6. Databehandleraftale  

6.1 I henhold til denne aftale, er Kunden Dataansvarlig, mens  Tellero Group ApS   er Databehandler. 

6.2 Definitioner, som anvendes i denne databehandleraftale, skal  have samme betydning, som tilsvarende definitioner har i  Forordning om beskyttelse af fysiske personer i forbindelse  med behandling af Personoplysninger og om fri udveksling af  sådanne oplysninger og om ophævelse af direktiv 95/46/EF  (generel forordning om databeskyttelse) (EU) 2016/679  (“GDPR”) eller have de betydninger, der ellers er defineret i  denne Databehandleraftale. 

6.3 Personoplysninger kan bestå af følgende elementer: 

∙ Fornavn og efternavn 

∙ Adresse 

∙ E-mail adresse 

∙ CPR-nr. 

∙ Titel 

∙ Telefonnumre 

∙ Billeder 

∙ Medarbejder-nr. 

6.4 Denne Databehandleraftale er gældende for alle af  Databehandlerens nuværende og fremtidige leverancer til den  Dataansvarlige. 

6.5 Indtil den 24. maj 2018 skal Databehandleren overholde Lov om  behandling af personoplysninger (lov nr. 421 af 31. maj 2000  med ændringer), herunder tilhørende bekendtgørelser.  

6.6 Fra den 25. maj 2018 skal Databehandleren overholde GDPR,  herunder anden gældende national dansk lovgivning udstedt i  henhold til GDPR eller som tillæg hertil. 

6.7 Eventuelle personoplysninger behandlet i henhold til denne  Databehandleraftale er ejet af den Dataansvarlige. 

6.8 Databehandleren forpligter sig til at behandle  Personoplysninger på den Dataansvarlige vegne.  

6.9 Databehandleren må kun behandle Personoplysninger efter  instruks fra den Dataansvarlige, herunder for så vidt angår  overføre Personoplysninger til et tredjeland eller en  international organisation, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som  Databehandleren er underlagt; i så fald underretter  Databehandleren den Dataansvarlige om dette retlige krav  inden behandling, medmindre den pågældende lovgivning  forbyder en sådan underretning af hensyn til vigtige  samfundsmæssige interesser. 

6.10 Den Dataansvarlige kan til enhver tid ændre, tilbagetrække,  supplere eller afgive en anden dokumenteret instruks, forudsat  at enhver sådan ændring, tilbagetrækning, supplement eller  instruks er i overensstemmelse med gældende lovgivning. 

6.11 I tilfælde af, at den Dataansvarlige ændrer, tilbagetrækker,  supplerer eller afgiver en anden instruks, er Databehandleren  straks forpligtet til at opfylde sådanne ændringer. 

6.12 Databehandleren har ikke ret til at benytte sig af den  Dataansvarliges Personoplysninger, informationer eller andet,  til andre formål end til opfyldelse af denne  Databehandleraftale.  

6.13 Databehandleren må kun benytte disse oplysninger til  historiske, statistiske, videnskabelige formål eller lignende i  anonymiseret form. 

6.14 Med forudgående skriftligt samtykke fra den Dataansvarlige, og  forudsat at overførslen af data til lande uden for EU/EØS er  lovlig, herunder at det pågældende land sikrer et tilstrækkeligt  beskyttelsesniveau eller et andet passende retsgrundlag for  dataoverførslen er på plads, må Databehandleren overføre, få  adgang til, behandle eller på anden måde gøre  personoplysninger tilgængelige i lande uden for EU/EØS.  

6.15 Den Dataansvarlige skal yde bistand til Databehandleren i  forbindelse med Databehandlerens behandling af  Personoplysninger i henhold til denne Databehandleraftale. 

6.16 Den Dataansvarlige skal overholde enhver forpligtelse til at  samarbejde som angivet i aftalen. Hvis Databehandleren anser  

det for nødvendigt, at den Dataansvarlige pålægges særlige  samarbejdsforpligtelser, som ikke er specificeret i denne  Databehandleraftale, skal Databehandleren og den  Dataansvarlige starte ”good faith” forhandlinger vedrørende  sådanne yderligere krav. 

6.17 Databehandleren påtager sig, både i nærværende  Databehandleraftales løbetid og efterfølgende, ikke at  videregive Fortrolig Information til tredjemand. Denne  fortrolighedsforpligtelse skal ikke gælde for oplysninger, (a)  som en Part er forpligtet til at videregive i henhold til gældende  lov, bestemmelser eller børsregler eller (b) for information, som  en Part kan dokumentere, er skabt af Parten selv.  

6.18 Ved “Fortrolig Information” forstås alle oplysninger af teknisk,  forretningsmæssig, infrastrukturmæssig eller anden art, uanset  om disse oplysninger er dokumenteret, bortset fra oplysninger,  der er eller vil blive gjort offentligt tilgængelige på anden vis  end ved misligholdelse af nærværende Databehandleraftale,  samt alle Personoplysninger. 

6.19 Databehandleren skal sikre, at ansatte og konsulenter, der  modtager Fortrolig Information, er forpligtede til at påtage sig  en tilsvarende forpligtelse vedrørende Fortrolig Information og  samarbejdet i øvrigt i henhold til denne Databehandleraftale.  

6.20 Databehandleren skal i øvrigt påse, at samtlige personer i  virksomheden, der har adgang til Personoplysninger, som  behandles på vegne af den Dataansvarlige, er bekendt med  denne Databehandleraftale og er underlagt denne  Databehandleraftales bestemmelser.  

6.21 Databehandleren skal til enhver tid overholde  Databehandlerens It-sikkerhedspolitik. Den Dataansvarlige er  forpligtet til at holde Databehandleren orienteret i tilfælde af  ændringer heri. 

6.22 Databehandleren skal straks rapportere til den Dataansvarlige  om enhver udvikling, som i væsentlig grad kan forringe  Databehandlerens nuværende eller fremtidige evne til eller  muligheder for at opfylde Databehandleraftalen. 

6.23 Databehandleren skal til enhver tid give nationale  tilsynsmyndigheder samt den Dataansvarlige nødvendig adgang  til og indsigt i Personoplysningerne, som behandles og  systemerne, der benyttes. Databehandleren skal yde den  nødvendige praktiske bistand ved denne type adgang og  indsigt. 

6.24 Databehandleren er bekendt med, at den Dataansvarlige i  henhold til gældende lovgivning om Personoplysninger skal  påse, at Databehandleren opfylder kravene heri.  

6.25 Databehandleren skal gennemføre passende tekniske og  organisatoriske foranstaltninger for at sikre et  sikkerhedsniveau, der passer til risikoen ved databehandlingen,  herunder bl.a. sikre:  

1. a) pseudonymisering og kryptering af Personoplysninger,  b) vedvarende fortrolighed, integritet, tilgængelighed og  robusthed af behandlingssystemer og –tjenester,  
2. c) rettidig genopretning af tilgængeligheden af og adgangen  til Personoplysninger i tilfælde af en fysisk eller teknisk  hændelse, 
3. d) en procedure for regelmæssig afprøvning, vurdering og  evaluering af effektiviteten af de tekniske og  organisatoriske foranstaltninger til sikring af  behandlingssikkerhed og 
   

1. e) at oplysninger ikke hændeligt eller ulovligt tilintetgøres,  fortabes eller forringes samt mod, at de kommer til  uvedkommendes kendskab, misbruges eller i øvrigt  behandles i strid med gældende lovgivning om  Personoplysninger. 

6.27 Databehandleren skal på den Dataansvarliges anmodning give  den Dataansvarlige tilstrækkelige oplysninger til, at denne kan  påse, at de nævnte tekniske og organisatoriske  sikkerhedsforanstaltninger er truffet. 

6.28 Databehandleren skal i nødvendigt omfang samarbejde med  den Dataansvarlige for at gennemføre – både på tidspunktet for  fastlæggelse af midlerne til behandling og på tidspunktet for  selve behandlingen – passende tekniske og organisatoriske  foranstaltninger, som er designet med henblik på effektiv  implementering af databeskyttelsesprincipper, såsom  dataminimering, og med henblik på integrering af de fornødne  garantier i behandlingen for at opfylde kravene i denne  Databehandleraftale og i gældende lovgivning om behandling af  Personoplysninger og for at beskytte de registreredes  rettigheder. 

6.29 Databehandleren skal gennemføre passende tekniske og  organisatoriske foranstaltninger med henblik på gennem  standardindstillinger at sikre, at kun Personoplysninger, der er  nødvendige til hvert specifikke formål med behandlingen,  behandles. Denne forpligtelse gælder den mængde  Personoplysninger, der indsamles, og omfanget af  Databehandlerens behandling samt Databehandlerens  opbevaringsperiode og tilgængelighed. Sådanne  foranstaltninger skal navnlig gennem standardindstillinger sikre,  at Personoplysninger ikke uden den pågældende fysiske  persons indgriben stilles til rådighed for et ubegrænset antal  fysiske personer. 

6.30 Databehandleren og, hvis det er relevant, Databehandlerens  repræsentant, fører fortegnelser over alle kategorier af  behandlingsaktiviteter, der foretages på vegne af den  Dataansvarlige, idet fortegnelsen som minimum skal indeholde:  

1. a) navn på og kontaktoplysninger for Databehandleren eller  underleverandører, samt, hvis det er relevant,  Databehandlerens repræsentant og  databeskyttelsesrådgiveren, 
2. b) de kategorier af behandling, der foretages på vegne af den  Dataansvarlige,  
3. c) hvor det er relevant, overførsler af Personoplysninger til et  tredjeland eller en international organisation, herunder  angivelse af dette tredjeland eller denne internationale  organisation og dokumentation for passende garantier, og  
4. d) hvis det er muligt, en generel beskrivelse af de tekniske og  organisatoriske sikkerhedsforanstaltninger. 

6.31 Databehandleren samt, hvis det er relevant, Databehandlerens  repræsentant, stiller efter anmodning fortegnelserne til  rådighed for tilsynsmyndigheden.  

6.32 Hvis en type behandling, navnlig ved brug af nye teknologier og  i medfør af sin karakter, omfang, sammenhæng og formål,  sandsynligvis vil indebære en høj risiko for fysiske personers  rettigheder og frihedsrettigheder, skal Databehandleren, for  den Dataansvarlige, forud for behandlingen foretage en analyse  af de påtænkte behandlingsaktiviteters konsekvenser for  beskyttelse heraf.  

6.33 En sådan konsekvensanalyse vedrørende databeskyttelse er  navnlig påkrævet i følgende tilfælde:  

1. a) en systematisk og omfattende vurdering af personlige  forhold vedrørende fysiske personer, der er baseret på  automatisk behandling, herunder profilering, og som er  grundlag for afgørelser, der har retsvirkning for den fysiske  person eller på tilsvarende vis betydeligt påvirker den  fysiske person,  
2. b) behandling i stort omfang af særlige kategorier af  oplysninger eller af personoplysninger vedrørende  straffedomme og lovovertrædelser eller  
3. c) systematisk overvågning af et offentligt tilgængeligt  område i stort omfang.  

6.34 Databehandleren skal straks rapportere til den Dataansvarlige  om enhver udvikling som i væsentlig grad kan forringe  Databehandlerens nuværende eller fremtidige evne til eller  muligheder for at opfylde Databehandleraftalen. 

6.35 Databehandleren skal stille alle nødvendige oplysninger til  rådighed for den Dataansvarlige til dokumentation for den  Dataansvarliges forpligtelser, samt give mulighed for og bidrage  til revisioner, herunder inspektioner, foretaget af den  Dataansvarlige i rimeligt omfang. 

6.36 Databehandleren skal til enhver tid give nationale  tilsynsmyndigheder samt den Dataansvarlige nødvendig adgang  til og indsigt i Personoplysningerne, som behandles og  systemerne, der benyttes. Databehandleren skal yde den  nødvendige praktiske bistand hertil. 

6.37 Såfremt Databehandleren af en hvilken som helst grund ikke er  i stand til at sikre en korrekt behandling af den Dataansvarliges  Personoplysninger i overensstemmelse med nærværende  Databehandleraftale, skal Databehandleren straks underrette  den Dataansvarlige herom. 

6.38 Databehandleren skal bistå den Dataansvarlige i enhver  henseende med opfyldelse af den Dataansvarliges forpligtelser  til besvarelse af anmodning om udøvelse af den Registreredes  rettigheder og opfyldelse af forpligtelser om  

1. a) behandlingssikkerhed,  
2. b) anmeldelse af brud på persondatasikkerheden til  tilsynsmyndigheden,  
3. c) underretning om brud på persondatasikkerheden til den  Registrerede,  
4. d) konsekvensanalyse vedrørende databeskyttelse og  e) forudgående høring. 

6.39 Databehandleren skal endvidere bistå den Dataansvarlige i  enhver henseende med opfyldelse af den Dataansvarliges  forpligtelser til besvarelse af anmodning om udøvelse af den  Registreredes rettigheder og opfyldelse af forpligtelser om  

1. a) oplysningspligt ved indsamling af Personoplysninger hos  den Registrerede, 
2. b) oplysningspligt, hvis Personoplysninger ikke er indsamlet  hos den Registrerede,  
3. c) den Registreredes indsigtsret,  
4. d) ret til berigtigelse,  
5. e) ret til sletning (»retten til at blive glemt«),  
6. f) ret til begrænsning af behandling,  
7. g) underretningspligt i forbindelse med berigtigelse eller  sletning af Personoplysninger eller begrænsning af  behandling,  
8. h) ret til data-portabilitet og  
9. i) ret til indsigelse.
   

6.40 I tilfælde af brud på persondatasikkerheden skal  Databehandleren uden unødig forsinkelse og senest 24 timer  efter kendskab om brud på persondatasikkerheden, underrette  den Dataansvarlige efter at være blevet opmærksom på, at der  er sket brud på persondatasikkerheden.  

6.41 Underretningen skal mindst:  

1. a) beskrive karakteren af bruddet på persondatasikkerheden,  herunder, hvis det er muligt, kategorierne og det  omtrentlige antal berørte registrerede samt kategorierne  og det omtrentlige antal berørte registreringer af  Personoplysninger, 
2. b) angive navn på og kontaktoplysninger for  databeskyttelsesrådgiveren (DPO) eller et andet  kontaktpunkt, hvor yderligere oplysninger kan indhentes, 
3. c) beskrive de sandsynlige konsekvenser af bruddet på  persondatasikkerheden og 
4. d) beskrive de foranstaltninger, som Databehandleren har  truffet eller foreslår truffet for at håndtere bruddet på  persondatasikkerheden, herunder, hvis det er relevant,  foranstaltninger for at begrænse dets mulige  skadevirkninger.  

6.42 Databehandleren dokumenterer alle brud på  persondatasikkerheden, herunder de faktiske omstændigheder  ved bruddet på persondatasikkerheden, dets virkninger og de  trufne afhjælpende foranstaltninger. 

6.43 Denne dokumentation skal kunne sætte tilsynsmyndigheden i  stand til at kontrollere, at den Dataansvarliges  underretningsforpligtelse for brud på persondatasikkerheden er  overholdt. Hvis Databehandleren anvender en underleverandør  til at udføre specifikke behandlingsaktiviteter på vegne af den  Dataansvarlige, pålægges underleverandøren de samme  databeskyttelsesforpligtelser, som fremgår af denne  Databehandleraftale. Aftaler med underleverandører uden for  EU/ EØS skal – inden overførsel – indgås i henhold til EU Kommissionens afgørelse 2010/87 / EU om  standardmodelkontrakter for overførsel af personoplysninger  til lande uden for EU/ EØS, ligesom der skal foretages  nødvendige anmeldelser / tilladelser til lokale myndigheder,  hvis det kræves. 

6.44 Al kommunikation mellem den Dataansvarlige og  underleverandøren skal gå gennem Databehandleren. 

6.45 Databehandleren er forpligtet til at underrette sine  underleverandører om bestemmelserne i denne  Databehandleraftale. 

6.46 Den Dataansvarlige har ret til på et hvilket som helst tidspunkt  med et skriftligt varsel at få udleveret alle de Personoplysninger  og informationer herom, som er en del af Databehandleraftalen  og som tilhører den Dataansvarlige, på et almindeligt anerkendt  maskinlæsbart medie. De pågældende Personoplysninger og  informationer skal udleveres efter den Dataansvarliges  nærmere rimelige anvisning. Værktøjer til at foretage  dataudtræk skal gøres tilgængelige for den Dataansvarlige.  

6.47 Ved Databehandleraftalens ophør er den Dataansvarlige  berettiget til at få udleveret alle de Personoplysninger og  informationer, Databehandleraftalen omfatter, uanset årsagen  til Databehandleraftalens ophør. Denne forpligtelse gælder  tillige i en periode på op til 3 måneder efter denne  Databehandleraftales ophør. 

6.48 Udlevering af Personoplysninger og informationer må kun ske  til den Dataansvarlige og/eller til en af den Dataansvarlige  udpeget tredjemand.  

6.49 Databehandleren skal efter den Dataansvarliges forudgående  skriftlige anvisninger slette Personoplysninger eller  informationer af enhver art, der er kommet i Databehandlerens  besiddelse i medfør af Databehandleraftalen.  

6.50 Dataansvarlige indestår for, at denne forud for fremsendelse af  personoplysninger til Databehandler, har indhentet den  Registreredes samtykke til databehandlingen af  Personoplysningerne, samt at Databehandler lovligt kan  behandle de modtagne Personoplysninger i overensstemmelse  med gældende lovgivning. Hvis og såfremt der er meddelt  begrænsninger i samtykket, eller den registrerede  efterfølgende tilbagekalder sit samtykke, er Dataansvarlig forpligtet til straks at underrette Databehandler herom.  

6.51 Databehandlerens udlæg i forbindelse med indsamling,  opbevaring samt anvendelse af Personoplysninger og  dokumenter efter instruks fra den Dataansvarlige afholdes af  den Dataansvarlige. 

6.52 Databehandlerens omkostninger i enhver henseende, herunder  omkostninger til revision, inspektion, og løbende iværksættelse  af foranstaltninger i henhold til gældende lovgivning og til  opfyldelse af Databehandlerens forpligtelser i henhold til denne  Databehandleraftale, afholdes af den Dataansvarlige.  Databehandleren kan kræve særskilt betaling for de  omkostninger, som er beskrevet i denne Databehandleraftale. Disse omkostninger skal betales af den Dataansvarlige, inden  Databehandler bliver forpligtet til at udføre de i  databehandleren anførte opgaver. 

6.53 Databehandleren er i intet tilfælde – uanset omstændighederne  – ansvarlig for den Dataansvarliges indirekte tab, herunder tab  med baggrund i forventet fortjeneste, tab eller rekonstruktion  af data og eventuelle bødekrav. 

6.54 Erstatning for fejl og mangler, forsinket levering elleranden  misligholdelse fra Databehandleren eller Databehandlerens  underleverandører, kan aldrig overstige den samlede ordresum,  ekskl. moms, for den ordre som relaterer sig til den konkrete  skade eller ansvar.  

6.55 Databehandleraftalen ophører samtidig med ophør af denne  aftale. 

6.56 Den Dataansvarlige er til enhver tid berettiget til at suspendere  databehandling under denne Databehandleraftale. Dette vil  dog medføre en øjeblikkelig standsning af alle den  Dataansvarliges sager. 

6.57 Ved Databehandleraftalens ophør skal Databehandler loyalt og  hurtigst mulig medvirke til, at Personoplysninger og al  information omfattet af Databehandleraftalen overføres til  anden leverandør eller tilbageføres til den Dataansvarlige.  Databehandleren skal levere de aftalte ydelser indtil endelig  overførsel har fundet sted. 

6.58 Hvis en ændring af gældende databeskyttelseslovgivning  kræver, at Databehandleren  

1. underskriver yderligere dokumentation eller  
2. gennemfører supplerende tekniske og organisatoriske  foranstaltninger eller 
   

1. accepterer yderligere forpligtelser i forhold til dem, der er  angivet i denne Databehandleraftale, og et sådant krav  nævnt i (a) – (c) ovenfor medfører yderligere omkostninger  eller risici for Databehandleren, er parterne enige om at  forhandle i ”good faith” for en rimelig justering af eventuelle gebyrer. 

6.59 Ingen af Parterne er ansvarlig for nogen handling eller  undladelse af at træffe foranstaltninger, i det omfang, sådan  handling eller et sådant svigt begrundes i årsager udenfor en  Parts rimelig kontrol, herunder, og uden begrænsning, i tilfælde  af krig, uroligheder, force majeure, general strejke ,  forstyrrelser i det offentlige telenet, forstyrrelser af Den  Dataansvarliges internetforbindelse eller lignende  begivenheder, men kun hvis den pågældende Part ikke kunne  have forudset begivenheden på tidspunktet for antagelsen af  forpligtelsen. Så længe en sådan begivenhed effektivt  forhindrer en Part i at udføre den pågældende forpligtelse, skal  denne suspenderes, indtil der ikke længere eksisterer en sådan  forhindring.