Databehandleraftale

Gældende fra 12. januar 2022

Afdeling I

1. Formål og anvendelsesområde

A. Formålet med disse standardkontraktbestemmelser (herefter bestemmelserne) er at sikre overholdelse af artikel 28, stk. 3 og 4, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse). 


B. De dataansvarlige og databehandlerne, der er opført i bilag I, har accepteret disse bestemmelser for at sikre overholdelse af artikel 28, stk. 3 og 4, i forordning (EU) 2016/679. 


C. Disse bestemmelser finder anvendelse på behandling af personoplysninger som anført i bilag II


D. Bilag I-IV er en integrerende del af bestemmelserne. 


E. Disse bestemmelser berører ikke de forpligtelser, som den dataansvarlige er underlagt i henhold til forordning (EU) 2016/679. 


F. Disse bestemmelser sikrer ikke i sig selv, at forpligtelserne vedrørende internationale overførsler i henhold til kapitel V i forordning (EU) 2016/679 overholdes.

2. Bestemmelsernes uforanderlighed

A. Parterne forpligter sig til ikke at ændre bestemmelserne, bortset fra at tilføje oplysninger til bilagene eller ajourføre oplysninger i dem. 

B. Dette forhindrer ikke parterne i at medtage de standardkontraktbestemmelser, der er fastsat i disse bestemmelser, i en bredere kontrakt eller i at tilføje andre bestemmelser eller yderligere garantier, forudsat at de ikke direkte eller indirekte er i strid med bestemmelserne eller indskrænker de registreredes grundlæggende rettigheder eller frihedsrettigheder. 

 

3. Fortolkning

A. Hvor disse bestemmelser anvender de udtryk, der er defineret i forordning (EU) 2016/679, har disse udtryk samme betydning som i nævnte forordning. 


B. Disse bestemmelser skal læses og fortolkes i lyset af bestemmelserne i forordning (EU) 2016/679. 


C. Disse bestemmelser må ikke fortolkes på en måde, der strider mod de rettigheder og forpligtelser, der er fastsat i forordning (EU) 2016/679, eller på en måde, som berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. 

4. Hierarki

I tilfælde af uoverensstemmelse mellem disse bestemmelser og bestemmelserne i tilknyttede aftaler mellem parterne, der eksisterer på det tidspunkt, hvor disse bestemmelser aftales eller indgås, har disse bestemmelser forrang.

5. Dockingsklausul

A. Enhver enhed, der ikke er part i disse bestemmelser, kan efter aftale med alle parterne til enhver tid tiltræde disse bestemmelser som dataansvarlig eller databehandler ved at udfylde bilagene og underskrive bilag I.

B. Når bilagene nævnt i punkt a) er udfyldt og underskrevet, behandles den tiltrædende enhed som part i disse bestemmelser og har de rettigheder og forpligtelser, der tilkommer en dataansvarlig eller databehandler i overensstemmelse med udpegelsen af denne i bilag I.

C. Den tiltrædende enhed har ingen rettigheder eller forpligtelser som følge af disse bestemmelser fra den periode, der går forud for enhedens tiltrædelse som part.

Afdeling II

Parternes forpligtelser

6. Beskrivelse af behandlingen/behandlingerne

Nærmere oplysninger om behandlingsaktiviteterne, navnlig de kategorier af personoplysninger og formålene med den behandling, hvortil personoplysningerne behandles på vegne af den dataansvarlige, er anført i bilag II.

7. Parternes forpligtelser

7.1 Instrukser

A. Databehandleren behandler kun personoplysninger efter dokumenterede instrukser fra den dataansvarlige, medmindre dette kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt. I så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre loven forbyder dette af hensyn til vigtige samfundsinteresser. Efterfølgende instrukser kan også gives af den dataansvarlige under hele behandlingen af personoplysninger. Disse instrukser skal altid dokumenteres.

B. Databehandleren underretter straks den dataansvarlige, hvis instrukser fra den dataansvarlige efter databehandlerens opfattelse er i strid med forordning (EU) 2016/679 eller de gældende databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

 

7.2 Formålsbegrænsning

Databehandleren må kun behandle personoplysningerne til det eller de specifikke formål med behandlingen, som er fastsat i bilag II, medmindre han modtager yderligere instrukser fra den dataansvarlige.

 

7.3 Varigheden af behandlingen af personoplysninger

Behandlingen foretaget af databehandleren må kun finde sted i den periode, der er anført i bilag II.

 

7.4 Behandlingssikkerhed

A. Databehandleren gennemfører som minimum de tekniske og organisatoriske foranstaltninger, der er anført i bilag III, for at garantere personoplysningernes sikkerhed. Dette omfatter beskyttelse af data mod brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til oplysningerne (brud på persondatasikkerheden). Ved vurderingen af det passende sikkerhedsniveau tager parterne behørigt hensyn til det aktuelle tekniske niveau, gennemførelsesomkostningerne, behandlingens karakter, omfang, kontekst og formål samt de risici, der består for de registrerede.

B. Databehandleren giver kun sine medarbejdere adgang til personoplysninger, der behandles, i det omfang, det er strengt nødvendigt for gennemførelsen, forvaltningen og overvågningen af kontrakten. Databehandleren sikrer, at de personer, der er bemyndiget til at behandle de modtagne personoplysninger, har forpligtet sig til at iagttage fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

 

7.5 Følsomme oplysninger

Hvis behandlingen omfatter personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data eller biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en persons seksuelle forhold eller seksuelle orientering eller oplysninger om straffedomme og lovovertrædelser (»følsomme oplysninger«), anvender databehandleren specifikke begrænsninger og/eller supplerende garantier.

 

7.6 Dokumentation og overholdelse

A. Parterne skal kunne påvise, at de overholder disse bestemmelser.

B. Databehandleren behandler omgående og fyldestgørende forespørgsler fra den dataansvarlige om behandlingen af data i henhold til disse bestemmelser.

C. Databehandleren stiller alle de oplysninger til rådighed for den dataansvarlige, der er nødvendige for at påvise overholdelse af de forpligtelser, der er fastsat i disse bestemmelser, og som følger direkte af forordning (EU) 2016/679. På den dataansvarliges anmodning skal databehandleren også tillade og bidrage til revisioner af de behandlingsaktiviteter, der er omfattet af disse bestemmelser, med rimelige mellemrum, eller hvis der er tegn på manglende overholdelse. Når den dataansvarlige træffer afgørelse om en gennemgang eller revision, kan denne tage hensyn til relevante certificeringer, som databehandleren er i besiddelse af.

D. Den dataansvarlige kan vælge selv at gennemføre revisionen eller bemyndige en uafhængig revisor. Revisionen kan også omfatte inspektioner i databehandlerens lokaler eller fysiske faciliteter og skal, hvor det er relevant, gennemføres med et rimeligt varsel.

E. Parterne stiller på anmodning de oplysninger, der er omhandlet i denne bestemmelse, herunder resultaterne af eventuelle revisioner, til rådighed for de(n) kompetente tilsynsmyndighed(er).

 

7.7 Anvendelse af underdatabehandlere

A. Databehandleren har den dataansvarliges generelle godkendelse til at indgå aftale med underdatabehandlere fra en aftalt liste. Databehandleren underretter specifikt den dataansvarlige skriftligt om eventuelle påtænkte ændringer af denne liste som følge af, at underdatabehandlere tilføjes til listen eller erstattes, mindst 30 dage på forhånd og giver derved den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer, inden aftale indgås med den eller de pågældende underdatabehandler(e). Databehandleren giver den dataansvarlige de oplysninger, der er nødvendige for, at den dataansvarlige kan udøve sin indsigelsesret.

B. Hvis databehandleren indgår aftale med en underdatabehandler med henblik på at udføre specifikke behandlingsaktiviteter (på vegne af den dataansvarlige), skal databehandleren gøre dette i form af en kontrakt, der i det væsentlige pålægger underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der pålægges databehandleren i overensstemmelse med disse bestemmelser. Databehandleren skal sikre, at underdatabehandleren opfylder de forpligtelser, som databehandleren er underlagt i henhold til disse bestemmelser og til forordning (EU) 2016/679.

C. Databehandleren forelægger på den dataansvarliges anmodning en kopi af en sådan aftale med en underdatabehandler og eventuelle efterfølgende ændringer for den dataansvarlige. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan databehandleren redigere aftaleteksten, inden kopien videregives.

 

D. Databehandleren forbliver fuldt ud ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser i henhold til dennes kontrakt med databehandleren. Databehandleren underretter den dataansvarlige om enhver manglende opfyldelse fra underdatabehandlerens side af dennes kontraktlige forpligtelser.

E. Databehandleren indgår en aftale om tredjemandsløfte med underdatabehandleren, hvorefter den dataansvarlige — i tilfælde af at databehandleren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent — har ret til at opsige kontrakten med underdatabehandleren og til at give underdatabehandleren en instruks om at slette eller tilbagelevere personoplysningerne.

 

7.8 Internationale overførsler

A. Databehandlerens overførsel af oplysninger til et tredjeland eller en international organisation må kun ske på grundlag af dokumenterede instrukser fra den dataansvarlige eller for at opfylde et specifikt krav i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt, og skal finde sted i overensstemmelse med kapitel V i forordning (EU) 2016/679.

 

B. Den dataansvarlige er enig i, at hvis databehandleren gør brug af en underdatabehandler i overensstemmelse med bestemmelse 7.7 til at udføre specifikke behandlingsaktiviteter (på vegne af den dataansvarlige), og disse behandlingsaktiviteter indebærer en overførsel af personoplysninger som omhandlet i kapitel V i forordning (EU) 2016/679, kan databehandleren og underdatabehandleren sikre overensstemmelse med kapitel V i forordning (EU) 2016/679 ved hjælp af standardkontraktbestemmelser vedtaget af Kommissionen i overensstemmelse med artikel 46, stk. 2, i forordning (EU) 2016/679, forudsat at betingelserne for anvendelse af disse standardkontraktbestemmelser er opfyldt.

8. Bistand til den dataansvarlige

A. Databehandleren underretter straks den dataansvarlige om enhver anmodning, han har modtaget fra den registrerede. Databehandleren må ikke selv besvare anmodningen, medmindre den dataansvarlige har givet tilladelse hertil.

B. Databehandleren bistår den dataansvarlige med at opfylde dennes forpligtelse til at besvare registreredes anmodninger om udøvelse af deres rettigheder under hensyntagen til behandlingens karakter. Ved opfyldelsen af sine forpligtelser i henhold til punkt a) og b) skal databehandleren overholde den dataansvarliges instrukser.

C. Ud over databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til bestemmelse 8, punkt b), bistår databehandleren desuden den dataansvarlige med at sikre overholdelse af følgende forpligtelser under hensyntagen til databehandlingens karakter og de oplysninger, som databehandleren har til rådighed:

1. forpligtelsen til at foretage en vurdering af de påtænkte behandlingsaktiviteters indvirkning på beskyttelsen af personoplysninger (en »konsekvensanalyse vedrørende databeskyttelse«), hvis en type behandling sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder

2. forpligtelsen til at høre de(n) kompetente tilsynsmyndighed(er) forud for behandling, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil medføre en høj risiko, hvis den dataansvarlige ikke træffer foranstaltninger til at mindske risikoen

3. forpligtelsen til at sikre, at personoplysningerne er korrekte og ajourførte, ved straks at underrette den dataansvarlige, hvis databehandleren bliver opmærksom på, at de personoplysninger, der behandles, er ukorrekte eller er blevet forældede

4. forpligtelserne i artikel 32 i forordning (EU) 2016/679.

 

D. Parterne fastsætter i bilag III de passende tekniske og organisatoriske foranstaltninger, som databehandleren skal anvende til at bistå den dataansvarlige ved anvendelsen af denne bestemmelse, samt anvendelsesområdet for og omfanget af den nødvendige bistand.

9. Anmeldelse af brud på persondatasikkerheden

I tilfælde af brud på persondatasikkerheden samarbejder databehandleren med og bistår den dataansvarlige med henblik på, at den dataansvarlige opfylder sine forpligtelser i henhold til artikel 33 og 34 i forordning (EU) 2016/679, hvor det er relevant, under hensyntagen til behandlingens karakter og de oplysninger, som databehandleren har adgang til.

 

9.1 Brud på datasikkerheden vedrørende oplysninger, der behandles af den dataansvarlige

I tilfælde af brud på persondatasikkerheden vedrørende oplysninger, der behandles af den dataansvarlige, bistår databehandleren den dataansvarlige:

A. med at anmelde bruddet på persondatasikkerheden til de(n) kompetente tilsynsmyndighed(er) uden unødig forsinkelse, efter at den dataansvarlige har fået kendskab til det, hvis det er relevant (medmindre bruddet på persondatasikkerheden sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder)

B. med at indhente følgende oplysninger, som i henhold til artikel 33, stk. 3, i forordning (EU) 2016/679 skal angives i den dataansvarliges meddelelse, og skal som minimum omfatte:

1. personoplysningernes art, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte personoplysninger

 

2. de sandsynlige konsekvenser af bruddet på persondatasikkerheden

3. de foranstaltninger, som den dataansvarlige har truffet eller foreslår at træffe for at afhjælpe bruddet på persondatasikkerheden, herunder, hvor det er relevant, foranstaltninger til at afbøde dets mulige negative virkninger. Hvis og i det omfang det ikke er muligt at give alle disse oplysninger samtidig, skal den oprindelige anmeldelse indeholde de oplysninger, der er til rådighed, og yderligere oplysninger skal efterfølgende gives uden unødig forsinkelse, i takt med at de foreligger.

C. i henhold til Artikel 34 i forordning (EU) 2016/679 med at overholde forpligtelsen til uden unødig forsinkelse at underrette den registrerede om bruddet på persondatasikkerheden, hvis bruddet på persondatasikkerheden sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

 

9.2 Brud på datasikkerheden vedrørende oplysninger, der behandles af databehandleren

I tilfælde af brud på persondatasikkerheden vedrørende oplysninger, der behandles af databehandleren, underretter databehandleren uden unødig forsinkelse den dataansvarlige, efter at databehandleren har fået kendskab til bruddet. Meddelelsen skal som minimum indeholde:

A. en beskrivelse af overtrædelsens art (herunder om muligt kategorierne og det omtrentlige antal berørte registrerede og berørte personoplysninger)

B. nærmere oplysninger om et kontaktpunkt, hvor der kan indhentes flere oplysninger om bruddet på persondatasikkerheden

C. dets sandsynlige konsekvenser og de foranstaltninger, der er truffet eller foreslås truffet for at afhjælpe bruddet, herunder for at afbøde dets eventuelle negative virkninger. Hvis og i det omfang det ikke er muligt at give alle disse oplysninger samtidig, skal den oprindelige anmeldelse indeholde de oplysninger, der er til rådighed, og yderligere oplysninger skal efterfølgende gives uden unødig forsinkelse, i takt med at de foreligger.

 

Parterne fastsætter i bilag III alle andre elementer, som databehandleren skal fremlægge, når denne bistår den dataansvarlige i overensstemmelse med den dataansvarliges forpligtelser i henhold til artikel 33 og 34 i forordning (EU) 2016/679.

Afdeling III

Afsluttende bestemmelser

10. Manglende overholdelse af bestemmelserne og ophævelse

 

A. Med forbehold af eventuelle bestemmelser i forordning (EU) 2016/679 kan den dataansvarlige i tilfælde af, at databehandleren misligholder sine forpligtelser i henhold til disse bestemmelser, give databehandleren en instruks om at suspendere behandlingen af personoplysninger, indtil sidstnævnte overholder disse bestemmelser, eller kontrakten ophæves. Databehandleren underretter straks den dataansvarlige, hvis denne af en eller anden grund ikke er i stand til at overholde disse bestemmelser.

B. Den dataansvarlige har ret til at opsige kontrakten, for så vidt den vedrører behandling af personoplysninger i henhold til disse bestemmelser, hvis:

1. databehandlerens behandling af personoplysninger er blevet suspenderet af den dataansvarlige i henhold til punkt a), og hvis overholdelsen af disse bestemmelser ikke er blevet genoprettet inden for en rimelig frist og under alle omstændigheder senest en måned efter suspensionen

 

2. databehandleren i væsentlig eller vedvarende grad misligholder disse bestemmelser eller sine forpligtelser i henhold til forordning (EU) 2016/679

3. databehandleren ikke overholder en bindende afgørelse fra en kompetent domstol eller de(n) kompetente tilsynsmyndighed(er) vedrørende sine forpligtelser i henhold til disse bestemmelser eller til forordning (EU) 2016/679.

 

C. Databehandleren har ret til at opsige kontrakten, for så vidt den vedrører behandling af personoplysninger i henhold til disse bestemmelser, hvis den dataansvarlige efter at være blevet underrettet om, at dennes instrukser er i strid med gældende retlige krav i overensstemmelse med bestemmelse 7.1, punkt b), insisterer på, at instrukserne overholdes.

 

D. Når kontrakten er bragt til ophør, sletter databehandleren efter den dataansvarliges valg alle personoplysninger, som denne har behandlet på vegne af den dataansvarlige, og attesterer over for den dataansvarlige, at oplysningerne er blevet slettet, eller tilbageleverer alle personoplysninger til den dataansvarlige og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret kræver, at personoplysningerne gemmes. Indtil oplysningerne er slettet eller leveret tilbage, skal databehandleren fortsat sikre, at disse bestemmelser overholdes

Bilag I

Liste over parter

Dataansvarlig(e):

Kunden som angivet i Parternes aftale om levering af Tjenesterne (”Aftalen”) er dataansvarlig i forhold til den behandling af personoplysninger, der finder sted i forbindelse med brug af Ydelserne.

 

Databehandler(e):

.legal A/S

Inge Lehmanns Gade 10

8000 Aarhus C

CVR-nr.: 40 88 88 88

 

Kontakt:

hello@dotlegal.dk

+45 3211 6660 

Bilag II

Beskrivelse af behandlingen

Den dataansvarlige gøres udtrykkeligt opmærksom på, at Tjenesterne ikke er udviklet til at behandle følsomme og andre fortrolige personoplysninger, og at databehandleren ikke har mulighed for at tage højde for, hvordan den dataansvarlige anvender Tjenesterne til at behandle personoplysninger, herunder hvilke typer af personoplysninger den dataansvarlige behandler ved brug af Tjenesterne, udover det i dette bilag beskrevne.

 

Kategorier af registrerede, hvis personoplysninger behandles:

  • Medarbejdere, kontaktpersoner hos kunder, leverandører, samarbejdspartnere, og andre hvis personoplysninger fremgår af de dokumenter, den dataansvarlige uploader i Tjenesterne. 

 

Kategorier af personoplysninger, der behandles:

  • Kontaktoplysninger, herunder fx navn, adresse, postnummer, e-mail, telefonnummer, aliaser, kundenummer.

  • Andre personoplysninger der fremgår af dokumenter, som den dataansvarlige uploader i Tjenesterne.

 

Behandlingens art:

  • Behandlingen af personoplysninger i Tjenesterne består i opbevaring, behandling i forbindelse med brugeradgang, løbende fremsendelse af notifikationer til de af den dataansvarlige udpegede personer og generering af diverse oversigter og rapporter.

 

Formål, hvortil personoplysningerne behandles på vegne af den dataansvarlige:

  • Databehandleren må behandle personoplysninger vedrørende de registrerede personer med det formål at levere de services, som Tjenesterne tilbyder, herunder for at give den dataansvarlige brugeradgang, løbende fremsendelse af notifikationer til de af den dataansvarlige udpegede personer og generering af diverse oversigter og rapporter samt med henblik på at opbevare personoplysninger, der fremgår af dokumenter uploadet i Tjenesterne.

 

Behandlingens varighed:

  • Personoplysningerne behandles løbende hos databehandleren under hele Aftalens varighed.

 

Ovenstående beskrivelse af databehandlerens behandling af personoplysninger på vegne af den dataansvarlige finder ligeledes anvendelse for de i bilag IV angivne underdatabehandleres behandling af personoplysninger.

Bilag III

Tekniske og organisatoriske foranstaltninger, herunder tekniske og organisatoriske foranstaltninger til sikring af datasikkerheden

 

Vores generelle tekniske og organisatoriske IT sikkerhedsforanstaltninger er beskrevet her

 

Vores særlige GDPR foranstaltninger finder du her

Bilag IV

Liste over underdatabehandlere

 

På tidspunktet for behandlingens påbegyndelse anvendes følgende underdatabehandlere, som du finder her