[Eksempel]
1. Formål
Denne aftale fastsætter betingelserne for databehandlerens behandling af personoplysninger på vegne af den dataansvarlige, jf. artikel 28 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (”Databeskyttelsesforordningen”).
Formålet med behandlingen er at levere tekniske softwareydelser, drift, udvikling, integrationer og relateret support, som specificeret i hovedaftalen mellem parterne.
2. Behandlingens karakter og varighed
Behandlingens karakter: Udvikling, vedligeholdelse, support og integration af systemer og løsninger.
Varighed: Aftalen løber så længe databehandleren leverer ydelser til den dataansvarlige, og personoplysninger behandles som led heri.
3. Kategorier af registrerede og data
Databehandleren behandler personoplysninger i følgende kategorier:
Kategorier af registrerede (afhængig af kundens brug af løsningerne):
- Kunder og potentielle kunder
- Medarbejdere
- Brugere af systemer og platforme
Typiske datatyper:
- Navn, e-mail, telefonnummer
- Adresseoplysninger
- Bruger-id’er og loginoplysninger
- Systemlogfiler og aktivitetshistorik
- Eventuelt følsomme oplysninger, hvis kunden selv lagrer eller behandler sådanne data (dog kræver dette særskilt aftale)
4. Databehandlerens forpligtelser
Databehandleren forpligter sig til at:
- Behandle personoplysninger udelukkende efter dokumenteret instruks fra den dataansvarlige
- Sikre fortrolighed og passende tekniske og organisatoriske sikkerhedsforanstaltninger
- Ikke overføre personoplysninger til tredjelande uden forudgående skriftlig godkendelse
- Sikre, at medarbejdere er underlagt tavshedspligt og er instrueret i korrekt håndtering af data
- Bistå den dataansvarlige med:
- Håndtering af registreredes rettigheder
- Sikkerhedsbrud (meddelelse uden unødig forsinkelse)
- Dokumentation og vurdering af risici, hvis krævet
5. Underdatabehandlere
Databehandleren må kun gøre brug af underdatabehandlere efter forudgående godkendelse fra den dataansvarlige.
Følgende underdatabehandlere er godkendt ved aftalens indgåelse:
Databehandleren forpligter sig til at indgå databehandleraftaler med sine underdatabehandlere, som sikrer samme niveau af beskyttelse som denne aftale.
6. Sikkerhedsforanstaltninger
Databehandleren har implementeret tekniske og organisatoriske foranstaltninger, herunder:
- Adgangskontrol og tofaktorgodkendelse
- Kryptering af data under overførsel
- Versionsstyring og auditlogs
- Backup og disaster recovery-procedurer
- Intern politik for datasikkerhed og dataminimering
7. Tilsyn og dokumentation
Den dataansvarlige har ret til at få indsigt i databehandlerens overholdelse af denne aftale og GDPR. Dette kan ske ved:
- Modtagelse af dokumentation
- Anmodning om uddybende oplysninger
- Revisionsbesøg (efter forudgående varsel og på dataansvarliges regning)
8. Databrud
I tilfælde af brud på persondatasikkerheden skal databehandleren uden unødig forsinkelse – og senest inden for 24 timer – underrette den dataansvarlige med relevante oplysninger om:
- Hvad der er sket
- Hvilke oplysninger og registrerede, der er berørt
- Hvilke foranstaltninger, der er iværksat
- Anbefalinger til den dataansvarlige
9. Sletning og tilbagelevering af data
Ved ophør af samarbejdet eller på anmodning fra den dataansvarlige forpligter databehandleren sig til:
- At slette eller tilbagelevere alle personoplysninger uden unødig forsinkelse
- At dokumentere sletningen skriftligt, hvis ønsket
Undtagelser kan kun ske, hvis der foreligger lovgivningsmæssige krav om opbevaring.
10. Varighed og opsigelse
Denne aftale gælder så længe void behandler personoplysninger på vegne af kunden.
Ved ophør af hovedaftalen ophører denne databehandleraftale automatisk, medmindre andet er aftalt.
11. Værneting og lovvalg
Aftalen er underlagt dansk ret.
Eventuelle tvister afgøres ved Byretten i Aalborg.
Senest opdateret: 23. juni, 2025