Databehandleraftale

Sidst opdateret 13. juni 2018

Den dataansvarlige
Kunden

og

Databehandleren
Yan&Co ApS
CVR 38584758
Gothersgade 11
1123 København K
Danmark

1. Indhold

1. Indhold
2. Baggrund for databehandleraftalen
3. Den dataansvarliges forpligtelser og rettigheder
4. Databehandleren handler efter instruks
5. Fortrolighed
6. Behandlingssikkerhed
7. Anvendelse af underdatabehandlere
8. Overførsel af oplysninger til tredjelande eller internationale organisationer
9. Bistand til den dataansvarlige
10. Sletning og tilbagelevering af oplysninger
11. Tilsyn og revision
12. Ikrafttræden og ophør
13. Underskrift

2. Baggrund for databehandleraftalen

1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes ”hovedaftale”.
3. Databehandleraftalen og ”hovedaftalen” er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige ”hovedaftalen” – erstattes af en anden gyldig databehandleraftale.
4. Hovedaftalen har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i denne databehandleraftale.
5. Det samlede aftalekompleks, herunder hovedaftale og Databehandleraftalen opbevares som minimum elektronisk af begge parter.
6. Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.

3. Den dataansvarliges forpligtelser og rettigheder

1. Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangs-punkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
2. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
3. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.

4. Databehandleren handler efter instruks

1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

5. Fortrolighed

1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.  
2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.
3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

6. Behandlingssikkerhed

1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32.
2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici.
3. Databehandleren forbeholder sig ret til at ændre priser og fakturere for sikkerhedsmæssige tiltag som ønskes udover dem der er nævnt i databehandleraftalen, hovedaftalen og tilhørende underaftaler.

7. Anvendelse af underdatabehandlere

1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
2. Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
3. I tilfælde af specifik skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
4. Den dataansvarliges godkendelse af generelle underdatabehandlere omfatter:

   Kategori	Geografisk afgrænsning	Beskrivelse af behandling
   Hosting	EU/EØS	SiteGround Hosting
   Hosting	EU	Gigahost Hosting
   Hosting	EU	UnoEuro Hosting
   Hosting	EU/EØS	GURU Hosting
   Hosting	EU/EØS	Hosting
   Backup & Maintenance	EU/EØS	ManageWP Orion Platform til serviceaftaler og vedligeholdelse af websites
   Support System	EU/EØS	TeamWork Desk til support og ticket system
   Freelancere	EU/EØS	Freelancere til udførsel af opgaver

5. Databehandleren er ansvarlig for kontraktligt at pålægge underdatabehandlere de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale.
6. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. 

8. Overførsel af oplysninger til tredjelande eller internationale organisationer

1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

9. Bistand til den dataansvarlige

1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.   
2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i forhold til nedenstående under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren:
   1. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
   2. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. 
   3. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
3. Databehandleren forbeholder sig ret til at ændre priser hvor dette ændre på den generelt leverede ydelse, og fakturere for medgået tid.

10. Sletning og tilbagelevering af oplysninger

1. Ved ophør af tjenesterne vedrørende behandling, forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
2. I tilfælde af at den dataansvarlige ikke oplyser databehandleren om hvorvidt den dataansvarlige ønsker data slettet eller tilbageleveret inden 30 dage efter opsigelse af aftalen, forbeholder databehandleren sig retten til at slette data.

11. Tilsyn og revision

1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
2. Den nærmere procedure for den dataansvarliges tilsyn med databehandleren fremgår af handelsbetingelserne.
3. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem databehandleren. Den nærmere procedure herfor fremgår af handelsbetingelserne.
4. Databehandleren forbeholder sig ret til at fakturere for arbejde og omkostninger i forbindelse med revision og kontrol.

12. Ikrafttræden og ophør

1. Denne aftale træder i kraft ved begge parters underskrift heraf.
2. Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
3. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af ”hovedaftalen”.
4. Aftalen er gældende, så længe behandlingen består. Uanset ”hovedaftalens” og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.