3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Relaterede dokumenter
BILAG 5 DATABEHANDLERAFTALE

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

BILAG 14: DATABEHANDLERAFTALE

! Databehandleraftale

Tønder Kommune BILAG 10

Databehandleraftale e-studio.dk Side 1 af 6

Bilag X Databehandleraftale

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Forsvarsministeriets Materiel- og Indkøbsstyrelse

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Driftskontrakt. Databehandleraftale. Bilag 14

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Bilag B Databehandleraftale pr

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Kontraktbilag 3. Databehandleraftale

D A T A B E H A N D L E R A F T A L E

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

Bilag A Databehandleraftale pr

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

3 Omfattede typer af personoplysninger og kategorier af registrerede

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

BILAG 1 DATABEHANDLERAFTALE Rambøll som databehandler

Behandling af personoplysninger

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 2.0 af 30. maj 2018

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

DATABEHANDLERAFTALE

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Standardvilkår. Databehandleraftale

Databehandleraftale ISS

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Databehandleraftale INDHOLDSFORTEGNELSE

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

2. Leverandøren er som databehandler forpligtet til følgende:

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Databehandlervilkår. 1: Baggrund, formål og definitioner

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Kontraktbilag 7: Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Databehandleraftale (Skabelon fra Datatilsynet)

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

Databehandleraftale. Dataansvarlig. Databehandler. Navn: CVR nr.: Adresse:

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Vilkår for brug af systemer

Aftale omkring behandling af persondata.

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

DATABEHANDLERAFTALE. Mellem KUNDEN ADRESSE POSTNR. BY CVR. nr.: (herefter Kunden DATAANSVARLIG)

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Retningsgivende databehandlervejledning:

Standard databehandlingsvilkår for IP netcom A/S

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Databehandleraftale (v.1.1)

Standard databehandlingsvilkår For DLX A/S

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

BILAG 4 DATABEHANDLERAFTALE

Databehandlerinstruks

Databehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

origo Databehandleraftale

DATABEHANDLERAFTALE. Mellem. [Dataansvarliges navn] [Adresse] [Postnummer og by] CVR-nr. [cvr nummer] (herefter den Dataansvarlige )

DATABEHANDLERAFTALE SMTP.DK KUNDEN

DATABEHANDLERAFTALE [LEVERANDØR]

Bilag 1 Databehandler aftale (v.1.2)

Databehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde

Standard databehandlingsvilkår For ProLøn A/S

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Transkript:

Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling af personoplysninger 1. Definitioner Lov om behandling af personoplysninger benævnes Persondataloven. Forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger benævnes Databeskyttelsesforordningen. Ved gældende persondatalovgivning menes i det følgende Persondataloven og fra d. 25. maj 2018 Databeskyttelsesforordningen og Databeskyttelsesloven, samt dertil knyttede bekendtgørelser, cirkulærer og vejledninger. 2. Om aftalen Denne aftale indgås i tilknytning til den imellem parterne indgåede kontrakt om Testressourcer af [DAG-MÅNED-ÅR] og ophører samtidig med denne. Kontrakten og herunder kontraktens bilag [xx] beskriver de tekniske og organisatoriske sikkerhedsforanstaltninger, der er aftalt mellem parterne. Der henvises til Bilag 1 Beskrivelse af behandlingen. 3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Side 1/8

b) Databehandleren skal overholde den gældende persondatalovgivning, kravene i aftalen med kunden, samt nærværende databehandleraftale og tilhørende instruks. c) Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. d) Databehandleren skal overfor den dataansvarlige kunne garantere og dokumentere, at databehandleren har indført de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, så behandlingen opfylder den dataansvarliges krav og kravene i den gældende persondatalovgivning. e) Ovenstående sikkerhedsforanstaltninger gælder ligeledes i det omfang, databehandleren gør brug af hjemmearbejdspladser. f) Databehandleren skal bistå den dataansvarlige med at overholde den gældende persondatalovgivnings krav til besvarelse af anmodninger om udøvelse af den registreredes rettigheder samt sletning af oplysninger. Databehandleren skal i forhold til sidstnævnte slette alle oplysninger fra den dataansvarlige efter dennes instruks, samt slette alle kopier, med mindre EU-ret eller national ret foreskriver opbevaring. g) Under hensyn til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, er databehandleren forpligtet til at bistå den dataansvarlige med at foretage konsekvensanalyser, samt bistå den dataansvarlige med forudgående at høre Datatilsynet. 4. Underdatabehandlere h) Databehandleren må ikke gøre brug af en anden databehandler uden forudgående godkendelse fra den dataansvarlige. i) Benytter databehandleren en anden databehandler, skal databehandleren pålægge den anden databehandler de samme databeskyttelsesforpligtelser, som databehandleren selv er underlagt. j) Ved databehandlerens brug af en anden databehandler, er databehandleren fortsat fuldt ansvarlig for den anden databehandlers overholdelse af førstnævntes databeskyttelsesforpligtelser. 5. Overførsel af personoplysninger til 3. lande k) Ved overførsel forstås her enhver form for tilgang til oplysninger fra tredjelandet. Databehandleren kan overføre personoplysninger til et tredjeland, hvis EU-Kommissionen har fastslået, at tredjelandet har et tilstrækkeligt beskyttelsesniveau. Alle andre overførsler til tredjelande skal godkendes af den dataansvarlige. En fortegnelse over sikre tredjelande findes på Datatilsynets hjemmeside. 6. Tavshedspligt l) Personer hos databehandleren, der behandler oplysninger, er underlagt tavshedspligt omkring den dataansvarliges oplysninger. Databehandleren skal have bestemmelser i sin ansættelseskontrakt, der beskriver dette. Tavshedspligten skal gælde efter ansættelsens ophør. Hvis der ikke er tale om en ansættelse, skal tavshedspligten sikres på anden vis. Side 2/8

7. Databehandlerens lovbrud m) Hvis en databehandler overtræder gældende persondatalovgivning og denne aftale ved på egen hånd at fastlægge formål med behandling af oplysninger, samt hjælpemidler til behandlingen, anses databehandleren for at være dataansvarlig for den pågældende behandling. n) Databehandleren er ligeledes forpligtet til at underrette den dataansvarlige, hvis en instruks omkring behandling af den dataansvarliges data er i strid med gældende persondatalovgivning. 8. Rapportering af sikkerhedsbrud o) Databehandleren skal bistå den dataansvarlige med at sikre overholdelse af forpligtelserne vedrørende håndtering af sikkerhedsbrud i den gældende persondatalovgivning. Herunder skal databehandleren straks rapportere brud på persondatasikkerheden af relevans for den dataansvarliges data til den dataansvarlige. 9. Databehandlerens dokumentationspligt p) Databehandleren skal stille den dokumentation, der er nødvendig for, at den dataansvarlige kan påvise sin overholdelse af persondatalovgivningen og kravene i denne databehandleraftale. Herunder skal databehandleren stille sig til rådighed for revision eller inspektion foretaget af den dataansvarlige, en af denne udpeget repræsentant eller en uafhængig tredjepart, som den dataansvarlige godkender. q) Ved ophør af denne aftale, skal databehandleren slette og tilbagelevere alle de oplysninger, som er behandlet for den dataansvarlige og kopier heraf. 10. Ikrafttræden og ændringer Denne databehandleraftale træder i kraft på underskriftsdagen. Aftalen kan ændres uden varsel, hvis ændringen er nødvendig for at overholde de til enhver tid gældende love og regler, eller hvis der foretages ændringer i systemet eller i procedurerne hos parterne, der nødvendiggør dette. Den dataansvarlige har ansvaret for den løbende opdatering af databehandleraftalen. 11.Bilag Bilag 1: Beskrivelse af behandlingen. Side 3/8

12. Underskrifter [Databehandler], den [dato] (Databehandler) Navn: (udfyldes med blokbogstaver) [Kunde], den [dato] (Dataansvarlig) Navn: (udfyldes med blokbogstaver) Underskrift Underskrift Bemærk: Aftalen lagres i Landbrugs- og Fiskeristyrelsen i Captia på sag 17-010-000007. Den navngives således: åååå-mm-dd databehandleraftale vedrørende [Navn på databehandleren]. Dato Noter Forfatter Godkender 12. juni 2017 Første udgave EVAOBB EVAOBB/jura/ Deloitte 10. juli 2017 Smårettelser, begrebet Leverandør er EVAOBB EVAOBB fjernet. 2017-08-10 Lagringssted er angivet. EVAOBB EVAOBB 2017-08-31 Review og redaktionelle ændringer. EVAOBB EVAOBB 2017-09-21 Stamdata er indføjet. Bestemmelse om sikkerhedsforanstaltninger er indføjet. 2017-10-10 Det er føjet ind, at databehandleren skal overholde persondatalovgivningen, kravene i aftalen med kunden, databehandleraftalen og tilhørende instruks. EVAOBB EVAOBB Side 4/8

Bilag 1 Beskrivelse af behandlingen Formålet med behandlingen Formålet med behandlingen er, at databehandleren [her beskrives formålet]. Behandlingens karakter Parameter Systemnavn Hvem har adgang til personoplysningerne Hvilke opgaver udfører Databehandleren Omfattede personoplysninger Klassificering Almindelige personoplysninger CPR-numre Følsomme personoplysninger (oplysninger ift. Databeskyttelsesforordningens Artikel 9, stk. 1.) Straffedomme og lovovertrædelser (oplysninger ift. Databeskyttelsesforordningens Artikel 10). Omfattet, sæt x Beskrivelse af oplysningerne [fortsættes) Side 5/8

Kategorierne af registrerede Registreret persongruppe Side 6/8

Instruks for behandling af Landbrugsstyrelsens oplysninger Ved oplysninger forstås i det følgende de personoplysninger, som databehandleren behandler for den dataansvarlige. Hvis der er adgang til personoplysningerne fra databehandlerens lokation og/eller oplysningerne er placeret hos databehandleren eller på databehandlerens udstyr Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Databehandleren skal have regler om, at medarbejdere låser deres skærm, når den forlades. Disse skal være kommunikeret til medarbejderne. Databehandleren skal sikre, at kun autoriserede personer har adgang til databehandlerens bygninger. Databehandleren skal sikre inddragelse af fysiske adgangsrettigheder, når behovet herfor ophører. Databehandleren skal styre adgangen til oplysningerne med udgangspunkt i de arbejdsmæssige behov. Styringen skal dække alle faser i en brugers ansættelsesforhold, herunder oprettelse af brugeren, periodisk kontrol af brugerens rettigheder mindst hvert halve år, ændring af brugerens rettigheder ved behov og nedlæggelse af brugerens adgang. Adgangsstyringen skal være baseret på Least privilege princippet, dvs. at brugere kun gives de rettigheder, der er nødvendige for, at de kan udføre deres arbejdsfunktioner. Fysiske adgange og adgange til informationer skal godkendes af de personer, som organisationen har autoriseret dertil. Der skal foretages registrering af afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning hos databehandleren. Oplysningerne må ikke lagres på medarbejdernes eget udstyr. Ved fysisk transport af udstyr med oplysninger, skal udstyret være overvåget og beskyttet af en adgangskode. Når en medarbejders udstyr med oplysninger overlades til en anden medarbejder, sendes til reparation eller sælges, skal der ske sletning af data på udstyret. NIST-800 Clear slette-standarden eller mindst tilsvarende skal anvendes. Ved kassation af udstyr skal oplysninger slettes eller lagringsmedier destrueres. Der må ikke gives adgang til oplysningerne fra internettet, med mindre der benyttes 2-faktorlogin. Side 7/8

Oplysninger omfattet af databeskyttelsesforordningens Artikel 9 og 10 samt cpr-numre må ikke medbringes på print udenfor databehandlerens lokationer. Disse oplysninger må desuden ikke ligge uovervåget fremme på print, men skal låses inde. Print med disse oplysninger skal makuleres efter brug. Hvis oplysningerne sendes over internettet, skal der benyttes kryptering. Der skal foretages logning af brugen af disse oplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Databehandlerens medarbejdere skal være omfattet af aftaler om tavshedspligt. Tavshedspligten skal også gælde efter ansættelsesforholdets ophør. Databehandleren skal underrette den dataansvarlige om sikkerhedsbrud, der omfatter den dataansvarliges data. Underretningen skal ske uden unødig forsinkelse, efter at sikkerhedsbruddet er kommet til databehandlerens kendskab. Hvis der er adgang til oplysningerne på den dataansvarliges lokation Databehandlerens medarbejdere skal underskrive en af den dataansvarlige udarbejdet erklæring om tavshedspligt og code of conduct. Side 8/8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback