Databehandleraftale

Mellem

Den dataansvarlige:

Firma:

CVR:

Adresse:

Postnr og by:

Land:

Databehandleren

TINX/DK A/S

CVR 32832482

Rømersvej 4

7430 Ikast

Danmark

Databehandleraftale 
TINX/DK A/S • Rømersvej 4 • DK 7430 Ikast • CVR: 32832482 • tinx.dk 
Side 2 af 14 
 
Indhold 
 
Baggrund for databehandleraftalen ........................................................................................... 3 
Den dataansvarliges forpligtelser og rettigheder ....................................................................... 4 
Databehandleren handler efter instruks .................................................................................... 4 
Fortrolighed ................................................................................................................................ 4 
Behandlingssikkerhed................................................................................................................. 5 
Anvendelse af underdatabehandlere ......................................................................................... 5 
Overførsel af oplysninger til tredjelande eller internationale organisationer ........................... 7 
Bistand til den dataansvarlige .................................................................................................... 7 
Underretning om brud på persondatasikkerheden .............................................................. 8 
Sletning og tilbagelevering af oplysninger ............................................................................ 9 
Tilsyn og revision ................................................................................................................... 9 
Parternes aftaler om andre forhold .................................................................................... 10 
Ikrafttræden og ophør ......................................................................................................... 10 
Bilag A  Oplysninger om behandlingen ........................................................................................ 11 
Bilag B  Betingelser for databehandlerens brug af underdatabehandlere .................................. 12 
Bilag C  Instruks vedrørende behandling af personoplysninger .................................................. 13 
 
 
 
 
 
 
   

Databehandleraftale

TINX/DK A/S • Rømersvej 4 • DK 7430 Ikast • CVR: 32832482 • tinx.dk

Side 3 af 14

2 Baggrund for databehandleraftalen

1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når

databehandleren foretager behandling af personoplysninger på vegne af den

dataansvarlige.

2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-

Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af

sådanne oplysninger og om ophævelse af direktiv 95/46/EF

(Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en

databehandleraftale.

3. Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af

parternes ”hovedaftale” (tilbud fremsendt og accepteret af kunden).

4. Databehandleraftalen og ”hovedaftalen” er indbyrdes afhængige, og kan ikke opsiges

særskilt. Databehandleraftalen kan dog – uden at opsige ”hovedaftalen” – erstattes af en

anden gyldig databehandleraftale.

5. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i

andre aftaler mellem parterne, herunder i ”hovedaftalen”.

6. Til denne aftale hører tre bilag. Bilagene fungerer som en integreret del af

databehandleraftalen.

7. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen,

herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne

af registrerede og varighed af behandlingen.

8. Databehandleraftalens Bilag B indeholder den dataansvarliges betingelser for, at

databehandleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de

eventuelle underdatabehandlere, som den dataansvarlige har godkendt.

9. Databehandleraftalens Bilag C indeholder en nærmere instruks om, hvilken behandling

databehandleren skal foretage på vegne af den dataansvarlige (behandlingens genstand),

hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der

føres tilsyn med databehandleren og eventuelle underdatabehandlere.

10. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af

begge parter.

Databehandleraftale

TINX/DK A/S • Rømersvej 4 • DK 7430 Ikast • CVR: 32832482 • tinx.dk

Side 4 af 14

11. Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter

databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt

databehandleren.

3 Den dataansvarliges forpligtelser og rettigheder

1. Den dataansvarlige har overfor omverdenen (herunder den registrerede) som

udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor

rammerne af databeskyttelsesforordningen og databeskyttelsesloven.

2. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe

beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages

behandling.

3. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den

behandling, som databehandleren instrueres i at foretage.

4 Databehandleren handler efter instruks

1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra

den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes

nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren

den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende

ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf.

art 28, stk. 3, litra a.

2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter

databehandlerens mening er i strid med databeskyttelsesforordningen eller

databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

5 Fortrolighed

1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang

til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til

oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.

2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til

personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den

dataansvarlige.

3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle

personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller

er underlagt en passende lovbestemt tavshedspligt.

Databehandleraftale

TINX/DK A/S • Rømersvej 4 • DK 7430 Ikast • CVR: 32832482 • tinx.dk

Side 5 af 14

4. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de

relevante medarbejdere er underlagt ovennævnte tavshedspligt.

6 Behandlingssikkerhed

1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til

databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under

hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende

behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende

sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal

gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et

sikkerhedsniveau, der passer til disse risici.

2. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering,

og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan

herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:

a. Pseudonymisering og kryptering af personoplysninger

b. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed

af behandlingssystemer og – tjenester

c. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til

personoplysninger i tilfælde af en fysisk eller teknisk hændelse

d. En procedure for regelmæssig afprøvning, vurdering og evaluering af

effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af

behandlingssikkerhed

3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum

iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i

denne aftales Bilag C.

4. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den

dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere

sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale”.

7 Anvendelse af underdatabehandlere

1. Databehandleren skal opfylde de betingelser, der er omhandlet i

databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden

databehandler (underdatabehandler).

2. Databehandleren må således ikke gøre brug af en anden databehandler

(underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik

eller generel skriftlig godkendelse fra den dataansvarlige.

Databehandleraftale

TINX/DK A/S • Rømersvej 4 • DK 7430 Ikast • CVR: 32832482 • tinx.dk

Side 6 af 14

3. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den

dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af

andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse

mod sådanne ændringer.

4. Den dataansvarliges nærmere betingelser for databehandlerens brug af eventuelle

underdatabehandlere fremgår af denne aftales Bilag B.

5. Den dataansvarliges eventuelle godkendelse af specifikke underdatabehandlere er anført

i denne aftales Bilag B.

6. Når databehandleren har den dataansvarliges godkendelse til at gøre brug af en

underdatabehandler, sørger databehandleren for at pålægge underdatabehandleren de

samme databeskyttelsesforpligtelser som dem, der er fastsat i denne

databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-

retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne

garantier for, at underdatabehandleren vil gennemføre de passende tekniske og

organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i

databeskyttelsesforordningen.

Databehandleren er således ansvarlig for – igennem indgåelsen af en

underdatabehandleraftale – at pålægge en eventuel underdatabehandler mindst de

forpligtelser, som databehandleren selv er underlagt efter databeskyttelsesreglerne og

denne databehandleraftale med tilhørende bilag.

7. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den

dataansvarliges anmodning herom - i kopi til den dataansvarlige, som herigennem har

mulighed for at sikre sig, at der er indgået en gyldig aftale mellem databehandleren og

underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke

påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke

sendes til den dataansvarlige.

8. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige

som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den

dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over

for underdatabehandleren, f.eks. så den dataansvarlige kan instruere

underdatabehandleren om at foretage sletning eller tilbagelevering af oplysninger.

9. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver

databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af

underdatabehandlerens forpligtelser.

Databehandleraftale

TINX/DK A/S • Rømersvej 4 • DK 7430 Ikast • CVR: 32832482 • tinx.dk

Side 7 af 14

8 Overførsel af oplysninger til tredjelande eller internationale

organisationer

1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra

den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt

intern anvendelse) af personoplysninger til tredjelande eller internationale

organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes

nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren

den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende

ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf.

art 28, stk. 3, litra a.

2. Uden den dataansvarliges instruks eller godkendelse kan databehandleren – indenfor

rammerne af databehandleraftalen - derfor bl.a. ikke;

a. videregive personoplysningerne til en dataansvarlig i et tredjeland eller i en

international organisation,

b. overlade behandlingen af personoplysninger til en underdatabehandler i et

tredjeland,

c. lade oplysningerne behandle i en anden af databehandlerens afdelinger, som er

placeret i et tredjeland.

3. Den dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel

af personoplysninger til et tredjeland, vil fremgå af denne aftales Bilag C.

9 Bistand til den dataansvarlige

1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den

dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med

opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af

de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i

forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

a. oplysningspligten ved indsamling af personoplysninger hos den registrerede

b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede

c. den registreredes indsigtsret

d. retten til berigtigelse

e. retten til sletning (»retten til at blive glemt«)

f. retten til begrænsning af behandling

g. underretningspligt i forbindelse med berigtigelse eller sletning af

personoplysninger eller begrænsning af behandling

h. retten til dataportabilitet

Databehandleraftale

TINX/DK A/S • Rømersvej 4 • DK 7430 Ikast • CVR: 32832482 • tinx.dk

Side 8 af 14

i. retten til indsigelse

j. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser,

herunder profilering

2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den

dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36

under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for

databehandleren, jf. art 28, stk. 3, litra f.

Dette indebærer, at databehandleren under hensynstagen til behandlingens karakter skal

bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen

af:

a. forpligtelsen til at gennemføre passende tekniske og organisatoriske

foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er

forbundet med behandlingen

b. forpligtelsen til at anmelde brud på persondatasikkerheden til

tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest

72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre

at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko

for fysiske personers rettigheder eller frihedsrettigheder.

c. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om

brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en

høj risiko for fysiske personers rettigheder og frihedsrettigheder

d. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende

databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko

for fysiske personers rettigheder og frihedsrettigheder

e. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling,

såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen

vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for

at begrænse risikoen

3. Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med

databehandlerens bistand til den dataansvarlige vil fremgå af parternes ”hovedaftale”.

10 Underretning om brud på persondatasikkerheden

1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være

blevet opmærksom på, at der er sket brud på persondatasikkerheden hos

databehandleren eller en eventuel underdatabehandler.

Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 48 timer

efter at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed

Databehandleraftale

TINX/DK A/S • Rømersvej 4 • DK 7430 Ikast • CVR: 32832482 • tinx.dk

Side 9 af 14

for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden

indenfor 72 timer.

2. I overensstemmelse med denne aftales afsnit 10.2., litra b, skal databehandleren - under

hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne

– bistå den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden.

Det kan betyde, at databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående

oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den

dataansvarliges anmeldelse til tilsynsmyndigheden:

a. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt,

kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og

det omtrentlige antal berørte registreringer af personoplysninger

b. Sandsynlige konsekvenser af bruddet på persondatasikkerheden

c. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på

persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at

begrænse dets mulige skadevirkninger

11 Sletning og tilbagelevering af oplysninger

1. Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den

dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den

dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret

foreskriver opbevaring af personoplysningerne.

12 Tilsyn og revision

1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise

databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne

aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner,

herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er

bemyndiget af den dataansvarlige.

2. Den nærmere procedure for den dataansvarliges tilsyn med databehandleren fremgår af

denne aftales Bilag C.

3. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt

gennem databehandleren. Den nærmere procedure herfor fremgår af denne aftales Bilag

4. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid

gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter,

Databehandleraftale

TINX/DK A/S • Rømersvej 4 • DK 7430 Ikast • CVR: 32832482 • tinx.dk

Side 10 af 14

eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens

fysiske faciliteter mod behørig legitimation.

13 Parternes aftaler om andre forhold

1. En eventuel (særlig) regulering af konsekvenserne af parternes misligholdelse af

databehandleraftalen vil fremgå af parternes ”hovedaftale”.

2. En eventuel regulering af andre forhold mellem parterne vil fremgå af parternes

”hovedaftale”.

14 Ikrafttræden og ophør

1. Denne aftale træder i kraft ved begge parters underskrift heraf.

2. Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller

uhensigtsmæssigheder i aftalen giver anledning hertil.

3. Parternes eventuelle regulering/aftale om vederlæggelse, betingelser eller lignende i

forbindelse med ændringer af denne aftale vil fremgå af parternes ”hovedaftale”.

4. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl.

opsigelsesvarsel, som fremgår af ”hovedaftalen”.

5. Aftalen er gældende, så længe behandlingen består. Uanset ”hovedaftalens” og/eller

databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til

behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle

underdatabehandlere.

6. Underskrift

På vegne af den dataansvarlige

Navn:

______________________

Dato:

______________________

Underskrift:

______________________

På vegne af TINX/DK A/S

Navn:

Torben Sørensen

Dato:

09-05-2018

Underskrift:

Databehandleraftale

Side 11 af 14

Bilag A Oplysninger om behandlingen

Formålet med databehandlerens behandling af personoplysninger på vegne af den

dataansvarlige er:

at den dataansvarlige kan anvende systemer, som ejes og administreres af databehandleren, til at

foretage integration mellem systemer, der stilles til rådighed for den dataansvarlige.

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig

primært om (karakteren af behandlingen):

at databehandleren stiller systemer til rådighed for den dataansvarlige og herigennem opbevarer

personoplysninger om den dataansvarliges kunder og brugere på virksomhedens servere, såfremt

den dataansvarlige vælger at systemet skal bruge personoplysninger.

Behandlingen omfatter følgende typer af personoplysninger om de registrerede:

Såfremt integrationer håndtere personoplysninger, vil det typisk være: Navn, e-mailadresse,

telefonnummer, adresse, betalingsoplysninger, evt. kundenummer. Det er den dataansvarlige der

afgør, hvilke yderligere informationer om personer der skal opbevares i systemet.

Integrationsspecifikke felter/oplysninger der udveksles, vil være fremsendt særskilt på e-mail til

databehandleren af den dataansvarlige.

Behandlingen omfatter følgende kategorier af registrerede:

Personer som har eller har købt eller på anden vis har eller har haft kontakt til den dataansvarlige.

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan

påbegyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:

Behandlingen er ikke tidsbegrænset og varer indtil aftalen opsiges eller ophæves af en af

parterne.

Databehandleraftale

Side 12 af 14

Bilag B Betingelser for databehandlerens brug af underdatabehandlere

B.1 Betingelser for databehandlerens brug af eventuelle underdatabehandlere

Databehandleren har den dataansvarliges generelle godkendelse til at gøre brug af

underdatabehandlere, såfremt dette måtte være nødvendigt. Databehandleren skal dog

underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller

erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre

indsigelse mod sådanne ændringer. En sådan underretning skal være den dataansvarlige i hænde

umiddelbart lige før anvendelsen eller ændringen skal træde i kraft. Såfremt den dataansvarlige

har indsigelser mod ændringerne, skal den dataansvarlige give meddelelse herom til

databehandleren inden 24 timer efter modtagelsen af underretningen. Den dataansvarlige kan

alene gøre indsigelse, såfremt den dataansvarlige har rimelige, konkrete årsager hertil.

B.2 Godkendte underdatabehandlere

Den dataansvarlige har ved databehandleraftalens ikrafttræden godkendt anvendelsen af

følgende underdatabehandlere:

Listen vedligeholdes løbende på https://tinx.dk/gdpr/underleverandoerer

Den dataansvarlige har ved databehandleraftalens ikrafttræden specifikt godkendt anvendelsen

af ovennævnte underdatabehandlere til netop den behandling, som er beskrevet ud for parten.

Databehandleren kan ikke – uden den dataansvarliges specifikke og skriftlige godkendelse –

anvende den enkelte underdatabehandler til en ”anden” behandling and aftalt eller lade en

anden underdatabehandler foretage den beskrevne behandling.

Databehandleraftale

Side 13 af 14

Bilag C Instruks vedrørende behandling af personoplysninger

C.1 Behandlingens genstand/ instruks

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at

databehandleren udfører følgende:

Data der skal bruges ifm. Integrationer mellem systemer, kan i enkelte tilfælde gemmes i

databaser, såfremt det har en relevans for integrationer (fx optimering af hastighed).

Alle data der gemmes og/eller behandles af systemet, slettes ved kontraktens ophør.

C.2 Behandlingssikkerhed

Sikkerhedsniveauet skal afspejle:

• Data kan gemmes i databaser der hostes hos Digital Ocean og/eller Google

• Databaser er beskyttet af firewall

• Der er ikke adgang til data med mindre data tilgås fra en IP-adresse der er godkendt i

vores server firewall samt login med brugernavn og password.

• Databaser med persondata indgår ikke i nogen backup, da det er data der kun bruges til

validering af om elementer er oprettet. Der kan ikke foretages genopretning af databaser

med persondata – kun ved indlæsning forfra (fra filer eller API leveret af den

dataansvarlige).

C.3 Opbevaringsperiode/sletterutine

Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få

oplysningerne slette eller tilbageleveret. Ved aftales ophør slettes data umiddelbart

efterfølgende.

C.4 Lokalitet for behandling

Behandling af de i aftalen omfattede personoplysninger kan ikke uden den dataansvarliges

forudgående skriftlige godkendelse ske på andre lokaliteter end host underdatabehandleres eller

databehandlers systemer.

C.5 Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande

Overførsel af personoplysninger til tredjelande, må kun ske ved skriftlig godkendelse af

dataansvarlig.

Databehandleraftale

Side 14 af 14

C.6 Nærmere procedurer for den dataansvarliges tilsyn med den behandling, som foretages

hos databehandleren

Den dataansvarlige eller en repræsentant for den dataansvarlige kan ønske af foretager et fysisk

tilsyn vedrørende overholdelsen af denne databehandleraftale hos databehandleren.

Udover det planlagte tilsyn, kan der føres tilsyn med databehandleren, når der efter den

dataansvarliges vurdering opstår et behov herfor.

Den dataansvarliges eventuelle udgifter i forbindelse med et fysisk tilsyn afholdes af den

dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsagligt

den tid), der er nødvendig for, at den dataansvarlige kan gennemføre sit tilsyn. Medgået tid fra

databehandleren ifm. tilsyn faktureres særskilt.

C.7 Nærmere procedurer for tilsynet med den behandling, som foretages hos eventuelle

underdatabehandlere

Den dataansvarlige kan – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk

inspektion hos underdatabehandleren. Dette kan blive aktuelt, såfremt den dataansvarlige

vurderer, at databehandlerens tilsyn med underdatabehandleren ikke har givet den

dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker i

overensstemmelse med denne databehandleraftale.

Den dataansvarliges eventuelle deltagelse i et tilsyn hos underdatabehandleren ændrer ikke ved,

at databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse

af databeskyttelseslovgivningen og denne databehandleraftale.”

Databehandlerens og underdatabehandleres eventuelle udgifter i forbindelse med afholdes af et

fysisk tilsyn/en inspektion hos underdatabehandleren er den dataansvarlige uvedkommende –

uanset at den dataansvarlige har initieret og eventuelt deltaget på et sådant tilsyn.

Dokumentation for de afholdte tilsyn sendes snarest muligt til orientering hos den

dataansvarlige.”