Databehandler aftale (Standard)

Relaterede dokumenter
Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Databehandleraftale (Skabelon fra Datatilsynet)

Behandling af personoplysninger

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Bilag 12 Udkast til databehandleraftale

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

Bilag 1 Databehandler aftale (v.1.2)

Databehandleraftale (v.1.1)

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Bilag 17. Databehandleraftale

Databehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.

Databehandler aftale

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren

Standardvilkår. Databehandleraftale

1 Indhold. Side 2 af 15

Bilag 6 Databehandleraftale v.1.1

Databehandleraftale. SMPLR ApS. 24. maj 2018 Version 1.0. Brandts Passage 15, Odense C

Databehandleraftale. Mellem. Den dataansvarlige: Arrangøren. Databehandleren. Eventbilletten ApS CVR Syvstjernen Munkebo.

Databehandleraftale. Mellem. Den dataansvarlige (kunden): Navn : Cvr : Adresse : Postnummer & by : Databehandleren (leverandøren):

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. DoCAS Systems A/S CVR Jernbanegade 5, Ebeltoft

Databehandleraftale. Compliancelog IVS. 25. maj 2018 Version

DATABEHANDLERAFTALE. Saldi.dk ApS

DATABEHANDLERAFTALE MELLEM

Databehandleraftale. Mellem. Den dataansvarlige kunde. Databehandleren. Øernes Revision Registreret revisionsaktieselskab.

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren. Jydekrog ApS CVR

Databehandleraftale CamVision A/S, CVR CamVision Finans ApS, CVR Smedeholm Herlev Danmark

Databehandleraftale. Mellem. Den dataansvarlige: Navn: CVR: Adresse: Databehandleren. ExamCookie CVR Peder Skrams Gade 1, 1.tv.

Databehandleraftale. Mellem. Den dataansvarlige: Brugeren af Axolex systemet. Databehandleren. Axolex ApS CVR Strandesplanaden 110

Databehandleraftale. Mellem. Den dataansvarlige: Firma Navn CVR Adresse Postnummer og by Land . Databehandleren

Databehandleraftale. Gældende pr. 25. maj 2018

Databehandleraftale. Mellem. Den dataansvarlige: Firmanavn. CVR xxxxxxxx. Adresse. Adresse. Danmark. Databehandleren

Databehandleraftale. Imellem: Dataansvarlig Terapi & Supervision Allehelgensgade Roskilde CVR: Kontaktperson:

Databehandleraftale. Mellem. Den dataansvarlige: Helle Melgaard. Fiskerstræde Millinge. Denmark. Databehandleren. Bricksite ApS CVR

DATABEHANDLERAFTALE. Mellem. CalcuEasy ApS. Håndværkervej Aalborg CVR: (Herefter Databehandleren ) [Navn] CVR [CVR-nummer]

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet

Databehandleraftale. Mellem. Den dataansvarlige: Kunden (den juridiske enhed, der har indgået aftale om Lønadministration.

DATABEHANDLERAFTALE. Mellem. [Dataansvarliges navn] [Adresse] [Postnummer og by] CVR-nr. [cvr nummer] (herefter den Dataansvarlige )

Aftale vedrørende fælles dataansvar

DATABEHANDLERAFTALE. Mellem undertegnede. Kunden (herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Den dataansvarlige: (Virksomhedsnavn) (CPR) (Adresse) Databehandleren. Work Balance Institute ApS CVR:

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Databehandleraftale. Mellem. Den dataansvarlige: Firmanavn: Adresse: Postnr.: Land: Databehandleren:

Privatlivspolitik for

DATABEHANDLERAFTALE V1.0

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Persondatapolitik for Give Vandværk A.m.b.a

Privatlivsbeskyttelsespolitik for Andelsboligforeninger

Databehandler. Til denne aftale hører to bilag. Bilagene er en del af aftalegrundlaget i nærværende databehandleraftale.

os, og/eller som vi indsamler om dig, enten som led i et medlems-/kunde- eller

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Privatlivsbeskyttelsespolitik for E/F

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Persondatapolitik for NKE-Elnet A/S

Databehandleraftale. Mellem. Den dataansvarlige: Navn CVR. Adresse. Postnummer og by. Land. Databehandleren. DCmedia Hosting CVR

Privatlivspolitik for kundeforhold i dankalk K/S

Aftale vedrørende fælles dataansvar

Persondatapolitik for Samn Forsyning ApS. Maj 2018

Privatlivsbeskyttelsespolitik for Ejerforeninger

VIDENPILOTERNE. Databehandleraftale. Databehandler: Dataansvarlig: Mellem. Videnpiloterne ApS Dalgas Plads 6, Herning.

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Privatlivsbeskyttelsespolitik for lejere

Privatlivspolitik for Ansøgere og medarbejdere hos Flügger A/S. Legal

Privatlivspolitik for EJENDOMSVISIONER A/S

Privatlivsbeskyttelsespolitik for EJERFORENINGEN Duevej og Mariendalsvej 65-67

Hillerød Kommune. It-sikkerhedspolitik Overordnet politik

Generel Databehandleraftale for Vitec Datamanns kunder

IT-sikkerheds- og Persondatapolitik for Vester Nebel Vandværk A.m.b.a.

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E. 1. Indledende bemærkninger Formål Dataansvar...

Persondatapolitik. S. Chr. Sørensen A/S. S. Chr. Sørensen A/S

Privatlivspolitik for A/B Haraldsted

Privatlivsbeskyttelsespolitik for Udlejer

! Databehandleraftale

Databehandleraftale med ProTech Alarm & Sikring ApS

Databehandleraftale. Version Mellem. Den dataansvarlige: Databehandleren: Data Gården A/S CVR: Sdr. Ringvej 44.

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E. 1. Indledende bemærkninger Formål Dataansvar...

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R S O M B E B O E R E H O S S I L K E B O R G B O L I G S E L S K AB

Databehandleraftale. Version Mellem. Den dataansvarlige: Navn: CVR: Adresse: Postnummer og by: Land: Databehandleren: Data Gården A/S

Persondatapolitik for koncernen NK-Forsyning A/S

Databehandleraftale. for. Databehandleren NPS A/S CVR Landbrugsvej Odense S. Danmark

Information om vores behandling af personoplysninger

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

VEJLEDNING OM BEHANDLING AF PERSONOPLYSNINGER OM BEBOERE

1.1 Formål Dataansvar BEHANDLING AF PERSONOPLYSNINGER RELATERET TIL UDLEJNING MV Oprettelse af sag... 2

P E R S O N D A T A P O L I T I K B E B O E R E O G F R A F L Y T T E R E. 1. Indledende bemærkninger Formål Dataansvar...

INFORMATION TIL INVESTORER OG DISTRIBUTØRER OM BEHANDLING AF PERSONOPLYSNINGER

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E V O J E N S A N D E L S - B O L I G F O R E N I N G

Transkript:

Databehandler aftale (Standard) Mellem Firma Privat persn Firma Privat persn Firma navn Firma adresse Firma CVR Databehandleren Firman navn Firma adresse Firma CVR Den dataansvarlige 1 Indhld 2 Baggrund fr databehandleraftalen 3 Den dataansvarliges frpligtelser g rettigheder 4 Databehandleren handler efter instruks 5 Frtrlighed 6 Behandlingssikkerhed 7 Anvendelse af underdatabehandlere 8 Overførsel af plysninger til tredjelande eller internatinale rganisatiner 9 Bistand til den dataansvarlige 10 Underretning m brud på persndatasikkerheden 11 Sletning g tilbagelevering af plysninger 12 Tilsyn g revisin 13 Parternes aftaler m andre frhld 14 Ikrafttræden g phør 15 Kntaktpersner/kntaktpunkter hs den dataansvarlige g databehandleren Bilag A: Oplysninger m behandlingen Bilag B: Betingelser fr databehandlerens brug af underdatabehandlere g liste ver gdkendte underdatabehandlere Bilag C: Instruks vedrørende behandling af persnplysninger Bilag D: Parternes regulering af andre frhld 2 Baggrund fr databehandleraftalen

1. Denne aftale fastsætter de rettigheder g frpligtelser, sm finder anvendelse, når databehandleren fretager behandling af persnplysninger på vegne af den dataansvarlige. 2. Aftalen er udfrmet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Eurpa- Parlamentets g Rådets frrdning (EU) 2016/679 af 27. april 2016 m beskyttelse af fysiske persner i frbindelse med behandling af persnplysninger g m fri udveksling af sådanne plysninger g m phævelse af direktiv 95/46/EF (Databeskyttelsesfrrdningen), sm stiller specifikke krav til indhldet af en databehandleraftale. 3. Databehandlerens behandling af persnplysninger sker med henblik på pfyldelse af parternes hvedaftale : Navn på hvedaftalen/ydelsen, sm er indgået den dat. 1. Databehandleraftalen g hvedaftalen er indbyrdes afhængige, g kan ikke psiges særskilt. Databehandleraftalen kan dg uden at psige hvedaftalen erstattes af en anden gyldig databehandleraftale. 2. Denne databehandleraftale har frrang i frhld til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i hvedaftalen. 3. Til denne aftale hører fire bilag. Bilagene fungerer sm en integreret del af databehandleraftalen. 4. Databehandleraftalens Bilag A indehlder nærmere plysninger m behandlingen, herunder m behandlingens frmål g karakter, typen af persnplysninger, kategrierne af registrerede g varighed af behandlingen. 5. Databehandleraftalens Bilag B indehlder den dataansvarliges betingelser fr, at databehandleren kan gøre brug af eventuelle underdatabehandlere, samt en liste ver de eventuelle underdatabehandlere, sm den dataansvarlige har gdkendt. 6. Databehandleraftalens Bilag C indehlder en nærmere instruks m, hvilken behandling databehandleren skal fretage på vegne af den dataansvarlige (behandlingens genstand), hvilke sikkerhedsfranstaltninger, der sm minimum skal iagttages, samt hvrdan der føres tilsyn med databehandleren g eventuelle underdatabehandlere. 7. Databehandleraftalens Bilag D indehlder parternes eventuelle regulering af frhld, sm ikke ellers fremgår af databehandleraftalen eller parternes hvedaftale. 8. Databehandleraftalen med tilhørende bilag pbevares skriftligt, herunder elektrnisk af begge parter. 9. Denne databehandleraftale frigør ikke databehandleren fr frpligtelser, sm efter databeskyttelsesfrrdningen eller enhver anden lvgivning direkte er pålagt databehandleren. 3 Den dataansvarliges frpligtelser g rettigheder 1. Den dataansvarlige har verfr mverdenen (herunder den registrerede) sm udgangspunkt ansvaret fr, at behandlingen af persnplysninger sker indenfr rammerne af databeskyttelsesfrrdningen g databeskyttelseslven. 2. Den dataansvarlige har derfr både rettighederne g frpligtelserne til at træffe beslutninger m, til hvilke frmål g med hvilke hjælpemidler der må fretages behandling. 3. Den dataansvarlige er blandt andet ansvarlig fr, at der freligger hjemmel til den behandling, sm databehandleren instrueres i at fretage. 4. 4 Databehandleren handler efter instruks 1. Databehandleren må kun behandle persnplysninger efter dkumenteret instruks fra den dataansvarlige, medmindre det kræves i henhld til EU-ret eller medlemsstaternes natinale ret, sm databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige m dette retlige krav inden

behandling, medmindre den pågældende ret frbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a. 2. Databehandleren underretter mgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesfrrdningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes natinale ret. 5 Frtrlighed 1. Databehandleren sikrer, at kun de persner, der aktuelt er autriseret hertil, har adgang til de persnplysninger, der behandles på vegne af den dataansvarlige. Adgangen til plysningerne skal derfr straks lukkes ned, hvis autrisatinen fratages eller udløber. 2. Der må alene autriseres persner, fr hvem det er nødvendigt at have adgang til persnplysningerne fr at kunne pfylde databehandlerens frpligtelser verfr den dataansvarlige. 3. Databehandleren sikrer, at de persner, der er autriseret til at behandle persnplysninger på vegne af den dataansvarlige, har frpligtet sig til frtrlighed eller er underlagt en passende lvbestemt tavshedspligt. 4. Databehandleren skal efter anmdning fra den dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt vennævnte tavshedspligt. 6 Behandlingssikkerhed 1. Databehandleren iværksætter alle franstaltninger, sm kræves i henhld til databeskyttelsesfrrdningens artikel 32, hvraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsmkstningerne g den pågældende behandlings karakter, mfang, sammenhæng g frmål samt risiciene af varierende sandsynlighed g alvr fr fysiske persners rettigheder g frihedsrettigheder skal gennemføres passende tekniske g rganisatriske franstaltninger fr at sikre et sikkerhedsniveau, der passer til disse risici. 2. Ovenstående frpligtelse indebærer, at databehandleren skal fretage en risikvurdering, g herefter gennemføre franstaltninger fr at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale m følgende franstaltninger: a. Pseudnymisering g kryptering af persnplysninger b. Evne til at sikre vedvarende frtrlighed, integritet, tilgængelighed g rbusthed af behandlingssystemer g tjenester c. Evne til rettidigt at genprette tilgængeligheden af g adgangen til persnplysninger i tilfælde af en fysisk eller teknisk hændelse d. En prcedure fr regelmæssig afprøvning, vurdering g evaluering af effektiviteten af de tekniske g rganisatriske franstaltninger til sikring af behandlingssikkerhed 3. Databehandleren skal i frbindelse med venstående i alle tilfælde sm minimum iværksætte det sikkerhedsniveau g de franstaltninger, sm er specificeret nærmere i denne aftales Bilag C. 4. Parternes eventuelle regulering/aftale m vederlæggelse eller lign. i frbindelse med den dataansvarliges eller databehandlerens efterfølgende krav m etablering af yderligere sikkerhedsfranstaltninger vil fremgå af parternes hvedaftale eller af denne aftales bilag D. 7 Anvendelse af underdatabehandlere 1. Databehandleren skal pfylde de betingelser, der er mhandlet i databeskyttelsesfrrdningens artikel 28, stk. 2 g 4, fr at gøre brug af en anden databehandler (underdatabehandler).

2. Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til pfyldelse af databehandleraftalen uden frudgående specifik eller generel skriftlig gdkendelse fra den dataansvarlige. 3. I tilfælde af generel skriftlig gdkendelse skal databehandleren underrette den dataansvarlige m eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere g derved give den dataansvarlige mulighed fr at gøre indsigelse md sådanne ændringer. 4. Den dataansvarliges nærmere betingelser fr databehandlerens brug af eventuelle underdatabehandlere fremgår af denne aftales Bilag B. 5. Den dataansvarliges eventuelle gdkendelse af specifikke underdatabehandlere er anført i denne aftales Bilag B. 6. Når databehandleren har den dataansvarliges gdkendelse til at gøre brug af en underdatabehandler, sørger databehandleren fr at pålægge underdatabehandleren de samme databeskyttelsesfrpligtelser sm dem, der er fastsat i denne databehandleraftale, gennem en kntrakt eller andet retligt dkument i henhld til EUretten eller medlemsstaternes natinale ret, hvrved der navnlig stilles de frnødne garantier fr, at underdatabehandleren vil gennemføre de passende tekniske g rganisatriske franstaltninger på en sådan måde, at behandlingen pfylder kravene i databeskyttelsesfrrdningen. Databehandleren er således ansvarlig fr igennem indgåelsen af en underdatabehandleraftale at pålægge en eventuel underdatabehandler mindst de frpligtelser, sm databehandleren selv er underlagt efter databeskyttelsesreglerne g denne databehandleraftale med tilhørende bilag. 7. Underdatabehandleraftalen g eventuelle senere ændringer hertil sendes efter den dataansvarliges anmdning herm - i kpi til den dataansvarlige, sm herigennem har mulighed fr at sikre sig, at der er indgået en gyldig aftale mellem databehandleren g underdatabehandleren. Eventuelle kmmercielle vilkår, eksempelvis priser, sm ikke påvirker det databeskyttelsesretlige indhld af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige. 8. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige sm begunstiget tredjemand i tilfælde af databehandlerens knkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder g gøre dem gældende ver fr underdatabehandleren, f.eks. så den dataansvarlige kan instruere underdatabehandleren m at fretage sletning eller tilbagelevering af plysninger. 9. Hvis underdatabehandleren ikke pfylder sine databeskyttelsesfrpligtelser, frbliver databehandleren fuldt ansvarlig ver fr den dataansvarlige fr pfyldelsen af underdatabehandlerens frpligtelser. 8 Overførsel af plysninger til tredjelande eller internatinale rganisatiner 1. Databehandleren må kun behandle persnplysninger efter dkumenteret instruks fra den dataansvarlige, herunder fr så vidt angår verførsel (verladelse, videregivelse samt intern anvendelse) af persnplysninger til tredjelande eller internatinale rganisatiner, medmindre det kræves i henhld til EU-ret eller medlemsstaternes natinale ret, sm databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige m dette retlige krav inden behandling, medmindre den pågældende ret frbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a. 2. Uden den dataansvarliges instruks eller gdkendelse kan databehandleren indenfr rammerne af databehandleraftalen - derfr bl.a. ikke; a. videregive persnplysningerne til en dataansvarlig i et tredjeland eller i en internatinal rganisatin, b. verlade behandlingen af persnplysninger til en underdatabehandler i et tredjeland,

c. lade plysningerne behandle i en anden af databehandlerens afdelinger, sm er placeret i et tredjeland. 3. Den dataansvarliges eventuelle instruks eller gdkendelse af, at der fretages verførsel af persnplysninger til et tredjeland, vil fremgå af denne aftales Bilag C. 9 Bistand til den dataansvarlige 1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske g rganisatriske franstaltninger, med pfyldelse af den dataansvarliges frpligtelse til at besvare anmdninger m udøvelsen af de registreredes rettigheder sm fastlagt i databeskyttelsesfrrdningens kapitel 3. Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i frbindelse med, at den dataansvarlige skal sikre verhldelsen af: a. plysningspligten ved indsamling af persnplysninger hs den registrerede b. plysningspligten, hvis persnplysninger ikke er indsamlet hs den registrerede c. den registreredes indsigtsret d. retten til berigtigelse e. retten til sletning (»retten til at blive glemt«) f. retten til begrænsning af behandling g. underretningspligt i frbindelse med berigtigelse eller sletning af persnplysninger eller begrænsning af behandling h. retten til dataprtabilitet i. retten til indsigelse j. retten til at gøre indsigelse md resultatet af autmatiske individuelle afgørelser, herunder prfilering 2. Databehandleren bistår den dataansvarlige med at sikre verhldelse af den dataansvarliges frpligtelser i medfør af databeskyttelsesfrrdningens artikel 32-36 under hensynstagen til behandlingens karakter g de plysninger, der er tilgængelige fr databehandleren, jf. art 28, stk. 3, litra f. Dette indebærer, at databehandleren under hensynstagen til behandlingens karakter skal bistå den dataansvarlige i frbindelse med, at den dataansvarlige skal sikre verhldelsen af: a. frpligtelsen til at gennemføre passende tekniske g rganisatriske franstaltninger fr at sikre et sikkerhedsniveau, der passer til de risici, der er frbundet med behandlingen b. frpligtelsen til at anmelde brud på persndatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig frsinkelse g m muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persndatasikkerheden indebærer en risik fr fysiske persners rettigheder eller frihedsrettigheder. c. frpligtelsen til uden unødig frsinkelse at underrette den/de registrerede m brud på persndatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risik fr fysiske persners rettigheder g frihedsrettigheder d. frpligtelsen til at gennemføre en knsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risik fr fysiske persners rettigheder g frihedsrettigheder e. frpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en knsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risik i mangel af franstaltninger truffet af den dataansvarlige fr at begrænse risiken

3. Parternes eventuelle regulering/aftale m vederlæggelse eller lignende i frbindelse med databehandlerens bistand til den dataansvarlige vil fremgå af parternes hvedaftale eller af denne aftales bilag D. 10 Underretning m brud på persndatasikkerheden 1. Databehandleren underretter uden unødig frsinkelse den dataansvarlige efter at være blevet pmærksm på, at der er sket brud på persndatasikkerheden hs databehandleren eller en eventuel underdatabehandler. 1. Databehandlerens underretning til den dataansvarlige skal m muligt ske senest antal timer efter at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed fr at efterleve sin eventuelle frpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfr 72 timer. 2. I verensstemmelse med denne aftales afsnit 10.2., litra b, skal databehandleren - under hensynstagen til behandlingens karakter g de plysninger, der er tilgængelige fr denne bistå den dataansvarlige med at fretage anmeldelse af bruddet til tilsynsmyndigheden. Det kan betyde, at databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående plysninger, sm efter databeskyttelsesfrrdningens artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse til tilsynsmyndigheden: a. Karakteren af bruddet på persndatasikkerheden, herunder, hvis det er muligt, kategrierne g det mtrentlige antal berørte registrerede samt kategrierne g det mtrentlige antal berørte registreringer af persnplysninger b. Sandsynlige knsekvenser af bruddet på persndatasikkerheden c. Franstaltninger, sm er truffet eller freslås truffet fr at håndtere bruddet på persndatasikkerheden, herunder hvis det er relevant, franstaltninger fr at begrænse dets mulige skadevirkninger 11 Sletning g tilbagelevering af plysninger 1. Ved phør af tjenesterne vedrørende behandling frpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle persnplysninger til den dataansvarlige, samt at slette eksisterende kpier, medmindre EU-retten eller natinal ret freskriver pbevaring af persnplysningerne. 12 Tilsyn g revisin 1. Databehandleren stiller alle plysninger, der er nødvendige fr at påvise databehandlerens verhldelse af databeskyttelsesfrrdningens artikel 28 g denne aftale, til rådighed fr den dataansvarlige g giver mulighed fr g bidrager til revisiner, herunder inspektiner, der fretages af den dataansvarlige eller en anden revisr, sm er bemyndiget af den dataansvarlige. 2. Den nærmere prcedure fr den dataansvarliges tilsyn med databehandleren fremgår af denne aftales Bilag C. 3. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker sm udgangspunkt gennem databehandleren. Den nærmere prcedure herfr fremgår af denne aftales Bilag C. 4. Databehandleren er frpligtet til at give myndigheder, der efter den til enhver tid gældende lvgivning har adgang til den dataansvarliges g databehandlerens faciliteter, eller repræsentanter, der ptræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter md behørig legitimatin. 13 Parternes aftaler m andre frhld

1. En eventuel (særlig) regulering af knsekvenserne af parternes mislighldelse af databehandleraftalen vil fremgår af parternes hvedaftale eller af denne aftales Bilag D. 2. En eventuel regulering af andre frhld mellem parterne vil fremgå af parternes hvedaftale eller af denne aftales Bilag D. 14 Ikrafttræden g phør 1. Denne aftale træder i kraft ved begge parters underskrift heraf. 2. Aftalen kan af begge parter kræves genfrhandlet, hvis lvændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil. 3. Parternes eventuelle regulering/aftale m vederlæggelse, betingelser eller lignende i frbindelse med ændringer af denne aftale vil fremgå af parternes hvedaftale eller af denne aftales bilag D. 4. Opsigelse af databehandleraftalen kan ske i henhld til de psigelsesvilkår, inkl. psigelsesvarsel, sm fremgår af hvedaftalen. 5. Aftalen er gældende, så længe behandlingen består. Uanset hvedaftalens g/eller databehandleraftalens psigelse, vil databehandleraftalen frblive i kraft frem til behandlingens phør g plysningernes sletning hs databehandleren g eventuelle underdatabehandlere. 6. Underskrift På vegne af Lehrmann Denmark På vegne af partner Titel Navn Email Titel Navn Email 15 Kntaktpersner/kntaktpunkter hs den dataansvarlige g databehandleren Parterne kan kntakte hinanden via nedenstående kntaktpersner/kntaktpunkter: Parterne er frpligtet til løbende at rientere hinanden m ændringer vedrørende kntaktpersnen/kntaktpunktet. Dataansvarlige: Navn: Stilling: Telefnnummer: Email: Databehandleren Navn: Stilling: Telefnnummer: Email: Bilag A: Oplysninger m behandlingen Frmålet med databehandlerens behandling af persnplysninger på vegne af den dataansvarlige er: Beskriv frmålet med behandlingen

at den dataansvarlige kan anvende systemet X, sm ejes g administreres af databehandleren, til at indsamle g behandle plysninger m den dataansvarliges medlemmer. Databehandlerens behandling af persnplysninger på vegne af den dataansvarlige drejer sig primært m (karakteren af behandlingen): Beskriv karakteren af behandlingen at databehandleren stiller systemet X til rådighed fr den dataansvarlige g herigennem pbevarer persnplysninger m den dataansvarliges medlemmer på virksmhedens servere. Behandlingen mfatter følgende typer af persnplysninger m de registrerede: Beskriv typen af persnplysninger, der behandles Navn, e-mailadresse, telefnnummer, adresse, cpr-nummer, betalingsplysninger, medlemsnummer, type af medlemskab, fremmøde i fitnesscenteret g tilmelding til knkrete fitnesshld. Behandlingen mfatter følgende kategrier af registrerede: Beskriv kategrien af registrerede Persner, sm har eller har haft et medlemskab hs den dataansvarlige. Databehandlerens behandling af persnplysninger på vegne af den dataansvarlige kan påbegyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed: Beskriv varighed af behandlingen Behandlingen er ikke tidsbegrænset g varer indtil aftalen psiges eller phæves af en af parterne.

Bilag B: Betingelser fr databehandlerens brug af underdatabehandlere g liste ver gdkendte underdatabehandlere B.1 Betingelser fr databehandlerens brug af eventuelle underdatabehandlere Beskriv betingelserne fr databehandlerens anvendelse af underdatabehandlere Databehandleren må alene gøre brug af underdatabehandlere efter frudgående specifik skriftlig gdkendelse fra den dataansvarlige. Databehandlerens anmdning herm skal være den dataansvarlige i hænde minimum antal måneder før anvendelsen eller ændringen skal træde i kraft. Den dataansvarlige kan alene nægte gdkendelse, såfremt den dataansvarlige har rimelige, knkrete årsager hertil. eller Databehandleren har den dataansvarliges generelle gdkendelse til at gøre brug af underdatabehandlere. Databehandleren skal dg underrette den dataansvarlige m eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere g derved give den dataansvarlige mulighed fr at gøre indsigelse md sådanne ændringer. En sådan underretning skal være den dataansvarlige i hænde minimum antal måneder ør anvendelsen eller ændringen skal træde i kraft. Såfremt den dataansvarlige har indsigelser md ændringerne, skal den dataansvarlige give meddelelse herm til databehandleren inden angiv tidsrum efter mdtagelsen af underretningen. Den dataansvarlige kan alene gøre indsigelse, såfremt den dataansvarlige har rimelige, knkrete årsager hertil. eller Databehandleren må ikke gøre brug af underdatabehandlere. B.2 Gdkendte underdatabehandlere Den dataansvarlige har ved databehandleraftalens ikrafttræden gdkendt anvendelsen af følgende underdatabehandlere: Navn CVR-nr Adresse Beskrivelse af behandling Navn CVR-nr Adresse Overrdnet beskrivelse af behandlingen hs underdatabehandleren Navn CVR-nr Adresse Overrdnet beskrivelse af behandlingen hs underdatabehandleren Navn CVR-nr Adresse Overrdnet beskrivelse af behandlingen hs underdatabehandleren Den dataansvarlige har ved databehandleraftalens ikrafttræden specifikt gdkendt anvendelsen af vennævnte underdatabehandlere til netp den behandling, sm er beskrevet ud fr parten. Databehandleren kan ikke uden den dataansvarliges specifikke g skriftlige gdkendelse anvende den enkelte underdatabehandler til en anden behandling and aftalt eller lade en anden underdatabehandler fretage den beskrevne behandling.

Bilag C: Instruks vedrørende behandling af persnplysninger C.1 Behandlingens genstand/ instruks Databehandlerens behandling af persnplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende: Beskriv behandlingen, sm databehandleren instrueres i at fretage eller henvis eventuelt til knkrete afsnit i hvedaftalen C.2 Behandlingssikkerhed Sikkerhedsniveauet skal afspejle: Beskriv elementer, der er afgørende fr sikkerhedsniveauet At der er tale m behandling af en str mængde persnplysninger mfattet af databeskyttelsesfrrdningens artikel 9 m særlige kategrier af persnplysninger, hvrfr der skal etableres et højt sikkerhedsniveau. Databehandleren er herefter berettiget g frpligtet til at træffe beslutninger m, hvilke tekniske g rganisatriske sikkerhedsfranstaltninger, der skal anvendes fr at skabe det nødvendige (g aftalte) sikkerhedsniveau mkring plysningerne. Databehandleren skal dg i alle tilfælde g sm minimum gennemføre følgende franstaltninger, sm er aftalt med den dataansvarlige (på baggrund af den risikvurdering den dataansvarlige har fretaget): Beskriv eventuelle krav vedrørende pseudnymisering g kryptering af persnplysninger Beskriv eventuelle krav vedrørende evnen til at sikre vedvarende frtrlighed, integritet, tilgængelighed g rbusthed af behandlingssystemer g tjenester Beskriv eventuelle krav vedrørende evnen til rettidigt at genprette tilgængeligheden af g adgangen til persnplysninger i tilfælde af en fysisk eller teknisk hændelse Beskriv eventuelle krav vedrørende prcedurer fr regelmæssig afprøvning, vurdering g evaluering af effektiviteten af de tekniske g rganisatriske franstaltninger til sikring af behandlingssikkerhed Beskriv eventuelle krav vedrørende adgang til data via internettet Beskriv eventuelle krav vedrørende beskyttelse af data, hvr de transmitteres Beskriv eventuelle krav vedrørende beskyttelse af data, hvr de pbevares Beskriv eventuelle krav vedrørende fysisk sikring af lkaliteter, hvr der behandles persnplysninger Beskriv eventuelle krav vedrørende anvendelse af hjemme-/fjernarbejdspladser Beskriv eventuelle krav vedrørende lgning

C.3 Opbevaringsperide/sletterutine Angiv eventuel pbevaringsperide/sletterutine fr databehandleren Persnplysningerne pbevares i angiv tidsperide eller hændelse, hvrefter de slettes hs databehandleren eller Persnplysningerne pbevares hs databehandleren, indtil den dataansvarlige anmder m at få plysningerne slette eller tilbageleveret. C.4 Lkalitet fr behandling Behandling af de i aftalen mfattede persnplysninger kan ikke uden den dataansvarliges frudgående skriftlige gdkendelse ske på andre lkaliteter end de følgende: Angiv, hvr behandlingen finder sted Angiv, hvilken databehandler eller underdatabehandler, der anvender adressen Angiv, hvr behandlingen finder sted Angiv, hvilken databehandler eller underdatabehandler, der anvender adressen C.5 Instruks eller gdkendelse vedrørende verførsel af persnplysninger til tredjelande Beskriv en eventuel instruks eller gdkendelse vedrørende verførsel af persnplysninger til et tredjeland Anfør verførselsgrundlag efter databeskyttelsesfrrdningens kapitel 5 Hvis den dataansvarlige ikke i dette afsnit eller ved en efterfølgende skriftlig meddelelse har angivet en instruks eller gdkendelse vedrørende verførsel af persnplysninger til et tredjeland, må databehandleren ikke indenfr rammerne af databehandleraftalen fretage en sådan verførsel. C.6 Nærmere prcedurer fr den dataansvarliges tilsyn med den behandling, sm fretages hs databehandleren Beskriv en eventuel prcedure fr den dataansvarliges tilsyn med behandlingen hs databehandleren Databehandleren skal én gang angiv tidsrum fr egen/den dataansvarliges regning indhente en revisinserklæring fra en uafhængig tredjepart angående databehandlerens verhldelse af denne databehandleraftale med tilhørende bilag. Der er mellem parterne enighed m, at der kan anvendes følgende typer af revisinserklæringer: indsæt gdkendte revisinserklæringer

Revisinserklæringen sendes snarest muligt efter indhentelsen til den dataansvarlige til rientering. Den dataansvarlige eller en repræsentant fr den dataansvarlige har herudver adgang til at føre tilsyn, herunder fysisk tilsyn, hs databehandleren, når der efter den dataansvarliges vurdering pstår et behv herfr. eller Den dataansvarlige eller en repræsentant fr den dataansvarlige fretager angiv tidsrum et fysisk tilsyn vedrørende verhldelsen af denne databehandleraftale hs databehandleren. Udver det planlagte tilsyn, kan der føres tilsyn med databehandleren, når der efter den dataansvarliges vurdering pstår et behv herfr. g eventuelt Den dataansvarliges eventuelle udgifter i frbindelse med et fysisk tilsyn afhldes af den dataansvarlige selv. Databehandleren er dg frpligtet til at afsætte de ressurcer (hvedsagligt den tid), der er nødvendig fr, at den dataansvarlige kan gennemføre sit tilsyn. C.7 Nærmere prcedurer fr tilsynet med den behandling, sm fretages hs eventuelle underdatabehandlere Beskriv en eventuel prcedure fr den dataansvarliges tilsyn med behandlingen hs underdatabehandleren Databehandleren skal én gang angiv tidsrum fr egen/den dataansvarliges regning indhente en revisinserklæring fra en uafhængig tredjepart angående underdatabehandlerens verhldelse af denne databehandleraftale med tilhørende bilag. Der er mellem parterne enighed m, at der kan anvendes følgende typer af revisinserklæringer: indsæt gdkendte revisinserklæringer Revisinserklæringen sendes snarest muligt efter indhentelsen til den dataansvarlige til rientering. Databehandleren eller en repræsentant fr databehandleren har herudver adgang til at føre tilsyn, herunder fysisk tilsyn, hs underdatabehandleren, når der efter databehandlerens (eller den dataansvarliges) vurdering pstår et behv herfr. Dkumentatin fr de afhldte tilsyn sendes snarest muligt til rientering hs den dataansvarlige. eller Databehandleren eller en repræsentant fr databehandleren fretager angiv tidsrum et fysisk tilsyn vedrørende verhldelsen af denne databehandleraftale hs underdatabehandleren. Udver det planlagte tilsyn, kan der føres tilsyn med underdatabehandleren, når der efter databehandlerens (eller den dataansvarliges) vurdering pstår et behv herfr. Dkumentatin fr de afhldte tilsyn sendes snarest muligt til rientering hs den dataansvarlige.

g eventuelt Den dataansvarlige kan hvis det findes nødvendigt vælge at initiere g deltage på en fysisk inspektin hs underdatabehandleren. Dette kan blive aktuelt, såfremt den dataansvarlige vurderer, at databehandlerens tilsyn med underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed fr, at behandlingen hs underdatabehandleren sker i verensstemmelse med denne databehandleraftale. Den dataansvarliges eventuelle deltagelse i et tilsyn hs underdatabehandleren ændrer ikke ved, at databehandleren gså herefter har det fulde ansvar fr underdatabehandlerens verhldelse af databeskyttelseslvgivningen g denne databehandleraftale. g eventuelt Databehandlerens g underdatabehandleres eventuelle udgifter i frbindelse med afhldes af et fysisk tilsyn/en inspektin hs underdatabehandleren er den dataansvarlige uvedkmmende uanset at den dataansvarlige har initieret g eventuelt deltaget på et sådant tilsyn. Bilag D Parternes regulering af andre frhld D.1 Overskrift D.2 Overskrift D.3 Overskrift

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback