Regler for Lønpartners brug af DataLøn
Regler for Lønpartners brug af DataLøn
Gældende fra 4. juni 2018
Disse regler fastlægger rammerne for en Lønpartners brug af DataLøn til levering af lønadministration til Kundevirksom- heder.
1. Definitioner
1.1 Aftalen
Lønpartners og Visma DataLøns aftale om Lønpartners brug af DataLøn, disse regler samt prisliste.
1.2 Bankdage
Alle dage undtagen lørdage, søn- og helligdage, fredag efter Kr. himmelfartsdag, 5. juni samt 24. og 31. december.
1.3 DataLøn
DataLøn er et lønsystem, hvor Visma DataLøn på vegne af en Lønpartner foretager lønbehandling, herunder beregning af løn, A-skat, AM-bidrag, ATP-bidrag, feriepenge og pen- sion samt indberetning af oplysninger til SKAT (eIndkomst).
1.4 Kundevirksomhed
En virksomhed, der har indgået aftale med Lønpartner om levering af lønadministration.
1.5 Lønpartner
En virksomhed, der erhvervsmæssigt leverer lønadministra- tion til Kundevirksomheder.
1.6 Medarbejdere
De af Kundevirksomhedens medarbejdere, konsulenter m.v., som Lønpartner har registreret i DataLøn (hver enkelt betegnes ”Medarbejder”).
1.7 Overførselsservice
Overførselsservice er et af Nets Denmark A/S udbudt pro- dukt, hvor Nets Denmark A/S på vegne af beløbsafsender behandler og videresender betalingsgrundlag til beløbsaf- senders pengeinstitut med henblik på gennemførelse af pengeoverførsler til beløbsmodtager.
1.8 Samlet Betaling
ATP’s opkrævning af Finansieringsbidrag mm.
1.9 Visma DataLøn
Visma DataLøn A/S, CVR-nr. 48 11 77 16, som er det sel- skab, der udbyder DataLøn.
2. Lønpartners forpligtelser
2.1 Lønpartners forhold til Kundevirksomheden
Lønpartner disponerer på enhver måde på Kundevirksom- hedens vegne i relation til lønbehandling hos Visma Data- Løn.
Lønpartner er ansvarlig for ydelser leveret til Kundevirksom- heder, herunder for leverancer baseret på DataLøn.
Lønpartner forestår selv prisfastsættelse og fakturering af ydelser over for Kundevirksomheden. Lønpartners prissæt- ning er Visma DataLøn uvedkommende.
2.2 Oprettelse
Lønpartner, herunder Lønpartners eventuelle selvstændige administrationskontorer, oprettes i DataLøn med egen iden- tifikation.
Kundevirksomheden oprettes ligeledes i DataLøn med egen identifikation og som hørende til en Lønpartner.
2.3 Indberetning til DataLøn
Lønpartner skal indberette data elektronisk og indestå for indlevering og ægthed af data.
Lønpartner skal endvidere følge gældende vejlednings- og informationsmateriale for DataLøn. Materialet fremgår af Visma DataLøns hjemmeside/sendes til Lønpartner.
2.4 Servicering af Kundevirksomheden
Lønpartner servicerer sine tilknyttede Kundevirksomheder omkring brugen af DataLøn.
Abonnerer Kundevirksomheden på mailservice fra DataLøn, kan Visma DataLøn rette henvendelse direkte til Kundevirk- somheden. Dette gælder også, såfremt Visma DataLøn ud- sender generel information om DataLøn.
3. Visma DataLøns forpligtelser
3.1 Lønbehandling
Visma DataLøn foretager lønbehandling, leverer outputma- teriale og tilbyder serviceydelser og kurser mv. Ydelsernes indhold er beskrevet i vejledninger til DataLøn.
Som et element i lønbehandlingen danner Visma DataLøn betalingsgrundlag, der anvendes ved pengeoverførsler.
3.2 Udveksling af data
Visma DataLøn udveksler data elektronisk med tredjemand og foretager ændringer af registrerede stamoplysninger ef- ter anmodning fra tredjemand, f.eks. SKAT og pensionssel- skaber. Berørte Kundevirksomheder orienteres af tredje- mand eller af Visma DataLøn.
3.3 Opbevaring af data
Visma DataLøn opbevarer leveret grundmateriale, jf. pkt. 2.3 i minimum 45 dage. Visma DataLøn opbevarer derudover kopi af bilag fra lønbehandlingen (løn- og bogføringsmateri- ale) året ud plus 5 år regnet fra produktionstidspunktet, hvor- efter materialet slettes.
Visma DataLøn optager telefonsamtaler mellem Lønpartner og Visma DataLøns kundecentre for at kunne fastslå samta- lernes indhold. Samtalerne opbevares i 6 måneder, hvoref- ter de slettes.
4. Refusionsanmodninger mv.
4.1 Refusion via Visma DataLøn
Lønpartner kan anmode om, at Visma Bluegarden søger om refusion af sygedagpenge og dagpenge efter barselloven på vegne af Kundevirksomheden.
Ved anmodning herom anses Kundevirksomheden via Løn- partner at have afgivet en erhvervsfuldmagt til Visma Data- Løn hertil, og dette indebærer samtidig, at Lønpartner på vegne af Kundevirksomheden har givet samtykke til, at Visma DataLøn kan indberette data til NemRefusion for Kun- devirksomheden.
4.2 Indberetning til NemRefusion
Visma Bluegarden indberetter oplysninger til NemRefusion på grundlag af de data, Kundevirksomheden har indberettet til Lønpartner, og som Lønpartner herefter har videregivet til Visma Bluegarden.
Der kan alene indberettes oplysninger for medarbejdere, der er omfattet af Kundevirksomhedens aftale med Lønpartner.
Visma Bluegarden kontrollerer ved hjælp af fejlmeddelelser og kvitteringer fra NemRefusion, at indberetninger accepte- res. Herudover sikrer Visma Bluegarden, at eventuelle fejl og mangler, som NemRefusion giver meddelelse om, rettes.
Indberetninger, der ikke er signeret (”kladder”), slettes fra NemRefusion 6 måneder efter sidste anvendelse uden yder- ligere varsel. Signerede indberetninger slettes fra NemRefu- sion 24 måneder efter signeringstidspunktet uden yderligere varsel.
Kundevirksomheden er ansvarlig for korrektheden af de data, der indberettes til Lønpartner til brug for indberetning til NemRefusion.
Indberetning af urigtige eller vildledende oplysninger til brug for afgørelser efter sygedagpengelov eller lov om ret til orlov og dagpenge ved barsel kan straffes efter straffeloven. Det samme gælder ved fortielse af oplysninger af betydning for sådanne afgørelser.
Den kommune, som modtager indberettede oplysninger, har adgang til Kundevirksomhedens lokaler og arbejdssteder med henblik på at kontrollere lønudbetalinger mv., som dan- ner grundlag for beregningen af syge- og barselsdagpenge.
5. Rekvisition af CPR-oplysninger
5.1 CPR-oplysninger
Lønpartner kan rekvirere oplysninger om Medarbejderes navn og adresse i Det Centrale Personregister (CPR) på vegne af Kundevirksomheden.
5.2 Rekvisition af oplysninger
Lønpartner må alene rekvirere oplysninger i CPR om perso- ner, som Kundevirksomheden i kraft af aftale skal udbetale løn, honorar mv. til. Behandling af de modtagne oplysninger fra CPR skal ske i overensstemmelse med den til enhver tid gældende Databeskyttelsesforordning og Databeskyttelses- lov. Forsætlig eller groft uagtsom overtrædelse af disse be- tingelser for rekvisition af oplysninger fra CPR er strafbar.
Visma DataLøn registrerer bruger-id, tidspunkt og cpr-num- mer for enhver rekvisition af oplysninger fra CPR. Visma Da- taLøn opbevarer disse oplysninger i 6 måneder, hvorefter de slettes. På forlangende udleverer Visma DataLøn oplysnin- gerne til CPR.
6. Pengeoverførsler
6.1 Overførsel vedrørende lønbehandling
Overførsel af beløb finder sted via den konto i pengeinstitut- tet, som Lønpartner har oplyst til Visma DataLøn. Overførs- ler sker via Overførselsservice.
Overførsler sker i henhold til de gældende regler for hen- holdsvis Overførselsservice og for Kundevirksomhedens be- talingskonto i Kundevirksomhedens pengeinstitut. Dette er Visma DataLøn uvedkommende.
6.2 Overførsel via Samlet Betaling
Ved tilmelding til Samlet Betaling i DataLøn, indestår Løn- partner over for Visma DataLøn for, at Kundevirksomheden har givet samtykke til, at ATP må iværksætte betalinger fra Kundevirksomheden til ATP. Overførsler til Samlet Betaling sker via Overførselsservice.
Ønsker Kundevirksomheden at framelde sig Samlet Beta- ling, skal Lønpartner foretage frameldelse inden d. 1. i må- neden før sidste rettidige betalingsdag.
7. Databehandling
7.1 Dataansvarlig
Kundevirksomheden er dataansvarlig og har ansvar for be- handlingen af de personoplysninger, som Lønpartneren sender til Visma DataLøn med henblik på Visma DataLøns opfyldelse af Aftalen.
7.2 Databehandler
Lønpartner er databehandler, og Visma DataLøn er under- databehandler, jf. den til enhver tid gældende Databeskyt- telsesforordning og Databeskyttelseslov, og behandler ude- lukkende oplysninger på den dataansvarliges vegne.
Det er ikke Visma DataLøns ansvar, om der er fornøden hjemmel til at behandle de personoplysninger, Lønpartner indberetter til DataLøn.
De nærmere vilkår for Lønparteners brug af Visma DataLøn som underdatabehandler er reguleret i databehandleraftalen vedlagt som bilag 1.
8. Produktændringer i DataLøn
Visma DataLøn kan foretage produktændringer i DataLøn.
Visma DataLøn tilstræber at informere Lønpartner om æn- dringer af produktet med mindst 1 måneds varsel. Dog kan produktionsforhold og udefra kommende forhold som f.eks. ændret lovgivning medføre, at produktet ændres uden eller med kortere varsel.
9. Rettigheder
9.1 Rettigheder til DataLøn
Visma DataLøn har ejendomsret, ophavsret og enhver an- den immateriel rettighed til DataLøn, herunder programmer, dokumentation og vejledninger, som Visma DataLøn stiller til rådighed for Lønpartner.
Inden for rammerne af Aftalen får Lønpartner en ikke-eks- klusiv og ikke-overdragelig ret til at anvende DataLøn over for sine Kundevirksomheder.
9.2 Lønpartners markedsføring
Lønpartner forestår egen markedsføring. Nævnes ”Data- Løn”, skal det skrives på den her viste måde.
Indeholder markedsføringsmaterialet henvisninger til Visma DataLøn eller til DataLøn, eller nærmere beskrivelser af Visma DataLøn eller DataLøn, skal materialet godkendes af Visma DataLøn inden offentliggørelse.
10. Tredjemands rettigheder
Så vidt det er Visma DataLøn bekendt, krænker Visma Da- taLøns ydelser ikke tredjemands immaterielle rettigheder, herunder patenter og ophavsrettigheder.
Rejser tredjemand krav, opstået som følge af at ydelsen krænker dennes rettigheder, skal den part, som kravet rej- ses mod, straks meddele dette skriftligt til den anden part.
Den part, der krænker tredjemands ret, skal holde den an- den part skadesløs for dennes egne omkostninger, herunder udgifter til advokat og omkostninger, der måtte blive tilkendt sagsøger samt tredjemands berettigede krav.
Den part, der krænker tredjemands ret, skal afhjælpe mang- len ved enten at indgå en aftale med tredjemand eller ved at ændre/erstatte sine ydelser, så Aftalen opfyldes. Hvis om- kostningerne i forbindelse hermed ikke står i et rimeligt for- hold til ydelsen, kan parten vælge at opsige Aftalen uden varsel.
11. Ansvar og ansvarsbegrænsning
11.1 Parternes ansvar
Hvor andet ikke fremgår af Aftalen, er parterne ansvarlige efter dansk rets almindelige regler.
Parterne fraskriver sig dog ethvert ansvar for indirekte tab og følgeskader som f.eks. produktionstab, tabt fortjeneste og rentetab.
11.2 Visma DataLøns ansvarsbegrænsning
Visma DataLøns erstatningsansvar pr. skadesbegivenhed er begrænset til det beløb, Visma DataLøn har faktureret Lønpartner og den berørte Kundevirksomhed i de forudgå- ende 12 måneder.
Visma DataLøns erstatningsansvar over for Lønpartner kan dog maksimalt udgøre kr. 250.000 kr. pr. løbende 12 måne- der.
Visma DataLøn har intet ansvar for funktionsfejl, forsinkelser eller produktionsforstyrrelser, der forårsages af forhold, som Visma DataLøn ikke har indflydelse på, eksempelvis fejl ved Lønpartners og Kundevirksomhedernes data, Lønpartners forkerte anvendelse af Visma DataLøns produkter, forhold ved anvendte IT-installationer, manglende kompatibilitet, ændringer foretaget af Lønpartner samt forstyrrelser ved da-tatransmission eller netværk.
Visma DataLøn har intet erstatningsansvar over for Kunde- virksomheden. Retter Kundevirksomheden et erstatnings- krav mod Visma Bluegarden, skal Lønpartner skadesløs- holde Visma Bluegarden herfor.
12. Force Majeure
Visma DataLøn er ikke ansvarlig for skader, der skyldes force majeure, herunder lovforskrifter, myndighedsforan- staltninger eller lignende, indtruffet eller truende krig, oprør, borgerlige uroligheder, terror, sabotage, naturkatastrofer, strejker, lockout, boykot, blokade, hærværk, brand, eksplo- sion, svigtende energitilførsel eller andre begivenheder, der hindrer eller i væsentlig grad vanskeliggør det for Visma Da-taLøn at opfylde sine forpligtelser.
Det påhviler Visma DataLøn at udfolde rimelige bestræbel- ser med henblik på at overvinde sådanne eventuelle van- skeligheder og at foretage levering, så snart forholdene tilla-der dette.
13. Fejl og forsinkelse
13.1 Afhjælpning
Hvis der er fejl eller forsinkelser ved levering af ydelsen, og dette skyldes Visma DataLøn, er Visma DataLøn berettiget og forpligtet til at
• afhjælpe sådanne fejl og forsinkelser, i det omfang det er praktisk muligt og kan ske uden urimelige øko- nomiske konsekvenser, og
• foretage omlevering af udført arbejde, hvor dette er nødvendigt.
Hvis Visma DataLøn ikke er ansvarlig for fejl eller forsinkel- ser, kan Visma DataLøn efter Lønpartners anmodning med- virke ved afhjælpning eller omlevering mod et rimeligt veder- lag.
13.2 Reklamationsfrist
Fejl eller forsinkelser i Visma DataLøns ydelser skal medde- les Visma DataLøn senest 1 uge efter levering.
14. Fortrolighed og offentliggørelse
14.1 Fortrolighed
14.2 Offentliggørelse
Fortrolige oplysninger fra den anden part må kun anvendes og opbevares som led i Aftalens opfyldelse. Opbevaring og anvendelse skal ske på forsvarlig måde og med mindst samme omhu, som den part, der modtager oplysningerne, anvender på sine egne fortrolige oplysninger.
15. Underleverandører
15.1 Brug af underleverandører
Visma DataLøn kan anvende underleverandører. Underle- verandører er underlagt samme tavshedspligt som anført i pkt. 14.1.
15.2 Hæftelse for underleverandører
Visma DataLøn hæfter for underleverandørers ydelser på samme måde som for egne ydelser.
Visma DataLøn påtager sig intet ansvar for tredjemands standardprogrammel, som indgår i Visma DataLøns leve- rance.
16. Priser og betaling
16.1 Betaling til Visma DataLøn
Visma DataLøn fakturerer Lønpartner for Visma DataLøns ydelser i henhold til den til enhver tid gældende prisliste, jf. dog punkt 16.2. Priserne er angivet ekskl. moms.
Betaling sker ved, at Visma DataLøn debiterer Lønpartners konto i Lønpartners pengeinstitut.
Visma DataLøns fakturering dækker også Kundevirksomhe-dernes brug af Overførselsservice i relation til DataLøn. Eventuel opkrævning fra Kundevirksomhedens pengeinsti-tut vedrørende brug af Kundevirksomhedens betalingskonto er Visma DataLøn uvedkommende.
16.2 Kundevirksomhedens betaling
Lønpartner indestår for dækning af Kundevirksomhedens betaling til Visma DataLøn. Er der ikke dækning for et beløb på Kundevirksomhedens konto, kan Visma DataLøn debi-tere beløbet på Lønpartners konto.
17. Aftaleændringer
Visma DataLøn kan ændre Aftalen, herunder priser, med 1 måneds skriftligt varsel. Dette gælder dog ikke, hvis myndig-hedskrav, sikkerhedshensyn eller lignende forhold nødven-diggør et kortere varsel.
Meddelelser, herunder ændringer af priser, kan varsles ved brev eller elektronisk, f.eks. via e-mail eller indbakkebesked.
18. Opsigelse og ophævelse
18.1 Parternes opsigelsesfrist
Lønpartner kan opsige Aftalen skriftligt med 1 måneds for- udgående varsel til den 1. i en måned. Visma DataLøn kan opsige Aftalen ved et skriftligt varsel på 3 måneder til den
18.2 Opsigelse af Kundevirksomheden
Lønpartners egen opsigelsesfrist i forhold til Kundevirksom- heden må ikke overstige Visma DataLøns opsigelsesfrist i henhold til punkt 18.1.
18.3 Ophævelse
En part kan hæve Aftalen uden varsel, hvis
a. den anden part væsentligt misligholder Aftalen,
b. den første part skriftligt har fremsat påkrav om afhjælp- ning af misligholdelsen, og
c. den anden part ikke har påbegyndt afhjælpningen se- nest 7 Bankdage efter modtagelse af påkravet.
Hvis Visma DataLøn hæver Aftalen, har Visma DataLøn krav på betaling for det udførte arbejde.
18.4 Konsekvenser af opsigelse og ophævelse
Hvis Aftalen mellem parterne opsiges eller ophæves, kan en Kundevirksomhed, der anvender DataLøn via Lønpartner, ikke anvende DataLøn i henhold til den hidtidige registrering, men må selvstændig indgå aftale med Visma DataLøn om brug af DataLøn.
Det samme gør sig gældende, hvis aftalen mellem Lønpart- ner og en Kundevirksomhed opsiges eller ophæves.
18.5 Udestående ydelser
Selv om Aftalen er ophørt, gælder den stadig for forpligtel- ser, der skal opfyldes i op til 6 måneder efter, at Aftalen er ophørt.
Disse ydelser leveres i henhold til Aftalen og på Aftalens vil- kår.
Ophører Aftalen som følge af konkurs, gennemføres de ydelser, der er udestående, ikke.
19. Overdragelse
Visma XxxxXxx har ret til at overdrage sine rettigheder og forpligtelser ifølge Aftalen til et andet selskab i Visma Data- Løn-koncernen uden Lønpartners samtykke.
Herudover kan ingen af parterne uden den anden parts skriftlige samtykke overdrage sine rettigheder og forpligtel- ser ifølge Xxxxxxx til tredjemand.
20. Lovvalg og værneting
Aftalen er undergivet dansk ret. Eventuelle uoverensstem- melser mellem parterne, som ikke kan løses ved forhand- ling, kan indbringes for de ordinære domstole med Visma DataLøns hjemting som værneting.
Bilag 1
Databehandleraftale
1. Indledning
Som en del af parternes Aftale, gælder følgende Da- tabehandleraftale mellem Underdatabehandleren, Visma Dataløn A/S og Databehandleren, Lønpartner, med mindre andet er udtrykkeligt specificeret i andre aftaler mellem parterne.
Formålet med Databehandleraftalen er at regulere, hvordan og til hvilket formål Underdatabehandleren skal behandle Personoplysninger på vegne af Data- behandleren samt at sikre, at den Dataansvarliges Personoplysninger behandles i henhold til Databe- handlerens retningslinjer og instrukser samt gæl- dende databeskyttelseslovgivning.
Kategorier af Registrerede og Personoplysninger, der behandles, fremgår af underbilag A.
2. Definitioner
Kundevirksomheden er dataansvarlig (herefter kal- det den Dataansvarlige), Lønpartner er databehand- ler (herefter kaldet Databehandler), og Visma Data- Løn er underdatabehandler (herefter kaldet Underda- tabehandler).
Personoplysninger, Særlige kategorier af Personop- lysninger (Følsomme persondata), Behandling af personoplysninger, den Registrerede, den Dataan- svarlige, Databehandler og Underdatabehandler skal have den betydning, som følger af gældende lovgiv- ning om behandling af personoplysninger, herunder Databeskyttelsesforordningen (GDPR).
3. Den Dataansvarliges forpligtelser
Den Dataansvarlige har ansvaret for, at Behandlin-gen af Personoplysninger lever op til kravene i Data-beskyttelsesforordningen og Databeskyttelsesloven.
Den Dataansvarlige er ved brug af de tjenester, som Databehandler stiller til rådighed i henhold til aftalen, forpligtet til at behandle Personoplysninger i overens-stemmelse med bestemmelserne i gældende lovgiv-ning om behandling af personoplysninger.
Den Dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som Data- behandleren instrueres i at foretage.
4. Databehandlerens forpligtelser
Databehandler er ved brug af de tjenester, som Un-
derdatabehandler stiller til rådighed i henhold til Afta- len, forpligtet til at behandle Personoplysninger i overensstemmelse med bestemmelserne i gæl- dende lovgivning om behandling af personoplysnin- ger.
Databehandler er endvidere ansvarlig for, at den Da- taansvarliges Personoplysninger behandles i hen- hold til retningslinjer og instrukser fra den Dataan- svarlige.
5. Underdatabehandlerens forpligtel- ser
Underdatabehandleren behandler udelukkende Per- sonoplysninger på vegne af og på baggrund af in- strukser fra Databehandleren.
Databehandling skal ske på følgende måde:
• Alene i overensstemmelse med gældende lov- givning,
• For at opfylde alle forpligtelser i henhold til Afta- len,
• Som nærmere angivet gennem Databehandle- rens almindelige brug af Underdatabehandle- rens tjenester,
• Som angivet i denne Databehandleraftale.
Underdatabehandler underretter omgående Databe- handleren, hvis en instruks efter Underdatabehand- lerens mening er i strid med Databeskyttelsesforord- ningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
Underdatabehandler skal sikre, at Personoplysnin- gerne er underlagt fortrolighed, integritet og tilgæn- gelighed i henhold til gældende lovgivning om be- handling af personoplysninger.
Underdatabehandler og dennes medarbejdere skal sikre fortrolighed vedrørende de behandlede Person- oplysninger. Denne bestemmelse gælder også efter Aftalens ophør.
Underdatabehandler sikrer, at de personer, der er autoriseret til at behandle Personoplysninger på vegne af Databehandleren, har forpligtet sig til fortro- lighed eller er underlagt en passende lovbestemt tavshedspligt.
Underdatabehandler skal bistå Databehandler med passende tekniske og organisatoriske foranstaltnin- ger, så vidt dette er muligt, for opfyldelse af Databe- handlerens forpligtelser til at bistå ved besvarelse af anmodninger fra Registrerede og om generel udø- velse af Registreredes rettigheder i henhold til Data- beskyttelsesforordningens Kapitel 3 og Artikel 32 til 36.
Underdatabehandler giver, uden unødig forsinkelse, meddelelse til Databehandler om hændelser, som Databehandler i henhold til lovgivningen er forpligtet til at meddele til den Dataansvarlige, Datatilsynet el- ler Registrerede.
Desuden giver Underdatabehandler, i det omfang det er hensigtsmæssigt og lovligt, Databehandler med- delelse om:
• Anmodninger om videregivelse af Personoplys- ninger modtaget fra en Registreret.
• Anmodninger om videregivelse af Personoplys- ninger fra offentlige myndigheder, såsom poli- tiet.
Underdatabehandleren besvarer ikke direkte hen- vendelser fra Registrerede, medmindre der via Data- behandler foreligger samtykke fra den Dataansvar- lige. Underdatabehandleren videregiver ikke Person- oplysninger til offentlige myndigheder, såsom politiet, medmindre der foreligger lovligt grundlag.
Underdatabehandleren har ikke ejerskab til, eller kontrol med, hvorvidt og hvordan Databehandler væl- ger at benytte sig af eventuel tredjeparts integrationer via Underdatabehandler API, via direkte database- kobling eller lignende. Ansvaret for sådanne integra- tioner med tredjepart påhviler udelukkende Databe- handler.
6. Sikkerhed
Underdatabehandler skal indføre systematiske, or- ganisatoriske og tekniske foranstaltninger til sikring af et passende sikkerhedsniveau under hensyntagen til teknologien og omkostningerne til indførelse i for- hold til de risici, som behandlingen indebærer, samt arten af de Personoplysninger der skal beskyttes.
Underdatabehandler er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og tjenester. Un- derdatabehandler yder dette sikkerhedsniveau gen- nem organisatoriske, tekniske og fysiske sikkerheds- foranstaltninger i henhold til kravene til informations- sikkerhedsforanstaltninger, som fremgår af Databe- skyttelsesforordningens Artikel 32.
Desuden har de interne rammer for beskyttelse af Personoplysninger, som er udarbejdet af Visma-kon- cernen, til formål at sikre fortroligheden, integriteten, sikkerheden og tilgængeligheden af Personoplysnin- ger. Følgende foranstaltninger har særlig betydning i denne forbindelse:
• Klassificering af Personoplysninger for at sikre iværksættelse af sikkerhedsforanstaltninger svarende til risikovurderinger.
• Vurdering af brug af kryptering og anonymise- ring som risikobegrænsende foranstaltninger.
• Begrænsning af tilgang til Personoplysninger til dem, som har brug for adgang til opfyldelse af forpligtelser i henhold til Aftalen.
• Kontrolsystemer, der registrerer, genopretter, forebygger og rapporterer brud i forbindelse med behandling af Personoplysninger.
• Sikkerhedsprocedurer som angivet i underbilag C.
Hvis Databehandler anmoder om oplysninger om sik- kerhedsforanstaltninger, dokumentation eller andre former for oplysninger omkring, hvordan Underdata- behandler behandler Personoplysninger, og så- danne overskrider de standardoplysninger, som Un- derdatabehandler har stillet til rådighed for opfyldelse af gældende lovgivning om behandling af Personop- lysninger som Underdatabehandler, og dette medfø- rer ekstra arbejde for Underdatabehandler, er Under- databehandler berettiget til at opkræve Databehand- ler betaling for sådanne ekstra arbejder.
Underdatabehandler underretter uden unødig forsin- kelse Databehandler efter at være blevet opmærk- som på, at der er sket brud på persondatasikkerhe- den hos Underdatabehandler eller en eventuel un- der-underdatabehandler.
7. Kontrol
Databehandler kan foretage kontrol for at påse, at Underdatabehandler overholder denne Databehand- leraftale, op til 1 gang om året.
Hvis det er et lovkrav gældende for den Dataansvar- lige eller Databehandler, kan Databehandler anmode om hyppigere kontrol.
For at anmode om at foretage en kontrol skal Data- behandler fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til Underdatabehandler med beskrivelse af det fore- slåede omfang, varighed og starttidspunkt for kontrol- len.
Hvis tredjeparter skal foretage kontrollen, skal det som hovedregel aftales mellem parterne. Hvis be- handling sker i et “multitenant” miljø eller lignende, giver Databehandler Underdatabehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kon- trollerne skal foretages af en neutral tredjepartskon- trollant efter Underdatabehandlers valg.
Hvis det anmodede kontrolomfang er behandlet i ISAE, ISO eller lignende sikkerhedsrapport, vareta- get af en kvalificeret tredjepartskontrollant inden for de sidste 12 måneder, og Underdatabehandler be- kræfter, at der ikke er foretaget nogle væsentlige æn- dringer i de kontrollerede foranstaltninger, bekræfter Databehandler, at sådanne resultater accepteres i
stedet for at anmode om en ny kontrol af de foran- staltninger, der er omfattet af rapporten.
I alle tilfælde skal kontroller foretages inden for nor- mal arbejdstid på det pågældende sted, i medfør af Underdatabehandlers politikker og må ikke på urime- lig måde gribe forstyrrende ind i Underdatabehand- lers forretningsdrift.
Databehandler afholder alle omkostninger i forbin- delse med Databehandlers anmodede kontroller.
Ligeledes fakturerer Underdatabehandler Databe- handler for bistand, som overstiger den standard- ydelse, som Underdatabehandler eller Visma-kon- cernen stiller til rådighed for opfyldelse af gældende lovgivning om behandling af personoplysninger.
8. Brug af under-underdatabehand- lere og overførsel af data
Som en del af leveringen af tjenester til Databehand- ler har Underdatabehandler Databehandlers gene- relle tilladelse til at gøre brug af under-underdatabe- handlere. Disse under-underdatabehandlere kan være andre selskaber i Visma-koncernen eller eks- terne tredjepartsleverandører.
Underdatabehandler skal sikre, at under-underdata- behandlere pålægges de samme forpligtelser, som fastsat i denne Databehandleraftale. Enhver brug af under-underdatabehandlere er underlagt Visma-kon- cernens Privacy Statement.
Databehandler har ret til at anmode om at få et over- blik over under-underdatabehandlere, der aktuelt gø- res brug af, med adgang til Personoplysninger, som angivet i underbilag B. Desuden har Databehandler ret til at anmode om at få fuldt overblik og mere de- taljerede oplysninger om disse under-underdatabe- handlere.
Databehandler skal på forhånd underrettes om even- tuel udskiftning af under-underdatabehandlere, som behandler Personoplysninger. Databehandler kan gøre indsigelse mod ændringerne, såfremt Databe- handler har rimelige, konkrete årsager hertil.
Underdatabehandler må ikke lade behandling af Per- sonoplysninger foregå uden for EU/EØS uden Data- behandlers samtykke.
Såfremt Databehandler giver samtykke til, at Under- databehandleren foretager behandling af Personop- lysninger uden for EU/EØS, fremgår dette af under- bilag B. Underdatabehandler skal sikre et korrekt ju- ridisk grundlag for overførsel af Personoplysninger uden for EU/EØS på vegne af Databehandler, herun- der ved indgåelse af EU-kommissionens Standard-
kontrakt eller overførsel af Personoplysninger i hen- hold til Privacy Shield.
9. Varighed og ophør
Denne Databehandleraftale er gældende, så længe Underdatabehandler behandler Personoplysninger på vegne af Databehandler i henhold til Aftalen. Da- tabehandleraftalen ophører automatisk ved opsi- gelse af Aftalen.
Ved Aftalens ophør sletter, returnerer eller opbevarer Underdatabehandler, de på vegne af Databehandler behandlede Personoplysninger efter aftale med Da- tabehandler.
Medmindre andet er skriftligt aftalt, tager omkostnin- ger til sådanne foranstaltninger udgangspunkt i:
• Timetakst for den tid Underdatabehandler har brugt, og
• Sværhedsgraden af den anmodede behandling.
Underdatabehandler kan tilbageholde Personoplys- ninger efter opsigelse af Aftalen i det omfang, det er påkrævet ved lov, som er underlagt samme tekniske og organisatoriske sikkerhedsforanstaltninger, som fremgår af denne Databehandleraftale.
10. Ændringer og tilføjelser
Ændringer til dette bilag skal udfærdiges i et nyt bilag til Aftalen.
Hvis nogen bestemmelse i denne Databehandleraf- tale bliver ugyldig, påvirker dette ikke gyldigheden af de øvrige bestemmelser. Parterne skal erstatte den ugyldige bestemmelse med en lovlig bestemmelse, der afspejler formålet med den ugyldige bestem- melse.
11. Ansvar
Ansvaret for brud på bestemmelserne i denne Data- behandleraftale reguleres af ansvarsbestemmel- serne i Regler for Lønpartners brug af DataLøn. Dette gælder også for eventuelle brud begået af Un- derdatabehandlers under-underdatabehandlere.
Underbilag A - Kategorier af Person- data og Registrerede
1.Kategorier af Registrerede og Persondata, der er underlagt behandling, i henhold til nærværende Af- tale
a.Kategorier af registrerede
i. Lønpartners brugere
ii. Lønpartners kontaktpersoner
iii. Kundevirksomhedens Medarbejdere
b.Kategorier af Personoplysninger
i. Kontaktoplysninger, som navn, adresse, mail, telefon
ii. CPR-nr.
iii. Stillingskategori, oplysninger om løn, arbejdstid, fravær, pension, skat, bankkonto
iv. evt. øvrige Personoplysninger, der er nødvendige for, at den Dataansvarlige kan administrere ansættelsesforhol- det.
c. Behandlingsaktiviteter
Underdatabehandleren varetager via it-sy- stemer håndteringen af Databehandlers lønadministration for den Dataansvarlige, udarbejdelse af lønsedler, opbevaring og lagring af Personoplysninger om Databe- handlers brugere og kontaktpersoner, den
Dataansvarlige og den Dataansvarliges medarbejdere, rapportering og overførsel af information til Databehandler, den Dataan- svarlige, Nets Denmark A/S, pengeinstitut- ter, pensionsselskaber, evt. pligtige rappor- teringer i arbejdsgiverforeninger, offentlige styrelser (SKAT, statistik m.m.).
Herudover forestår Underdatabehandleren drift, test, vedligeholdelse, udvikling samt fejlretning af syste- mer og applikationer.
2.Typer af Følsomme persondata, der er underlagt behandling, i henhold til Aftalen
Databehandler skal give Underdatabehandler med- delelse om, og angive nedenfor, eventuelle typer Føl- somme persondata i henhold til gældende lovgivning om Behandling af personoplysninger.
Underdatabehandler skal på vegne af Databehandler behandle oplys- ninger om: | Ja | Nej |
Race eller etnisk, politisk, filosofisk eller religiøs overbevisning | X | |
At en person er mistænkt, sigtet eller dømt for en forbrydelse | X | |
Helbredsoplysninger | X | |
Seksuel orientering | X | |
Medlemskab af fagforening | X | |
Genetiske eller biometriske data | X |
Underbilag B - Oversigt over aktuelle under-underdatabehandlere
Underdatabehandlers aktuelle under-underdatabehandlere, der kan få adgang til den Dataansvarliges Personoplysninger, omfatter ved ikrafttrædelsen af denne Databehandleraftale:
Navn | Sted/land | Juridisk overdragelsesme- kanisme, hvis underdata- behandleren har adgang til Personoplysninger fra lande uden for EU | Bistår Underdatabehandle- ren med |
Nets Denmark A/S Lautrupbjerg 10 2750 Ballerup CVR 20016175 | Danmark | Ikke relevant | Datalagring Lønkørsler |
Atea A/S Lautrupvang 6 2750 Ballerup CVR 25511484 | Danmark | Ikke relevant | Datalagring |
Solipsis Marktplein 2 5306 BA Brakel | Holland | Ikke relevant | Datalagring, E-arkiv |
NetNordic Enterprise Com- munications A/S Lyskær 1 2730 Herlev CVR 29797056 | Danmark | Ikke relevant | Datalagring, telefonsamta- ler |
Xxxxxxxx A/S Xxx Xxxxxx Xxxxx Allé 4, 4. 2100 København Ø CVR 26079209 | Danmark | Ikke relevant | Infrastruktur |
Visma ITC AS Karenlyst alle 56 0277 Oslo | Norge | Ikke relevant | Infrastruktur |
OnlineCity ApS Buchwaldsgade 50 5000 Odense C CVR 27364276 | Danmark | Ikke relevant | Udsendelse af sms i forbin- delse med log-on |
Cim Mobilty Fælledvej 17 7600 Struer CVR 27913334 | Danmark | Ikke relevant | Udsendelse af sms i forbin- delse med log-on |
Visma Labs SIA Xxxxxx Xxxxxx 00 Xxxx XX 0000 Xxxxxx | Letland | Ikke relevant | Udvikling og fejlretning |
Underbilag C – Underdatabehand- lerens sikkerhedsprocedurer
Sikkerhedsprocedurer
Informationssikkerheden i Visma Dataløn er ba- seret på standarden ISO / IEC 27001: 2013 Infor- mationsteknologi – Sikkerhedsteknikker.
Standarden indeholder Statement of Applicability (SOA), som er en del af Visma Dataløn Informa- tion Security Management System (ISMS). SOA udgør politikker, procedurer, processer, organisa- toriske beslutningsprocesser og aktiviteter inden for følgende informationssikkerhedskontrolområ- der i Visma DataLøn:
o Organisering af informationssikkerhed
o Personalesikkerhed
o Styring af aktiver
o Adgangsstyring
o Kryptografi
o Fysisk sikring og miljøsikring
o Driftssikkerhed
o Kommunikationssikkerhed
o Anskaffelse, udvikling og vedligehol- delse af systemer
o Leverandørforhold
o Styring af informationssikkerhedsbrud
o Informationssikkerhedsaspekter ved nødberedskabs- og reetableringssty- ring
o Compliance
Informationssikkerhed
Dagligt ansvarlig for at forberede, supportere, vedligeholde og overvåge informationssi kkerhed
Information Security
Visma Dataløn har implementeret politikker, kon- troller og processer, som dækker de nedenfor be- skrevne informationssikkerhedsområder:
• Fortrolighed
Sikre at uautoriserede personer ikke kan få ad- gang til data, som kan misbruges til skade for Visma DataLøns kunder, forretningsforbindelser og ansatte.
Operativt ansvarlig for at vedligholde informationssi kkerhed i produkter, tjenester og processer
Operational Units
• Integritet
Sikre at systemer indeholder akkurat og komplet information.
• Tilgængelighed
Sikre at relevant information og relevante syste- mer er tilgængelige og stabile.
Styring af informationssikkerhed
Styring af informationssikkerhed i Visma Dataløn
er baseret på ISO 27005 Informationsteknologi - Sikkerhedsteknikker - Risikostyring af informati- onssikkerhed.
Informationssikkerhed, Organisation
Juridisk ansvarlige for informationssi kkerhed
Board of Directors
Overordnet ansvarlige for informantionss ikkerheds- niveau
Executive Committe
Øverste myndighed indenfor informationssi kkerhed
Information Security Board
Visma Dataløn har etableret et ledelsesramme- værk til initiering og styring af implementering samt drift af informationssikkerhed.
Personalesikkerhed
Visma Dataløn har sikret, at medarbejdere og af- taleparter har forstået deres ansvar og er kompe- tente til at varetage deres roller.
Asset management
Visma Dataløn har identificeret organisatoriske aktiver og defineret passende beskyttelse.
Adgangsstyring
Visma Dataløn har via godkendelses- og autori- sationsprocesser sikret, at det kun er muligt at opnå en arbejdsrelateret adgang til informations- og informationsbehandlingsfaciliteter.
Kryptografi
Visma Dataløn har sikret en korrekt og effektiv brug af kryptografi for at beskytte fortrolighed, au- tenticiteten og integriteten af information.
Fysisk sikring og miljøsikring
Visma Dataløn forhindrer uautoriseret fysisk ad- gang, skade og forstyrrelse i virksomhedens in- formationer og databehandlingslokationer.
Driftsikkerhed
Visma Dataløn har sikret korrekt og sikker drift gennem dokumenterede procedurer og proces- ser.
Kommunikationssikkerhed
Visma Dataløn har sikret beskyttelse af informa- tion på netværk og databehandlingslokationer.
Anskaffelse, udvikling og vedligeholdelse af sy- stemer
Al ekstern erhvervelse eller forbedring/fornyelse af informationssystemer, tjenester og komponen- ter i Visma Dataløn er centralt evalueret og god- kendt for at sikre compliance.
Politik til udvikling og vedligeholdelse af services er etableret og anvendes til udviklingen i organi- sationen.
Leverandørforhold
Visma Dataløn har sikret beskyttelse af virksom- hedens aktiver, der er tilgængelige for leverandø- rer, herunder regelmæssig overvågning og revi- sion af leverandørleverancer.
Styring af informationssikkerhedsbrud
Visma Dataløn har en konsekvent og effektiv til- gang til styring af informationssikkerhedshændel- ser, herunder kommunikation om sikkerheds- hændelser og svagheder.
Informationssikkerhedsaspekter ved nødbered- skabs- og reetableringsstyring
Visma DataLøn sikrer kontinuitet og rettidig gen- opretning af forretningskritiske processer og sy- stemer i tilfælde af en kritisk situation og sikrer, at kritiske processer virker på et hensigtsmæssigt niveau.
Compliance
Visma Dataløn har implementeret procedurer for at undgå brud på juridiske, lovmæssige eller kon- traktlige forpligtelser i forbindelse med informati- onssikkerhed og eventuelle sikkerhedskrav.