Databehandleraftale

1. Parter

2. Behandlingens formål og karakter

Databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med:

• Hosting og vedligeholdelse af hjemmeside/webshop
• Backup og gendannelse af data
• Teknisk support og fejlretning
• Implementering af nye funktioner efter aftale
• Sikkerhedsopdateringer

3. Typer af personoplysninger

Databehandleren kan behandle følgende kategorier af personoplysninger:

• Almindelige personoplysninger (navn, email, telefon, adresse)
• Kundedata og ordrehistorik (for webshops)
• Login-oplysninger og adgangskoder (krypteret)
• IP-adresser og tekniske logdata
• Cookies og brugeradfærdsdata

Databehandleren må IKKE behandle følsomme personoplysninger (særlige kategorier) medmindre dette er skriftligt aftalt.

4. Databehandlerens rettigheder og forpligtelser

Databehandleren forpligter sig til at:

• Kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige
• Sikre at personer med adgang til personoplysningerne har forpligtet sig til fortrolighed
• Træffe alle fornødne tekniske og organisatoriske sikkerhedsforanstaltninger
• Overholde betingelserne for at gøre brug af underdatabehandlere
• Bistå den dataansvarlige med at sikre overholdelse af GDPR artikel 32-36
• Slette eller tilbagelevere alle personoplysninger efter aftaleophør
• Stille al information til rådighed for påvisning af overholdelse

5. Sikkerhedsforanstaltninger

Databehandleren har implementeret følgende sikkerhedsforanstaltninger:

• SSL-certifikat og krypteret dataoverførsel
• Regelmæssige sikkerhedsopdateringer af software
• Adgangskontrol og stærke adgangskoder
• Daglig backup af data
• Firewall og antivirus-beskyttelse
• Logning af adgang til personoplysninger
• Fysisk sikring af servere hos hosting-udbyder

6. Underdatabehandlere

Databehandleren gør brug af følgende underdatabehandlere:

Den dataansvarlige giver generel godkendelse til brug af underdatabehandlere. Databehandleren skal informere om ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere.

7. Overførsel til tredjelande

Personoplysninger opbevares som udgangspunkt inden for EU/EØS. Hvis der sker overførsel til tredjelande, sikrer databehandleren at dette sker i overensstemmelse med GDPR kapitel V.

8. Bistand til den dataansvarlige

Databehandleren bistår den dataansvarlige med:

• Besvarelse af henvendelser fra registrerede personer
• Konsekvensanalyser vedrørende databeskyttelse
• Anmeldelse af brud på persondatasikkerheden
• Forudgående høring hos tilsynsmyndigheden

Bistand ydes efter skriftlig anmodning og kan faktureres efter medgået tid.

9. Tilsyn og revision

Databehandleren giver den dataansvarlige mulighed for at føre tilsyn med overholdelsen af denne aftale, herunder:

• Årlige skriftlige redegørelser for sikkerhedsforanstaltninger
• Adgang til relevant dokumentation
• Mulighed for inspektioner med rimelig varsel

10. Brud på persondatasikkerheden

Ved brud på persondatasikkerheden skal databehandleren uden unødig forsinkelse og senest 24 timer efter at være blevet opmærksom på bruddet underrette den dataansvarlige herom.

Underretningen skal som minimum indeholde:

• Beskrivelse af bruddet og berørte kategorier af personer
• Kontaktoplysninger på kontaktperson
• Sandsynlige konsekvenser af bruddet
• Foranstaltninger som er truffet eller foreslås truffet

11. Ophør af behandling

Ved ophør af tjenesterne vedrørende behandling skal databehandleren efter den dataansvarliges valg slette eller tilbagelevere alle personoplysninger, medmindre EU-retten eller national ret foreskriver opbevaring.

12. Ansvar og erstatning

Parterne er hver især ansvarlige for egne handlinger i henhold til gældende databeskyttelseslovgivning. Databehandleren er ansvarlig for skader forvoldt ved behandling, hvis denne ikke har opfyldt de forpligtelser i GDPR, der er rettet specifikt mod databehandlere.

13. Ikrafttræden og varighed

Denne databehandleraftale træder i kraft ved underskrift og gælder så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige.