Databehandleraftale (DPA)
1. BAGGRUND OG FORMÅL
1.1. Denne databehandleraftale er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
1.2. Denne databehandleraftale skal regulere Databehandlerens behandling af personoplysninger, som sker med henblik på opfyldelse af de mellem parterne indgående aftaler, som er oplistet i Bilag 1 (herefter ”Samarbejdsaftalen og de hertil knyttede produkter og services”).
1.3. Parterne i denne aftale består af CompanYoung A/S herefter "Databehandleren" og Kunden, herefter "den Dataansvarlige"
1.4. Databehandlerens behandling af personoplysninger må udelukkende ske i henhold til de formål og instrukser som fremgår af Samarbejdsaftalen og de hertil knyttede produkter og services.
1.5.Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder de aftaler, som fremgår af Samarbejdsaftalen og de hertil knyttede produkter og services.
2. DEN DATAANSVARLIGES FORPLIGTELSER OG RETTIGHEDER
Den dataansvarlige har som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af Databeskyttelsesforordningen og de, af de enkelte EU-medlemsstater vedtagne, udfyldende regler. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
3. DATABEHANDLEREN HANDLER EFTER INSTRUKS
3.1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Instruksen følger af Samarbejdsaftalen og de hertil knyttede produkter og services.
3.2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4. FORTROLIGHED
4.1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
4.2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige jf. Samarbejdsaftalen og de hertil knyttede produkter og services.
4.3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.
5. BEHANDLINGSSIKKERHED
5.1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32.
5.2. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sikkerhedsforanstaltninger vil fremgå af parternes aftale om en konkret ydelse eller service.
5.3. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a.
- Evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
- Evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
- Specifikke procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
6. ANVENDELSE AF UNDERDATABEHANDLERE
6.1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
6.2. Databehandleren må således ikke gøre brug af andre databehandlere (underdatabehandler) til opfyldelse af databehandleraftalen udover de som er angivet på 3. parter og sub-processors.
6.3.Databehandleren skal løbende opdatere oversigten og underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
6.4. Databehandleren forpligter sig til at sikre, at alle underdatabehandlere, som Databehandleren anvender, pålægges de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale. Hvis underdatabehandleren ikke opfylder de databeskyttelsesforpligtelser som følger af den til enhver tid gældende persondatalovgivning, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
6.5. Underdatabehandleraftalen skal fremsendes til den Dataansvarlige på dennes forlangende, dog med undtagelse af rent kommercielle forhold mellem Databehandleren og underdatabehandleren, som ikke vedrører de databeskyttelsesmæssige forpligtelser.
6.6. Såfremt den Dataansvarlige måtte ønske at instruere underdatabehandlere direkte, bør dette alene ske efter drøftelse med og via Databehandleren. Hvis den Dataansvarlige afgiver instruks direkte overfor underdatabehandlere, skal den Dataansvarlige senest samtidig underrette Databehandleren om instruksen og baggrunden for denne.
6.7. Hvor den Dataansvarlige instruerer underdatabehandlere direkte, a) er Databehandleren fritaget for ethvert ansvar, og enhver følge af sådan instruks er alene den Dataansvarliges ansvar, b) hæfter den Dataansvarlige for enhver omkostning, som instruksen måtte medføre for Databehandleren, herunder er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige time-takst for al arbejdstid, som en sådan direkte instruks måtte medføre for Databehandleren og c) den Dataansvarlige er selv ansvarlig overfor underdatabehandlere for enhver omkostning, vederlag eller anden betaling til underdatabehandleren, som den direkte instruks måtte medføre.
7. OVERFØRSEL AF OPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER
7.1 Databehandleren anvender i visse tilfælde databehandlere uden for EU. Databehandleren sikrer at der udelukkende foretages overførsel af personoplysninger til tredjelande eller internationale organisationer på et forsvarligt grundlag og i overensstemmelse med EU kommissionens afgørelse om standardkontraktbestemmelser for videregivelse af personoplysninger.
8. BISTAND TIL DEN DATAANSVARLIGE
8.1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
8.2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.
8.3. Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til Persondataforordningens kapitel III, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af Databehandleren. Modtager Databehandleren sådan henvendelse fra den registrerede, orienterer Databehandleren den Dataansvarlige herom snarest muligt. Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, herunder til under-databehandleren. Databehandlerens bistand afregnes til Databehandlerens til enhver tid gældende timetakst for sådant arbejde.
9. UNDERRETNING OM BRUD PÅ PERSONDATASIKKERHEDEN
9.1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.
Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 36 timer efter at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.
9.2. I overensstemmelse med denne aftales afsnit 9.2., litra b, skal databehandleren - under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden, ved at tilvejebringe nedenstående oplysninger:
a. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
b. Sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger
10. SLETNING OG TILBAGELEVERING AF OPLYSNINGER
Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret tillader opbevaring af personoplysningerne.
11. TILSYN OG REVISION
11.1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
11.2.Databehandleren lader én gang årligt den Dataansvarlige foretage en revision af databehandleren med henblik på at dokumentere at denne overholder sine forpligtelser efter artikel 28 og denne aftale. Databehandleren stiller i denne forbindelse den nødvendige dokumentation til rådighed, og giver den dataansvarlige adgang til sagligt relevante fysiske lokationer i forbindelse med revisionen.
11.3. Såfremt den Dataansvarlige ønsker at få udarbejdet en sikkerhedsrevisionsrapport udover det i pkt. 11.2 omtalte, eller at der i øvrigt foretages tilsyn af Databehandlerens eller underdatabehandlerens persondatabehandling, herunder såfremt den Dataansvarlige ønsker sikkerhedsrevisionsrapport udarbejdet på et nærmere bestemt tidspunkt, aftales dette nærmere - også hvor der er tale om tilsyn i forhold til underdatabehandlere - med Databehandleren.
11.4. Den Dataansvarlige afholder alle omkostninger i forbindelse hermed, herunder til underdatabehandlere. Databehandleren er berettiget til at kræve at sådant tilsyn hos Databehandleren eller underdatabehandlere alene foretages af en alment anerkendt og uafhængig tredjepart, som beskæftiger sig med sådanne forhold, og som er underlagt fortrolighed omkring alle relevante forhold, som der måtte opnås kendskab til i forbindelse med tilsynet, herunder personoplysninger.
11.5. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
12. IKRAFTTRÆDEN OG OPHØR
12.1. Databehandleraftalen træder i kraft ved indgåelsen af en eller flere aftaler mellem den Dataansvarlige og Databehandleren, dog tidligst den 25. maj 2018, og er gældende frem til de af Samarbejdsaftalen og de hertil knyttede produkter og services omfattede tjenesteydelser og leverancer opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse eller ophævelse i aftalerne om levering af de pågældende tjenesteydelser og leverancer.
12.2. Databehandleraftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
12.3. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af Samarbejdsaftalen og de hertil knyttede produkter og services.
12.4. Databehandleraftalen er gældende, så længe behandlingen består. Uanset Samarbejdsaftalen og de hertil knyttede produkter og servicess og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.
Bilag
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er nedenfor inddelt i de services, som udbydes af databehandleren. Hvert link refererer derfor til de specifikke instrukser der gives til Databehandleren på baggrund af hvilke produkter og services der er tilkøbt i Samarbejdsaftalen.
Såfremt den dataansvarlige benytter sig af flere services, henvises der til de enkelte punkter: