DRIVEPILOT – DATABEHANDLERAFTALE
Standardkontraktsbestemmelser
i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med
henblik på databehandlerens behandling af personoplysninger
1. Indhold
2. Præambel 4
3. Den dataansvarliges rettigheder og forpligtelser 4
4. Databehandleren handler efter instruks 5
5. Fortrolighed 5
6. Behandlingssikkerhed 5
7. Anvendelse af underdatabehandlere 6
8. Overførsel til tredjelande eller internationale organisationer 7
9. Bistand til den dataansvarlige 8
10. Underretning om brud på persondatasikkerheden 9
11. Sletning og returnering af oplysninger 10
12. Revision, herunder inspektion 10
13. Parternes aftale om andre forhold 10
14. Ikrafttræden og ophør 10
15. Kontaktpersoner hos den dataansvarlige og databehandleren 11
Bilag A Oplysninger om behandlingen 12
Bilag B Underdatabehandlere 13
Bilag C Instruks vedrørende behandling af personoplysninger 14
Bilag D Parternes regulering af andre forhold 19
Side 2 af 19
2. Præambel
1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når
denne foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28,
stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016
om beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af
direktiv 95/46/EF (databeskyttelsesforordningen).
3. I forbindelse med leveringen af DrivePilot behandler databehandleren
personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse
Bestemmelser.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre
aftaler mellem parterne.
5. Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af
Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger,
herunder om behandlingens formål og karakter, typen af personoplysninger,
kategorierne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af
underdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige
har godkendt brugen af.
8. Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens
behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger,
som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn
med databehandleren og eventuelle underdatabehandlere.
9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke af omfattet
af Bestemmelserne.
10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder
elektronisk, af begge parter.
11. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som
databehandleren er pålagt efter databeskyttelsesforordningen eller enhver anden
lovgivning.
3. Den dataansvarliges rettigheder og forpligtelser
1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger
sker i overensstemmelse med databeskyttelsesforordningen (se forordningens
artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes 1
nationale ret og disse Bestemmelser.
1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”.
Side 3 af 19
2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og
med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et
behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren
instrueres i at foretage.
4. Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks
fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller
medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks
skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den
dataansvarlige, mens der sker behandling af personoplysninger, men instruksen
skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen
med disse Bestemmelser.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter
vedkommendes mening er i strid med denne forordning eller
databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
5. Fortrolighed
1. Databehandleren må kun give adgang til personoplysninger, som behandles på den
dataansvarliges vegne, til personer, som er underlagt databehandlerens
instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en
passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af
personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af
denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke
længere er nødvendig, og personoplysningerne skal herefter ikke længere være
tilgængelige for disse personer.
2. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de
pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er
underlagt ovennævnte tavshedspligt.
6. Behandlingssikkerhed
1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og
databehandleren, under hensyntagen til det aktuelle tekniske niveau,
implementeringsomkostningerne og den pågældende behandlings karakter, omfang,
sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for
fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske
og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til
disse risici.
Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og
frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at
imødegå disse risici. Afhængig af deres relevans kan det omfatte:
a. Pseudonymisering og kryptering af personoplysninger
Side 4 af 19
b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og
robusthed af behandlingssystemer og -tjenester
c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til
personoplysninger i tilfælde af en fysisk eller teknisk hændelse
d. en procedure for regelmæssig afprøvning, vurdering og evaluering af
effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af
behandlingssikkerhed.
2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den
dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som
behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med
henblik på denne vurdering skal den dataansvarlige stille den nødvendige
information til rådighed for databehandleren som gør vedkommende i stand til at
identificere og vurdere sådanne risici.
3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes
overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved
bl.a. at stille den nødvendige information til rådighed for den dataansvarlige
vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som
databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al
anden information, der er nødvendig for den dataansvarliges overholdelse af sin
forpligtelse efter forordningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering –
kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som
databehandleren allerede har gennemført, skal den dataansvarlige angive de
yderligere foranstaltninger, der skal gennemføres, i bilag C.
7. Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i
databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en
anden databehandler (en underdatabehandler).
2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse
af disse Bestemmelser uden forudgående specifik skriftlig godkendelse fra den
dataansvarlige.
Databehandleren har den dataansvarliges generelle godkendelse til brug af
underdatabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige
om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af
underdatabehandlere med mindst 48 timers varsel og derved give den
dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden
brugen af de(n) omhandlede underdatabehandler(e). Længere varsel for
underretning i forbindelse med specifikke behandlingsaktiviteter kan angives i bilag
B. Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt,
fremgår af bilag B.
Side 5 af 19
3. Når databehandleren gør brug af en underdatabehandler i forbindelse med
udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal
databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-
retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de
samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser,
hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil
gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at
behandlingen overholder kravene i disse Bestemmelser og
databeskyttelsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som
minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og
databeskyttelsesforordningen.
4. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter
den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som
herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser
som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser
om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af
underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
5. Databehandleren skal i sin aftale med underdatabehandleren indføje den
dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs,
således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre
dem gældende over for underdatabehandlere, som f.eks. gør den dataansvarlige i
stand til at instruere underdatabehandleren i at slette eller tilbagelevere
personoplysningerne.
6. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver
databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af
underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes
rettigheder, der følger af databeskyttelsesforordningen, herunder særligt
forordningens artikel 79 og 82, over for den dataansvarlige og databehandleren,
herunder underdatabehandleren.
8. Overførsel til tredjelande eller internationale organisationer
1. Enhver overførsel af personoplysninger til tredjelande eller internationale
organisationer må kun foretages af databehandleren på baggrund af dokumenteret
instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med
databeskyttelsesforordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale
organisationer, som databehandleren ikke er blevet instrueret i at foretage af den
dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret,
som databehandleren er underlagt, skal databehandleren underrette den
dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende
ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige
interesser.
3. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således
ikke inden for rammerne af disse Bestemmelser:
Side 6 af 19
a. overføre personoplysninger til en dataansvarlig eller databehandler i et
tredjeland eller en international organisation
b. overlade behandling af personoplysninger til en underdatabehandler i et
tredjeland
c. behandle personoplysningerne i et tredjeland
4. Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et
tredjeland, herunder det eventuelle overførselsgrundlag i
databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal
angives i bilag C.6.
5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som
omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse
Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som
omhandlet i databeskyttelsesforordningens kapitel V.
9. Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt
muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske
foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare
anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i
databeskyttelsesforordningens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i
forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger hos den
registrerede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den
registrerede
c. indsigtsretten
d. retten til berigtigelse
e. retten til sletning (”retten til at blive glemt”)
f. retten til begrænsning af behandling
g. underretningspligten i forbindelse med berigtigelse eller sletning af
personoplysninger eller begrænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til ikke at være genstand for en afgørelse, der alene er baseret på
automatisk behandling, herunder profilering
2. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til
Bestemmelse 6.3., bistår databehandleren endvidere, under hensyntagen til
behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren,
den dataansvarlige med:
a. den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt
senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud
på persondatasikkerheden til den kompetente tilsynsmyndighed,
Databehandlerudvalget under Erhvervsstyrelsen, medmindre at det er
usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for
fysiske personers rettigheder eller frihedsrettigheder
Side 7 af 19
b. den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette
den registrerede om brud på persondatasikkerheden, når bruddet
sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og
frihedsrettigheder
c. den dataansvarliges forpligtelse til forud for behandlingen at foretage en
analyse af de påtænkte behandlingsaktiviteters konsekvenser for
beskyttelse af personoplysninger (en konsekvensanalyse)
d. den dataansvarliges forpligtelse til at høre den kompetente
tilsynsmyndighed, Erhvervsstyrelsen, inden behandling, såfremt en
konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil
føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for
at begrænse risikoen.
3. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske
foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i
hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af
Bestemmelse 9.1. og 9.2.
10. Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at
være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 48
timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige
kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til
den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
3. I overensstemmelse med Bestemmelse 9.2.a skal databehandleren bistå den
dataansvarlige med at foretage anmeldelse af bruddet til den kompetente
tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe
nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den
dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
a. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er
muligt, kategorierne og det omtrentlige antal berørte registrerede samt
kategorierne og det omtrentlige antal berørte registreringer af
personoplysninger
b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet
for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er
relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
4. Parterne skal i bilag C angive den information, som databehandleren skal
tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse
til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
11. Sletning og returnering af oplysninger
Side 8 af 19
1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er
databehandleren forpligtet til at slette alle personoplysninger, der er blevet
behandlet på vegne af den dataansvarlige og bekræfte over for den dataansvarlig,
at oplysningerne er slettet
2. Følgende regler i EU-retten eller medlemsstaternes nationale ret foreskriver
opbevaring af personoplysningerne efter ophør af tjenesterne vedrørende
behandling af personoplysninger:
a. […]
Databehandleren forpligter sig til alene at behandle personoplysningerne til de(t)
formål, i den periode og under de betingelser, som disse regler foreskriver.
12. Revision, herunder inspektion
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise
overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser,
til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner,
herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor,
som er bemyndiget af den dataansvarlige.
2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med
databehandleren og underdatabehandlere er nærmeret angivet i Bilag C.7. og C.8.
3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende
lovgivningen har adgang til den dataansvarliges eller databehandlerens faciliteter,
eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til
databehandlerens fysiske faciliteter mod behørig legitimation.
13. Parternes aftale om andre forhold
1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende
behandling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre
bestemmelser ikke direkte eller indirekte strider imod Bestemmelserne eller forringer
den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af
databeskyttelsesforordningen.
14. Ikrafttræden og ophør
1. Bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.
2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller
uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.
3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af
personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges,
medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende
behandling af personoplysninger, aftales mellem parterne.