Databehandleraftale

1. Baggrund og formål

1.1 Databehandleren leverer tjenesteydelser vedrørende drift, vedligeholdelse og/eller udvikling af WordPress-websites på vegne af den dataansvarlige ("Hovedaftalen"). I forbindelse hermed kan databehandleren få adgang til personoplysninger, som lagres på eller behandles via den dataansvarliges website.

1.2 Formålet med Databehandleraftalen er at sikre parternes efterlevelse af gældende databeskyttelseslovgivning og at dokumentere den dataansvarliges instruks til databehandleren, herunder fastlægge de rettigheder og forpligtelser, der gælder, når databehandleren behandler personoplysninger på vegne af den dataansvarlige.

1.3 Databehandleraftalen og Hovedaftalen er indbyrdes afhængige og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at Hovedaftalen ophører – erstattes af en anden gyldig databehandleraftale.

1.4 Databehandleraftalen har forrang for andre modstridende bestemmelser om behandling af personoplysninger, uanset om de fremgår af Hovedaftalen eller af andre aftaler mellem parterne.

1.5 Databehandleraftalen frigør ikke databehandleren fra forpligtelser, som databehandleren selvstændigt er pålagt efter GDPR eller anden gældende lovgivning.

2. Definitioner

2.1 Begreberne "personoplysninger", "særlige kategorier af personoplysninger" (følsomme oplysninger), "behandling", "den registrerede", "dataansvarlig", "databehandler", "underdatabehandler", "brud på persondatasikkerheden" og "tilsynsmyndighed" har samme betydning som i Databeskyttelsesforordningen.

2.2 Ved "tilsynsmyndigheden" forstås i denne aftale Datatilsynet, jf. databeskyttelseslovens regler.

3. Den dataansvarliges rettigheder og forpligtelser

3.1 Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker inden for rammerne af GDPR, databeskyttelsesloven og anden gældende ret, herunder at der foreligger et gyldigt behandlingsgrundlag for den behandling, databehandleren instrueres i at foretage.

3.2 Den dataansvarlige træffer beslutning om, til hvilke formål og med hvilke hjælpemidler personoplysningerne må behandles. Det er alene under den dataansvarliges kontrol, hvilke personoplysninger der lagres på og behandles via det website, databehandleren leverer ydelser til.

3.3 Den dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet og lovligheden af de personoplysninger, der behandles, samt for at have opfyldt sin oplysningspligt over for de registrerede.

3.4 Den dataansvarlige bekræfter, at databehandleren ved indgåelsen af Databehandleraftalen har stillet tilstrækkelige garantier for, at der gennemføres passende tekniske og organisatoriske foranstaltninger, jf. afsnit 6.

4. Databehandleren handler efter instruks

4.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til tredjelande, medmindre det kræves i henhold til EU-ret eller national ret, som databehandleren er underlagt. I så fald underretter databehandleren den dataansvarlige om det retlige krav forud for behandlingen, medmindre underretning er forbudt ved lov.

4.2 Den dataansvarliges instruks udgøres af Databehandleraftalen med bilag, Hovedaftalen samt den dataansvarliges sædvanlige anvendelse af de leverede ydelser. Overførsel af personoplysninger til underdatabehandlere uden for EU/EØS på det grundlag, der fremgår af afsnit 8 og underdatabehandlerlisten, anses for en del af den dokumenterede instruks.

4.3 Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens vurdering er i strid med GDPR eller anden gældende databeskyttelseslovgivning.

5. Fortrolighed

5.1 Databehandleren sikrer, at kun personer, der er nødvendige for at opfylde forpligtelserne i Databehandleraftalen, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige, og at adgangen ophører straks ved bortfald eller tilbagekaldelse af bemyndigelsen.

5.2 Personer med adgang til personoplysningerne er underlagt fortrolighed, enten ved aftale eller ved en passende lovbestemt tavshedspligt. Fortrolighedsforpligtelsen gælder også efter Databehandleraftalens ophør. Databehandleren kan på anmodning dokumentere dette.

6. Behandlingssikkerhed

6.1 Databehandleren gennemfører passende tekniske og organisatoriske foranstaltninger i overensstemmelse med GDPR artikel 32, afstemt efter den risiko, der er forbundet med den konkrete behandling, samt under hensyntagen til det aktuelle tekniske niveau og omkostningerne ved gennemførelsen.

6.2 Relevante foranstaltninger kan blandt andet omfatte:

1. pseudonymisering og kryptering af personoplysninger, herunder kryptering ved overførsel via internettet;
2. sikring af vedvarende fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemerne;
3. evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse;
4. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger;
5. begrænsning af adgangen til personoplysninger til de personer, der er nødvendige for opfyldelsen af Databehandleraftalen.

7. Anvendelse af underdatabehandlere

7.1 Databehandleraftalen udgør den dataansvarliges forudgående generelle skriftlige godkendelse af, at databehandleren kan anvende underdatabehandlere. De til enhver tid anvendte underdatabehandlere fremgår af den særskilte underdatabehandlerliste, der offentliggøres på:

https://www.webfronten.dk/underdatabehandlere/

7.2 Databehandleren underretter den dataansvarlige om enhver påtænkt ændring af underdatabehandlerlisten (tilføjelse eller udskiftning) ved at opdatere ovennævnte side og sende meddelelse til den dataansvarliges registrerede e-mailadresse senest 14 dage før ændringen træder i kraft.

7.3 Den dataansvarlige kan inden for varslingsperioden gøre begrundet indsigelse mod en ny eller udskiftet underdatabehandler, hvis denne ikke behandler personoplysninger i overensstemmelse med gældende databeskyttelseslovgivning. Ved indsigelse skal databehandleren påvise overensstemmelse, herunder ved at give den dataansvarlige adgang til relevant dokumentation for den pågældende underdatabehandler. Opnås der herefter ikke enighed, kan den dataansvarlige opsige de berørte ydelser med 30 dages skriftligt varsel til udgangen af en måned. Den dataansvarlige betaler fuldt vederlag for leverede ydelser frem til ophørstidspunktet.

7.4 Databehandleren pålægger ved aftale enhver underdatabehandler de samme databeskyttelsesforpligtelser, som påhviler databehandleren efter Databehandleraftalen, herunder fornødne garantier for passende tekniske og organisatoriske foranstaltninger.

7.5 Hvis en underdatabehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af den pågældende underdatabehandlers forpligtelser.

8. Overførsel til tredjelande

8.1 Databehandleren kan overføre personoplysninger til eller give adgang for underdatabehandlere i lande uden for EU/EØS, forudsat at overførslen sker på et lovligt overførselsgrundlag i overensstemmelse med Databeskyttelsesforordningens kapitel V. Anvendte overførselsmekanismer kan omfatte:

1. EU-U.S. Data Privacy Framework (DPF), godkendt af Europa-Kommissionen i juli 2023;
2. Europa-Kommissionens standardkontraktbestemmelser (SCC) fra 2021;
3. en tilstrækkelighedsafgørelse truffet af Europa-Kommissionen.

8.2 Det gældende overførselsgrundlag for den enkelte underdatabehandler fremgår af underdatabehandlerlisten, jf. afsnit 7.1. Hvor overførselsmekanismen kræver, at den dataansvarlige er direkte part i overførselsaftalen, bemyndiger den dataansvarlige hermed databehandleren til at indgå en sådan aftale på den dataansvarliges vegne og til at sikre et tilstrækkeligt overførselsgrundlag.

9. Bistand til den dataansvarlige

9.1 Databehandleren bistår, så vidt det er muligt og under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med at opfylde dennes forpligtelse til at besvare anmodninger fra registrerede, der udøver deres rettigheder efter Databeskyttelsesforordningens kapitel III, herunder ret til indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse.

9.2 Databehandleren besvarer ikke selv anmodninger fra registrerede, medmindre databehandleren er bemyndiget hertil af den dataansvarlige, og underretter så vidt muligt og lovligt den dataansvarlige, hvis en anmodning om indsigt modtages direkte fra en registreret eller fra en offentlig myndighed.

9.3 Databehandleren bistår endvidere den dataansvarlige med overholdelse af forpligtelserne i Databeskyttelsesforordningens artikel 32–36, herunder:

1. gennemførelse af passende sikkerhedsforanstaltninger;
2. anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden;
3. underretning af berørte registrerede ved brud med høj risiko;
4. gennemførelse af konsekvensanalyser vedrørende databeskyttelse (DPIA) og forudgående høring af tilsynsmyndigheden.

9.4 Vederlag for bistand efter dette afsnit afregnes efter afsnit 13.

10. Brud på persondatasikkerheden

10.1 Databehandleren underretter den dataansvarlige uden unødig forsinkelse efter at være blevet bekendt med et brud på persondatasikkerheden, der vedrører personoplysninger, databehandleren behandler på vegne af den dataansvarlige, så den dataansvarlige kan overholde sin anmeldelsesfrist over for tilsynsmyndigheden.

10.2 Underretningen skal, i det omfang det er muligt, indeholde oplysning om bruddets karakter, kategorierne og det omtrentlige antal berørte registrerede, de sandsynlige konsekvenser samt de foranstaltninger, der er truffet eller foreslås truffet for at imødegå bruddet.

11. Sletning og returnering af personoplysninger

11.1 Ved ophør af de leverede ydelser sletter eller returnerer databehandleren efter den dataansvarliges valg alle personoplysninger, der er behandlet under Databehandleraftalen, og sletter eksisterende kopier, medmindre EU-ret eller national ret kræver fortsat opbevaring.

11.2 Sletning eller returnering sker inden for 30 dage efter ophør, medmindre andet aftales. Opbevares personoplysninger efter ophør som følge af et retligt krav, sker dette i overensstemmelse med de tekniske og organisatoriske foranstaltninger i afsnit 6.

12. Revision og inspektion

12.1 Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af GDPR artikel 28, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der gennemføres af den dataansvarlige eller en revisor bemyndiget af den dataansvarlige. Den dataansvarlige skal varsle en sådan revision skriftligt med mindst 30 dages varsel. Revisioner kan maksimalt kræves gennemført én gang årligt, medmindre der foreligger en begrundet og dokumenteret mistanke om, at databehandleren har misligholdt sine forpligtelser.

12.2 Hvis det foreslåede omfang af en revision er dækket af en ISAE 3000-, ISO- eller tilsvarende erklæring udført af en kvalificeret uafhængig tredjepart inden for de forudgående tolv måneder, og databehandleren bekræfter, at der ikke har været væsentlige ændringer i de reviderede foranstaltninger, accepterer den dataansvarlige denne erklæring i stedet for at anmode om en ny revision af de allerede dækkede forhold.

12.3 Tilsyn med underdatabehandlere føres som udgangspunkt gennem databehandleren. Bistand i forbindelse med revision, der overstiger, hvad gældende databeskyttelseslovgivning kræver, afregnes efter afsnit 13.

13. Vederlag

13.1 Bistand, der ydes efter Databehandleraftalen på den dataansvarliges anmodning, afregnes efter medgået tid til den til enhver tid gældende timepris i Hovedaftalen. Databehandleren giver på anmodning et estimat, før arbejdet påbegyndes.

13.2 Ingen part er berettiget til vederlag for bistand eller ændringer, der er en direkte følge af partens egen misligholdelse af Databehandleraftalen.

14. Ansvar

14.1 Ansvar for handlinger i strid med Databehandleraftalen reguleres af ansvars- og erstatningsbestemmelserne i Hovedaftalen. Eventuelle beløbsmæssige ansvarsbegrænsninger i Hovedaftalen begrænser dog ikke databehandlerens ansvar efter afsnit 7.5 for underdatabehandleres manglende opfyldelse af deres databeskyttelsesforpligtelser eller ansvar, der ikke kan begrænses efter ufravigelig lovgivning.

15. Ikrafttræden, varighed og ophør

15.1 Databehandleraftalen er gældende, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige. Ved ophør finder afsnit 11 om sletning og returnering anvendelse.

15.2 Den til enhver tid gældende version af Databehandleraftalen er tilgængelig på databehandlerens hjemmeside. Væsentlige ændringer varsles 30 dage før ikrafttræden via e-mail til den dataansvarliges registrerede e-mailadresse.

16. Lovvalg og værneting

16.1 Databehandleraftalen er underlagt dansk ret. Enhver tvist, der udspringer af Databehandleraftalen, skal anlægges ved Retten i Glostrup som første instans, medmindre andet følger af ufravigelige værnetingsregler.