen

15.1 Forud for ændringer af Instruksen skal Parterne i videst muligt omfang drøfte, og om muligt aftale, implementeringen af ændringerne, inkl. implementeringstiden og omkostningerne i henhold til hovedaftalen.

  1. Misligholdelse

16.1 Gældende rets almindelige misligholdelsesbeføjelser finder anvendelse på denne Databehandleraftale, samt ligeledes for Hovedaftalen.

  1. Ansvar og ansvarsbegrænsninger

17.1 Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler.

Følgende er ikke omfattet af en evt. ansvarsbegrænsning

  • Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger.
  • Udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtigelser over for en tilsynsmyndighed eller den registrerede samt bøder pålagt af en tilsynsmyndighed eller en domstol, i det omfang sådanne er forårsaget af den anden Parts misligholdelse.
  1. Fortrolighed

18.1 Information vedrørende indholdet af denne Databehandleraftale, de underliggende Hovedydelser, den anden Parts forretning, der enten i forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og diskretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige informationer.

18.2 Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentlig tilgængelig, uden dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende Parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller information, som selvstændigt er udviklet af den modtagende Part.

  1. Ved ophør af hovedaftalen

19.1 Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarlige bortfaller ved Databehandleraftalens eller Hovedaftalens ophør, uanset årsag.

19.2 Databehandleren må fortsat behandle personoplysningerne i op til 6 måneder efter Databehandler-aftalens ophør, i det omfang dette er nødvendigt for at fortage nødvendige lovpligtige foranstaltninger. I samme periode er Databehandleren berettiget til at lade personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure. Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.

19.3 Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.

  1. Forrang

20.1 Såfremt der er modstrid mellem denne Databehandleraftale og aftalen om levering i henhold til Hovedaftalen, har denne Databehandleraftale forrang, med mindre andet følger direkte af Databehandleraftalen.

  1. Accept af Databehandleraftalen

Nærværende databehandleraftale accepteres af den Dataansvarlige (Kunden) ved en af følgende hændelser: ordreafgivelse af produkter eller ydelser hos A-one Solutions, Betaling af faktura fra A-one Solutions eller ved skriftlig tilkendegivelse via mail eller på anden vis og/eller ved indgåelse af en hovedaftale hvor nærværende databehandleraftale er en del af.

A-one Solutions anbefaler den Dataansvarlige til at rekvirere en Databehandleraftale til underskrift af begge parter.

BILAG  A

Formål:

Formålet med og karakteren af databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er:

At levere den mellem parterne aftalte ydelse i form af komplet server og brugersupport, herunder at stille server til rådighed for den dataansvarlige og herigennem opbevarer de personoplysninger som den dataansvarlige vælger at gemme på serveren.

Behandlingen omfatter følgende typer af personoplysninger:

Den dataansvarlige har noteret følgende om de registrerede*:

[beskriv typen af personoplysninger, der behandles].

Eksempelvis:  ”Navn, e-mailadresse, telefonnummer, adresse, cpr-nummer, betalingsoplysninger OSV”

Behandlingen omfatter følgende kategorier af registrerede**:

[beskriv kategorien af registrerede].

Eksempelvis: ”Personer, som enten er kunder eller medarbejdere hos den dataansvarlige”

* Da databehandleren ikke har indflydelse på, eller informationer om hvilke oplysninger, der opbevares på den dataansvarliges servere er det den dataansvarliges ansvar at få udfyldt denne del af bilag A.

** Da databehandleren ikke har indflydelse på, eller informationer om hvilke kategorier af oplysninger, der opbevares på serverne er det den dataansvarliges ansvar at få udfyldt denne del af bilag A.


Ring

Send mail

Kontakt

Skjul

Vis menu
Click here