Persondataforordning
1.
Baggrund
1.1
Databehandleren har indgået en Aftale (som defineret nedenfor) med den Dataansvarlige om levering af Ydelserne. Databehandleren foretager som led heri behandling af personoplysninger på vegne af den Dataansvarlige.
1.2
På den baggrund har Parterne indgået denne Databehandleraftale (som defineret nedenfor), der regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige, idet Databeskyttelseslovgivningen (som defineret nedenfor) kræver, at der mellem en dataansvarlige og en databehandler, indgås en skriftlig kontrakt, som fastlægger omfanget af og kravene til den pågældende behandling.
1.3
Databehandleraftalen udgør en integreret del af den Aftale, der er indgået mellem Databehandleren og den Dataansvarlige om levering af Ydelserne.
2.
Definitioner
2.1
Medmindre andet fremgår af sammenhængen, har følgende termer følgende betydning:
“Aftale” betyder den aftale, som er indgået mellem den Dataansvarlige og Databehandleren om levering af ydelserne.
“Dataansvarlige” betyder Kunden, som Databehandleren leverer Ydelserne til i henhold til Aftalen
“Databehandleraftale” betyder denne aftale om behandling af personoplysninger, inklusiv bilag.
“Databeskyttelseslovgivning” betyder alle de love og regler, som finder anvendelse for behandling og beskyttelse af personoplysninger overalt i det Europæiske Økonomiske Samarbejdsområde (EØS) med de til enhver tid gældende ændringer og/eller tilføjelser, herunder direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, Persondataloven (som defineret nedenfor), Forordning om Databeskyttelse (som defineret nedenfor) og, hvor relevant, de retningslinjer og regelsæt, der udstedes af det danske Datatilsyn eller andre kompetente tilsynsmyndigheder i EØS (herunder de nationale datatilsyn).
“Forordning om Databeskyttelse” betyder “Europa-Parlamentets og Rådets forordning (EU) nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)” med de til enhver tid gældende ændringer og/eller tilføjelser.
“Kunden” betyder den kunde, som Databehandleren leverer Ydelserne til i henhold til Aftalen.
“Persondataloven” betyder lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med de til enhver tid gældende ændringer og/eller tilføjelser.
“Ydelserne” betyder de tjenesteydelser og leverancer, som Databehandleren som leverandør leverer til den Dataansvarlige som Kunde i henhold til Aftalen.
2.2
Begreberne “personoplysninger”, “særlige kategorier af personoplysninger”, “behandling”, “dataansvarlig”, “databehandler”, “registrerede”, “tilsynsmyndighed”, “pseudonymisering”, “tekniske og organisatoriske foranstaltninger” og “brud på persondatasikkerheden” skal i denne Databehandleraftale forstås i overensstemmelse med Databeskyttelseslovgivning, herunder Forordning om Databeskyttelse.
3.
Behandling af personoplysninger
3.1
Databehandleren skal behandle personoplysninger på vegne af den Dataansvarlige i overensstemmelse med Databeskyttelseslovgivningen.
3.2
De personoplysninger, der behandles af Databehandleren, samt kategorierne af registrerede er beskrevet i bilag 1 til denne Databehandleraftale.
3.3
Databehandleren må kun behandle personoplysningerne på vegne af den Dataansvarlige og handler alene efter dokumenteret instruks fra den Dataansvarlige, medmindre behandlingen kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. I så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandlingen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
3.4
Databehandleren skal sikre, at de personer, som er involveret i behandlingen af personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en behørig lovbestemt tavshedspligt.
3.5
Databehandleren skal træffe de fornødne foranstaltninger til at sikre, at enhver person, der udfører arbejde for Databehandleren, og som har adgang til personoplysningerne, kun behandler disse personoplysninger efter instruks fra den Dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret, jf. punkt 3.3.
3.6
Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at den Dataansvarlige kan påse, at kravene i Databeskyttelseslovgivningen overholdes. Databehandleren skal endvidere give tilladelse og bidrage til eventuelle revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en revisor, som er bemyndiget hertil af den Dataansvarlige.
3.7
Databehandleren skal straks underrette den Dataansvarlige, hvis Databehandleren vurderer, at en instruks fra den Dataansvarlige er i strid med Databeskyttelseslovgivningen.
4.
Behandlinger uden instruks
4.1
Uanset bestemmelserne i denne Databehandleraftale, har Databehandleren ret til at behandle personoplysninger uden instruks fra den Dataansvarlige, såfremt og i det omfang det kræves i henhold til øvrig EU-ret og/eller medlemsstaternes nationale ret.
5.
Sikkerhedsforanstaltninger
5.1
Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal Databehandleren træffe de fornødne tekniske og organisatoriske foranstaltninger til at sikre et sikkerhedsniveau, der passer til disse risici.
5.2
Databehandleren skal ligeledes opfylde eventuelle sikkerhedskrav, der påhviler Databehandleren i henhold til Databeskyttelseslovgivningen, herunder sikkerhedskrav i det land, hvori Databehandleren er etableret.
5.3
Parterne kan i løbet af Databehandleraftalens løbetid aftale ændringer til de implementerede sikkerhedsforanstaltninger.
5.4
Databehandleren skal ved hjælp af passende tekniske og organisatoriske foranstaltninger bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til Databeskyttelseslovgivningen.
5.5
Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Endvidere skal Databehandleren bistå den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser til at (i) dokumentere alle brud på persondatasikkerheden, (ii) anmelde eventuelle brud på persondatasikkerheden til de(n) kompetente tilsynsmyndighed(er) og (iii) underrette de registrerede om sådanne brud på persondatasikkerheden, det hele i overensstemmelse med artikel 33 og 34 i Forordning om Databeskyttelse.
6.
Underdatabehandling
6.1
Den Dataansvarlige accepterer, at Databehandleren må benytte underleverandører som led i levering af Ydelserne til den Dataansvarlige i henhold til Aftalen. Listen over underleverandører, der p.t. beskæftiger sig med behandling af personoplysninger (i det følgende benævnt underdatabehandlere), samt over de lande, hvori personoplysningerne behandles, er vedhæftet som bilag 2. Eventuelle tilføjelser og/eller ændringer til listen vil blive meddelt til den Dataansvarlige pr. e-mail.
6.2
Meddelelse efter punkt 6.1 gives i rimelig tid forud for den påtænkte ændring. Hvis den Dataansvarlige ønsker at gøre indsigelser derimod, skal den Dataansvarlige give skriftlig meddelelse herom inden for 5 kalenderdage efter modtagelse af Databehandlerens meddelelse om ændringen. Manglende indsigelse fra den Dataansvarlige vil blive anset for et stiltiende samtykke til underdatabehandlingen.
6.3
Databehandleren skal sikre, at den pågældende underdatabehandling er lovlig, og at alle underdatabehandlere påtager sig og er underlagt samme vilkår og forpligtelser, som Databehandleren er underlagt i henhold til denne Databehandleraftale.
6.4
Databehandleren indestår for lovligheden af sine underdatabehandleres behandling af personoplysninger. Databehandleren bærer ansvaret for alle sine underdatabehandleres handlinger og undladelser, herunder de personer, som er ansat eller hyret af underdatabehandlerne, og dette ansvar gælder i samme omfang som for Databehandlerens egne handlinger og undladelser.
7.
Databehandlerens generelle forpligtelser
7.1
Databehandleren skal anvende og overholde Databeskyttelseslovgivningen og må ikke levere Ydelserne i henhold til Aftalen på en måde, som kan medvirke til, at den Dataansvarlige ikke overholder sine forpligtelser i henhold til Databeskyttelseslovgivningen.
7.2
Databehandleren skal bistå den Dataansvarlige med at overholde den Dataansvarliges forpligtelser i henhold til Databeskyttelseslovgivningen, herunder eventuelle forpligtelser i henhold til for eksempel artikel 35 (Konsekvensanalyse vedrørende databeskyttelse) og artikel 36 (Forudgående høring) i Forordning om Databeskyttelse.
8.
Ændringer
8.1
Anmoder den Dataansvarlige om ændringer til Databehandleraftalen og/eller om implementering af nye sikkerhedsforanstaltninger end dem, der gælder for Databehandleren ved indgåelsen af Databehandleraftalen, og en sådan anmodning ikke skyldes forhold, som Databehandleren tidligere skulle have taget tilstrækkelig højde for, eller som på anden måde kan henføres til Databehandlerens forhold, skal den Dataansvarlige bekoste enhver yderligere udgift, som Databehandleren bliver pålagt som en konsekvens heraf.
9.
Ansvar
9.1
Databehandleren hæfter kun for den skade, der er forvoldt af behandling, hvis Databehandleren ikke har opfyldt de forpligtelser i Databeskyttelseslovgivningen, der er rettet specifikt mod databehandlere, eller hvis Databehandleren har undladt at følge eller handlet i strid med den Dataansvarliges lovlige instrukser.
10.
Ophør
10.1
Denne Databehandleraftale ophører automatisk ved Aftalens ophør eller på den Dataansvarliges anmodning.
10.2
Parterne er enige om, at Databehandleren ved Aftalens ophør eller udløb efter den Dataansvarliges valg enten skal (i) anonymisere alle data, der er behandlet i henhold til Aftalen, samt eventuelle kopier heraf, og/eller (ii) slette alle data, der er behandlet i henhold til Aftalen, og dokumentere over for den Dataansvarlige, at dette er sket, herunder for at undgå enhver tvivl slette sådanne data fra enhver computer, server og/eller anden lagringsenhed eller -medie, medmindre EU-retten og/eller medlemsstaternes nationale ret kræver, at der sker opbevaring af sådanne data.
11.
Værneting og lovvalg
11.1
Denne Databehandleraftale er underlagt dansk ret. Enhver tvist, der måtte opstå som følge af eller i forbindelse med bestemmelserne i denne Databehandleraftale, skal i første instans indbringes for byretten i Aarhus.
Bilag 1
Kategorier af registrerede, type personoplysninger og behandlingsaktiviteter
Kategorier af registrerede
- Databehandlerens behandling relaterer sig til følgende kategorier af registrerede:
- Nuværende og fraflyttede beboere i de ejendomme, som er omfattet af Aftalen mellem Databehandleren og den Dataansvarlige.
Type personoplysninger
- Databehandlerens behandling relaterer sig til følgende type personoplysninger:
- Beboerens navn, adresse, telefonnummer, CPR-nummer, beboeridentifikationsnummer, beboelsesperiode og oplysninger om fraflytning, herunder tilflytningsadresse, indeklimaparametre, data fra diverse sensorer, beboerens varme- og vandforbrug herunder forbrugsmønster, e-mailadresse, registrering af persontilstedeværelse eller manglende tilstedeværelse i ejendommen i forbindelse med aftaler.
Behandlingsaktiviteter
- Personoplysningerne vil blive genstand for følgende grundlæggende behandling:
- Indsamling, registrering, organisering, systematisering, opbevaring, brug, lagring, opdatering, overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.