Log på
Log på

GDPR

Databehandleraftale
Standardkontraktbestemmelser

I henhold til artikel 28, stk. 3 i forordning 2016/679 (GDPR)

mellem

Virksomheden, der anvender CXFacts-løsningen

(dataansvarlig)

og

CXFacts ApS
CVR-nr. 42540641

Lejrvej 19
3500 Værløse
Danmark

(databehandler)

hver en ‘part’; tilsammen ‘parterne’

HAR AFTALT følgende kontraktbestemmelser (Bestemmelserne) for at opfylde GDPR’s krav og sikre beskyttelse af den registreredes rettigheder.

1. Indholdsfortegnelse
2. Indledning
3. Dataansvarliges rettigheder og forpligtelser
4. Databehandlerens instrukser
5. Fortrolighed
6. Sikkerhed i behandlingen
7. Anvendelse af underdatabehandlere
8. Overførsel af data til tredjelande eller internationale organisationer
9. Assistance til den dataansvarlige
10. Meddelelse om brud på persondatasikkerheden
11. Sletning og tilbagelevering af data
12. Revision og inspektion
13. Parternes aftale om andre vilkår
14. Ikrafttrædelse og ophør
15. Dataansvarliges og databehandlerens kontaktpunkter

Appendiks A: Information om behandlingen
Appendiks B: Autoriserede underdatabehandlere
Appendiks C: Instruktion vedrørende brugen af persondata
Appendiks D: Parternes vilkår for aftale om andre emner

2. Indledning

  1. Disse kontraktbestemmelser (Bestemmelserne) fastsætter dataansvarliges og databehandlerens rettigheder og forpligtelser ved behandling af persondata på vegne af den dataansvarlige.

  2. Bestemmelserne er designet til at sikre parternes overholdelse af artikel 28, stk. 3 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af persondata og om fri udveksling af sådanne data og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

  3. I forbindelse med adgang til platformen leveret af CXFacts (“Løsningen”) vil databehandleren behandle persondata på vegne af dataansvarlig i henhold til Bestemmelserne.

  4. Bestemmelserne har forrang frem for lignende bestemmelser i andre aftaler mellem parterne.

  5. Fire appendikser er vedhæftet Bestemmelserne og udgør en integreret del af Bestemmelserne.

  6. Appendiks A indeholder oplysninger om behandlingen af persondata, herunder formålet med og arten af behandlingen, typen af persondata, kategorier af registrerede personer og varigheden af behandlingen.

  7. Appendiks B indeholder dataansvarliges betingelser for databehandlerens brug af underdatabehandlere samt en liste over de underdatabehandlere, som dataansvarlige har godkendt.

  8. Appendiks C indeholder dataansvarliges instrukser vedrørende behandlingen af persondata, de minimumskrav til sikkerhedsforanstaltninger, som databehandleren skal implementere, og hvordan revisioner af databehandleren og eventuelle underdatabehandlere skal udføres.

  9. Appendiks D indeholder bestemmelser om andre aktiviteter, der ikke er omfattet af Bestemmelserne.

  10. Bestemmelserne og appendikserne skal opbevares skriftligt, herunder elektronisk, af begge parter.

  11. Bestemmelserne fritager ikke databehandleren fra forpligtelser, som databehandleren er underlagt i henhold til GDPR eller anden lovgivning.

3. Dataansvarliges rettigheder og forpligtelser

  1. Dataansvarlige er ansvarlig for at sikre, at behandlingen af persondata finder sted i overensstemmelse med GDPR (jf. artikel 24 i GDPR), gældende EU- eller medlemsstatsbestemmelser om databeskyttelse og Bestemmelserne.

  2. Dataansvarlige har ret og pligt til at træffe beslutninger om formål og midler til behandlingen af persondata.

  3. Dataansvarlige er ansvarlig for at sikre, at behandlingen af persondata, som databehandleren instrueres til at udføre, har et lovligt grundlag.

4. Databehandleren handler i henhold til instrukser

  1. Databehandleren skal kun behandle persondata på dokumenterede instruktioner fra dataansvarlige, medmindre det er påkrævet i henhold til EU- eller medlemsstatslovgivning, som databehandleren er underlagt. Sådanne instruktioner er specificeret i appendikserne A og C. Efterfølgende instruktioner kan også gives af dataansvarlige i løbet af behandlingsperioden, men disse instruktioner skal altid dokumenteres og opbevares skriftligt, herunder elektronisk, i forbindelse med Bestemmelserne.

  2. Databehandleren skal straks underrette dataansvarlige, hvis instruktionerne givet af dataansvarlige efter databehandlerens opfattelse er i strid med GDPR eller gældende EU- eller medlemsstatsbestemmelser om databeskyttelse.

5. Fortrolighed

  1. Databehandleren må kun give adgang til persondata, der behandles på vegne af dataansvarlige, til personer under databehandlerens myndighed, som har forpligtet sig til fortrolighed eller er underlagt en passende lovpligtig forpligtelse til fortrolighed og kun på et behov-for-viden grundlag. Listen over personer, der har fået adgang, skal gennemgås regelmæssigt. På baggrund af denne gennemgang kan en sådan adgang til persondata trækkes tilbage, hvis adgang ikke længere er nødvendig, og persondata vil derfor ikke længere være tilgængelig for de pågældende personer.

  2. Databehandleren skal på dataansvarliges anmodning dokumentere, at de pågældende personer under databehandlerens myndighed er underlagt ovennævnte fortrolighedsforpligtelse.

6. Sikkerhed i behandlingen

  1. Artikel 32 i GDPR fastsætter, at dataansvarlige og databehandleren under hensyntagen til teknologiens tilstand, implementeringsomkostninger og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder, skal implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen.
  2. Databehandleren skal uafhængigt af dataansvarlige vurdere risici for fysiske personers rettigheder og friheder ved behandlingen og implementere foranstaltninger til at mindske disse risici. Til dette formål skal dataansvarlige give databehandleren alle nødvendige oplysninger for at identificere og vurdere disse risici.
  3. Databehandleren skal desuden bistå dataansvarlige med at sikre overholdelse af dataansvarliges forpligtelser i henhold til artikel 32 i GDPR, herunder ved at give dataansvarlige oplysninger om de tekniske og organisatoriske foranstaltninger, som databehandleren allerede har implementeret i henhold til artikel 32 GDPR, samt alle andre nødvendige oplysninger for at dataansvarlige kan overholde deres forpligtelser i henhold til artikel 32 i GDPR.

7. Anvendelse af underdatabehandlere

    1. Databehandleren skal opfylde kravene i artikel 28, stk. 2 og 4 i GDPR for at inddrage en anden behandler (en underdatabehandler).

    2. Databehandleren må derfor ikke anvende en anden behandler (underdatabehandler) til opfyldelse af Bestemmelserne uden forudgående generel skriftlig godkendelse fra dataansvarlige.

    3. Databehandleren har dataansvarliges generelle godkendelse til anvendelse af underdatabehandlere. Databehandleren skal skriftligt informere dataansvarlige om enhver planlagt ændring vedrørende tilføjelse eller udskiftning af underdatabehandlere mindst tre måneder i forvejen, hvilket giver dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden engagement af de berørte underdatabehandlere.

    4. Hvis databehandleren anvender en underdatabehandler til at udføre specifikke behandlingsaktiviteter på vegne af dataansvarlige, skal de samme databeskyttelsesforpligtelser, som er fastsat i Bestemmelserne, pålægges denne underdatabehandler ved hjælp af en kontrakt eller anden juridisk handling under EU-lovgivning eller medlemsstatslovgivning.

8. Overførsel af data til tredjelande eller internationale organisationer

  1. Enhver overførsel af persondata til tredjelande eller internationale organisationer af databehandleren må kun ske på baggrund af dokumenterede instruktioner fra dataansvarlige og skal altid finde sted i overensstemmelse med GDPR’s kapitel V.

  2. Hvis overførsler til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at udføre af dataansvarlige, er krævet i henhold til EU- eller medlemsstatslovgivning, skal databehandleren underrette dataansvarlige om dette krav, medmindre loven forbyder sådan underretning.

9. Assistance til dataansvarlige

  1. Under hensyntagen til behandlingens karakter skal databehandleren assistere dataansvarlige med tekniske og organisatoriske foranstaltninger, i det omfang det er muligt, til opfyldelse af dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af den registreredes rettigheder, som fastlagt i GDPR kapitel III.

  2. Udover databehandlerens forpligtelse til at bistå dataansvarlige i henhold til pkt. 6.3 skal databehandleren yderligere bistå dataansvarlige med at sikre overholdelse af:
    a. Dataansvarliges forpligtelse til uden unødig forsinkelse at anmelde brud på persondatasikkerheden til Datatilsynet.
    b. Dataansvarliges forpligtelse til at informere de registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre høj risiko for rettigheder og friheder for fysiske personer.

10. Meddelelse om brud på persondatasikkerheden

  1. I tilfælde af et brud på persondatasikkerheden skal databehandleren uden unødig forsinkelse underrette dataansvarlige om bruddet.

11. Sletning og tilbagelevering af data

  1. Ved ophør af leveringen af persondatabehandlingstjenester skal databehandleren være forpligtet til at slette alle persondata, der behandles på vegne af dataansvarlige, og bekræfte over for dataansvarlige, at dette er sket.

12. Revision og inspektion

  1. Databehandleren skal give dataansvarlige alle nødvendige oplysninger for at demonstrere overholdelse af forpligtelserne i artikel 28 og Bestemmelserne og tillade og bidrage til revisioner, herunder inspektioner, foretaget af dataansvarlige eller en anden revisor bemyndiget af dataansvarlige.

13. Parternes aftale om andre vilkår

  1. Parterne kan aftale andre vilkår vedrørende leveringen af persondatabehandlingstjenesten, så længe de ikke direkte eller indirekte strider mod Bestemmelserne eller skader den registreredes grundlæggende rettigheder eller friheder.

14. Ikrafttrædelse og ophør

  1. Bestemmelserne træder i kraft mellem de ovenfor angivne parter.

Appendiks A-D

  • Appendiks A: Indeholder oplysninger om behandlingen af persondata, formål og karakter.
  • Appendiks B: Indeholder godkendte underdatabehandlere.
  • Appendiks C: Indeholder instruktioner til brugen af persondata og sikkerhedskrav.
  • Appendiks D: Indeholder aftaler om emner, der ikke er dækket af Bestemmelserne.

Sidst opdateret: 31.02.2024

Din Partner i B2B Kundetilfredshed

Facebook-f Linkedin-in
Links
Betingelser
Kontakt os

Lejvejr 19, 3500 Værløse

CVR: 42540641