I dette dokument vil vi beskrive hvordan vi hos Cmcs ApS har implementeret de nye regulativer og retningslinjer beskrivet i dennye persondataforordning, som trådte i kraft d.25/5-2018 over hele europa.

Under denne forordning er du som indehaver af de data som vi opsamler den dataansvarlige. Du er ansvarlig for dataene, og vi behandler dem i at vi indsamler dem. Herefter er du benævnt ”Dataansvarlig”, og vi er herefter benævnt “Databehandleren”. Hver for sig kaldet en “Part” og samlet “Parterne”

1. Baggrund, formål og omfang

1.1 Som led i den Dataansvarliges indgåelse af aftale om levering af ydelser, foretager Databehandleren behandling af personoplysninger, som den Dataansvarlige er ansvarlig for.

1.2 Databehandleren skal fra 25. maj 2018 overholde Persondataforordningen (Europa-Parlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger) med tilhørende retsakter samt heraf afledt national lovgivning.

1.3 Det er et krav i Persondataforordningen, at der mellem den dataansvarlige og databehandleren indgås skriftlig aftale om den behandling, som skal foretages; en såkaldt ’databehandleraftale’. Denne Aftale udgør sådan en skriftlig databehandleraftale.

2. Omfang

2.1 Denne Aftale og tilhørende instruks omfatter alle typer personoplysninger, som behandles af den Dataansvarlige i henhold til den mellem Parterne indgåede aftale. Der er tale om følgende oplysningstyper:

Almindelige oplysninger

(alle øvrige oplysninger som ikke er følsomme oplysninger)

Følsomme oplysninger

(oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, helbredsoplysninger, oplysninger om seksuelle forhold og orientering samt oplysninger om strafbare forhold – på sigt også genetiske og biometriske data)

2.2 Databehandleren bemyndiges til at fortage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.

2.3 Databehandleren må alene behandle personoplysninger efter instruks fra den Dataansvarlige.

2.4 Databehandleren må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.

2.5 Det er den Dataansvarliges pligt at registrere hvilke oplysninger, der er udleveret til og/eller opbevares hos Databehandler.

3. Databehandlerens forpligtelser

3.1 Databehandleren har ansvaret for at gennemføre fornødne tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, den pågældende behandlings karakter, omfang, sammensætning og formål, risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, og i øvrigt behandles i overensstemmelse med lovgivningen, jf. pkt. 1.3.

3.2 Databehandleren er altid berettiget til at implementere alternative sikkerhedsforanstaltninger under forudsætning af, at sådanne sikkerhedsforanstaltninger som minimum opfylder eller giver større sikkerhed.

3.3 Såfremt den Dataansvarlige påkræver yderligere sikkerhedsforanstaltninger end Databehandlerens normale sikkerhedsniveau, forudsættes at Databehandleren modtager betaling herfor, jf. pkt. 3.4.

3.4 Omkostninger forbundet med sådan implementering af foranstaltninger, jf. pkt. 3.3, afholdes af den Dataansvarlige og er således Databehandleren uvedkommende. Databehandleren er endvidere berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådan implementering måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til eventuelle underdatabehandlere.

3.5 Databehandleren skal sikre, at medarbejdere og underdatabehandlere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

3.6 Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere og underdatabehandlere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

3.7 Databehandleren skal sikre, at medarbejdere og underdatabehandlere, der behandler personoplysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.

3.8 Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren:

a) overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.

b) overholder bestemmelserne i den til enhver tid gældende personforordning.

Databehandlerens dokumentation heraf skal ske jævnfør persondataforordningen inden for rimelig tid.

4. Sikkerhedsbrud

4.1 Såfremt Databehandleren måtte blive bekendt med et persondatasikkerhedsbrug, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, er Databehandleren forpligtet til uden unødig forsinkelse at søge at lokalisere sådan brud og søge at begrænse opstået skade i videst mulig omfang. Det er den Dataansvarliges ansvar at underrette diverse myndigheder ved brud på sikkerheden og individet.

4.2 Databehandleren er endvidere forpligtet til uden unødige forsinkelse at underrette den Dataansvarlige om brud på persondatasikkerheden. Databehandleren skal herefter uden unødige forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til den Dataansvarlige, som så vidt muligt skal indeholde:

a) En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede og registreringer af personoplysninger.

b) Navn på og kontaktoplysninger for databeskyttelses rådgiveren.

c) En beskrivelse af de sandsynlige konsekvenser af bruddet.

d) En beskrivelse af de foranstaltninger, som Databehandleren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger.

4.3 For så vidt det ikke er muligt at give de i pkt. 4.2 anførte oplysninger samlet, kan oplysningerne meddeles trinvist uden yderligere unødig forsinkelse.

4.4 Tilsvarende er underdatabehandlere pålagt uden unødig forsinkelse at underrette Databehandleren i overensstemmelse med pkt. 4.2 og 4.3.

4.5 Den Dataansvarlige skal ikke meddele sikkerhedsbrud til diverse myndigheder, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Den dataansvarlige skal alene meddele sikkerhedsbrud til de registrerede, hvis der er en høj risiko for fysiske personers rettigheder eller frihedsrettigheder.

5. Bistand

5.1 Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysninger, der er omfattet af denne Databehandleraftale, herunder ved:

a) behandlingssikkerhed

b) anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheder

c) underretning om brud på persondatasikkerheden til registrerede

d) konsekvensanalyser vedrørende databeskyttelse

e) forudgående høringer

f) sletning af data efter instruks fra den registrerede eller den Dataansvarlige

5.2 I den forbindelse er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid i medfør af dette pkt. 5, som sådan aftale måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.

6. Tilsynsret

6.1 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige informationer til, at denne kan påse, at Databehandleren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger.

6.2 I det omfang den Dataansvarlige tillige ønsker, at dette skal omfatte den behandling, som sker hos underdatabehandlere, oplyses Databehandleren om dette. Databehandleren indhenter herefter tilstrækkelige oplysninger fra underdatabehandleren.

6.3 Såfremt den Dataansvarlige ønsker at foretage tilsyn, som anført i dette pkt. 6, skal den Dataansvarlige altid give Databehandleren et varsel på mindst 30 dage i sådan forbindelse.

7. Brug af underdatabehandler

7.1 Den Dataansvarlige giver Databehandleren samtykke til anvendelse af underdatabehandlere, forudsat at de i Databehandleraftalen stillede betingelser for dette er opfyldt.

7.2 Underdatabehandleren er under Databehandlerens Instruks. Databehandleren har indgået skriftlig databehandleraftale med underdatabehandleren, hvori det er sikret, at underdatabehandleren opfylder krav tilsvarende dem, som stilles til Databehandleren af den Dataansvarlige i medfør af Databehandleraftalen.

7.3 Omkostninger forbundet med etablering af aftaleforholdet til en underdatabehandler, herunder omkostninger til udarbejdelse af databehandleraftale og eventuel etablering af grundlag for overførsel til tredjelande, afholdes af Databehandleren og er således den Dataansvarlige uvedkommende, med mindre at dette sker på den Dataansvarliges specifikke instruks.

7.4 Såfremt den Dataansvarlige måtte ønske at instruere underdatabehandlere direkte, bør dette alene ske efter drøftelse med og via Databehandleren. Hvis den Dataansvarlige afgiver Instruks direkte overfor underdatabehandlere, skal den Dataansvarlige senest samtidig underrette Databehandleren om instruksen og baggrunden for denne. Hvor den Dataansvarlige instruerer underdatabehandlere direkte gælder følgende:

a. Databehandleren er fritaget for ethvert ansvar, og enhver følge af sådan Instruks er alene den Dataansvarliges ansvar.

b. Den Dataansvarlige hæfter for enhver omkostning, som instruksen måtte medføre for Databehandleren.

c. Databehandleren er berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al arbejdstid, som en sådan direkte Instruks måtte medføre for Databehandleren.

d. Den Dataansvarlige er selv ansvarlig overfor underdatabehandlere for enhver omkostning, vederlag eller anden betaling til underdatabehandleren, som den direkte Instruks måtte medføre.

7.5 Databehandleren anvender underdatabehandlere til at forestå den tekniske drift af tjenesterne. Den Dataansvarlige kan på skrift anmode Databehandleren om at angive hvilke underdatabehandlere, der benyttes.

7.6 Den Dataansvarlige accepterer ved indgåelsen af nærværende Databehandleraftale, at Databehandleren er berettiget til at skifte underdatabehandler, forudsat, at:

a) en eventuel ny underdatabehandler overholder tilsvarende betingelser, som stilles i nærværende pkt. 4 til den nuværende underdatabehandler

8. Databehandling udenfor instruksen

8.1 Databehandleren kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt.

8.2 Ved behandling af personoplysninger udenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske uden unødigt ophold og helst inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.

8.3 Underretning skal ikke ske, hvis underretning vil være i strid med EU-retten eller den nationale ret.

9. Behandling og videregivelse af personoplysninger

9.1 Den Dataansvarlige indestår for at have fornøden hjemmel til behandling af personoplysningerne omfattet af nærværende Databehandleraftale.

9.2 Databehandleren må ikke uden skriftligt samtykke fra den Dataansvarlige videregive oplysninger til tredjemand, med mindre sådan videregivelse følger lovgivningen eller af en bindende anmodning fra en retsinstans eller en databeskyttelsesmyndighed, eller det fremgår af denne Databehandleraftale.

10. Instruks

10.1 Databehandleren handler alene efter instruks fra den Dataansvarlige. Databehandleren skal sikre, at deoverladte personoplysninger ikke benyttes til andre formål eller behandles på en anden måde, end hvad der fremgår af den Dataansvarliges instruks.

10.2 Såfremt en instruktion efter Databehandlerens opfattelse er i strid med Persondataforordningen, skal Databehandleren orientere den Dataansvarlige herom.

10.3 Såfremt behandlingen af personoplysninger hos Databehandleren sker helt eller delvist ved anvendelse af fjernopkobling, herunder hjemmearbejdspladser, skal Databehandleren fastsætte retningslinjer for medarbejdernes behandling af personoplysninger ved anvendelse af fjernopkobling, som i øvrigt skal opfylde de i Databehandleraftalen stillede krav.

10.4 Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes ttigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af Databehandleren. Modtager Databehandleren sådan henvendelse fra den registrerede, orienterer Databehandleren den Dataansvarlige herom.

10.5 Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, jf. pkt. 10.4, herunder til underdatabehandleren. Databehandlerens bistand afregnes til Databehandlerens til enhver tid gældende timetakst for sådant arbejde.

11. Fortrolighed

11.1 Databehandleren skal holde personoplysningerne fortrolige og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser og rettigheder i henhold til Databehandleraftalen.

11.2 Databehandleren skal sikre, at de medarbejdere og eventuelle andre, herunder underdatabehandlere, der behandler de i Databehandleraftalen omfattede personoplysninger, er pålagt tavshedspligt.

12. Varighed og ophør af databehandleraftalen

12.1 Databehandleraftalen træder i kraft ved parternes underskrift.

12.2 I tilfælde af at ydelsen ophører, uanset årsag, ophører Aftalen også. Databehandleren er dog forpligtet af denne Aftale, så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige. Efter ophøret af aftalen er Databehandleren berettiget til at slette alle personoplysninger, som er blevet behandlet under den ophørte aftale på vegne af den Dataansvarlige.

13. Underskrifter

Denne Aftale er underskrevet i to enslydende, originale eksemplarer, hvoraf hver Part modtager et eksemplar.

På vegne af den Dataansvarlige: På vegne af Databehandleren:

_________________d. ___/___-2018

Svendborg d. ___/____-2018

Underskrift Underskrift

Poul Lindholm Christiansen

Blokbogstaver Blokbogstaver