Aftale om databehandling

Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger i forbindelse med brugen af Culturequest-applikationen udføres i overensstemmelse med artikel 24 i GDPR, anden gældende EU-lovgivning eller national lovgivning og denne databehandlingsaftale.

Den dataansvarlige har både ret og pligt til at bestemme formålene med og midlerne til behandling af personoplysninger. Desuden er det udelukkende under den dataansvarliges kontrol, hvilke personoplysninger der behandles, herunder data, der indtastes og genereres i Culturequest-applikationen.

Den dataansvarlige er ansvarlig for at sikre, at der er et lovligt grundlag for behandling og videregivelse af personoplysninger, der er instrueret til databehandleren, herunder videregivelse til eventuelle underdatabehandlere, der er ansat af databehandleren, og som til enhver tid er anført i bilag B.

Den dataansvarlige er ansvarlig for nøjagtigheden, integriteten, pålideligheden og lovligheden af de personoplysninger, der behandles af databehandleren.

Hvor det er relevant, har den dataansvarlige opfyldt alle obligatoriske krav og forpligtelser med hensyn til anmeldelse til eller indhentning af godkendelse fra de relevante offentlige myndigheder vedrørende behandling af personoplysninger.

Den dataansvarlige har opfyldt sin forpligtelse til at underrette de registrerede om behandlingen af deres personoplysninger i overensstemmelse med den gældende databeskyttelseslovgivning.

Den dataansvarlige bekræfter, at databehandleren ved at indgå denne aftale har givet tilstrækkelige garantier med hensyn til gennemførelsen af passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de registreredes rettigheder og deres personoplysninger.

Databehandleren må kun behandle personoplysninger i overensstemmelse med dokumenterede instrukser fra den dataansvarlige, medmindre dette kræves i henhold til gældende EU-lovgivning eller national lovgivning, som databehandleren er underlagt. Ved at indgå denne aftale instruerer den dataansvarlige databehandleren i at behandle personoplysninger på følgende måder:

Databehandleren underretter straks den dataansvarlige, hvis en instruks efter databehandlerens opfattelse er i strid med gældende databeskyttelseslovgivning eller anden EU-ret eller national ret.

Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau. Dette opnås gennem implementering af passende organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger. Disse foranstaltninger implementeres under hensyntagen til den tilgængelige teknologi og implementeringsomkostningerne samt behandlingens art, omfang, sammenhæng og formål for at sikre et passende sikkerhedsniveau, der tager højde for risiciene og de kategorier af personoplysninger, der skal beskyttes.

Databehandleren må kun give adgang til personoplysninger, der behandles på vegne af den dataansvarlige, til personer, der har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt - og kun i det omfang, det er nødvendigt. Tavshedspligten gælder også efter ophør af denne databehandleraftale.

Culturequest har implementeret flere sikkerhedsforanstaltninger og interne databeskyttelsespolitikker for at sikre fortrolighed, integritet, modstandsdygtighed og tilgængelighed af persondata. Disse foranstaltninger omfatter, men er ikke begrænset til, følgende:

Som led i driften af Culturequest anvender databehandleren underdatabehandlere. Denne aftale udgør den dataansvarliges forudgående generelle skriftlige tilladelse til, at databehandleren kan anvende underdatabehandlere. Sådanne underdatabehandlere kan omfatte tredjeparts tjenesteudbydere, der befinder sig inden for eller uden for EU/EØS. Databehandlerens nuværende underdatabehandlere er anført i det til enhver tid gældende Bilag B.

Databehandleren skal sikre, at dennes underdatabehandlere er underlagt de samme forpligtelser og krav som dem, der er fastsat i denne databehandleraftale. Den dataansvarlige skal informeres skriftligt via e-mail senest 30 dage, før databehandleren ansætter en ny underdatabehandler. Meddelelsen sendes til den person, der administrerer data på vegne af den dataansvarlige via platformen.

Den dataansvarlige har ret til at gøre indsigelse mod ansættelsen af en ny underdatabehandler, der skal behandle personoplysninger på vegne af den dataansvarlige, hvis underdatabehandleren ikke behandler oplysninger i overensstemmelse med den gældende databeskyttelseslovgivning. I sådanne tilfælde skal databehandleren påvise overensstemmelse ved at give den dataansvarlige adgang til sin databeskyttelsesvurdering og enhver relevant dokumentation vedrørende brugen af underdatabehandleren.

Hvis der fortsat er uenighed efter en sådan oplysning, kan den dataansvarlige opsige sit abonnement med kortere varsel end normalt for at sikre, at vedkommendes personoplysninger ikke behandles af den pågældende underdatabehandler.

Enhver overførsel af personoplysninger til et tredjeland eller en international organisation må kun udføres af databehandleren på grundlag af dokumenterede instruktioner fra den dataansvarlige og skal altid udføres i overensstemmelse med kapitel V i den generelle databeskyttelsesforordning (GDPR), herunder f.eks. gennem udførelse af Europa-Kommissionens standardkontraktbestemmelser (EU SCC'er) eller en anden gyldig overførselsmekanisme. Den dataansvarlige bemyndiger databehandleren til at sikre et tilstrækkeligt retsgrundlag for overførsel af personoplysninger til et tredjeland på vegne af den dataansvarlige. Den gældende overførselsmekanisme i henhold til kapitel V i GDPR, som overførslen er baseret på, skal specificeres i tillæg B.

Hvis databehandleren er forpligtet til at overføre personoplysninger til tredjelande eller internationale organisationer uden at have modtaget instrukser herom fra den dataansvarlige på grund af juridiske forpligtelser i henhold til EU-lovgivningen eller den nationale lovgivning i en medlemsstat, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om et sådant juridisk krav forud for behandlingen, medmindre den relevante lovgivning forbyder en sådan underretning af vigtige hensyn til den offentlige interesse.

Databehandleren bistår så vidt muligt den dataansvarlige ved at gennemføre passende tekniske og organisatoriske foranstaltninger under hensyntagen til behandlingens karakter og de kategorier af oplysninger, der er tilgængelige for databehandleren, for at sikre, at den dataansvarlige overholder sine forpligtelser i henhold til gældende databeskyttelseslovgivning.

Databehandleren skal bistå den dataansvarlige med at overholde artikel 32-36 i GDPR, herunder, men ikke begrænset til, datasikkerhed, anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og kommunikation af sådanne brud til de registrerede, under hensyntagen til behandlingens art og de oplysninger, der er tilgængelige for databehandleren.

Databehandleren må ikke besvare anmodninger fra registrerede, medmindre den dataansvarlige udtrykkeligt har givet tilladelse til det. Databehandleren må ikke videregive oplysninger vedrørende denne databehandleraftale til offentlige myndigheder, såsom politiet - herunder personoplysninger - medmindre dette kræves ved lov i form af en retskendelse eller lignende juridisk forpligtelse.

Endvidere skal databehandleren, i det omfang det er muligt og lovligt, underrette den dataansvarlige, hvis:

Hvis den dataansvarlige kræver oplysninger eller bistand vedrørende sikkerhedsforanstaltninger, dokumentation eller oplysninger om databehandlerens generelle behandling af personoplysninger, og en sådan anmodning går ud over, hvad der er nødvendigt i henhold til gældende databeskyttelseslovgivning, kan databehandleren kræve betaling for sådanne yderligere tjenester.

Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse efter at være blevet opmærksom på et brud på persondatasikkerheden, der involverer personoplysninger, som behandles på vegne af den dataansvarlige. Dette er for at sikre, at databehandleren støtter den dataansvarlige i at opfylde sine efterfølgende forpligtelser i denne henseende.

Databehandlerens anmeldelse til den dataansvarlige skal så vidt muligt ske senest 24 timer efter, at han er blevet bekendt med bruddet, så den dataansvarlige kan opfylde sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden inden for 72 timer.

Databehandleren skal underrette den dataansvarlige via den kontaktperson, der er registreret som bruger i Culturequest-applikationen, hvis databehandleren bliver opmærksom på en sikkerhedshændelse.

Ved opsigelse af et Culturequest-abonnement skal den dataansvarlige have mulighed for at få sine data returneret (eksporteret). Efter abonnementets ophør vil databehandleren slette eller anonymisere alle personoplysninger, der behandles på vegne af den dataansvarlige. Dette vil ske i overensstemmelse med de gældende vilkår og betingelser.

Ved opsigelse af et Culturequest-abonnement skal den dataansvarlige have mulighed for at få sine data returneret (eksporteret). Efter abonnementets ophør vil databehandleren slette eller anonymisere alle personoplysninger, der behandles på vegne af den dataansvarlige. Dette vil ske i overensstemmelse med de gældende vilkår og betingelser.

Hvis det foreslåede omfang af revisionen er omfattet af en ISAE 3000-, ISO- eller lignende revisionsrapport udstedt af en kvalificeret tredjepartsrevisor inden for de foregående 12 måneder, og databehandleren bekræfter, at der ikke er sket væsentlige ændringer i de reviderede foranstaltninger, skal den dataansvarlige acceptere denne rapport i stedet for at anmode om en ny revision af de foranstaltninger, der allerede er omfattet.

Hvis databehandlerens bistand i forbindelse med revisionen overstiger de standardtjenester, som databehandleren er forpligtet til at levere i henhold til gældende databeskyttelseslovgivning, skal en sådan bistand faktureres separat.

Denne aftale træder i kraft ved registrering som bruger af Culturequest-applikationen og skal forblive i kraft, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med den dataansvarliges brug af Culturequest-applikationen.

Den aktuelle version af aftalen vil til enhver tid være tilgængelig på hjemmesiden. Væsentlige ændringer vil blive meddelt 30 dage før de træder i kraft via e-mail til den person, der har registreret sig som bruger af Culturequest-applikationen. Fortsat brug af Culturequest-applikationen efter opdateringen udgør en accept af aftalen.

Ansvar for handlinger, der er i strid med bestemmelserne i denne aftale, reguleres af ansvars- og skadesløsholdelsesklausulerne i vilkårene og betingelserne for Culturequest-applikationen. Dette gælder også for eventuelle overtrædelser begået af databehandlerens underdatabehandlere.

Parterne kan aftale yderligere vilkår og betingelser vedrørende behandling af personoplysninger, såsom erstatningsansvar, forudsat at sådanne vilkår ikke direkte eller indirekte er i strid med denne aftale eller forringer de registreredes grundlæggende rettigheder og friheder som fastsat i den generelle databeskyttelsesforordning.

Denne databehandleraftale er underlagt dansk lovgivning, og enhver tvist, der opstår som følge af eller i forbindelse med denne aftale, skal være underlagt de danske domstoles jurisdiktion.