Bläddra till toppen

В© 2017, Data & More ApS Flaesketorvet 68, 1711 Kbh V, Danmark. CVR-nr: 38185659. Alla rättigheter förbehållna

Databehandleraftale for ydelsen GDPR Oprydning

Mellem

KUNDEN

(som dataansvarig, i det följande benämnt den "Dataansvarlige")

 

og

 

Data & More ApS

Flæsketorvet 68

1711 København

CVR-nummer: 38185659

(som databehandlare, i det följande benämnt "Databehandlare")

 

(den Dataansvarlige och Databehandlaren benämns dessutom som "Part" och "Parterne")

 

Om behandling av personuppgifter mellan Kunden och Data & More ApS i samband med köp av ydelsen GDPR Oprydning.

 

Innehåll

1 Om Databehandlingsavtalet

2 Behandling av personuppgifter

3 Krav på databehandlare

4 Kontroller och revision

5 Databehandlarens underretning om säkerhetsbrud m.v.

6 Databehandlarens användning av underleverantör (underdatabehandlare)

7 Överföring av personuppgifter till tredjeländer eller internationella organisationer

8 Förteckning

9 Tavshedspligt och fortrolighed

10 Misligholdelse og erstatningspligt

11 Varighed og ophør af Databehandleraftalen

12 Forrang

13 Meddelanden och underretning

14 Överföring av databehandlingsavtalet

15 Ändringar till Databehandleraftalen

16 Vederlag

17 Underskrifter

Bilaga 1 - Instruktioner

Bilaga 2 - Underleverantörer (underdatabehandlare)

Bilaga 3 - Kontaktpersoner

Bilaga 4 - Kontroll och revision

 

1. Om Databehandlingsavtalet

1.1 Detta databehandlingsavtal ("Databehandlingsavtalet") ingås i anslutning till den mellan parterna ingångna överenskommelsen avseende köp av tjänster GDPR Oprydning och godkännande av tillhörande villkor mellan kunder och Data & More ApS . Databehandleraftalen fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Databehandleren foretager behandling af personoplysninger på vegne af den Dataansvarlige.

1.2. Den Dataansvarlige er dataansvarlig og Databehandleren er databehandler i forbindelse med de i Databehandleraftalen angivne behandlinger af personoplysninger.

1.4. Databehandlerens behandling af personoplysninger i medfør af Databehandleraftalen skal overholde reglerne i den til enhver tid gældende danske og europæiske databeskyttelsesret, samt vilkårene i Databehandleraftalen.

1.5. Behandlingen omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (Databeskyttelsesförordningen) samt øvrig nasjonal lovgivning, som supplerer databeskyttelsesforordningen, herunder Lov 2018-05-23 nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Databeskyttelsesloven), og Databehandleraftalen er udformet med henblik på Parternes efterlevelse af Databeskyttelsesforordningens artikel 28, stk. 3.

1.6. Til denne Databehandleraftale hører en række bilag, jf. afsnit 2 nedenfor. Bilagorna fungerar som en integrerad del av Databehandleraftalen.

 

2. Behandling av personuppgifter

2.1. Databehandleren må alene foretage behandling af personoplysninger i henhold til Databehandleraftalen efter dokumenteret instruks fra den Dataansvarlige, jf. Bilaga 1, samt vilkårene i Databehandleraftalen.

2.2. Databehandleren behandler de typer af personoplysninger og til de(t) formål, som fremgår af Bilag 1. Personoplysningerne angår de i Bilag 1 oplistede kategorier af registrerede personer.

2.3. Databehandleren må ikke behandle de i Bilag 1 nævnte personoplysninger til andre formål end angivet i Databehandleraftalen, medmindre Databehandleren er forpligtet hertil efter EU-retten eller lovgivningen i den medlemsstat, som Databehandleren er underlagt. I givet fall skall Databehandleren skriftligt underrette den Dataansvarlige om denne juridiske forpligtelse, forinden behandlingen påbegyndes, medmindre vedkommende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.

2.4. Databehandleren skal omgående underrette den Dataansvarlige, hvis den Dataansvarliges instruks efter Databehandlerens mening er i strid med gældende databeskyttelsesret.

2.5. Databehandlaren skall dokumentera, att denne följer den Dataansvarliges instruktioner, jf. bestemmelserne i afsnit 4.

2.6. Databehandlaren är inte berettiget til at opbevare personoplysninger i længere tid, end hvad der er nødvendigt i forhold til opfyldelse af de(t) formål, hvortil personoplysningerne behandles. Databehandlaren skall således slette oplysningerne i overensstemmelse med, hvad der er anført i Bilag 1.

2.7. Databehandleren skal sikre, at enhver fysisk person, der udfører arbejde for Databehandleren eller Databehandlerens eventuelle underleverandører (underdatabehandlere), och som får tillgång till personuppgifter som omfattas av Databehandleraftalen, kun behandler disse personoplysninger i henhold til den Dataansvarliges instruks, medmindre anden behandling kræves i henhold til EU-retten eller national ret.

2.8. Bilaga 2 innehåller den Dataansvarliges godkännande för så vidt angår Databehandlerens brug af underdatabehandlere.

2.9. Parternas kontaktpersoner i henhold til Databehandleraftalen fremgår af Bilag 3.

2.10. Bilag 4 indeholder Parternes aftale for så vidt angår Databehandlerens dokumentation for overholdelse af databeskyttelsesretten, herunder denne Databehandleraftale (Kontroller og revision).

 

3. Krav på databehandlare

3.1. Databehandleren skal levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere passende tekniske og organisatoriske foranstaltninger til opfyldelse af kravene til behandling af personoplysninger i gældende databeskyttelsesret.

3.2. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, samt behandlingens karakter, omfang, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, genomfører Databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til de personoplysninger, som Databehandleren behandler i medfør af Databehandleraftalen.

3.3. Ovenstående forpligtelse indebærer, at Databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, og hvad der er aftalt med den Dataansvarlige, være tale om følgende foranstaltninger:

    1. a) Pseudonymisering och kryptering av personuppgifter.
    2. b) Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester.
    3. c) Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse.
    4. d) En procedur för regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske sikkerhedsforanstaltninger til sikring af behandlingssikkerhed.

 

Vid vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

3.4. Databehandleren skal endvidere i alle tilfælde overholde og implementere de af den Dataansvarlige eventuelt yderligere fastsatte krav til sikkerhedsforanstaltninger, jf. Bilaga 1.

3.5. Databehandlaren skall utan oskälig forsinkelse, efter att ha blivit uppmärksammad på, skriftligt underrette den Dataansvarlige om enhver manglende overholdelse af Databehandlerens sikkerhedsforpligtelser efter Databehandleraftalen, uanset om dette beror på manglende overholdelse hos Databehandleren eller dennes eventuelle underleverandører.

3.6. Databehandlaren skall utan onödig forsinkelse, efter att ha blivit uppmärksammad på, skriftligt underrette den Dataansvarlige om enhver anmodning rettet til Databehandleren eller dennes underleverandører fra en registreret om udøvelse af dennes rettigheder. Databehandlaren är inte berettiget til at besvare anmodninger fra en registreret omkring udøvelse af dennes rettigheder i henhold til gældende databeskyttelsesret. Databehandleren skal på opfordring fra den Dataansvarlige hjælpe med at opfylde den Dataansvarliges forpligtelser i forhold til de registreredes rettigheder i henhold til gældende databeskyttelsesret. Databehandleren skal implementere passende tekniske og organisatoriske foranstaltninger til at bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelse i forhold til denne bestemmelse. Den Dataansvarige kan eventuellt instruera Databehandleren i att iværksætte specifikke tiltag for at den Dataansvarlige kan imødekomme anmodninger fra registrerede.

3.7. Databehandleren skal uden unødig forsinkelse, efter at være blevet opmærksom herpå, skriftligt underrette den Dataansvarlige om enhver henvendelse rettet til Databehandleren eller dennes eventuelle underleverandører fra Datatilsynet vedrørende behandling af personoplysninger omfattet af Databehandleraftalen.

3.8. Databehandlaren skall utan onödig forsinkelse, efter att ha blivit uppmärksammad på, skriftligt underrette den Dataansvarlige om enhver henvendelse rettet til Databehandleren eller dennes eventuelle underleverandører fra en myndighed om videregivelse af personoplysninger omfattet af Databehandleraftalen, medmindre orientering af den Dataansvarlige er forbudt i henhold til EU-retten eller lovgivningen i en medlemsstat.

3.9. Databehandlaren skall bistå den Dataansvarlige med att säkerställa efterlevnaden av de i databeskyttelsesforordningens artikel 32-36 beskrevne forpligtelser, herunder men ikke begrænset til på anmodning give den Dataansvarlige alle nødvendige oplysninger til brug for den Dataansvarliges udarbejdelse af konsekvensanalyser vedrørende databehandlingen herunder til brug for den Dataansvarliges eventuelle forudgående høring af Datatilsynet.

3.10. Denne Databehandleraftale frigør ikke Databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller anden lovgivning er pålagt Databehandleren.

 

4. Kontroller och revision

4.1. Databehandlaren skall på den Dataansvariges begäran stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databehandleraftalen samt gældende databeskyttelsesret, til rådighed for den Dataansvarlige eller dennes repræsentant.

4.2. Såfremt Databehandleren (og/eller eventuelle underleverandører indhenter en revisionserklæring fra en uafhængig revisor angående Databehandlerens og dennes eventuelle underleverandørers overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen og/eller relevant regulering, skal Databehandleren uden ugrundet ophold efter modtagelse af sådan erklæring sende en kopi heraf til den Dataansvarlige.

4.3. Den Dataansvarlige, eller en oberoende revisor bemyndigad av den Dataansvarlige, har ret til at foretage inspektioner af Databehandlerens fysiske faciliteter, hvor der behandles personoplysninger samt modtage de nødvendige informationer til udførelsen af undersøgelsen af, hvorvidt Databehandleren har truffet de sikkerhedsforanstaltninger, der følger af Databehandleraftalen samt gældende databeskyttelsesret. Dette kan eksempelvis være aktuelt, såfremt en afgiven revisionserklæring påviser mangler eller giver anledning til uklarhed om, hvorvidt behandlingen hos Databehandleren lever op til kravene til databeskyttelseslovgivningen og denne Databehandleraftale med tilhørende bilag. Det kan ligeledes være tilfældet, hvis en konkret omstændighed, f.eks. et sikkerhedsbrud, giver anledning til tvivl om beskyttelsen af personoplysningerne hos Databehandleren. Den Dataansvarlige indhenter erklæring om fortrolighed fra den uafhængige revisor.

4.4. Databehandleren skal give myndigheder, der efter EU-retten eller lovgivningen i en medlemsstat har ret til adgang til den Dataansvarliges og den Dataansvarliges leverandørers faciliteter, eller repræsentanter, der optræder på myndighedernes vegne, adgang til Databehandlerens fysiske faciliteter mod forevisning af behørig legitimation.

4.5. Den Dataansvarlige är berettiget til at videregive informationer modtaget i henhold til bestemmelserne i afsnit 4 til Datatilsynet (eller andre relevante myndigheder), efter anmodning herom fra Datatilsynet (eller andre relevante myndigheder).

 

5. Databehandlarens underretning om säkerhetsbrud m.v.

5.1. Databehandleren skal uden unødig forsinkelse, og aldrig senere end 24 timer, efter at være blevet opmærksom herpå, skriftligt underrette den Dataansvarlige om enhver mistanke om, eller konstatering af brud på persondatasikkerheden.

5.2. Databehandlarens underretning efter pkt. 5.1 skall som minimum omfatta följande:

(a) En beskrivelse af karakteren af bruddet på persondatasikkerheden (eller mistanken herom), herunder, hvis det er muligt, kategorierne og antal berørte registrerede samt kategorierne og antal berørte registreringer af personoplysninger,

(b) en beskrivning av de sannolika konsekvenserna av bruddet på persondatasikkerheden, och

(c) en beskrivning av de åtgärder, som Databehandleren har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

Databehandlaren får inte udsætte sådan underretning om brud på persondatasikkerheden (eller mistanken herom) som følge af, at Databehandleren endnu ikke har fyldestgørende informationer til rådighed. I sådanne tilfælde skal Databehandleren give sådanne informationer, som er tilgængelige.

5.3. Hvis bruddet på persondatasikkerheden sker hos en underleverandør, skal Databehandleren sikre, at underleverandøren giver den samme information som opremset i pkt. 5.2.

5.4. Ved underretning efter pkt. 5.1 skal Databehandleren benytte Den Dataansvarliges skabelon til brug for Databehandlerens underretning af den Dataansvarlige. Skabelonen framgår av bilaga 1

5.5. Databehandlaren får inte varken offentligt eller till tredjeparter kommunicera om säkerhetsbrud eller manglende overholdelse af Databehandleraftalen uden forudgående skriftlig aftale med den Dataansvarlige om indholdet af en sådan kommunikation, medmindre Databehandleren er forpligtet til en sådan kommunikation efter lovgivningen.

 

6. Databehandlarens användning av underleverantör (underdatabehandlare)

6.1. Databehandlaren får inte göra bruk av en underleverantör till behandling av personuppgifter som omfattas av Databehandleraftalen utan den Dataansvarliges forudgående specifikke eller generelle skriftlige godkendelse. I tilfælde af den Dataansvarliges generelle skriftlige godkendelse skal Databehandleren underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre underleverandører og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

6.2. Databehandlaren ska forinden brug af en underleverandør indgå en skriftlig aftale (underdatabehandleraftale) med denne underleverandør, hvori underleverandøren som minimum pålægges de samme forpligtelser, som Databehandleren har påtaget sig ved Databehandleraftalen. Databehandlaren skall desuden sikre, at underleverandøren stiller de fornødne garantier for, at denne vil gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling af personoplysningerne opfylder kravene i gældende databeskyttelsesret samt kravene fastsat i medfør af Databehandleraftalen. Databehandleren skal i sin underdatabehandleraftale med underleverandøren indføje den Dataansvarlige som begunstiget tredjemand i tilfælde af Databehandlerens konkurs, således at den Dataansvarlige kan indtræde i Databehandlerens rettigheder og gøre dem gældende over for underleverandøren, f.ex. så den Dataansvarlige kan instruere underleverandøren om at foretage sletning eller tilbagelevering af oplysninger. Databehandleren afholder omkostningerne forbundet med udarbejdelse af underdatabehandleraftalen med underleverandøren.

6.3. Den Dataansvarlige har til enhver tid ret til at få udleveret en kopi af Databehandlerens aftale med underleverandøren (underdatabehandleraftalen), for så vidt angår bestemmelserne i nævnte aftale, som vedrører databeskyttelsesforpligtelser.

6.4. Ved ophør af brugen af en underleverandør, skal Databehandleren give den Dataansvarlige skriftlig meddelelse herom.

6.5. Databehandleren er fuldt ud ansvarlig overfor den Dataansvarlige for underleverandørens opfyldelse af dennes databeskyttelsesforpligtelser i henhold til Databehandleraftalen samt i henhold til gældende databeskyttelsesret. Databehandleren hæfter desuden for underleverandørens manglende efterlevelse af bestemmelserne i Databehandleraftalen samt efter gældende databeskyttelsesret. Det forhold, at den Dataansvarlige har meddelt samtykke til Databehandlerens aftaleindgåelse med en underleverandør begrænser ikke Databehandlerens pligt til at efterleve bestemmelserne i Databehandleraftalen eller databeskyttelsesretten i det hele taget.

6.6. I Bilaga 2 är oplistet de underleverantörer, som den Dataansvarlige har gett samtykke til, at Databehandleren anvender som underdatabehandlere i forbindelse med behandling af personoplysninger i medfør af Databehandleraftalen, samt de nærmere vilkår for afgivelsen af dette samtykke.

 

7. Överföring av personuppgifter till tredjeländer eller internationella organisationer

7.1. Databehandleren må ikke overføre eller tillade dennes eventuelle underleverandører at overføre personoplysninger til et tredjeland eller international organisation uden den Dataansvarliges forudgående samtykke, medmindre Databehandleren eller dennes eventuelle underleverandører er forpligtet hertil efter EU-retten eller lovgivningen i den medlemsstat, som Databehandleren er underlagt. I givet fall skall Databehandleren skriftligt underrette den Dataansvarlige om denne juridiske forpligtelse, forinden overførslen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.

7.2. Såfremt den Dataansvarlige giver samtykke til overførsel til et tredjeland eller en international organisation, påhviler det Databehandleren at sikre, at der foreligger et lovligt overførselsgrundlag. Databehandleren afholder omkostningerne forbundet med etablering af det fornødne overførselsgrundlag. Overførselsgrundlaget skal forelægges den Dataansvarlige forud for den Dataansvarliges specifikke samtykke til overførslen.

7.3. Med tredjelande forstås i denne Databehandleraftale lande, der ikke er omfattet af EU/EØS.

 

8. Förteckning

8.1. Databehandleren samt eventuelle underleverandører skal udarbejde og vedligeholde en fortegnelse over alle kategorier af behandlinger, der foretages på vegne af den Dataansvarlige, jf. databeskyttelsesforordningens artikel 30. Databehandleren skal endvidere udarbejde og vedligeholde en fortegnelse over samtlige brud på persondatasikkerheden hos Databehandleren, jf. pkt. 5.

8.2. Fortegnelserne efter pkt. 8.1 ska efter foreligge i skriftlig, herunder elektronisk, form og skal på anmodning fra den Dataansvarlige til enhver tid stille fortegnelserne til rådighed for den Dataansvarlige eller Datatilsynet.

 

9. Tavshedspligt och fortrolighed

9.1. Databehandleren skal holde personoplysningerne fortrolige, og er alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser i henhold til Databehandleraftalen.

9.2. Databehandleren skal sikre, at de personer, herunder personer hos Databehandlerens eventuelle underleverandører, der er autoriseret til at behandle personoplysninger i medfør af Databehandleraftalen, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

 

10. Misligholdelse og erstatningspligt

10.1. Oavsett bestämmelsen i pkt. 10.2, skal Databehandleren skadesløsholde den Dataansvarlige, såfremt den Dataansvarlige bliver mødt med krav fra tredjemand, som følge af, at Databehandleren i sin rolle som databehandler eller Databehandlerens eventuelle underleverandører i deres rolle som underdatabehandlere har overtrådt den til enhver tid gældende persondataretlige lovgivning. Databehandleren hæfter kun for skader, hvis Databehandleren eller dennes eventuelle underleverandører ikke har opfyldt sine forpligtelser som databehandler og/eller underdatabehandlere, som det følger af den til enhver tid gældende lovgivning, eller hvis Databehandleren som databehandler eller dennes eventuelle underleverandører som underdatabehandlere har undladt at følge eller handlet i strid med den Dataansvarliges lovlige instruks. Forpligtelsen til at skadesløsholde den Dataansvarlige er ikke omfattet af en eventuelt aftalt erstatningsmaksimering i Hovedaftalen. Databehandlerens forpligtelse til at skadesløsholde den Dataansvarlige efter nærværende afsnit gælder ikke for bøder pålagt den Dataansvarlige i medfør af databeskyttelsesforordningens artikel 83 eller sanktioner fastlagt i Danmark i overensstemmelse med databeskyttelsesforordningens artikel 84.

10.2. Oavsett bestämmelsen i pkt. 10.2, skal den Dataansvarlige skadesløsholde Databehandleren, såfremt Databehandleren bliver mødt med krav fra tredjemand som følge af, at den Dataansvarlige i sin rolle som dataansvarlig har overtrådt den til enhver tid gældende persondataretlige lovgivning. Den Dataansvarlige hæfter kun for skader, hvis den Dataansvarlige ikke har opfyldt sine forpligtelser som dataansvarlig, som det følger af den til enhver tid gældende lovgivning. Forpligtelsen til at skadesløsholde Databehandleren er ikke omfattet af en evt. aftalt erstatningsmaksimering i Hovedaftalen. Den Dataansvarliges forpligtelse til at skadesløsholde Databehandleren efter nærværende afsnit gælder ikke for bøder pålagt Databehandleren i medfør af databeskyttelsesforordningens artikel 83 eller sanktioner fastlagt i Danmark i overensstemmelse med databeskyttelsesforordningens artikel 84.

 

11. Varighed og ophør af Databehandleraftalen

11.1. Databehandleraftalen træder i kraft ved parternes underskrift og er gældende så længe Databehandleren eller dennes eventuelle underleverandører behandler personoplysninger på den Dataansvarliges vegne eller frem til Hovedaftalens ophør efter Hovedaftalens regler herom, alt efter hvilket tidspunkt, der indtræder senest. Databehandleraftalen og Hovedaftalen er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog - uden at opsige Hovedaftalen - erstattes af en anden gyldig databehandleraftale.

 

11.2. Ved ophør af Databehandlerens og dennes eventuelle underleverandørers behandling af personoplysninger i henhold til Databehandleraftalen, er Databehandleren og dennes eventuelle underleverandører forpligtet til, efter den Dataansvarliges nærmere anvisning, at slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, herunder slette alle eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne. Såfremt Databehandleren ikke modtager en instruks fra den Dataansvarlige om tilbagelevering eller sletning personoplysningerne inden for 14 dage efter Hovedaftalens ophør, er Databehandleren forpligtet til skriftligt at informere den dataansvarlige herom. Såfremt den Dataansvarlige ikke, inden for 3 måneder efter at have modtaget Databehandlerens information, giver Databehandleren instruks om tilbagelevering eller sletning personoplysningerne, är Databehandlaren berettiget og forpligtet til at slette den Dataansvarliges data og samtlige kopier heraf, medmindre EU-retten eller national ret foreskriver fortsat opbevaring af personoplysningerne.

 

11.3. Databehandlaren eller dennes eventuella underleverantörer är inte berättigade till att betinge den fulla och obegränsade efterlevnaden av Databehandleraftalen, herunder den Dataansvarliges instruks, af den Dataansvarliges betaling af udestående fakturaer mv., og Databehandleren eller dennes eventuelle underleverandører har ingen tilbageholdsret i personoplysningerne.

 

11.4. Bestemmelserne i afsnit 9 og 10 vil fortsat være gældende uanset denne Aftales ophør.

 

12. Forrang

12.1. I tilfælde af uoverensstemmelse mellem bestemmelserne i Databehandleraftalen og bestemmelserne i andre skriftlige eller mundtlige aftaler indgået mellem parterne, skal bestemmelserne i Databehandleraftalen have forrang, medmindre strengere krav til behandlingssikkerheden er fastsat i anden aftale mellem parterne.

 

13. Meddelanden och underretning

13.1. Skriftlige meddelelser samt underretning efter Databehandleraftalen skal ske i overensstemmelse med reglerne herom i Bilag 3 - Kontaktpersoner.

 

14. Övertagande av Databehandleraftalen

14.1. Databehandleren må ikke overdrage sine rettigheder og forpligtelser i henhold til Databehandleraftalen uden den Dataansvarliges forudgående skriftlige samtykke.

 

15. Ändringar till Databehandleraftalen

15.1. Parterna kan till varje tid avtala om att ändra Databehandleraftalen. Ändringar ska vara skriftliga.

 

15.2. Oavsett bestämmelsen i pkt. 15.1 är den Dataansvarige til enhver tid berettiget til med et varsel på 30 dage at ændre i Bilag 1 uden forudgående accept fra Databehandleren ved fremsendelse af nyt bilag til Databehandleren. Databehandlaren ska vid sådanne ændringer uden ugrundet ophold sikre, at eventuelle underleverandører tillige forpligtes af ændringerne.

 

15.3. Oavsett vad som anges i pkt. 15.1 är den Dataansvarige berettiget til med et varsel på 30 dage at ændre i Databehandleraftalen uden forudgående accept fra Databehandleren, såfremt dette skyldes ændringer i gældende databeskyttelsesret eller tilhørende praksis. Databehandleren skal ved sådanne ændringer uden ugrundet ophold sikre, at eventuelle underleverandører tillige forpligtes af ændringerne.

 

15.4. Parterne aftaler processen for Databehandlerens implementering af den Dataansvarliges ændringer i medfør af pkt. 15.2 och pkt. 15.3.

 

16. Vederlag

16.1. Medmindre annat följer av avtal som ingåtts mellan Partnerne, medfører Databehandlerens forpligtelser i henhold til Databehandleraftalen - herunder implementeringen af ændringer i medfør af pkt. 15.2 och 15.3 - inte krav på særskilt betaling til Databehandleren. Databehandlerens udgifter vedrørende Databehandlerens underleverandører er den Dataansvarlige uvedkommende.

 

17. Underskrifter

17.1. Kunden har i samband med köp av ydelsen GDPR Oprydning aktivt godkänt detta databehandlingsavtal.

 

 

För Databehandlare

Sted: Köpenhamn                               

________________________

Underskrift

Namn: Kristian Boe Hansen

Stilling: Ansvarig för efterlevnad

 

Bilag:

Bilaga 1 - Instruktioner

Bilaga 2 - Underleverantörer (underdatabehandlare)

Bilaga 3 - Kontaktpersoner

Bilaga 4 - Kontroll och revision

 

Bilaga 1 - Instruktioner

Detta bilag utgör den Dataansvarliges instruks til Databehandleren i forbindelse med Databehandlerens databehandling for den Dataansvarlige i forbindelse med Hovedaftalen.

  1. Behandlingens föremål/instruktioner

Databehandlarens behandling av personuppgifter på vägnar av den Dataansvarlige sker ved, at Databehandleren udfører følgende:

 

  1. Behandling av personuppgifter

 

  1. a) Syfte och karaktär av behandlingen

 

  • Formålet med behandlingen er hjælp til eftersøgning samt behandling af ustruktureret persondata i de tilkoblede data
  • Typ och innehåll av data som Databehandleren vill skulle hantera afhænger af den dataansvarliges registreringer

 

  1. b) Kategorier av registrerade personer som kan optræde i datagrundlaget
  • Potentiella kunder
  • Kunder
  • Tidigare kunder
  • Medarbetare och konsulter
  • Tidigare medarbetare och konsulenter
  • Ansökan
  • Privatpersoner / medborgare
  • Leverantörer
  • Brugere

 

  1. c) Typ af personoplysninger som kan optræde i datagrundlaget

 

  • Almindelige ikke-følsomme personoplysninger f.eks. navn, adresse, e-mail, telefonnummer
  • CPR-nummer
  • Følsomme oplysninger som helbredsoplysninger, fagforeningstilhørsforhold m.v.
  • Straffbara förhållanden

 

  1. d) Geografisk placering av personoplysninger (behandling på andra lokaliteter må ikke finde sted uden den Dataansvarliges forudgående skriftlige accept heraf):

 

  • Kundens adress
  • Danmark (EU)
  • Tyskland (EU)
  • Nord Europa (EU)
  • Belgien (EU)

 

  1. e) Uppbevaring av personuppgifter och sletning
  • Enhver personoplysning, som databehandleren er i besiddelse af på vegne af den Dataansvarlige, skal løbende slettes:

o när personupplysningen inte längre är nödvändig för syftet, varunder den behandlas eller är blivit insamlad till, och där lagring eller behandling inte krävs enligt ufravigelig EU-ret eller nationell medlemsstaters rätt, som Databehandleren eller den Dataansvarlige är underkastad,

o där lagring av personupplysningar på annat sätt kommer att ske i strid med förordningen, EU-rätten eller dansk rätt, eller,

o var den lagliga grunden för behandlingen eller insamlingen av personupplysningar efter förordningen finns, och

o i överensstämmelse med den Dataansvariges särskilda skriftliga instruktioner om sletning der gives af den Dataansvarlige til Databehandleren fra tid til anden.

 

 

Ved sletning eller krav om sletning skal de omhandlede personoplysninger uigenkaldeligt fjernes fra alle de lagringsmedier, hvorpå de har været lagret, således at personoplysninger ikke kan genskabes, herunder hos eventuelle underdatabehandlere, hvor opbevaringen af personoplysninger ikke på anden måde vil være påkrævet efter Databeskyttelsesforordningen, EU-retten eller dansk ret Dette gælder for samtlige lagringsmedier, der har været anvendt i forbindelse med den pågældende databehandling, herunder i forbindelse med backup.

 

  1. f) Varighed
  • Behandlingen har skett efter godkännande av avtalet samt Terms & Conditions
  • Behandlingen är inte tidsbegränsad, och varor tills kunden upphäver avtalet.

 

  1. Säkerhet

Databehandlaren skall træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysningerne tilintetgøres, fortabes eller forringes, samt mod, at oplysningerne kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med gældende databeskyttelsesret.

Detta innebär bl.a., att Databehandleren ska indrette behandlingssikkerheden ud fra det i medfør af Databehandleraftalens pkt. 3 fastlagte sikkerhedsniveau, samt at Databehandleren i øvrigt skal følge enhver særskilt sikkerhedsinstruks modtaget fra den Dataansvarlige / den som appendix 1 til dette Bilag 1 vedlagte "Instruks og Tekniske og Organisatoriske Foranstaltninger".

Databehandlerens skal benytte nedenstående skabelon ved underretning af den Dataansvarlige om enhver mistanke om, eller konstatering af brud på persondatasikkerheden, jf. Databehandleraftalens pkt. 5.1:

Brud på persondatasikkerheten hos Databehandleren: Beskrivning av bruddet:
1. Dato og tidspunkt for bruddet?  
2. Vad är det som har hänt?  
3. Årsagen till bruddet?  
4. Vilken typ av personuppgifter har berörts?  
5. Vilka konsekvenser har brutits för de berörda personerna, och hur många personer är berörda?  
6. Hvilke afhjælpende foranstaltninger er truffet?  
7. Är det möjligt att anmäla bruddet till Datatilsynet (hvis ja, hvornår)?  
7.1 Hvis nej, begrundelse for ikke at anmelde bruddet til Datatilsynet?  
8. Är det sket underretning af de berørte personer (hvis ja, hvornår)?  
8.1. Hvis nej, begrundelse for ikke at underrette de berørte personer?  

 

  1. Instruktioner eller godkännande avseende överföring av personuppgifter till tredjeländer eller internationella organisationer

Hvis den Dataansvarlige ikke i dette afsnit eller ved en efterfølgende skriftlig meddelelse har angivet en instruks eller godkendelse vedrørende overførsel af personoplysninger til et tredjeland, må Databehandleren ikke indenfor rammerne af Databehandleraftalen foretage en sådan overførsel.

Den Dataansvarlige har inte godkänt överföring av personuppgifter till tredjeland beliggende uden for EU/EØS. Såfremt Databehandleren ønsker sådan godkendelse, påhviler det Databehandleren at meddele den Dataansvarlige enhver oplysning herom, som er nødvendig for, at den Dataansvarlige kan vurdere sådan overførsels overensstemmelse med databeskyttelsesretten, samt enhver yderligere oplysning, som den Dataansvarlige måtte anmode om.

Uanset om Databehandleren afgiver sådanne oplysninger, er den Dataansvarlige ikke forpligtet til at godkende overførsel af personoplysninger til et tredjeland.

 

Bilaga 1 till Bilaga 1

Instruktioner om etablering av tekniska och organisatoriska åtgärder

1. SPECIFIKA TEKNISKA OCH ORGANISATORISKA SÄKERHETSKRAV:

1.1. Der stilles følgende specifikke minimumskrav til Databehandlerens sikkerhed:

1.1.1. Informationssäkerhetspolitik

Databehandlarna skall säkerställa, att det föreligger en ledningsgodkänd informationssäkerhetspolitik.

 

1.1.2. Organisering av informationssäkerhet

Databehandlare skall säkerställa, att de är fokuserade på informationsförsörjning i en egen organisation med definierad roll- och ansvarsfördelning.

 

Desuden skal Databehandlerens dataadgange til den Dataansvarliges data sikres gennem kontrakter, fortrolighedserklæring samt sikring af funktionsadskillelse for at minimere fejl og misbrug af data.

 

1.1.3. Medarbejdersikkerhed

Databehandleren skal have etableret en proces for at medarbejdere og konsulenter kender deres ansvar i forhold til informationssikkerhed.

 

Databehandleren skal udføre awareness vedrørende medarbejderes forpligtelser ved ansættelse og denne træning skal vedligeholdes hele ansættelsesforholdets varighed.

 

1.1.4. Styrning av aktiver

Databehandlare ska säkerställa ejerskab af kritiske aktiver og opdateret dokumentation.

 

1.1.5. Adgangsstyring

Databehandlaren ska ha en dokumenterad åtkomststyrningsprocess och säkerställa att åtkomst enbart tilldelas på grundval av ett arbetsbetinget behov.

 

Databehandleren skal have etableret procedurer for oprettelse, nedlæggelse og løbende gennemgang af tildelte rettigheder ud fra princippet om et arbejdsbetinget behov samt stillingtagen til funktionsadskillelse.

 

Databehandlare ska ha procedurer för säker inloggning för att minimera möjligheterna för uautoriserad tillgång till system och applikationer.

 

1.1.6. Kryptografi

Databehandlare ska säkerställa kryptering med tidssvarende krypteringsnivå vid kommunikation över öppna nät och mellan system samt säkerställa att administration av nycklar sker efter en dokumenterad process.

 

1.1.7. Fysisk sikring og miljøsikring

Databehandlaren ska tilrettelægge og etablere fysisk beskyttelse mod naturkatastrofer, ondsindede angreb eller ulykker af Databehandlerens fysiske lokationer.

 

Databehandlaren ska dessutom säkerställa skydd mot obehörig åtkomst till Databehandlarens fysiska lokationer via process för åtkomstkontroll för alla med åtkomst.

 

1.1.8. Driftsäkerhet

Databehandlaren skall säkerställa, att driftsprocedurer dokumenteras och underhålls. Som minimum skall följande procedurer omfattas:

- Skydd mot skadlig kod

- backup

- loggning och övervakning

- styrning av driftssoftware

- sårbarhetsstyrning           

 

1.1.9. Kommunikationsäkerhet

Databehandleren skal sikre, at netværk styres og kontrolleres for at beskytte informationer. Databehandleren skal sikre, at den Dataansvarliges data, der kommunikeres internt og eksternt, behandles korrekt lovgivningsmæssigt, etisk og forretningsmæssigt i informationernes levetid. Derudover skal adgange til netværket beskyttes.

 

1.1.10. Anskaffning, utveckling, underhåll och bortskaffande av system

Databehandleren skal sikre, at sikkerhedskrav ved anskaffelse, udvikling, vedligeholdelse og bortskaffelse integreres i løsningerne, samt at Databeskyttelsesforordningens krav om databeskyttelse gennem design og standardindstillinger iagttages.

 

1.1.11. Ändringar i system

Databehandlerens skal sikre, at ændringer i it-systemer følger en dokumenteret ændringsproces med relevante godkendelser og test.

 

Databehandleren skal sikre at udviklings-, test- og driftssystemer holdes adskilt samt at kapacitet og ydeevne overvåges og styres.

 

1.1.12. Leverantörsförhållande

Databehandlare ska ställa minst samma säkerhetskrav till Underdatabehandlare och övriga underleverantörer, som gäller för Databehandlare och sikre efterlevelse af disse.

 

1.1.13. Styrning av informationssäkerhetsbrud

Databehandlaren ska registrera och risikovurdere informationsikkerhedshændelser og rapportere disse til den Dataansvarlige uden ugrundet ophold. Databehandlaren skall utarbeta procedurer för bevisindsamling vid informationssikkerhedshændelser.

 

1.1.14. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring

Databehandlare ska ha utarbetat beredskabsplaner, som definierar hur system eller tjänster rettidigt reetableras. Dessa beredskabsplaner skall testas årligen eller vid större ändringar.

 

1.1.15. Overensstemmelse (Överensstämmelse)

Databehandlaren ska regelbundet undersöka, om system och tjänster lever upp till Databehandlarens säkerhetskrav samt säkerhetskravenes effektivitet och förmåga till att säkerställa vedvarende fortrolighed, integritet, tilgængelighed og robusthed af systemer og tjenester.

 

Bilaga 2 - Underleverantörer (underdatabehandlare)

  1. Betingelser för databehandlarens användning av eventuella underleverantörer (underdatabehandlare)

Databehandlare har den Dataansvarliges generelle forudgående godkendelse til at gøre brug af underleverandører. Databehandlaren skall dog underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre underleverandører og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal gives til den Dataansvarlige minimum 1 måned, før ændringen eller erstatningen skal træde i kraft. De underleverantörer, som benyttes ved Databehandleraftalens indgåelse (og som er kendte af den Dataansvarlige), er anført nedenfor.

 

  1. Godkendte underleverantörer (underdatabehandlere)

Den Dataansvarlige har vid Databehandleraftalens ikraftträdande godkänt tillämpningen av följande underleverantörer:

 

Område Besvarelse
Namn Hetzner moln
CVR-nr. n/a
Huvudkontor, adress Industriestr. 25, 91710 Gunzenhausen, Tyskland
Fysisk lokation för data: Fysisk server i Hetzner Cloud datacenter, Frankfurt, Tyskland
Beskrivning av behandlingen

hos underleverantören

 Opbevaring av dataudtræk i kontraktsperioden på fysisk server
Länk till utdybende beskrivningar https://www.hetzner.com/rechtliches/datenschutz

 

Område Besvarelse
Namn Microsoft Azure
CVR-nr. n/a
Huvudkontor, adress Redmont, Seattle, USA
Fysisk lokation för data: Nord Europa, EU
Beskrivning av behandlingen

hos underleverantören

 Kompletterande kvalitetssikring samt optimering av dataskanning
Länk till utdybende beskrivningar https://azure.microsoft.com/en-us/services/cognitive-services/

 

 

Område Besvarelse
Namn Google                                   
CVR-nr. n/a
Huvudkontor, adress 1600 Amphitheatre Parkway, Mountain View, Kalifornien, USA
Fysisk lokation för data: Belgien, EU ("Nordväst1")
Beskrivning av behandlingen

hos underleverantören

 Kompletterande kvalitetssikring samt optimering av dataskanning
Länk till utdybende beskrivningar https://azure.microsoft.com/en-us/services/cognitive-services/

Databehandlaren kan inte - utan den Dataansvarliges förutgående specifika och skriftliga godkännande - anvende den enkelte underleverandør til en anden behandling end aftalt eller lade en anden underdatabehandler foretage den beskrevne behandling.

Såfremt den Dataansvarlige gør indsigelse mod anvendelsen af en nærmere bestemt underdatabehandler, og Databehandleren, uanset dette, vedbliver at benytte denne underdatabehandler, kan den Dataansvarlige ophæve såvel Hovedaftalen, som denne Databehandleraftale med øjeblikkelig virkning uden yderligere forpligtelser overfor Databehandleren.

 

 

Bilaga 3 - Kontaktpersoner

Kontaktpersoner för både den Dataansvarlige och Databehandleren vedr. databeskyttelsesretlige spørgsmål.

 

För den Dataansvarlige:

- Kontaktuppgifter om kunden och kundens kontaktperson inom efterlevnad framgår av orderbestillingen och kan hittas där.

Databehandlerens meddelelser och underretninger til den Dataansvarlige vedrørende Databehandleraftalen kan alene gives ved fremsendelse af e-mail.

 

 

För Databehandlare:

Namn på företag Data & More Aps
Kontaktperson Kristian Boe Hansen
Rolle Ansvarig för efterlevnad
Adress Flæsketorvet 68
Postnummer och by 1711 København V
Kontaktinfo (e-post) kbhh@dataandmore.com

 

Den Dataansvarliges meddelelser og underretninger til Databehandleren vedrørende Databehandleraftalen kan alene gives ved fremsendelse af e-mail til ovenstående e-mailadresse.

 

Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner og kontaktoplysninger.

 

Bilaga 4 - Kontroll och revision

Tilsyn med behandling hos Databehandleren

Den Dataansvarlige eller en representant för den Dataansvarlige foretager med passende mellemrum et tilsyn vedrørende overholdelsen af denne Databehandleraftale hos Databehandleren.

 

Utöver den planerade övervakningen kan den Dataansvarige föra övervakningen med Databehandlaren, när det efter den Dataansvarliges bedömning uppstår ett behov för detta.

 

Den Dataansvariges tillsyn kan ske via fysisk tillsyn, spørgeskemaer, e-post mv. Den Dataansvariges valg af tilsynsform er ikke bindende for senere tilsyn, hvorfor den Dataansvarlige f.eks. frit kan vælge at foretage fysisk tilsyn, selvom den Dataansvarlige tidligere har ført tilsyn via en revisionserklæring, jf. nedenfor.

 

Den Dataansvariges eventuella utgifter i forbindelse med et fysisk tilsyn afholdes af den Dataansvarlige selv. Databehandlaren är dock skyldig att avsætte de ressourcer (hovedsageligt den tid), der er nødvendig for, at den Dataansvarlige kan gennemføre sit tilsyn.

 

Tilsyn med behandling hos underdatabehandlere

Databehandlaren eller en representant för Databehandlaren skall föra tillsyn med lämpliga intervaller, herunder fysisk tilsyn, hos eventuelle underdatabehandlere, herunder når der efter Databehandlerens (eller den Dataansvarliges) vurdering opstår behov herfor.

 

Dokumentation for de afholdte tilsyn sendes snarest muligt til orientering hos den Dataansvarlige.

 

 

Tilsyn genom revisionserklæring

Hvis Databehandleren lader en uafhængig revisionserklæring udarbejde som dokumentation for Databehandlerens og eventuelle underleverandørers overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen, har Parterne aftalt at denne erklæring skal udarbejdes i henhold til en på revisionstidspunktet generelt anerkendt revisionsstandard for den pågældende revision.