Medlemshåndtering
Medlemshåndtering
Medlemshåndtering
Medlemshåndtering

ForeningsAdministrator - Databehandleraftale

Version 2.0, gældende fra d. 1/1 2024

Aftalen foreligger mellem

[DATAANSVARLIG NAVN]
[DATAANSVARLIG ADRESSE]
[DATAANSVARLIG POSTNR OG BY]

CVR: [DATAANSVARLIG CVR]

(i det følgende betegnet "dataansvarlig")

og

ForeningsAdministrator ApS
Nyborgvej 670
5220 Odense SØ

CVR: 39315920

(i det følgende betegnet "databehandler")
(herefter samlet benævnt "parterne" og hver for sig "part")

Den dataansvarlige og databehandleren har indgået følgende databehandleraftale ("databehandleraftalen") om databehandlerens behandling af personoplysninger på vegne af den dataansvarlige.

1. Baggrund, formål og omfang

  1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
  2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
  3. Aftalen omfatter databehandleraftalen samt bilag 1: 'Betingelser for brug' og bilag 2: 'Privatlivspolitik', som er bindende og ikke kan ændres uden den dataansvarliges udtrykkelige skriftlige samtykke.
  4. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.
  5. Databehandleren forbeholder sig retten til at foretage ændringer i 'Betingelser for brug' og 'Privatlivspolitik' for at afspejle ændringer i lovgivning eller tjenesteydelser. Sådanne ændringer vil blive kommunikeret til den dataansvarlige med mindst 30 dages varsel, medmindre presserende lovgivningsmæssige krav eller uforudsete operationelle hændelser nødvendiggør en hurtigere implementering.
  6. Inden for varslingsperioden har den dataansvarlige ret til at gøre indsigelse mod væsentlige ændringer, der påvirker behandlingen af personoplysninger. Databehandleren vil drøfte eventuelle indsigelser fra den dataansvarlige og arbejde hen imod en gensidigt acceptabel løsning.
  7. Hvis den dataansvarlige ikke accepterer de foreslåede væsentlige ændringer og en løsning ikke kan opnås, har den dataansvarlige ret til at opsige aftalen i overensstemmelse med aftalens opsigelsesvilkår. Databehandleren vil i tilfælde af opsigelse samarbejde om en ordentlig overgang af tjenesterne for at minimere forstyrrelserne for den dataansvarlige.

2. Instruks

  1. Den primære databehandling, som databehandleren udfører, er opbevaring af medlemmer, deltagere, debitorer, opkrævnings- og regnskabsinformation samt andre oplysninger forbundet med administrationen hos den dataansvarlige. Derudover kan applikationen ForeningsAdministrator benyttes af den dataansvarlige til selv at udføre administrative opgaver med disse data. Såfremt den dataansvarlige ønsker andre former for databehandling, som ikke er relateret til de standardservices, databehandleren leverer, skal den dataansvarlige give databehandleren tydeligt dokumenteret instruks herom.
  2. Instruksen omfatter forholdene beskrevet i Bilag 1: ForeningsAdministrator - betingelser for brug.
  3. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
  4. Databehandleren skal straks underrette den dataansvarlige, hvis databehandleren vurderer, at en instruks fra den dataansvarlige er i strid med GDPR eller anden EU-ret eller medlemsstaternes nationale ret vedrørende databeskyttelse. Denne underretning skal ske uden unødig forsinkelse og inden udførelsen af den pågældende instruks, for at give den dataansvarlige mulighed for at trække eller ændre instruksen.
  5. Databehandleren skal så vidt muligt bistå den dataansvarlige med opfyldelse af den dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af databehandleren. Modtager databehandleren en sådan henvendelse fra den registrerede person, orienterer databehandleren den dataansvarlige herom.
  6. Den dataansvarlige hæfter for alle databehandlerens omkostninger ved en sådan bistand, herunder til underdatabehandleren. Databehandlerens bistand afregnes til databehandlerens til enhver tid gældende timetakst for et sådant arbejde.

3. Brug af underdatabehandlere

  1. Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik skriftlig godkendelse fra den dataansvarlige for hver ny underdatabehandler. Databehandleren skal indhente denne godkendelse, før den påtænkte underdatabehandler begynder behandlingen af personoplysninger på vegne af den dataansvarlige. Databehandleren skal give den dataansvarlige fulde oplysninger om de planlagte behandlingsaktiviteter og de foranstaltninger, den påtænkte underdatabehandler har truffet for at sikre beskyttelsen af personoplysningerne.
  2. Databehandleren skal sikre, at kontrakten med underdatabehandleren afspejler de krav, der er fastsat i den dataansvarliges kontrakt med databehandleren, og at den indeholder de samme databeskyttelsesforpligtelser som fastsat i denne databehandleraftale. Databehandleren skal på anmodning give den dataansvarlige kopier af kontrakter eller andre retligt bindende dokumenter med underdatabehandlere, der viser overensstemmelse med GDPR, medmindre fortrolige kommercielle oplysninger er involveret.
  3. Omkostninger forbundet med etablering af aftaleforholdet til en underdatabehandler, herunder omkostninger til udarbejdelse af databehandleraftale og eventuel etablering af grundlag for overførsel til tredjelande, pålægger databehandleren og er således den dataansvarlige uvedkommende.
  4. Databehandleren skal underrette den dataansvarlige om enhver planlagt ændring vedrørende tilføjelse eller erstatning af underdatabehandlere, og give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Denne underretning skal ske skriftligt med et varsel på mindst 30 dage før ændringen træder i kraft. Hvis den dataansvarlige gør indsigelse mod ændringen, og parterne ikke kan nå til enighed, har den dataansvarlige ret til at opsige aftalen med øjeblikkelig virkning uden ansvar.
  5. Underretning om ændring af underdatabehandlere skal ske direkte til den dataansvarliges kontaktperson via e-mail og, hvor det er relevant, også annonceres på databehandlerens hjemmeside, i så god tid som muligt og i overensstemmelse med de i punkt d fastsatte krav om varsel.

4. Den dataansvarliges forpligtelser og rettigheder

  1. Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
  2. Den dataansvarlige indestår for at have fornøden hjemmel til behandling af personoplysningerne omfattet af nærværende databehandleraftale og er ansvarlig for at det overholdes ved brugen af ForeningsAdministrator.
  3. Den dataansvarlige er ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.

5. Behandlingssikkerhed

  1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32.
  2. Databehandleren skal træffe passende sikkerhedsforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at personoplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.2 ovenfor.
  3. Databehandleren skal efter nærmere aftale med den dataansvarlige så vidt muligt bistå den dataansvarlige med at sikre overholdelse af forpligtelserne i forordningens artikel 32 (gennemførelse af passende tekniske og organisatoriske foranstaltninger), 35 (foretagelse af konsekvensanalyse vedrørende databeskyttelse) og 36 (forudgående høring). I den forbindelse er databehandleren berettiget til at fakturere den dataansvarlige med sin sædvanlige timetakst for al databehandlerens arbejdstid, som en sådan aftale måtte medføre for databehandleren, ligesom den dataansvarlige hæfter for eventuel betaling til underdatabehandleren.
  4. Såfremt det i pkt. 5c anførte fører til skærpede sikkerhedsforanstaltninger i forhold til det allerede aftalte mellem parterne i medfør af denne aftale, implementerer databehandleren, så vidt det er muligt, sådanne foranstaltninger, forudsat at databehandleren modtager betaling herfor.

6. Tilsynsret

  1. Databehandleren forpligter sig til at stille de nødvendige oplysninger til rådighed for den dataansvarlige for at demonstrere overholdelse af Artikel 28 i GDPR. Databehandleren skal samarbejde om og understøtte revisioner og inspektioner foretaget af den dataansvarlige eller en revisor udpeget af den dataansvarlige, herunder give adgang til relevante data, medarbejdere og dokumentation. Revisioner og inspektioner skal udføres med rimeligt varsel, ikke mindre end 30 dage, og skal ikke unødigt forstyrre databehandlerens operationelle aktiviteter. Databehandleren kan opkræve et rimeligt gebyr for bistand til revisioner, hvis omfanget af arbejdet overstiger det, der er normalt for de leverede tjenester.
  2. Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem databehandleren.
  3. Såfremt den dataansvarlige ønsker at foretage tilsyn, som anført i dette pkt. 6, skal den dataansvarlige altid give databehandleren et varsel på mindst 30 dage i en sådan forbindelse.
  4. Såfremt den dataansvarlige ønsker at få udarbejdet yderligere sikkerhedsrevisionsrapport, eller der i øvrigt ønskes foretaget tilsyn af databehandlerens eller underdatabehandlerens persondatabehandling, herunder såfremt den dataansvarlige ønsker sikkerhedsrevisionsrapport udarbejdet på et nærmere bestemt tidspunkt, aftales dette med databehandleren. Databehandleren eller underdatabehandleren kan til enhver tid kræve, at en sådan sikkerhedsrevisionsrapport udarbejdes i overensstemmelse med en anerkendt revisionsstandard (fx ISAE 3402 med referenceramme til ISO 27002:2014 eller lignende) af en alment anerkendt og uafhængig tredjepart, som beskæftiger sig med sådanne forhold.
  5. Den dataansvarlige afholder alle omkostninger i forbindelse med tilsyn af sikkerhedsforhold hos databehandleren og i forhold til underdatabehandleren, herunder er databehandleren berettiget til at fakturere den dataansvarlige med sin sædvanlige timetakst for al databehandlerens arbejdstid samt yderligere afholdte omkostninger, som et sådant tilsyn måtte medføre for databehandleren, ligesom den dataansvarlige hæfter for eventuel betaling til underdatabehandleren.
  6. Databehandleren bistår den dataansvarlige med at opfylde datasubjekters rettigheder i henhold til GDPR, når det er relevant. For bistand, der overstiger det almindelige serviceniveau, forbeholder databehandleren sig ret til at fakturere den dataansvarlige.

7. Persondatasikkerhedsbrud

  1. Såfremt databehandleren måtte blive bekendt med et persondatasikkerhedsbrud, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring samt uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, er databehandleren forpligtet til uden unødig forsinkelse at søge at lokalisere et sådant brud og begrænse opstået skade i videst muligt omfang og - i det omfang det er muligt - reetablere eventuelt mistede data.
  2. Databehandleren er endvidere forpligtet til uden unødig forsinkelse at underrette den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Databehandleren skal herefter uden unødig forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til den dataansvarlige, som så vidt muligt skal indeholde:
  1. En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede og registreringer af personoplysninger.
  2. Navn og kontaktoplysninger på kontaktpersonen hos databehandleren.
  3. En beskrivelse af de sandsynlige konsekvenser af bruddet.
  4. En beskrivelse af de foranstaltninger, som databehandleren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger.
  1. For så vidt det ikke er muligt at give de i pkt. 7b anførte oplysninger samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.
  2. Databehandleren er forpligtiget til at underrette den kontrollerende myndighed på persondataområdet indenfor de fastsatte tidsfrister vedrørende sikkerhedsbruddet.
  3. Tilsvarende er underdatabehandlere pålagt uden unødig forsinkelse at underrette databehandleren i overensstemmelse med pkt. 7b og 7c.
  4. Databehandleren bistår den dataansvarlige med at opfylde den dataansvarliges forpligtelser til at underrette tilsynsmyndigheden og de berørte datasubjekter om persondatasikkerhedsbruddet, som det er påkrævet efter GDPR. Denne bistand omfatter, men er ikke begrænset til, at levere den nødvendige information og support til at udarbejde og sende de påkrævede underretninger.
  5. Bistanden leveres uden ekstra omkostninger for den dataansvarlige.
  6. I tilfælde af persondatasikkerhedsbrud som følge af databehandlerens manglende overholdelse af GDPR eller denne databehandleraftale, er databehandleren ansvarlig for direkte skader forårsaget af sådanne overtrædelser. Ansvar er begrænset til det beløb, den dataansvarlige har betalt databehandleren for tjenester leveret under denne aftale i de 12 måneder forud for den hændelse, der giver anledning til ansvaret. Databehandleren er ikke ansvarlig for skader, der er resultatet af den dataansvarliges egne handlinger eller undladelser, der er uden for databehandlerens rimelige kontrol. Den dataansvarlige skal træffe de nødvendige skridt for at sikre, at deres brug af databehandlerens tjenester overholder GDPR.

8. Overførsel af oplysninger til tredjelande eller internationale organisationer

  1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
  2. Hvis databehandleren er pålagt at overføre personoplysninger i henhold til EU-ret eller medlemsstaternes nationale ret, skal databehandleren underrette den dataansvarlige om dette retlige krav, medmindre lovgivningen forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

9. Tavshedspligt og fortrolighed

  1. Databehandleren skal holde personoplysningerne fortrolige og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser og rettigheder i henhold til nærværende aftale.
  2. Databehandleren skal sikre, at alle medarbejdere, underdatabehandlere og andre personer, der er autoriseret til at behandle personoplysninger under denne aftale, er underlagt en fortrolighedsforpligtelse. Denne forpligtelse skal enten være en lovbestemt tavshedspligt eller en tilsvarende kontraktuel forpligtelse til at bevare fortroligheden af personoplysningerne, både under og efter deres ansættelse eller kontraktperiode.
  3. Databehandleren må ikke uden skriftligt samtykke fra den dataansvarlige videregive oplysninger til tredjemand, medmindre sådan videregivelse følger af lovgivningen eller af en bindende anmodning fra en retsinstans eller en databeskyttelsesmyndighed, eller det fremgår af denne aftale.

10. Varighed og ophør af databehandleraftalen

  1. Aftalen træder i kraft ved parternes underskrift af databehandleraftalen.
  2. Databehandleren er forpligtet af denne aftale, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige.
  3. Efter ophør af de tjenester, der vedrører behandling af personoplysninger, skal databehandleren, efter den dataansvarliges valg, slette alle personoplysninger eller returnere dem til den dataansvarlige og slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne. Den dataansvarlige skal inden for 14 dage efter ophøret af tjenesterne instruere databehandleren skriftligt om, hvorvidt personoplysningerne skal slettes eller returneres. Hvis den dataansvarlige ikke giver sådan instruks inden for den angivne frist, er databehandleren berettiget til at slette alle personoplysninger, som er blevet behandlet på vegne af den dataansvarlige, senest 3 måneder efter ophøret af databehandleraftalen.
  4. Uanset databehandleraftalens ophør skal aftalens pkt. 9 fortsat have virkning efter databehandleraftalens ophør.
  5. Ved ophør af databehandleraftalen skal databehandleren, ud over at følge den dataansvarliges instrukser angående sletning eller returnering af personoplysninger, også tage højde for de lovkrav, der gælder for opbevaring af visse typer af personoplysninger. Dette omfatter, men er ikke begrænset til, regnskabsmateriale, som skal opbevares i henhold til bogføringslovens krav om opbevaring i fem år plus det indeværende år efter afslutningen af det regnskabsår, hvortil materialet vedrører. Databehandleren forpligter sig til at opbevare sådanne oplysninger i den påkrævede periode og sikre, at adgangen til disse oplysninger er begrænset og beskyttet i overensstemmelse med gældende databeskyttelseslovgivning.

11. Bilag

  • Bilag 1: ForeningsAdministrator - Forretningsbetingelser
  • Bilag 2: ForeningsAdministrator - Privatlivspolitik

12. Underskrift

Ovenstående tiltrædes hermed med virkning fra parternes underskrift.

  For den dataansvarlige
[UNDERSKRIFT BY], d. [UNDERSKRIFT DATO]
_____________________________
[DATAANSVARLIG KONTAKTPERSON]
[DATAANSVARLIG NAVN]
  For databehandleren
Odense d. [DATO]
_____________________________
Søren Christensen, direktør
ForeningsAdministrator ApS