Databehandleraftale

Aftalens parter

Denne databehandleraftale ("Aftalen") indgås mellem den organisation der anvender Digitale Samtalekort-platformen ("den Dataansvarlige") og Digitale Samtalekort ("Databehandleren"). Aftalen regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige, jf. GDPR art. 28.

Aftalen er automatisk en del af abonnementsvilkårene og træder i kraft ved oprettelse af konto på platformen. Der kræves ikke særskilt underskrift.

Den dataansvarliges rettigheder og forpligtelser

1. Den Dataansvarlige er ansvarlig for at behandlingen af personoplysninger sker i overensstemmelse med GDPR og øvrig databeskyttelseslovgivning.
2. Den Dataansvarlige har ret til til enhver tid at fastlægge formålene med og midlerne til behandlingen af personoplysninger, herunder hvilke kategorier af oplysninger der indsamles, og hvilke deltagere der er berørt.
3. Den Dataansvarlige sikrer, at der er et gyldigt retsgrundlag for behandlingen af personoplysninger, inden platformen benyttes til indsamling af deltagerdata.
4. Den Dataansvarlige er ansvarlig for at informere egne deltagere om behandlingen af deres personoplysninger, herunder om Digitale Samtalekort som databehandler.

Behandling efter instruks

1. Databehandleren behandler udelukkende personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre EU-ret eller dansk ret kræver anden behandling.
2. Databehandleren underretter straks den Dataansvarlige, hvis en instruks efter Databehandlerens opfattelse strider mod GDPR eller øvrig databeskyttelseslovgivning.
3. Den dokumenterede instruks fremgår af denne Aftales Bilag C. Instruksen kan løbende præciseres skriftligt af den Dataansvarlige inden for rammerne af Aftalens formål.
4. Databehandleren anvender ikke personoplysninger til egne formål, markedsføring, produktudvikling eller videregivelse til tredjeparter ud over hvad der fremgår af denne Aftale.

Fortrolighed

1. Databehandleren sikrer, at alene autoriserede medarbejdere har adgang til de personoplysninger der behandles på vegne af den Dataansvarlige.
2. Adgang til personoplysninger begrænses til det strengt nødvendige (need-to-know) og dokumenteres internt.
3. Medarbejdere der behandler personoplysninger er underlagt fortrolighed, enten ved ansættelseskontrakt, tavshedserklæring eller tilsvarende bindende forpligtelse.
4. Fortrolighedsforpligtelsen gælder uden tidsbegrænsning og består efter Aftalens ophør.

Behandlingssikkerhed

1. Databehandleren træffer passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger mod uautoriseret adgang, tab, ændring eller videregivelse, jf. GDPR art. 32.
2. Databehandleren foretager løbende risikovurderinger og tilpasser sikkerhedsniveauet derefter.
3. De konkrete sikkerhedsforanstaltninger er beskrevet i Bilag C, afsnit C.2.
4. Databehandleren stiller på anmodning den nødvendige dokumentation til rådighed for den Dataansvarlige, så denne kan verificere at sikkerhedskravene overholdes.
5. Begge parter er forpligtet til at implementere passende sikkerhedsforanstaltninger. Den Dataansvarlige er ansvarlig for sikkerheden i egne systemer og den adgang der gives til platformen.

Underdatabehandlere

1. Den Dataansvarlige giver herved generel skriftlig tilladelse til, at Databehandleren kan anvende underdatabehandlere til at opfylde sine forpligtelser under denne Aftale.
2. De underdatabehandlere der anvendes på aftaletidspunktet fremgår af Bilag B. Databehandleren underretter den Dataansvarlige med mindst 14 dages varsel inden tilføjelse eller udskiftning af underdatabehandlere.
3. Den Dataansvarlige kan gøre indsigelse mod ændringer i underdatabehandlere inden varslets udløb. Kan parterne ikke nå til enighed, kan den Dataansvarlige opsige abonnementet uden varsel.
4. Databehandleren pålægger alle underdatabehandlere de samme databeskyttelsesforpligtelser som fremgår af denne Aftale, og hæfter over for den Dataansvarlige for underdatabehandlernes opfyldelse heraf.

Overførsel til tredjelande

1. Databehandleren overfører kun personoplysninger til lande uden for EU/EØS i overensstemmelse med den Dataansvarliges instruks og GDPR kapitel V.
2. Al behandling af personoplysninger sker inden for EU/EØS, medmindre den Dataansvarlige eksplicit konfigurerer integrationer til systemer i tredjelande. I sidstnævnte tilfælde er den Dataansvarlige ansvarlig for at sikre gyldigt overførselsgrundlag.
3. Databehandlerens egne underdatabehandlere er beliggende i EU/EØS eller har gyldigt overførselsgrundlag, jf. Bilag B og Bilag C, afsnit C.6.

Bistand til den registrerede og den dataansvarlige

1. Databehandleren stiller, i det omfang det er muligt, tekniske redskaber til rådighed der giver den Dataansvarlige mulighed for at opfylde registreredes rettigheder (indsigt, berigtigelse, sletning, dataportabilitet, indsigelse og begrænsning).
2. Deltagere der ønsker at udøve rettigheder vedrørende egne data skal henvende sig til den Dataansvarlige, som er ansvarlig for at behandle sådanne anmodninger. Databehandleren bistår på anmodning inden for rimelig tid.
3. Databehandleren bistår den Dataansvarlige med at sikre overholdelse af forpligtelserne i GDPR art. 32-36, herunder sikkerhedsforanstaltninger, anmeldelse af brud på datasikkerheden og konsekvensanalyser (DPIA), i det omfang det er relevant for Databehandlerens behandlingsaktiviteter.
4. Databehandleren underretter den Dataansvarlige straks og senest inden for 24 timer efter at have konstateret et brud på datasikkerheden, jf. §8.

Brud på datasikkerheden

1. Databehandleren underretter straks og senest inden for 24 timer den Dataansvarlige, hvis Databehandleren bliver bekendt med brud på datasikkerheden der vedrører den Dataansvarliges personoplysninger. Den korte frist sikrer, at den Dataansvarlige har tilstrækkelig tid til selv at opfylde sin 72-timers anmeldelsespligt over for Datatilsynet.
2. Underretningen skal som minimum indeholde: en beskrivelse af bruddets karakter, de berørte kategorier og omtrentlige antal registrerede og personoplysninger, sandsynlige konsekvenser samt trufne eller planlagte foranstaltninger til håndtering af bruddet.
3. Databehandleren bistår den Dataansvarlige med den eventuelle pligtige anmeldelse til Datatilsynet og underretning af berørte registrerede.
4. Databehandleren dokumenterer alle brud på datasikkerheden, herunder brud der ikke medfører anmeldelsespligt.

Sletning og returnering af data

1. Den Dataansvarlige kan til enhver tid eksportere egne data via platformens eksportfunktioner.
2. Ved abonnementets ophør slettes den Dataansvarliges data automatisk fra produktionssystemerne. Sikkerhedskopier slettes i henhold til den normale backup-rotation, senest 90 dage efter ophøret.
3. Den Dataansvarlige kan anmode om øjeblikkelig sletning af al data ved skriftlig henvendelse til support@digitalesamtalekort.dk. Sletning bekræftes skriftligt.
4. Data der er underlagt lovpligtig opbevaringsperiode (f.eks. regnskabsdata) er undtaget fra øjeblikkelig sletning og behandles i overensstemmelse med gældende lovgivning.

Revision og audit

1. Den Dataansvarlige har ret til at foretage inspektioner og revisioner for at verificere Databehandlerens overholdelse af GDPR og denne Aftale.
2. Standardrevisioner gennemføres via dokumentationsgennemgang og omfatter: sikkerhedsprocedurer, adgangslister for relevante medarbejdere, kopier af underdatabehandleraftaler samt sikkerhedscertificeringer.
3. Databehandleren fremsender den ønskede dokumentation inden for 2–3 uger fra anmodning. Den første revision pr. kalenderår er uden beregning. Yderligere bistand aftales særskilt.
4. Fysisk inspektion hos Databehandleren kræver mindst 30 dages varsel og sker på den Dataansvarliges regning. Fysisk inspektion hos underdatabehandlere koordineres med den pågældende underdatabehandler.

Øvrige bestemmelser

1. Parterne kan ved skriftlig aftale tilføje supplerende bestemmelser, forudsat disse ikke strider mod Aftalen eller forringer den registreredes rettigheder efter GDPR.
2. Aftalen er underlagt dansk ret. Tvister der ikke kan løses i mindelighed, afgøres ved de danske domstole med Retten i Viborg som værneting i første instans.
3. Kontrol- og tilsynsbeføjelser tilkommer Datatilsynet i henhold til GDPR og databeskyttelsesloven.

Ikrafttrædelse og ophør

1. Aftalen træder i kraft ved oprettelse af konto på platformen og løber så længe abonnementet er aktivt.
2. Aftalen kan ikke opsiges særskilt, men ophører automatisk ved abonnementets ophør.
3. Ved Aftalens ophør gælder §9 (sletning) og §3 (fortrolighed) fortsat uden tidsbegrænsning.
4. Væsentlige ændringer i Aftalen meddeles med mindst 30 dages varsel og kræver aktiv accept fra den Dataansvarlige. Mindre ændringer (f.eks. nye underdatabehandlere) meddeles med mindst 14 dages varsel, jf. §5.