1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Databehandlerens Forhandleraftale og Forretningsbetingelser (se separate dokumenter), som er accepteret af Kunden/Den Dataansvarlige (herefter ”Hovedydelserne”).

1.2 I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne databehandleraftale med underliggende bilag (herefter ”Databehandleraftalen”)

1.3 Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig:

1. Persondataloven (lov 2000-05-31 nr. 429 med senere ændringer).
2. Persondataforordningen, også kaldet GDPR (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne træder i kraft d. 25. maj 2018

2.1 Databehandleren bemyndiges til at foretage behandling af
personoplysninger på den Dataansvarliges vegne på de vilkår som er
fastsat i Databehandleraftalen.

2.2 Databehandleren må alene behandle personoplysninger efter
dokumenteret instruks fra den Dataansvarlige (herefter ”Instruks”).
Databehandleraftalen inkl. bilag udgør Instruksen på
underskriftstidspunktet.

2.3 Instruksen kan til enhver tid ændres eller konkretiseres nærmere af
den Dataansvarlige.

2.4 Databehandleren må, i det omfang andet ikke følger af
Databehandleraftalen, benytte alle relevante hjælpemidler, herunder
IT-systemer.

3.1 Databehandleraftalen gælder indtil enten:

a) aftale(r)n(e) om levering af Hovedydelserne ophører eller

b) Databehandleraftalen opsiges eller ophæves.

4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger

4.1.1 Databehandleren har ansvaret for at gennemføre fornødne
tekniske og organisatoriske foranstaltninger for at sikre et passende
sikkerhedsniveau. Foranstaltningerne skal gennemføres under
hensyntagen til det aktuelle tekniske niveau,
implementeringsomkostningerne og den pågældende behandlings
karakter, omfang, sammensætning og formål samt risiciene af
varierende sandsynlighed og alvor for fysiske personers rettigheder og
frihedsrettigheder.

4.1.2 Databehandleren gennemfører de passende tekniske og
organisatoriske foranstaltninger på en sådan måde, at
Databehandlerens behandling af personoplysninger opfylder kravene i
den til enhver tid gældende persondataretlige regulering.

4.2 Medarbejderforhold

4.2.1 Databehandleren skal sikre, at medarbejdere, der behandler
personoplysninger for Databehandleren, har forpligtet sig til fortrolighed
eller er underlagt en passende lovbestemt tavshedspligt.

4.2.2 Databehandleren skal sikre, at adgangen til personoplysningerne
begrænses til de medarbejdere, for hvem det er nødvendigt at behandle
personoplysninger for at kunne opfylde Databehandlerens forpligtelser
over for den Dataansvarlige.

4.2.3 Databehandleren skal sikre, at medarbejdere, der behandler
personoplysninger for Databehandleren, kun behandler disse i
overensstemmelse med Instruksen.

4.3 Dokumentation for overholdelse af forpligtelser

4.3.1 Databehandleren skal på skriftlig anmodning dokumentere overfor
den Dataansvarlige, at Databehandleren:
a) overholder sine forpligtelser efter Databehandleraftalen og Instruksen,
og
b) overholder bestemmelserne i den til enhver tid gældende
persondataretlige regulering, for så vidt angår de personoplysninger,
som behandles på den Dataansvarliges vegne.

4.3.2 Databehandlerens standarddokumentation fremgår af de
accepterede vilkår i Databehandlerens Forhandleraftale samt Forretningsbetingelser (separat dokument). Ønsker Kunden at modtage yderligere
dokumentation efter pkt. 4.3.1 skal Kunden konkretisere og specificere
hvilken dokumentation der ønskes.

4.4 Sikkerhedsbrud

4.4.1 Databehandleren skal underrette den Dataansvarlige om brud på
persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig
tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til
personoplysningerne behandlet for den Dataansvarlige (herefter
”Sikkerhedsbrud”).

4.4.2 Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig
forsinkelse.

4.4.3 Databehandleren skal vedligeholde en fortegnelse over alle
Sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere
følgende:
a) De faktiske omstændigheder omkring Sikkerhedsbruddet,
b) Sikkerhedsbruddets virkninger, og
c) de trufne afhjælpningsforanstaltninger.

4.4.4. Fortegnelsen skal efter skriftlig anmodning stilles til rådighed for
den Dataansvarlige eller tilsynsmyndighederne.

4.5 Bistand

4.5.1 Databehandleren skal i fornødent og rimeligt omfang bistå ved den
Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af
personoplysningerne, der er omfattet af Databehandleraftalen, herunder
ved:
a) besvarelser til registrerede ved udøvelse af disses rettigheder, b)
Sikkerhedsbrud,
c) konsekvensanalyser, og
d) forudgående høringer fra tilsynsmyndighederne.

4.5.2 Databehandleren skal herunder fremskaffe de oplysninger, der
skal indgå i en anmeldelsetil tilsynsmyndigheden, i det omfang
Databehandleren er den nærmeste hertil.

4.5.3 Databehandleren har krav på betaling efter medgået tid og
forbrugte materialer for bistand i medfør af dette punkt 4.5.

5.1 Den Dataansvarlige har de forpligtelser, der fremgår af bilag 1.

6.1 Databehandleren må gøre brug af en tredjepart til behandlingen af
personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det
omfang dette fremgår af:
a) bilag 2 til denne Databehandleraftale, eller b) Instruks fra den
Dataansvarlige.

6.2 Databehandleren og Underdatabehandleren skal indgå en skriftlig
aftale, som pålægger Underdatabehandleren de samme
databeskyttelsesforpligtelser, som påhvilerDatabehandleren (herunder i
medfør af Databehandleraftalen).

6.3 Den Dataansvarlige skal på skriftlig anmodning have udleveret alle
aftaler omfattet af pkt. 3 indgået med eventuelle Underdatabehandlere.

6.4 Underdatabehandleren handler herudover ligeledes alene på
Instruks fra den Dataansvarlige. Al kommunikation med
Underdatabehandleren varetages af Databehandleren, med mindre
andet særskilt aftales. Enhver ændret eller konkretiseret Instruks fra den
Dataansvarlige skal straks videregives af Databehandleren til
Underdatabehandleren.

6.5 Databehandleren er direkte ansvarlig for Underdatabehandlerens
behandling af personoplysninger på samme vis, som var behandling
foretaget af Databehandleren selv.

7.1 Databehandleren må kun overføre personoplysninger til tredjelande
eller internationale organisationer i det omfang dette fremgår af Instruks
fra den Dataansvarlige.

7.2 Overførsel af personoplysninger må i alle tilfælde kun ske i det
omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige
regulering.

8.1 Databehandleren kan behandle personoplysninger udenfor
Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som
Databehandleren er underlagt.

8.2 Ved behandling af personoplysninger udenfor Instruksen skal
Databehandleren underrette den Dataansvarlige om årsagen hertil.
Underretningen skal ske, inden behandlingen foretages og skal
indeholde en henvisning til de retlige krav, der ligger til grund for
behandlingen.

8.3 Underretning skal ikke ske, hvis underretning vil være i strid med EU
retten eller den nationale ret.

9.1 Reguleringen af misligholdelse i aftale(r)n(e) om levering af
Hovedydelserne finder anvendelseogså for denne Databehandleraftale,
som om denne Databehandleraftale var en integreret del heraf. I
tilfælde af at aftale(r)n(e) om levering af Hovedydelserne ikke tager
stilling hertil, skal gældende rets almindelige misligholdelsesbeføjelser
finde anvendelse på denne Databehandleraftale.

10.1 Reguleringen af ansvar og ansvarsbegrænsninger i de vedtagne
vilkår i Databehandlerens Forhandleraftale samt Forretningsbetingelser (separate dokumenter) finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

11.1 Reguleringen af force majeure i de vedtagne Vilkår (bilag 1) finder
anvendelse også for denne Databehandleraftale, som om denne
Databehandleraftale var en integreret del heraf.

12.1 Databehandleraftalen kan alene opsiges eller ophæves i
overensstemmelse med bestemmelserne om opsigelse og ophævelse i
de vedtagne vilkår i Databehandlerens Forhandleraftale samt Forretningsbetingelser (separate dokumenter).

13.1 Databehandlerens bemyndigelse til at behandle personoplysninger
på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens
ophør, uanset årsag. Ophør reguleres af opsigelsesvarslet og
effektuering, der er reguleret af vilkårene i Databehandlerens Forhandleraftale samt Forretningsbetingelser (separate dokumenter).

13.2 Databehandleren skal tilbagelevere, hvilket i praksis foregår som
reguleret af vilkårene i Databehandlerens Forhandleraftale samt Forretningsbetingelser (separate dokumenter), alle personoplysninger (undtaget
oplysninger beriget i Databehandlerens platform, samt statistik- og
adfærdsdata), som Databehandleren har behandlet under denne
Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens
ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af
personoplysningerne. Databehandleren er herefter forpligtet til, indenfor
tidsfristerne defineret i Databehandlerens Forhandleraftale samt Forretningsbetingelser (separate dokumenter), at slette alle
personoplysninger fra den Dataansvarlige. Den Dataansvarlige kan
anmode om fornøden dokumentation for, at dette er sket. I praksis
foregår denne sletning ved en sletning af den Dataansvarliges adgang til
Databehandlerens platform.

Undtaget herfor er den løbende 90-120 dages backup procedure som
Databehandleren og Underdatabehandleren løbende foretager.

14.1 Såfremt der er modstrid mellem denne Databehandleraftale og
vilkårene i Databehandlerens Forhandleraftale samt Forretningsbetingelser (separate dokumenter) om levering af Hovedydelserne, har vilkårene i Databehandlerens Forhandleraftale samt Forretningsbetingelser forrang, med mindre andet følger direkte af Databehandleraftalen.