Databehandleraftale

Opdateret 11/7-2019

Følgende beskriver det lovgrundlag som gør sig gældende ved indgåelse af databehandler- og leveringsaftaler med Karakternet ApS.

Karakternet ApS betegnes i det efterfølgende som databehandleren. Den enkelte skole eller kommune vil betegnes: Den dataansvarlige.

Denne lovtekst bliver brugt som baggrund for de indgåede aftaler. Aftalens detaljer vil fremgå af den enkelte aftales bilag.

2        Baggrund for databehandleraftalen

  • Databehandleraftalen fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Databehandleren foretager behandling af personoplysninger på vegne af den Dataan- svarlige.
  • Databehandleraftalen er udformet med henblik på Parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyt- telse af fysiske personer i forbindelse med behandling af personoplysninger og om fri ud- veksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (herefter Databeskyttelsesforordningen).
  • Ved eventuel uoverensstemmelse mellem bestemmelser i andre aftaler mellem Parterne, herunder Leveringsaftalen, har Databehandleraftalen forrang, medmindre andet udtrykkeligt fremgår eller følger af relevant lovgivning, herunder EU-lovgivning.
  • Til Databehandleraftalen hører fire bilag. Bilagene er en integreret del af Databe- handleraftalen.
  • Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
  • Bilag B indeholder den Dataansvarliges betingelser for, at databehandleren kan gøre brug af eventuelle Underdatabehandlere samt en liste over de eventuelle Underdatabehandlere, som den Dataansvarlige har godkendt.
  • Bilag C indeholder en nærmere instruks om, hvilken behandling Databehandleren skal foretage på vegne af den Dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger der som minimum skal iagttages, samt hvordan der føres tilsyn med Databehandleren og eventuelle Underdatabehandlere.
  • Bilag D indeholder Parternes regulering af forhold, som ikke ellers fremgår af databehandleraftalen, herunder priser ved ændringer relateret til databehandlingen.
  • Databehandleraftalen med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
  • Databehandleraftalen frigør ikke nogen af Parterne for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt  en af Parterne eller begge.

3        Den Dataansvarliges forpligtelser og rettigheder

  • Den Dataansvarlige har over for omverdenen (herunder den registrerede) ansvaret for, at behandlingen af personoplysninger sker inden for rammerne af Da- tabeskyttelsesforordningen og anden relevant lovgivning.
  • Den Dataansvarlige har derfor i forhold til Databehandleren både rettighederne og forpligtelserne til at træffe beslutninger om til hvilke formål og med hvilke hjælpemidler, der må foretages behandling.
  • Den Dataansvarlige er bl.a. ansvarlig for, at der foreligger hjemmel til den behandling, som Databehandleren instrueres i at foretage.

4        Databehandleren handler efter instruks

  • Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige. Databehandleren må dog behandle personoplysninger i det omfang det kræves i henhold til relevant lovgivning, herunder EU-lovgivning, som Databehandleren er underlagt. I så fald underretter Databehandleren den Dataansvarlige om dette lovkrav inden behandling, medmindre den pågældende lov forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. Databeskyttelsesforordningens art 28, stk. 3, litra a.
  • Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databe- handlerens mening er i strid med Databeskyttelsesforordningen eller anden relevant lovgivning, herunder EU-lovgivning.

5        Fortrolighed

  • Databehandleren sikrer, at kun de personer, der er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Adgangen til oplys- ningerne skal derfor straks ophøre, hvis autorisationen fratages eller udløber.
  • Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til person- oplysningerne for at kunne opfylde Databehandlerens forpligtelser over for den Dataan- svarlige.
  • Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysnin- ger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  • Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de rele- vante personer er underlagt ovennævnte fortroligheds- eller tavshedspligt.

6        Behandlingssikkerhed

  • Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyt- telsesforordningens artikel 32 om behandlingssikkerhed.
  • Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med den Dataansvarliges eller Databehandlerens efterfølgende krav om etablering af yderligere sikkerhedsforanstaltninger fremgår af Bilag D.

7        Anvendelse af Underdatabehandlere

  • Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforord- ningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (herefter Underdatabehandler).
  • Databehandleren må gøre brug af en anden databehandler til opfyldelse af Databehandleraftalen i overensstemmelse med bilag B.
  • Databehandleren skal pålægge Underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i Databehandleraftalen. Databehandleren er ansvarlig for Underdatabehandlerens gennemførelse af passende tekniske og organisatoriske foranstaltninger, således at behandlingen opfylder kravene i Databeskyttelsesforordningen.

Databehandleren er således ansvarlig for, at der indgås en Underdatabehandleraftale, der  pålægger en eventuel Underdatabehandler de samme forpligtelser, som Databe- handleren selv er underlagt efter databeskyttelsesreglerne og Databehandleraftalen med tilhørende bilag, herunder instruksen i bilag C.

  • Hvis Underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Da- tabehandleren fuldt ansvarlig over for den Dataansvarlige for den manglende opfyldelse af Underdatabehandlerens forpligtelser.

8        Overførsel af oplysninger til tredjelande eller internationale organisationer

  • Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt in- tern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som da- tabehandleren er underlagt. I så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
  • Den Dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, vil fremgå af databehandleraftalens Bilag C.

9        Bistand til den Dataansvarlige

  • Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med op- fyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder, jf. Databeskyttelsesforordningens kapitel III.

Dette indebærer, at Databehandleren så vidt muligt skal bistå den Dataansvarlige i forbin- delse med dennes overholdelse af:

  • oplysningspligten ved indsamling af personoplysninger hos den registrerede
    • oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
    • den registreredes indsigtsret
    • retten til berigtigelse
    • retten til sletning (»retten til at blive glemt«)
    • retten til begrænsning af behandling
    • underretningspligt i forbindelse med berigtigelse eller sletning af personoplysnin- ger eller begrænsning af behandling
    • retten til dataportabilitet
    • retten til indsigelse
    • retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering
  • Databehandleren bistår den Dataansvarlige med at sikre overholdelse af den dataansvarli- ges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynta- gen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. art 28, stk. 3, litra f.
  • Parternes aftale om fremgangsmåde, vederlæggelse eller lignende i forbindelse med Databehandlerens bistand til den Dataansvarlige fremgår af databehandleraftalens Bilag D.

10    Underretning om brud på persondatasikkerheden

  • Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel Underdatabehandler.

Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 24 timer efter at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden inden for 72 timer. Anmeldelse til tilsynsmyndigheden skal ske, medmindre det er usandsynligt, at bruddet på personsikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder (Databeskyttelsesforordningen artikel 33).

  • Databehandleren skal, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne, bistå den Dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden. Det kan betyde, at Databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den Dataansvarliges anmeldelse til tilsynsmyndigheden:
  • Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, ka- tegorierne og det omtrentlige antal berørte registreringer af personoplysninger
    • Sandsynlige konsekvenser af bruddet på persondatasikkerheden
    • Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at be- grænse dets mulige skadevirkninger

11    Sletning og tilbagelevering af oplysninger

  • Ved ophør af Leveringsaftalen, forpligtes Databehandleren til, efter den Dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, medmindre relevant EU- eller national lovgivning foreskriver fortsat opbevaring af personoplysningerne. Giver den Dataansvarlige ikke Databehandleren instruks om enten sletning eller tilabgelevering senest 3 måneder efter Leveringsaftalens ophør, er Databehandleren berettiget til at tilbagelevere alle personoplysninger til den Dataansvarlige og derefter slette disse oplysninger i Databehandlerens systemer.

12    Tilsyn og revision

  • Databehandleren skal efter anmodning fra den Dataansvarlige stille alle oplysninger, der er nødvendige for at vurdere Databehandlerens overholdelse af Databeskyttelsesforordningens artikel 28 og Databehandleraftalen, til rådighed for den Dataansvarlige. Databehandleren skal desuden give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
  • Den nærmere procedure for den Dataansvarliges eventuelle tilsyn med Databehandleren, herunder revisioner, fremgår af Bilag C.
  • Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræ- sentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske fa- ciliteter mod behørig legitimation.

13    Parternes aftaler om andre forhold

  • Regulering af andre forhold mellem Parterne, herunder i forbindelse med ændringer af Databehandleraftalen, fremgår af Databehandleraftalens Bilag D.

14    Kontaktpersoner/kontaktpunkter hos den Dataansvarlige og Databehandleren

  • Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontakt- personer/kontaktpunkter.

15    Ikrafttræden og ophør

  • Databehandleraftalen træder i kraft den dag leveringsaftalen indgås.
  • Databehandleraftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Databehandleraftalen giver anledning hertil.
  • Parternes regulering/aftale om vederlæggelse, betingelser eller lign. i forbindelse med ændringer af Databehandleraftalen, fremgår af Bilag D.
  • Opsigelse af Databehandleraftalen kan kun ske i overensstemmelse med de opsigelsesvilkår, som fremgår af Leveringsaftalen og ved en samtidig opsigelse af denne.
  • Databehandleraftalen er gældende, så længe behandlingen består. Uanset øvrige aftaler eller opsigelse, vil Databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos Databehandleren, jf. pkt. 11,  herunder i relation til eventuelle Underdatabehandlere.


Bilag til aktive aftaler kan rekvireres ved at kontakte Karakternet på tlf. 3210 5910