Scroll to top

В© 2017, Data & More ApS Flaesketorvet 68, 1711 Kbh V, Denmark. CVR-nr: 38185659. All right reserved

Databehandleraftale for ydelsen GDPR Oprydning

Mellem

KUNDEN

(som dataansvarlig, i det følgende benævnt den ”Dataansvarlige”)

 

og

 

Data & More ApS

Flæsketorvet 68

1711 København

CVR-nr.: 38185659

(som databehandler, i det følgende benævnt ”Databehandleren”)

 

(den Dataansvarlige og Databehandleren benævnes desuden som ”Part” og ”Parterne”)

 

Om behandling af personoplysninger mellem Kunden og Data & More ApS i forbindelse med køb af ydelsen GDPR Oprydning.

 

Indhold

1 Om Databehandleraftalen

2 Behandling af personoplysninger

3 Krav til Databehandleren

4 Kontroller og revision

5 Databehandlerens underretning om sikkerhedsbrud m.v.

6 Databehandlerens brug af underleverandør (underdatabehandler)

7 Overførsel af personoplysninger til tredjelande eller internationale organisationer

8 Fortegnelse

9 Tavshedspligt og fortrolighed

10 Misligholdelse og erstatningspligt

11 Varighed og ophør af Databehandleraftalen

12 Forrang

13 Meddelelser og underretning

14 Overdragelse af Databehandleraftalen

15 Ændringer til Databehandleraftalen

16 Vederlag

17 Underskrifter

Bilag 1 – Instruks

Bilag 2 – Underleverandører (underdatabehandlere)

Bilag 3 – Kontaktpersoner

Bilag 4 – Kontrol og Revision

 

1. Om Databehandleraftalen

1.1  Denne databehandleraftale (”Databehandleraftalen”) indgås i tilknytning til den mellem parterne indgåede aftale vedrørende køb af ydelsen GDPR Oprydning og godkendelsen af tilhørende Terms & Conditions mellem Kunden og Data & More ApS. Databehandleraftalen fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Databehandleren foretager behandling af personoplysninger på vegne af den Dataansvarlige.

1.2. Den Dataansvarlige er dataansvarlig og Databehandleren er databehandler i forbindelse med de i Databehandleraftalen angivne behandlinger af personoplysninger.

1.4. Databehandlerens behandling af personoplysninger i medfør af Databehandleraftalen skal overholde reglerne i den til enhver tid gældende danske og europæiske databeskyttelsesret, samt vilkårene i Databehandleraftalen.

1.5. Behandlingen er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (Databeskyttelsesforordningen) samt øvrig national lovgivning, som supplerer databeskyttelsesforordningen, herunder Lov 2018-05-23 nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Databeskyttelsesloven), og Databehandleraftalen er udformet med henblik på Parternes efterlevelse af Databeskyttelsesforordningens artikel 28, stk. 3.

1.6. Til denne Databehandleraftale hører en række bilag, jf. afsnit 2 nedenfor. Bilagene fungerer som en integreret del af Databehandleraftalen.

 

2. Behandling af personoplysninger

2.1. Databehandleren må alene foretage behandling af personoplysninger i henhold til Databehandleraftalen efter dokumenteret instruks fra den Dataansvarlige, jf. Bilag 1, samt vilkårene i Databehandleraftalen.

2.2. Databehandleren behandler de typer af personoplysninger og til de(t) formål, som fremgår af Bilag 1. Personoplysningerne angår de i Bilag 1 oplistede kategorier af registrerede personer.

2.3. Databehandleren må ikke behandle de i Bilag 1 nævnte personoplysninger til andre formål end angivet i Databehandleraftalen, medmindre Databehandleren er forpligtet hertil efter EU-retten eller lovgivningen i den medlemsstat, som Databehandleren er underlagt. I givet fald skal Databehandleren skriftligt underrette den Dataansvarlige om denne juridiske forpligtelse, forinden behandlingen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.

2.4. Databehandleren skal omgående underrette den Dataansvarlige, hvis den Dataansvarliges instruks efter Databehandlerens mening er i strid med gældende databeskyttelsesret.

2.5. Databehandleren skal dokumentere, at denne overholder den Dataansvarliges instruks, jf. bestemmelserne i afsnit 4.

2.6. Databehandleren er ikke berettiget til at opbevare personoplysninger i længere tid, end hvad der er nødvendigt i forhold til opfyldelse af de(t) formål, hvortil personoplysningerne behandles. Databehandleren skal således slette oplysningerne i overensstemmelse med, hvad der er anført i Bilag 1.

2.7. Databehandleren skal sikre, at enhver fysisk person, der udfører arbejde for Databehandleren eller Databehandlerens eventuelle underleverandører (underdatabehandlere), og som får adgang til personoplysninger omfattet af Databehandleraftalen, kun behandler disse personoplysninger i henhold til den Dataansvarliges instruks, medmindre anden behandling kræves i henhold til EU-retten eller national ret.

2.8. Bilag 2 indeholder den Dataansvarliges godkendelse for så vidt angår Databehandlerens brug af underdatabehandlere.

2.9. Parternes kontaktpersoner i henhold til Databehandleraftalen fremgår af Bilag 3.

2.10. Bilag 4 indeholder Parternes aftale for så vidt angår Databehandlerens dokumentation for overholdelse af databeskyttelsesretten, herunder denne Databehandleraftale (Kontroller og revision).

 

3. Krav til Databehandleren

3.1. Databehandleren skal levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere passende tekniske og organisatoriske foranstaltninger til opfyldelse af kravene til behandling af personoplysninger i gældende databeskyttelsesret.

3.2. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, samt behandlingens karakter, omfang, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører Databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til de personoplysninger, som Databehandleren behandler i medfør af Databehandleraftalen.

3.3. Ovenstående forpligtelse indebærer, at Databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, og hvad der er aftalt med den Dataansvarlige, være tale om følgende foranstaltninger:

    1. a) Pseudonymisering og kryptering af personoplysninger.
    2. b) Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og –tjenester.
    3. c) Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse.
    4. d) En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske sikkerhedsforanstaltninger til sikring af behandlingssikkerhed.

 

Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

3.4. Databehandleren skal endvidere i alle tilfælde overholde og implementere de af den Dataansvarlige eventuelt yderligere fastsatte krav til sikkerhedsforanstaltninger, jf. Bilag 1.

3.5. Databehandleren skal uden unødig forsinkelse, efter at være blevet opmærksom herpå, skriftligt underrette den Dataansvarlige om enhver manglende overholdelse af Databehandlerens sikkerhedsforpligtelser efter Databehandleraftalen, uanset om dette beror på manglende overholdelse hos Databehandleren eller dennes eventuelle underleverandører.

3.6. Databehandleren skal uden unødig forsinkelse, efter at være blevet opmærksom herpå, skriftligt underrette den Dataansvarlige om enhver anmodning rettet til Databehandleren eller dennes underleverandører fra en registreret om udøvelse af dennes rettigheder. Databehandleren er ikke berettiget til at besvare anmodninger fra en registreret omkring udøvelse af dennes rettigheder i henhold til gældende databeskyttelsesret. Databehandleren skal på opfordring fra den Dataansvarlige hjælpe med at opfylde den Dataansvarliges forpligtelser i forhold til de registreredes rettigheder i henhold til gældende databeskyttelsesret. Databehandleren skal implementere passende tekniske og organisatoriske foranstaltninger til at bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelse i forhold til denne bestemmelse. Den Dataansvarlige kan eventuelt instruere Databehandleren i at iværksætte specifikke tiltag for at den Dataansvarlige kan imødekomme anmodninger fra registrerede.

3.7. Databehandleren skal uden unødig forsinkelse, efter at være blevet opmærksom herpå, skriftligt underrette den Dataansvarlige om enhver henvendelse rettet til Databehandleren eller dennes eventuelle underleverandører fra Datatilsynet vedrørende behandling af personoplysninger omfattet af Databehandleraftalen. 

3.8. Databehandleren skal uden unødig forsinkelse, efter at være blevet opmærksom herpå, skriftligt underrette den Dataansvarlige om enhver henvendelse rettet til Databehandleren eller dennes eventuelle underleverandører fra en myndighed om videregivelse af personoplysninger omfattet af Databehandleraftalen, medmindre orientering af den Dataansvarlige er forbudt i henhold til EU-retten eller lovgivningen i en medlemsstat. 

3.9. Databehandleren skal bistå den Dataansvarlige med at sikre overholdelse af de i databeskyttelsesforordningens artikel 32-36 beskrevne forpligtelser, herunder men ikke begrænset til på anmodning give den Dataansvarlige alle nødvendige oplysninger til brug for den Dataansvarliges udarbejdelse af konsekvensanalyser vedrørende databehandlingen herunder til brug for den Dataansvarliges eventuelle forudgående høring af Datatilsynet.

3.10. Denne Databehandleraftale frigør ikke Databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller anden lovgivning er pålagt Databehandleren.

 

4. Kontroller og revision

4.1. Databehandleren skal på den Dataansvarliges anmodning stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databehandleraftalen samt gældende databeskyttelsesret, til rådighed for den Dataansvarlige eller dennes repræsentant.

4.2. Såfremt Databehandleren (og/eller eventuelle underleverandører indhenter en revisionserklæring fra en uafhængig revisor angående Databehandlerens og dennes eventuelle underleverandørers overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen og/eller relevant regulering, skal Databehandleren uden ugrundet ophold efter modtagelse af sådan erklæring sende en kopi heraf til den Dataansvarlige.

4.3. Den Dataansvarlige, eller en uafhængig revisor bemyndiget af den Dataansvarlige, har ret til at foretage inspektioner af Databehandlerens fysiske faciliteter, hvor der behandles personoplysninger samt modtage de nødvendige informationer til udførelsen af undersøgelsen af, hvorvidt Databehandleren har truffet de sikkerhedsforanstaltninger, der følger af Databehandleraftalen samt gældende databeskyttelsesret. Dette kan eksempelvis være aktuelt, såfremt en afgiven revisionserklæring påviser mangler eller giver anledning til uklarhed om, hvorvidt behandlingen hos Databehandleren lever op til kravene til databeskyttelseslovgivningen og denne Databehandleraftale med tilhørende bilag. Det kan ligeledes være tilfældet, hvis en konkret omstændighed, f.eks. et sikkerhedsbrud, giver anledning til tvivl om beskyttelsen af personoplysningerne hos Databehandleren. Den Dataansvarlige indhenter erklæring om fortrolighed fra den uafhængige revisor.

4.4. Databehandleren skal give myndigheder, der efter EU-retten eller lovgivningen i en medlemsstat har ret til adgang til den Dataansvarliges og den Dataansvarliges leverandørers faciliteter, eller repræsentanter, der optræder på myndighedernes vegne, adgang til Databehandlerens fysiske faciliteter mod forevisning af behørig legitimation.

4.5. Den Dataansvarlige er berettiget til at videregive informationer modtaget i henhold til bestemmelserne i afsnit 4 til Datatilsynet (eller andre relevante myndigheder), efter anmodning herom fra Datatilsynet (eller andre relevante myndigheder).

 

5. Databehandlerens underretning om sikkerhedsbrud m.v.

5.1. Databehandleren skal uden unødig forsinkelse, og aldrig senere end 24 timer, efter at være blevet opmærksom herpå, skriftligt underrette den Dataansvarlige om enhver mistanke om, eller konstatering af brud på persondatasikkerheden.

5.2. Databehandlerens underretning efter pkt. 5.1 skal som minimum omfatte følgende:

(a) En beskrivelse af karakteren af bruddet på persondatasikkerheden (eller mistanken herom), herunder, hvis det er muligt, kategorierne og antal berørte registrerede samt kategorierne og antal berørte registreringer af personoplysninger,

(b) en beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden, og

(c) en beskrivelse af de foranstaltninger, som Databehandleren har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

Databehandleren må ikke udsætte sådan underretning om brud på persondatasikkerheden (eller mistanken herom) som følge af, at Databehandleren endnu ikke har fyldestgørende informationer til rådighed. I sådanne tilfælde skal Databehandleren give sådanne informationer, som er tilgængelige.

5.3.  Hvis bruddet på persondatasikkerheden sker hos en underleverandør, skal Databehandleren sikre, at underleverandøren giver den samme information som opremset i pkt. 5.2.

5.4. Ved underretning efter pkt. 5.1 skal Databehandleren benytte Den Dataansvarliges skabelon til brug for Databehandlerens underretning af den Dataansvarlige. Skabelonen fremgår af bilag 1

5.5. Databehandleren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud eller manglende overholdelse af Databehandleraftalen uden forudgående skriftlig aftale med den Dataansvarlige om indholdet af en sådan kommunikation, medmindre Databehandleren er forpligtet til en sådan kommunikation efter lovgivningen.

 

6. Databehandlerens brug af underleverandør (underdatabehandler)

6.1. Databehandleren må ikke gøre brug af en underleverandør til behandling af personoplysninger omfattet af Databehandleraftalen uden den Dataansvarliges forudgående specifikke eller generelle skriftlige godkendelse. I tilfælde af den Dataansvarliges generelle skriftlige godkendelse skal Databehandleren underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre underleverandører og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

6.2.  Databehandleren skal forinden brug af en underleverandør indgå en skriftlig aftale (underdatabehandleraftale) med denne underleverandør, hvori underleverandøren som minimum pålægges de samme forpligtelser, som Databehandleren har påtaget sig ved Databehandleraftalen. Databehandleren skal desuden sikre, at underleverandøren stiller de fornødne garantier for, at denne vil gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling af personoplysningerne opfylder kravene i gældende databeskyttelsesret samt kravene fastsat i medfør af Databehandleraftalen. Databehandleren skal i sin underdatabehandleraftale med underleverandøren indføje den Dataansvarlige som begunstiget tredjemand i tilfælde af Databehandlerens konkurs, således at den Dataansvarlige kan indtræde i Databehandlerens rettigheder og gøre dem gældende over for underleverandøren, f.eks. så den Dataansvarlige kan instruere underleverandøren om at foretage sletning eller tilbagelevering af oplysninger. Databehandleren afholder omkostningerne forbundet med udarbejdelse af underdatabehandleraftalen med underleverandøren.

6.3. Den Dataansvarlige har til enhver tid ret til at få udleveret en kopi af Databehandlerens aftale med underleverandøren (underdatabehandleraftalen), for så vidt angår bestemmelserne i nævnte aftale, som vedrører databeskyttelsesforpligtelser.

6.4. Ved ophør af brugen af en underleverandør, skal Databehandleren give den Dataansvarlige skriftlig meddelelse herom.

6.5. Databehandleren er fuldt ud ansvarlig overfor den Dataansvarlige for underleverandørens opfyldelse af dennes databeskyttelsesforpligtelser i henhold til Databehandleraftalen samt i henhold til gældende databeskyttelsesret. Databehandleren hæfter desuden for underleverandørens manglende efterlevelse af bestemmelserne i Databehandleraftalen samt efter gældende databeskyttelsesret.  Det forhold, at den Dataansvarlige har meddelt samtykke til Databehandlerens aftaleindgåelse med en underleverandør begrænser ikke Databehandlerens pligt til at efterleve bestemmelserne i Databehandleraftalen eller databeskyttelsesretten i det hele taget.

6.6. I Bilag 2 er oplistet de underleverandører, som den Dataansvarlige har givet samtykke til, at Databehandleren anvender som underdatabehandlere i forbindelse med behandling af personoplysninger i medfør af Databehandleraftalen, samt de nærmere vilkår for afgivelsen af dette samtykke.

 

7. Overførsel af personoplysninger til tredjelande eller internationale organisationer

7.1.  Databehandleren må ikke overføre eller tillade dennes eventuelle underleverandører at overføre personoplysninger til et tredjeland eller international organisation uden den Dataansvarliges forudgående samtykke, medmindre Databehandleren eller dennes eventuelle underleverandører er forpligtet hertil efter EU-retten eller lovgivningen i den medlemsstat, som Databehandleren er underlagt. I givet fald skal Databehandleren skriftligt underrette den Dataansvarlige om denne juridiske forpligtelse, forinden overførslen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.

7.2. Såfremt den Dataansvarlige giver samtykke til overførsel til et tredjeland eller en international organisation, påhviler det Databehandleren at sikre, at der foreligger et lovligt overførselsgrundlag. Databehandleren afholder omkostningerne forbundet med etablering af det fornødne overførselsgrundlag. Overførselsgrundlaget skal forelægges den Dataansvarlige forud for den Dataansvarliges specifikke samtykke til overførslen.

7.3. Med tredjelande forstås i denne Databehandleraftale lande, der ikke er omfattet af EU/EØS.

 

8.  Fortegnelse

8.1. Databehandleren samt eventuelle underleverandører skal udarbejde og vedligeholde en fortegnelse over alle kategorier af behandlinger, der foretages på vegne af den Dataansvarlige, jf. databeskyttelsesforordningens artikel 30. Databehandleren skal endvidere udarbejde og vedligeholde en fortegnelse over samtlige brud på persondatasikkerheden hos Databehandleren, jf. pkt. 5.

8.2. Fortegnelserne efter pkt. 8.1 skal efter foreligge i skriftlig, herunder elektronisk, form og skal på anmodning fra den Dataansvarlige til enhver tid stille fortegnelserne til rådighed for den Dataansvarlige eller Datatilsynet.

 

9. Tavshedspligt og fortrolighed

9.1. Databehandleren skal holde personoplysningerne fortrolige, og er alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser i henhold til Databehandleraftalen.

9.2. Databehandleren skal sikre, at de personer, herunder personer hos Databehandlerens eventuelle underleverandører, der er autoriseret til at behandle personoplysninger i medfør af Databehandleraftalen, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

 

10. Misligholdelse og erstatningspligt

10.1.  Uanset bestemmelsen i pkt. 10.2, skal Databehandleren skadesløsholde den Dataansvarlige, såfremt den Dataansvarlige bliver mødt med krav fra tredjemand, som følge af, at Databehandleren i sin rolle som databehandler eller Databehandlerens eventuelle underleverandører i deres rolle som underdatabehandlere har overtrådt den til enhver tid gældende persondataretlige lovgivning. Databehandleren hæfter kun for skader, hvis Databehandleren eller dennes eventuelle underleverandører ikke har opfyldt sine forpligtelser som databehandler og/eller underdatabehandlere, som det følger af den til enhver tid gældende lovgivning, eller hvis Databehandleren som databehandler eller dennes eventuelle underleverandører som underdatabehandlere har undladt at følge eller handlet i strid med den Dataansvarliges lovlige instruks. Forpligtelsen til at skadesløsholde den Dataansvarlige er ikke omfattet af en eventuelt aftalt erstatningsmaksimering i Hovedaftalen. Databehandlerens forpligtelse til at skadesløsholde den Dataansvarlige efter nærværende afsnit gælder ikke for bøder pålagt den Dataansvarlige i medfør af databeskyttelsesforordningens artikel 83 eller sanktioner fastlagt i Danmark i overensstemmelse med databeskyttelsesforordningens artikel 84.

10.2. Uanset bestemmelsen i pkt. 10.2, skal den Dataansvarlige skadesløsholde Databehandleren, såfremt Databehandleren bliver mødt med krav fra tredjemand som følge af, at den Dataansvarlige i sin rolle som dataansvarlig har overtrådt den til enhver tid gældende persondataretlige lovgivning. Den Dataansvarlige hæfter kun for skader, hvis den Dataansvarlige ikke har opfyldt sine forpligtelser som dataansvarlig, som det følger af den til enhver tid gældende lovgivning. Forpligtelsen til at skadesløsholde Databehandleren er ikke omfattet af en evt. aftalt erstatningsmaksimering i Hovedaftalen. Den Dataansvarliges forpligtelse til at skadesløsholde Databehandleren efter nærværende afsnit gælder ikke for bøder pålagt Databehandleren i medfør af databeskyttelsesforordningens artikel 83 eller sanktioner fastlagt i Danmark i overensstemmelse med databeskyttelsesforordningens artikel 84.

 

11. Varighed og ophør af Databehandleraftalen

11.1. Databehandleraftalen træder i kraft ved parternes underskrift og er gældende så længe Databehandleren eller dennes eventuelle underleverandører behandler personoplysninger på den Dataansvarliges vegne eller frem til Hovedaftalens ophør efter Hovedaftalens regler herom, alt efter hvilket tidspunkt, der indtræder senest. Databehandleraftalen og Hovedaftalen er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige Hovedaftalen – erstattes af en anden gyldig databehandleraftale.

 

11.2. Ved ophør af Databehandlerens og dennes eventuelle underleverandørers behandling af personoplysninger i henhold til Databehandleraftalen, er Databehandleren og dennes eventuelle underleverandører forpligtet til, efter den Dataansvarliges nærmere anvisning, at slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, herunder slette alle eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne. Såfremt Databehandleren ikke modtager en instruks fra den Dataansvarlige om tilbagelevering eller sletning personoplysningerne inden for 14 dage efter Hovedaftalens ophør, er Databehandleren forpligtet til skriftligt at informere den dataansvarlige herom. Såfremt den Dataansvarlige ikke, inden for 3 måneder efter at have modtaget Databehandlerens information, giver Databehandleren instruks om tilbagelevering eller sletning personoplysningerne, er Databehandleren berettiget og forpligtet til at slette den Dataansvarliges data og samtlige kopier heraf, medmindre EU-retten eller national ret foreskriver fortsat opbevaring af personoplysningerne.

 

11.3. Databehandleren eller dennes eventuelle underleverandører er ikke berettiget til at betinge den fulde og ubegrænsede efterlevelse af Databehandleraftalen, herunder den Dataansvarliges instruks, af den Dataansvarliges betaling af udestående fakturaer mv., og Databehandleren eller dennes eventuelle underleverandører har ingen tilbageholdsret i personoplysningerne.

 

11.4. Bestemmelserne i afsnit 9 og 10 vil fortsat være gældende uanset denne Aftales ophør.

 

12. Forrang

12.1. I tilfælde af uoverensstemmelse mellem bestemmelserne i Databehandleraftalen og bestemmelserne i andre skriftlige eller mundtlige aftaler indgået mellem parterne, skal bestemmelserne i Databehandleraftalen have forrang, medmindre strengere krav til behandlingssikkerheden er fastsat i anden aftale mellem parterne.

 

13. Meddelelser og underretning

13.1. Skriftlige meddelelser samt underretning efter Databehandleraftalen skal ske i overensstemmelse med reglerne herom i Bilag 3 – Kontaktpersoner.

 

14. Overdragelse af Databehandleraftalen

14.1. Databehandleren må ikke overdrage sine rettigheder og forpligtelser i henhold til Databehandleraftalen uden den Dataansvarliges forudgående skriftlige samtykke.

 

15. Ændringer til Databehandleraftalen

15.1. Parterne kan til enhver tid aftale at ændre Databehandleraftalen. Ændringer skal være skriftlige.

 

15.2. Uanset bestemmelsen i pkt. 15.1 er den Dataansvarlige til enhver tid berettiget til med et varsel på 30 dage at ændre i Bilag 1 uden forudgående accept fra Databehandleren ved fremsendelse af nyt bilag til Databehandleren. Databehandleren skal ved sådanne ændringer uden ugrundet ophold sikre, at eventuelle underleverandører tillige forpligtes af ændringerne.

 

15.3. Uanset bestemmelsen i pkt. 15.1 er den Dataansvarlige berettiget til med et varsel på 30 dage at ændre i Databehandleraftalen uden forudgående accept fra Databehandleren, såfremt dette skyldes ændringer i gældende databeskyttelsesret eller tilhørende praksis.  Databehandleren skal ved sådanne ændringer uden ugrundet ophold sikre, at eventuelle underleverandører tillige forpligtes af ændringerne.

 

15.4. Parterne aftaler processen for Databehandlerens implementering af den Dataansvarliges ændringer i medfør af pkt. 15.2 og pkt. 15.3.

 

16. Vederlag

16.1. Medmindre andet følger af aftaler indgået mellem Partnerne, medfører Databehandlerens forpligtelser i henhold til Databehandleraftalen – herunder implementeringen af ændringer i medfør af pkt. 15.2 og 15.3 – ikke krav på særskilt betaling til Databehandleren. Databehandlerens udgifter vedrørende Databehandlerens underleverandører er den Dataansvarlige uvedkommende.

 

17. Underskrifter

17.1. Kunden har i forbindelse med køb af ydelsen GDPR Oprydning aktivt godkendt denne Databehandleraftale.

 

 

For Databehandleren

Sted: København                               

________________________

Underskrift

Navn: Kristian Boe Hansen

Stilling: Compliance Ansvarlig

 

Bilag:

Bilag 1 – Instruks

Bilag 2 – Underleverandører (underdatabehandlere)

Bilag 3 – Kontaktpersoner

Bilag 4 – Kontrol og revision

 

Bilag 1 – Instruks

Dette bilag udgør den Dataansvarliges instruks til Databehandleren i forbindelse med Databehandlerens databehandling for den Dataansvarlige i forbindelse med Hovedaftalen.

  1. Behandlingens genstand/instruks

Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige sker ved, at Databehandleren udfører følgende:

 

  1. Behandlingen af personoplysninger

 

  1. a) Formål og karakteren af behandlingen

 

  • Formålet med behandlingen er hjælp til eftersøgning samt behandling af ustruktureret persondata i de tilkoblede data
  • Typen og indholdet af data som Databehandleren vil skulle håndtere afhænger af den dataansvarliges registreringer

 

  1. b) Kategorier af registrerede personer som kan optræde i datagrundlaget
  • Potentielle kunder
  • Kunder
  • Tidligere kunder
  • Medarbejdere og konsulenter
  • Tidligere medarbejdere og konsulenter
  • Ansøgere
  • Privatpersoner / borgere
  • Leverandører
  • Brugere

 

  1. c) Typen af personoplysninger som kan optræde i datagrundlaget

 

  • Almindelige ikke-følsomme personoplysninger f.eks. navn, adresse, e-mail, telefonnummer
  • CPR-nummer
  • Følsomme oplysninger som helbredsoplysninger, fagforeningstilhørsforhold m.v.
  • Strafbare forhold

 

  1. d) Geografisk placering af personoplysninger (behandling på andre lokaliteter må ikke finde sted uden den Dataansvarliges forudgående skriftlige accept heraf):

 

  • Kundens adresse
  • Danmark (EU)
  • Tyskland (EU)
  • Nord Europa (EU)
  • Belgium (EU)

 

  1. e) Opbevaring af personoplysninger og sletning
  • Enhver personoplysning, som databehandleren er i besiddelse af på vegne af den Dataansvarlige, skal løbende slettes:

o   når personoplysningen ikke længere er nødvendig til formålet, hvorunder den behandles eller er blevet indsamlet til, og hvor opbevaring eller behandling ikke kræves ifølge ufravigelig EU-ret eller nationale medlemsstaters ret, som Databehandleren eller den Dataansvarlige er underlagt,

o   hvor opbevaringen af personoplysningen på anden måde vil være i strid med forordningen, EU-retten eller dansk ret, eller,

o   hvor det lovlige grundlag for behandlingen eller indsamlingen af personoplysningen efter forordningen ophører, og

o   i overensstemmelse med den Dataansvarliges særskilte skriftlige instruks om sletning der gives af den Dataansvarlige til Databehandleren fra tid til anden.

 

 

Ved sletning eller krav om sletning skal de omhandlede personoplysninger uigenkaldeligt fjernes fra alle de lagringsmedier, hvorpå de har været lagret, således at personoplysninger ikke kan genskabes, herunder hos eventuelle underdatabehandlere, hvor opbevaringen af personoplysninger ikke på anden måde vil være påkrævet efter Databeskyttelsesforordningen, EU-retten eller dansk ret  Dette gælder for samtlige lagringsmedier, der har været anvendt i forbindelse med den pågældende databehandling, herunder i forbindelse med backup.

 

  1. f) Varighed
  • Behandlingen har varet siden godkendelse af aftalen samt Terms & Conditions
  • Behandlingen er ikke tidsbegrænset, og varer indtil Kunden ophæver aftalen.

 

  1. Sikkerhed

Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysningerne tilintetgøres, fortabes eller forringes, samt mod, at oplysningerne kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med gældende databeskyttelsesret.

Dette indebærer bl.a., at Databehandleren skal indrette behandlingssikkerheden ud fra det i medfør af Databehandleraftalens pkt. 3 fastlagte sikkerhedsniveau, samt at Databehandleren i øvrigt skal følge enhver særskilt sikkerhedsinstruks modtaget fra den Dataansvarlige / den som appendix 1 til dette Bilag 1 vedlagte ”Instruks og Tekniske og Organisatoriske Foranstaltninger”.

Databehandlerens skal benytte nedenstående skabelon ved underretning af den Dataansvarlige om enhver mistanke om, eller konstatering af brud på persondatasikkerheden, jf. Databehandleraftalens pkt. 5.1:

Brud på persondatasikkerheden hos Databehandleren: Beskrivelse af bruddet:
1. Dato og tidspunkt for bruddet?:  
2. Hvad er der sket?:  
3. Årsagen til bruddet?:  
4. Hvilken type personoplysninger er berørt?:  
5. Hvilke konsekvenser har bruddet for de berørte personer, og hvor mange personer er berørt?:  
6. Hvilke afhjælpende foranstaltninger er truffet?:  
7. Er der sket anmeldelse af bruddet til Datatilsynet (hvis ja, hvornår)?:  
7.1 Hvis nej, begrundelse for ikke at anmelde bruddet til Datatilsynet?:  
8. Er der sket underretning af de berørte personer (hvis ja, hvornår)?:  
8.1. Hvis nej, begrundelse for ikke at underrette de berørte personer?:  

 

  1. Instruks eller godkendelse vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer

Hvis den Dataansvarlige ikke i dette afsnit eller ved en efterfølgende skriftlig meddelelse har angivet en instruks eller godkendelse vedrørende overførsel af personoplysninger til et tredjeland, må Databehandleren ikke indenfor rammerne af Databehandleraftalen foretage en sådan overførsel.

Den Dataansvarlige har ikke godkendt overførsel af personoplysninger til tredjelande beliggende uden for EU/EØS. Såfremt Databehandleren ønsker sådan godkendelse, påhviler det Databehandleren at meddele den Dataansvarlige enhver oplysning herom, som er nødvendig for, at den Dataansvarlige kan vurdere sådan overførsels overensstemmelse med databeskyttelsesretten, samt enhver yderligere oplysning, som den Dataansvarlige måtte anmode om.

Uanset om Databehandleren afgiver sådanne oplysninger, er den Dataansvarlige ikke forpligtet til at godkende overførsel af personoplysninger til et tredjeland.

 

Appendix 1 til Bilag 1

Instruks om etablering af tekniske og organisatoriske foranstaltninger

1. SPECIFIKKE TEKNISKE OG ORGANISATORISKE SIKKERHEDSKRAV:

1.1. Der stilles følgende specifikke minimumskrav til Databehandlerens sikkerhed:

1.1.1. Informationssikkerhedspolitik

Databehandleren skal sikre, at der foreligger en ledelsesgodkendt informationssikkerhedspolitik.

 

1.1.2. Organisering af informationssikkerhed

Databehandleren skal sikre, at der er fokus på informationssikkerheden i egen organisation med defineret rolle- og ansvarsfordeling.

 

Desuden skal Databehandlerens dataadgange til den Dataansvarliges data sikres gennem kontrakter, fortrolighedserklæring samt sikring af funktionsadskillelse for at minimere fejl og misbrug af data.

 

1.1.3. Medarbejdersikkerhed

Databehandleren skal have etableret en proces for at medarbejdere og konsulenter kender deres ansvar i forhold til informationssikkerhed.

 

Databehandleren skal udføre awareness vedrørende medarbejderes forpligtelser ved ansættelse og denne træning skal vedligeholdes hele ansættelsesforholdets varighed.

 

1.1.4. Styring af aktiver

Databehandleren skal sikre ejerskab af kritiske aktiver og opdateret dokumentation.

 

1.1.5. Adgangsstyring

Databehandleren skal have en dokumenteret adgangsstyringsproces og sikre at adgange alene tildeles på baggrund af et arbejdsbetinget behov.

 

Databehandleren skal have etableret procedurer for oprettelse, nedlæggelse og løbende gennemgang af tildelte rettigheder ud fra princippet om et arbejdsbetinget behov samt stillingtagen til funktionsadskillelse.

 

Databehandleren skal have procedurer for sikker log-on for at minimere mulighederne for uautoriseret adgang til systemer og applikationer.

 

1.1.6. Kryptografi

Databehandleren skal sikre kryptering med tidssvarende krypteringsniveau ved kommunikation over åbne net og mellem systemer samt sikre at administration af nøgler sker efter en dokumenteret proces.

 

1.1.7. Fysisk sikring og miljøsikring

Databehandleren skal tilrettelægge og etablere fysisk beskyttelse mod naturkatastrofer, ondsindede angreb eller ulykker af Databehandlerens fysiske lokationer.

 

Databehandleren skal desuden sikre beskyttelse mod uautoriseret adgang til Databehandlerens fysiske lokationer via proces for adgangskontrol for alle med adgang.

 

1.1.8. Driftssikkerhed

Databehandleren skal sikre, at driftsprocedurer dokumenteres og vedligeholdes. Som minimum skal følgende procedurer omfattes:

– malware beskyttelse

– backup

– logning og overvågning

– styring af driftssoftware

– sårbarhedsstyring           

 

1.1.9. Kommunikationssikkerhed

Databehandleren skal sikre, at netværk styres og kontrolleres for at beskytte informationer. Databehandleren skal sikre, at den Dataansvarliges data, der kommunikeres internt og eksternt, behandles korrekt lovgivningsmæssigt, etisk og forretningsmæssigt i informationernes levetid. Derudover skal adgange til netværket beskyttes.

 

1.1.10. Anskaffelse, udvikling, vedligeholdelse og bortskaffelse af systemer

Databehandleren skal sikre, at sikkerhedskrav ved anskaffelse, udvikling, vedligeholdelse og bortskaffelse integreres i løsningerne, samt at Databeskyttelsesforordningens krav om databeskyttelse gennem design og standardindstillinger iagttages.

 

1.1.11. Ændringer i systemer

Databehandlerens skal sikre, at ændringer i it-systemer følger en dokumenteret ændringsproces med relevante godkendelser og test.

 

Databehandleren skal sikre at udviklings-, test- og driftssystemer holdes adskilt samt at kapacitet og ydeevne overvåges og styres.

 

1.1.12. Leverandørforhold

Databehandleren skal stille mindst samme sikkerhedskrav til Underdatabehandlere og øvrige underleverandører, som gælder for Databehandleren og sikre efterlevelse af disse.

 

1.1.13. Styring af informationssikkerhedsbrud

Databehandleren skal registrere og risikovurdere informationssikkerhedshændelser og rapportere disse til den Dataansvarlige uden ugrundet ophold. Databehandleren skal udarbejde procedurer for bevisindsamling ved informationssikkerhedshændelser.

 

1.1.14. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring

Databehandleren skal have udarbejdet beredskabsplaner, der definerer hvordan systemer eller services rettidigt reetableres. Disse beredskabsplaner skal testes årligt eller ved større ændringer.

 

1.1.15. Overensstemmelse (Compliance)

Databehandleren skal regelmæssigt undersøge, om systemer og services lever op til Databehandlerens sikkerhedsmæssige krav samt sikkerhedskravenes effektivitet og evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af systemer og services.

 

Bilag 2 – Underleverandører (underdatabehandlere)

  1. Betingelser for Databehandlerens brug af eventuelle underleverandører (underdatabehandlere)

Databehandleren har den Dataansvarliges generelle forudgående godkendelse til at gøre brug af underleverandører. Databehandleren skal dog underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre underleverandører og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal gives til den Dataansvarlige minimum 1 måned, før ændringen eller erstatningen skal træde i kraft. De underleverandører, som benyttes ved Databehandleraftalens indgåelse (og som er kendte af den Dataansvarlige), er anført nedenfor.

 

  1. Godkendte underleverandører (underdatabehandlere)

Den Dataansvarlige har ved Databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underleverandører:

 

Område Besvarelse
Navn Hetzner Cloud
CVR-nr. n/a
Hovedkontor, Adresse Industriestr. 25, 91710 Gunzenhausen, Tyskland
Fysisk lokation for data: Fysisk server i Hetzner Cloud datacenter, Frankfurt, Tyskland
Beskrivelse af behandlingen

hos underleverandøren

 Opbevaring af dataudtræk i kontraktperioden på fysisk server
Link til uddybende beskrivelser https://www.hetzner.com/rechtliches/datenschutz

 

Område Besvarelse
Navn Microsoft Azure
CVR-nr. n/a
Hovedkontor, Adresse Redmont, Seattle, USA
Fysisk lokation for data: Nord Europa, EU
Beskrivelse af behandlingen

hos underleverandøren

 Supplerende kvalitetssikring samt optimering af datascanning
Link til uddybende beskrivelser https://azure.microsoft.com/en-us/services/cognitive-services/

 

 

Område Besvarelse
Navn Google                                   
CVR-nr. n/a
Hovedkontor, Adresse 1600 Amphitheatre Parkway, Mountain View, Californien, USA
Fysisk lokation for data: Belgium, EU (“North-west1”)
Beskrivelse af behandlingen

hos underleverandøren

 Supplerende kvalitetssikring samt optimering af datascanning
Link til uddybende beskrivelser https://azure.microsoft.com/en-us/services/cognitive-services/

Databehandleren kan ikke – uden den Dataansvarliges forudgående specifikke og skriftlige godkendelse – anvende den enkelte underleverandør til en anden behandling end aftalt eller lade en anden underdatabehandler foretage den beskrevne behandling.

Såfremt den Dataansvarlige gør indsigelse mod anvendelsen af en nærmere bestemt underdatabehandler, og Databehandleren, uanset dette, vedbliver at benytte denne underdatabehandler, kan den Dataansvarlige ophæve såvel Hovedaftalen, som denne Databehandleraftale med øjeblikkelig virkning uden yderligere forpligtelser overfor Databehandleren.

 

 

Bilag 3 – Kontaktpersoner

Kontaktpersoner for både den Dataansvarlige og Databehandleren vedr. databeskyttelsesretlige spørgsmål.

 

For den Dataansvarlige:

    Kontaktoplysninger om kunden og kundens kontaktperson indenfor compliance fremgår af ordrebestillingen og kan findes der.

Databehandlerens meddelelser og underretninger til den Dataansvarlige vedrørende Databehandleraftalen kan alene gives ved fremsendelse af e-mail.

 

 

For Databehandleren: 

Navn på virksomhed Data & More Aps
Kontaktperson Kristian Boe Hansen
Rolle Compliance ansvarlig
Adresse Flæsketorvet 68
Postnummer og by 1711 København V
Kontaktinfo (e-mail) kbhh@dataandmore.com

 

Den Dataansvarliges meddelelser og underretninger til Databehandleren vedrørende Databehandleraftalen kan alene gives ved fremsendelse af e-mail til ovenstående e-mailadresse.

 

Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner og kontaktoplysninger.

 

Bilag 4 – Kontrol og Revision

Tilsyn med behandling hos Databehandleren

Den Dataansvarlige eller en repræsentant for den Dataansvarlige foretager med passende mellemrum et tilsyn vedrørende overholdelsen af denne Databehandleraftale hos Databehandleren.

 

Udover det planlagte tilsyn, kan den Dataansvarlige føre tilsyn med Databehandleren, når der efter den Dataansvarliges vurdering opstår et behov herfor.

 

Den Dataansvarliges tilsyn kan foretages ved fysisk tilsyn, spørgeskemaer, e-mails mv. Den Dataansvarliges valg af tilsynsform er ikke bindende for senere tilsyn, hvorfor den Dataansvarlige f.eks. frit kan vælge at foretage fysisk tilsyn, selvom den Dataansvarlige tidligere har ført tilsyn via en revisionserklæring, jf. nedenfor.

 

Den Dataansvarliges eventuelle udgifter i forbindelse med et fysisk tilsyn afholdes af den Dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig for, at den Dataansvarlige kan gennemføre sit tilsyn.

 

Tilsyn med behandling hos underdatabehandlere

Databehandleren eller en repræsentant for Databehandleren skal føre tilsyn med passende intervaller, herunder fysisk tilsyn, hos eventuelle underdatabehandlere, herunder når der efter Databehandlerens (eller den Dataansvarliges) vurdering opstår behov herfor.

 

Dokumentation for de afholdte tilsyn sendes snarest muligt til orientering hos den Dataansvarlige.

 

 

Tilsyn gennem revisionserklæring

Hvis Databehandleren lader en uafhængig revisionserklæring udarbejde som dokumentation for Databehandlerens og eventuelle underleverandørers overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen, har Parterne aftalt at denne erklæring skal udarbejdes i henhold til en på revisionstidspunktet generelt anerkendt revisionsstandard for den pågældende revision.