Databehandleraftale (GDPR)

Beskyttelse af dine personlige oplysninger

Hent vores standard databehandleraftale som PDF ved at klikke på knappen, eller læs den herunder.

Hvis du har spørgsmål til databehandleraftalen, er du velkommen til at henvende dig til os.

Måtte du anmode om ændringer, så vil en sådan anmodning skulle vurderes både kommercielt og juridisk af vores rådgivere samt eventuelt af vores leverandører. Denne vurdering udføres efter regning til gældende timetakster.

Databehandleraftale for behandling af persondata
Human House A/S

1. Formål og omfang

1.1 Denne databehandleraftale er et tillæg til opgaveaftale (Aftalen) mellem rekvirenten (Dataansvarlig) og Human House A/S (Databehandler) og er gældende for de i Aftalen beskrevne produkter og ydelser.

1.2 Databehandleraftalen definerer Databehandlerens be­handling af personoplysninger ifølge instruks fra den Da­taansvarlige, som led i den Dataansvarliges ønske om le­vering af produkter og ydelser i Aftalen.

1.3 For at sikre, at parterne lever op til forpligtelser under nationale databeskyttelsesregler samt EU’s Persondata­forordning 2016/679 (Forordningen), har parterne indgå­et denne databehandleraftale, som udgør instruksen fra den Dataansvarlige til til Databehandleren.

1.4 Aftalen og nedenstående instruks omfatter behandlingen af almindelige personoplysninger og helbredsmæssige personoplysninger (Personoplysninger) om den Data­ansvarliges slutbrugere, medarbejdere, ledere, kunders medarbejdere og/eller borgere (de Registrerede), som eventuelt præciseret i aftalen.

1.5 Behandling af Personoplysninger på vegne af den Dataansvarlige, må foretages indenfor EU/EØS’s grænser. Databehandling udenfor disse områder kræver den Dataansvarliges skriftlige samtykke.

2. Instruks

2.1 Databehandleren handler alene efter dokumenteret instruks fra den Dataansvarlige. Dataansvarlige beder om behandling af Personoplysninger, såsom indsamling, lagring, rapportering, brug, søgning, fremsendelse og sletning. Databehandleren skal sikre, at Personoplysninger ikke benyttes til andre formål eller behandles på anden måde end beskrevet i databehandleraftalen.

2.2 Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de Registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante Personoplysninger behandles af Databehandleren.

3. Underdatabehandler

3.1 Denne aftale udgør den Dataansvarliges forudgående generelle og specifikke skriftlige godkendelse til Databehandlerens brug af underdatabehandlere til behandling af Personoplysninger på vegne af den Dataansvarlige. Databehandleren skal sikre, at underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i databehandleraftalen.

3.2 Databehandleren er ansvarlig overfor den Dataansvarlige for eventuelle underdatabehandlere på samme måde som for Databehandlerens egne handlinger og undladelser.

3.3 Den Dataansvarlige skal altid orienteres, inden udskiftning af en underdatabehandler, der behandler Personoplysninger på vegne af den Dataansvarlige.

3.4 Følgende underdatabehandlere benyttes: NHL Data ApS (Gammel Køge Landevej 55, 2500 København, CVR 25575555; It-Service Management), GlobalConnect A/S (Havneholmen 6, 2450 København SV, CVR 26759722; Hosting) og Microsoft EU (Microsoft Ireland Operations, Ltd., One Microsoft Place, Dublin 18, D18 P521, Ireland; Hosting). Eventuelle andre godkendte underdata-behandlere vil fremgå af Aftalen.

4. Fortrolighed og samtykke

4.1 Databehandleren og dennes ansatte skal holde Personoplysningerne fortrolige, og må ikke uberettiget kopiere, udnytte eller videregive Personoplysningerne, medmindre sådan videregivelse følger af lovgivningen eller af en bindende anmodning fra en retsinstans eller en databeskyttelsesmyndighed, eller det fremgår af Aftalen.

4.2 Den Dataansvarlige indestår for at have fornøden hjemmel til behandling af Personoplysningerne, herunder at have indhentet samtykke til databehandlingen hos de Registrerede.

5. Sikkerhed mv.

5.1 Databehandleren skal træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at Personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.3.

5.2 Databehandleren er berettiget til at implementere nye sikkerhedsforanstaltninger under forudsætning af, at sådanne sikkerhedsforanstaltninger opfylder øvrige stillede krav til sikkerhed i databehandleraftalen.

5.3 Databehandleren skal omgående underrette den Dataansvarlige ved konstatering af brud på sikkerheden af betydning for Personoplysningerne.

5.4 Databehandleren skal efter nærmere aftale med den Dataansvarlige, så vidt muligt, bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i Forordningens artikel 32, 35 og 36.

5.5 Såfremt det i pkt. 5.4 anførte fører til skærpede sikker-hedsforanstaltninger i forhold til det i databehandleraftalen allerede aftalte, implementerer Databehandleren, så vidt det er muligt, sådanne foranstaltninger.

6. Tilsynsret

6.1 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige informationer til, at denne kan påse, at Databehandleren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger.

7. Varighed, varsel og vilkår

7.1 Databehandleraftalen er gældende, så længe Databehandler varetager Personoplysninger relateret til Aftalen for Dataansvarlige. Ved Aftalens udløb er Databehandleren berettiget til – og såfremt den Dataansvarlige giver instruks herom, forpligtet til – at slette alle Personoplysninger, eller tilbagelevere disse hvis muligt.

7.2 Databehandlerens samlede erstatningsansvar begrænses som følger af punkt 9.2-9.4 i de Almindelige Forretningsbetingelser. Ved direkte krav, der overstiger begrænsningerne, er Databehandleren berettiget til dækning.

7.3 Databehandleren er berettiget til at fakturere den Dataansvarlige for udgifter og medgået tid, herunder omkostninger til tredjeparts assistance og underdatabehandlere, som måtte følge af anmodning, instruks eller bistand jf. pkt. 2.2, 4.1, 5.4, 5.5, 6.1 og 7.1.

7.4 Den Dataansvarlige skal i disse tilfælde give rimelig varsel og mindst 30 dage, og i tilfælde af at informationer ønskes fra underdatabehandler tillægges varsel herfor.

Kontakt