DataLøn Tid
DataLøn Tid
Vilkår for DataLøn Tid
Gældende fra 1. august 2023
1 Hvad er DataLøn Tid? 2
2 Definitioner 2
3 Kundens forpligtelser 2
4 Databehandling 3
5 Priser og betaling 3
6 Ansvar og ansvarsfraskrivelse 3
7 Xxxxxxx og forsinkelse 4
8 Licens 5
9 Immaterielle rettigheder 5
10 Tredjemands rettigheder 5
11 Tavshedspligt 6
12 Brug af andre leverandører 6
13 Ændringer 6
14 Opsigelse og ophævelse 7
15 Overdragelse 7
16 Forrang, lovvalg og værneting 7
-
Bilag 1 Databehandleraftale 8
1. Hvad er DataLøn Tid?
DataLøn Tid er et tidsregistreringssystem. Kernen i DataLøn Tid er en standard IT-løsning, der på baggrund af Kundens indberetninger til Visma DataLøn registrerer og behandler tids- registreringer mv. for Kunden, herunder:
● digital timeregistrering,
● registrering af fravær, udlæg og diæter,
● registrering af forbrug af materialer og varer mv.,
● registrering af kørsel og
● planlægning af arbejdstid.
Det præcise indhold af DataLøn Tid afhænger af det valgte abonnement. En nærmere beskrivelse af DataLøn Tid, herunder de forskellige abonnementer og tilhørende indhold, er tilgængelig på xxxxxxx.xx.
Visma DataLøn foretager efter aftale opsætning og tilpasning af DataLøn Tid i forhold til overenskomster og lokalaftaler.
Visma DataLøn yder hjælp til opstart og oprettelse af Kunden og Medarbejderne og leverer support- og konsulentydelser telefonisk og online fra Visma DataLøns konsulenter, når Xxxxxx har brug for hjælp.
1. Definitioner
1.1 Visma DataLøn
Visma DataLøn og ProLøn A/S, CVR-nr. 48 11 77 16, er det selskab, der udbyder DataLøn Tid.
1.2 Aftale
Nærværende vilkår for DataLøn Tid inkl. bilag samt priser som fremgår af xxxxxxx.xx. Aftalen udgør det samlede aftalegrundlag mellem Visma DataLøn og Kunden i relation til DataLøn Tid.
1.3 Aktiv bruger
En bruger defineres som aktiv i en given faktureringsperiode, hvis der for denne oprettes eller redigeres en indberetning enten via DataLøn Tid App, DataLøn Tid Admin eller gennem API.
1.4 DataLøn Tid
Der henvises til punkt 1.
1.5 xxxxxxx.xx
Det til enhver tid værende indhold på hjemmesiden xxx.xxxxxxx.xx.
1.6 Kunden
Den virksomhed (arbejdsgiver), som Visma DataLøn har indgået nærværende Aftale med om brug af DataLøn Tid.
1.7 Medarbejdere
De af Kundens medarbejdere, konsulenter m.v., som Kunden har registreret i DataLøn Tid (hver enkelt betegnes ”Medarbejder”).
2 Kundens forpligtelser
2.1 Grundmaterialet
Kunden skal levere Grundmaterialet til Visma DataLøn som beskrevet på xxxxxxx.xx ved indtastning direkte i DataLøn Tid.
2.2 Kundens IT-udstyr
Kundens IT-udstyr skal opfylde de systemkrav, der fremgår af denne side.
2.3 Kundens opbevaring
Kunden skal opbevare Grundmaterialet i henhold til lovgivningen, herunder bogføringsloven.
2.4 Kundeoplysninger
Kunden er forpligtet til løbende over for Visma DataLøn at ajourføre alle relevante oplysninger, som Kunden har givet til Visma DataLøn i forbindelse med indgåelse af Aftalen, herunder oplysninger om Kundens navn, adresse, telefonnummer og e-mailadresse.
3 Databehandling
3.1 Dataansvarlig
Kunden er dataansvarlig og har ansvar for behandlingen af de personoplysninger, som Kunden behandler og sender til Visma DataLøn med henblik på Visma DataLøns opfyldelse af Aftalen.
3.2 Databehandler
Visma DataLøn er databehandler, jf. den til enhver tid gældende Databeskyttelsesforordning og Databeskyttelseslov, og behandler oplysninger på den dataansvarliges vegne. De nærmere vilkår herfor er reguleret i databehandleraftalen vedlagt som bilag 1.
4 Priser og betaling
4.1 Priser
Visma DataLøns ydelser faktureres i henhold til gældende priser med tillæg af moms. Kunden hæfter pr. aktive brugere af DataLøn Tid pr. faktureringsperiode (måned).
4.2 Betaling
Kundens betaling for ydelser i henhold til Aftalen sker på grundlag af faktura fra Visma DataLøn. Fakturabeløb forfalder til betaling 14 dage efter fakturadato.
5 Ansvar og ansvarsfraskrivelse
5.1 Parternes ansvar
Hvor andet ikke fremgår af Aftalen, er parterne erstatningsansvarlige efter dansk rets almindelige regler. Parterne er kun ansvarlige for deres egne ydelser og forhold (inklusive deres underleverandører, andre leverandører og Medarbejdere).
Visma DataLøn påtager sig således blandt andet intet ansvar for:
● Kundens egne fejl eller forsømmelser, herunder fejlindtastninger, forkert anvendelse eller misbrug af DataLøn Tid,
● Om DataLøn Tids funktionalitet og indhold understøtter Kundens specifikke behov,
● Om behandlingen i DataLøn Tid, herunder Grundmaterialet, er i overensstemmelse med Medarbejdernes ansættelsesvilkår og/eller de(n) arbejdsmarkedsoverenskomst(er), som Medarbejderne måtte være omfattet af,
● Forhold hos Kundens pengeinstitut, en administrator af DataLøn Tid, som Kunden har indgået aftale med, programmel, hardwareenheder eller andet udstyr, kommunikationslinjer, eller andre leverancer, som er nødvendige eller hensigtsmæssige for at bruge Visma DataLøns ydelse, eller
● Fejl og dispositioner hos tredjepartsleverandører.
5.2 Force majeure
Visma DataLøn er ikke ansvarlig for tab, herunder tab forårsaget af nedbrud i/manglende adgang til it-systemer eller beskadigelser af data i disse systemer, som skyldes force majeure eller lignende forhold. Som force majeure anses forhold, der er uden for Visma DataLøns rimelige kontrol, og som Visma DataLøn ikke burde have forudset ved Aftalens indgåelse, herunder som følge af:
● Svigt i strømforsyning eller telekommunikation,
● Lovindgreb eller forvaltningsakter,
● Naturkatastrofer, vandskade, jordskælv eller ekstreme vejrforhold,
● Brand,
● Indtruffet eller truende krig, oprør, borgerlige uroligheder, sabotage, terror (herunder cyberterrorisme) eller eksplosioner,
● Indbrud eller hærværk (herunder computervirus og -hacking), eller
● Strejke, lockout, boykot eller blokade, uanset om konflikten er rettet mod eller iværksat af parterne selv eller deres organisation, og uanset konfliktens årsag. Det gælder også, når konflikten kun rammer dele af en parts organisation.
Ansvarsfriheden består, så længe force majeure begivenheden består.
5.3 Ansvarsbegrænsning
I intet tilfælde er Visma DataLøn ansvarlig for Kundens eller tredjemands indirekte tab, herunder men ikke begrænset til tab af produktion, salg, fortjeneste, goodwill, forbrugt intern arbejdstid, image, medarbejdere, kunder eller renter.
Visma DataLøn er ansvarlig for produktansvar efter dansk rets almindelige regler, idet ansvarsbegrænsningerne i nærværende punkt 6 dog skal finde anvendelse i videst muligt omfang tilladt efter dansk ret.
Visma DataLøns samlede erstatningsansvar for hvert enkelt krav under denne Aftale er begrænset til (i) det beløb, som Kunden har betalt til Visma DataLøn vedrørende DataLøn Tid i de 12 måneder forud for det tidspunkt, hvor Kunden skriftligt fremsatte kravet over for Visma DataLøn fratrukket
(ii) eventuelle øvrige erstatninger, som Visma DataLøn måtte have pådraget sig over for Kunden og vedrørende DataLøn Tid i samme 12-måneders periode.
Visma DataLøn tager desuden forbehold for programmeringsfejl samt servernedbrud, netværksnedbrud og andet svigt fra underleverandører.
I tilfælde af opdatering af software eller udstyr har Visma DataLøn ret til at lukke for adgangen i en begrænset periode. Visma DataLøn vil bestræbe sig på at opdatere i tidsrum, som har mindst mulig påvirkning på Kundens brug af softwaren. Adgangen til Visma DataLøns software udvikles løbende, og Visma DataLøn giver adgang til softwaren, som den forefindes og uden garanti.
Ansvarsbegrænsningerne i punkterne nævnt ovenfor gælder for enhver type af krav, herunder Kundens direkte krav og for Kundens regreskrav for erstatning udbetalt af Kunden.
Begrænsningerne i dette punkt gælder ikke, såfremt Visma DataLøn har handlet forsætligt eller groft uagtsomt.
6 Xxxxxxx og forsinkelse
6.1 Mangler
Hvis der er mangler ved Visma DataLøns ydelser, og dette skyldes Visma DataLøn, kan Visma DataLøn vælge at:
● afhjælpe manglen, i det omfang det er praktisk muligt og kan ske uden uforholds- mæssige økonomiske konsekvenser, eller
● foretage omlevering af udført arbejde.
6.2 Forsinkelse
Hvis Visma DataLøns ydelse forsinkes af årsager, som Kunden er uden ansvar for, kan Kunden over for Visma DataLøn fremsætte påkrav om, at leveringen påbegyndes.
6.3 Xxxxxxx og forsinkelser som Visma DataLøn ikke har ansvaret for
Hvis Visma DataLøn ikke er ansvarlig for fejl eller forsinkelser, kan Visma DataLøn efter Kundens anmodning medvirke ved afhjælpning eller omlevering mod et rimeligt vederlag.
6.4 Reklamationsfrist
Mangler eller forsinkelser i Visma DataLøns ydelser, som Xxxxxx bliver bekendt med eller burde være blevet bekendt med, og som Kunden ønsker at påberåbe sig, skal straks meddeles skriftligt
til Visma DataLøn. Hvis en mangel eller forsinkelse, som Kunden opdager eller burde have opdaget, ikke straks meddeles skriftligt til Visma DataLøn, kan denne ikke senere gøres gældende.
6.5 Krav
Krav mod Visma DataLøn i anledning af mangler eller forsinkelser, som Kunden rettidigt har reklameret over, jf. punkt 7.4, skal altid fremsættes skriftligt og inden rimelig tid og senest 6 måneder efter reklamationsfristens udløb, jf. punkt 7.4.
7 Licens
7.1 Kundens brugsret
Visma DataLøn giver Xxxxxx en ikke-eksklusiv og ikke-overdragelig brugsret til i Aftalens løbetid at benytte DataLøn Tid, herunder materiale, som Visma DataLøn har leveret til Kunden i henhold til denne Aftale, erhvervsmæssigt på de betingelser, der er fastsat i Aftalen.
Brugsretten omfatter kun Kundens anvendelse af DataLøn Tid til Kundens egen brug. Kunden er berettiget til at benytte en administrator, der selv har anskaffet en brugsret fra Visma DataLøn til at anvende DataLøn Tid.
Kunden er ikke berettiget til at foretage reverse engineering, dekompilering eller demontering af softwaren udover, hvad der følger af gældende ufravigelig lovgivning.
8 Immaterielle rettigheder
Enhver know-how, ejendomsret og alle immaterielle rettigheder til Visma DataLøns vejledninger, hjemmesider og software, herunder, men ikke begrænset til, design, billeder, fotos, animationer, video, lyd, musik, tekst og “applets” inkorporeret i softwaren, den dertil hørende skriftlige dokumentation og alle kopier af softwaren ejes af Visma DataLøn eller dennes underleverandører.
Kunden er ikke berettiget til at kopiere den skriftlige dokumentation, som ledsager softwaren.
9 Tredjemands rettigheder
9.1 Krænkelse af tredjemands rettigheder
Så vidt det er Visma DataLøn bekendt, krænker DataLøn Tid ikke tredjemands rettigheder, herunder patenter eller ophavsrettigheder.
9.2 Sag mod Kunden
Hvis tredjemand over for Kunden fremsætter påstand om, at Visma DataLøn krænker tredjemands rettigheder,
I. skal Xxxxxx straks meddele dette skriftligt til Visma DataLøn og holde Visma DataLøn løbende orienteret om alle forhold relateret hertil, og
II. har Visma DataLøn for egen regning ret til at indtræde i sagen, hvorved Visma DataLøn kan foretage enhver handling på Kundens vegne i forhold til sagen, herunder
A. at forsvare eller forlige krav fremsat mod Kunden og
B. at engagere eksterne rådgivere, der kan handle på Kundens vegne.
Foreligger der krænkelse af tredjemands ret, skal Visma XxxxXxx for egen regning skaffe Xxxxxx retten til fortsat at benytte DataLøn Tid eller bringe krænkelsen til ophør ved at ændre eller erstatte Visma DataLøns ydelse, hvis det er praktisk muligt, og Visma DataLøns omkostninger i forbindelse hermed står i rimeligt forhold til
I. Kundens vederlag for DataLøn Tid eller
II. den del af Visma DataLøns ydelse, der skal ændres eller erstattes.
Visma DataLøn skal holde Kunden skadesløs for beløb, som Kunden i henhold til endelig domstolsafgørelse pålægges at betale til tredjemand som følge af krænkelsen. Visma DataLøns erstatningsansvar for tab er dog begrænset som beskrevet i punkt 6.
Hvis Visma DataLøn vælger ikke at indtræde i sagen, skal Visma DataLøn holde Kunden skadesløs for dennes egne udgifter til advokat og sagsomkostninger, som Xxxxxx måtte blive pålagt at betale til sagsøger. Visma DataLøns erstatningsansvar for tab er dog begrænset som beskrevet i punkt 6.
Bestemmelserne i punkt 10 gælder ikke for ydelser fra leverandører, jf. punkt 12.
10 Tavshedspligt
Visma DataLøn overholder de fortrolighedsbestemmelser, der gælder for behandling af person- oplysninger, jf. databehandleraftalen vedlagt som bilag 1.
Endvidere har Visma DataLøn og Visma DataLøns medarbejdere tavshedspligt med hensyn til enhver fortrolig oplysning om Kunden, forretningshemmeligheder, oplysninger om forretnings- forbindelser samt andre fortrolige forhold, som Visma DataLøn får kendskab til ved Aftalens opfyldelse.
Fortrolige oplysninger fra Kunden må kun anvendes og opbevares som led i Aftalens opfyldelse.
11 Brug af andre leverandører
11.1 Visma DataLøns underleverandører
Visma DataLøn kan anvende underleverandører. Visma DataLøn hæfter for sine under- leverandørers ydelser på samme måde som for sine egne forhold.
11.2 Kundens underleverandører
Kunden skal for egen regning indgå aftale med andre leverandører om levering og installation af programmel, kommunikationslinjer og/eller andet udstyr, som er nødvendige eller hensigts- mæssige for at bruge Visma DataLøns ydelse.
12 Ændringer
12.1 Ændring af DataLøn Tid og xxxxxxx.xx
Visma DataLøn er til enhver tid berettiget til uden varsel at foretage ændringer af DataLøn Tid, xxxxxxx.xx og Visma DataLøns dokumentation og vejledninger om DataLøn Tid, herunder som følge af opdatering, fornyelse og vedligeholdelse.
12.2 Ændring af nærværende Aftale
Visma DataLøn kan ændre nærværende vilkår for DataLøn Tid, herunder priser, med 1 måneds skriftligt varsel til den 1. i en måned. Dette gælder dog ikke, hvis myndighedskrav, sikkerheds- hensyn eller lignende forhold nødvendiggør et kortere varsel.
Visma DataLøn varsler Kunden om ændringer elektronisk, f.eks. via e-mail.
13 Opsigelse og ophævelse
13.1 Opsigelse
Kunden kan opsige Aftalen med 1 måneds skriftligt varsel til den 1. i en måned. Visma DataLøn kan opsige Aftalen med 3 måneders skriftligt varsel til den 1. i en måned.
13.2 Ophævelse
Aftalen kan ophæves helt eller delvist uden varsel af:
● Visma DataLøn, hvis Kunden væsentligt misligholder Aftalen, f.eks. (i) ved manglende rettidig betaling, (ii) ved krænkelse af Visma DataLøns immaterielle rettigheder, (iii) ved gentagne mindre misligholdelser af forpligtelser vedrørende DataLøn Tid, og (iv) hvis Kundens brug af DataLøn Tid er til skade for Visma DataLøn ellers dennes under- leverandører eller øvrige kunder.
● Xxxxxx, hvis Visma DataLøn væsentligt misligholder Aftalen, og Visma DataLøn efter modtagelse af et skriftligt påkrav om afhjælpning af manglen, jf. punkt 7.4, eller skriftligt påkrav om påbegyndelse af levering, jf. punkt 7.2, ikke inden rimelig tid har afhjulpet manglen, eller
● hver af parterne, hvis den anden part erklæres konkurs, tages under rekonstruktions- behandling eller lignende gældsordning, medmindre boet efter konkurslovens regler har ret til at indtræde i eller videreføre Aftalen og vælger at gøre dette.
14 Overdragelse
Ingen af parterne kan uden den anden parts skriftlige samtykke overdrage sine rettigheder og forpligtelser ifølge Xxxxxxx til tredjemand. Visma DataLøn har dog ret til at overdrage sine rettigheder og forpligtelser ifølge Aftalen til et andet selskab i Visma DataLøn-koncernen uden Kundens samtykke.
15 Forrang, lovvalg og værneting
I tilfælde af uoverensstemmelse har nærværende vilkår for DataLøn Tid forrang i forhold til xxxxxxx.xx og Visma DataLøns dokumentation og vejledninger om DataLøn Tid samt priser.
Aftalen er undergivet dansk ret. Eventuelle uoverensstemmelser mellem parterne, som ikke kan løses ved forhandling, kan indbringes for de ordinære domstole med Visma DataLøns hjemting som værneting.
Bilag 1 Databehandleraftale
Som en del af parternes Aftale, gælder følgende Databehandleraftale i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) mellem:
Visma DataLøn og ProLøn A/S CVR 48117716
Gærtorvet 1-5
1799 København V.
Danmark
herefter ”databehandleren” og
Kunden
herefter “den dataansvarlige”
der hver især er en ”part” og sammen udgør ”parterne”
1. Indhold
2. Præambel 10
3. Den dataansvarliges rettigheder og forpligtelser 11
4. Databehandleren handler efter instruks 11
5. Fortrolighed 11
6. Behandlingssikkerhed 11
7. Anvendelse af underdatabehandlere 12
7.1. Overførsel til tredjelande eller internationale organisationer 12
8. Bistand til den dataansvarlige 14
9. Underretning om brud på persondatasikkerheden 15
10. Sletning og returnering af oplysninger 15
11. Revision, herunder inspektion 15
12. Parternes aftale om andre forhold 16
13. Ikrafttræden og ophør 16
Underbilag A Oplysninger om behandlingen 17
Underbilag B Underdatabehandlere 19
Underbilag C Instruks vedrørende behandling af personoplysninger 21
-
Bilag D Sletning i DataLøn Tid 25
2. Præambel
1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).
3. I forbindelse med leveringen af den aftalte ydelse behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
5. Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige har godkendt brugen af.
8. Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke af omfattet af Bestemmelserne.
10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
11. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.
3. Den dataansvarliges rettigheder og forpligtelser
1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes1 nationale ret og disse Bestemmelser.
2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlings- grundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.
4. Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelses- bestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
5. Fortrolighed
1. Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktions- beføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lov- bestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
2. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”.
6. Behandlingssikkerhed
1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementerings- omkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
a. Pseudonymisering og kryptering af personoplysninger
b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for data- behandleren, som gør vedkommende i stand til at identificere og vurdere sådanne risici.
3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og mod fakturering al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Vilkår for den dataansvarliges kontrol med databehandleren er beskrevet i bilag C.
Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
7. Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelses- forordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden forudgående generel skriftlig godkendelse fra den dataansvarlige.
3. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 1 måneds varsel til den 1. i en måned og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e). Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B.
4. Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
6. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den dataansvarlige og databehandleren, herunder underdatabehandleren.
7.1. Overførsel til tredjelande eller internationale organisationer
1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
3. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser:
a. overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
b. overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
c. behandle personoplysningerne i et tredjeland
4. Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.
5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
8. Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger hos den registrerede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
c. indsigtsretten
d. retten til berigtigelse
e. retten til sletning (”retten til at blive glemt”)
f. retten til begrænsning af behandling
g. underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
2. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6.3, bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med:
a. den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest
72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
b. den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder
c. den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
d. den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Datatilsynet, inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
3. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning.
9. Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 24 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
3. Databehandleren skal bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
a. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
4. Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
10. Sletning og returnering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er data- behandleren forpligtet til at enten at slette eller tilbagelevere alle personoplysninger, der er blevet behandlet på vegne af den dataansvarlige, efter aftale, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
Databehandleren forpligter sig til alene at behandle personoplysningerne til de(t) formål, i den periode og under de betingelser, som disse regler foreskriver.
11. Revision, herunder inspektion
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmere angivet i Bilag C.7. og C.8.
3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
12. Parternes aftale om andre forhold
1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behandling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelses- forordningen.
13. Ikrafttræden og ophør
1. Bestemmelserne træder i kraft på datoen for parternes indgåelse af aftale om levering af tjenesterne.
2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.
3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.
Underbilag A Oplysninger om behandlingen
A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige
Databehandleren varetager via it-systemer håndteringen af den Dataansvarliges administration af medarbejderes arbejdstid, fravær, udlæg og materialeforbrug mv., opbevaring og lagring af Personoplysninger om den Dataansvarlige og den Dataansvarliges medarbejdere, rapportering og overførsel af information til den Dataansvarlige.
A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen)
Databehandleren varetager via it-systemer håndteringen af den Dataansvarliges administration, opbevaring og lagring af Personoplysninger om den Dataansvarlige og den Dataansvarliges medarbejdere samt kan håndtere rapportering og overførsel af information til den Dataansvarliges regnskabs- og lønsystem.
Herudover forestår Databehandleren drift, test, vedligeholdelse, udvikling samt fejlretning af systemer og applikationer.
Databehandleren anvender som udgangspunkt ikke personoplysninger i forbindelse med test. Personoplysninger kan dog indgå i en test eller fejlretning, hvis det er vanskeligt eller umuligt at konstruere testen eller fejlen uden at anvende et minimum af personoplysninger.
Databehandleren er
i dette tilfælde ikke forpligtet til særskilt at advisere den dataansvarlige.
Såfremt databehandleren anvender personoplysninger i test, er det en betingelse, at testmiljøet overholder mindst samme krav til databeskyttelse, som ved behandling af personoplysninger i øvrigt. Behandling vil til enhver tid ske i overensstemmelse med databehandlerens interne retningslinjer for testdata.
Databehandleren får derudover en ikke-eksklusiv, royaltyfri, evig og uigenkaldelig ret til i overensstemmelse med gældende lovgivning uigenkaldeligt at anonymisere og aggregere den dataansvarliges data og brug af Visma DataLøns produkter, og herefter anvende disse til at forbedre, optimere og udvikle databehandlerens eksisterende eller fremtidige moduler, produkter og funktioner.
Ved anonymisering af personoplysninger, skal databehandleren sikre, at ingen fysiske personer kan identificeres ud fra oplysningerne eller i kombination med andre oplysninger, og at oplysningerne ikke kan føres tilbage til en identificerbar eller identificeret fysisk person. Anonymiseringen skal være uigenkaldelig.
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
Typer af persondata som er underlagt behandling i henhold til aftalen:
Almindelige personoplysninger | Særlige kategorier af personoplysninger |
● Kontaktoplysninger, som navn, adresse, mail, telefon ● Arbejdssted ● Arbejdstid ● Fravær ● GPS-lokation ● Start- og sluttidspunkt for arbejdstid ● Kilometertal-, omkostnings-, dagpenge-, produkt- og tillægsregistreringer. | ● Ingen |
A.4. Behandlingen omfatter følgende kategorier af registrerede
Kategorier af registrerede som indgår i behandlingen:
● Den dataansvarliges (Kundens) slutbrugere
● Den dataansvarliges (Kundens) medarbejdere
● Den dataansvarliges (Kundens) kontaktpersoner
A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed Denne aftale er gældende, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige i overensstemmelse med leveringsaftalen (Aftalen) .
Underbilag B Underdatabehandlere
B.1. Godkendte underdatabehandlere
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere:
Navn og adresse | Hostingland | Overførselsmekanisme , hvis underdatabehandler har adgang til personoplysninger fra lande uden for EU/EØS | Bistår Databehandleren med |
Intempus ApS Xxxxxxxxx Xxxxx 0, 0000 Xxxxxxxxx V CVR-nr 34696977 | Danmark | Ikke relevant | Udvikling og drift af DataLøn Tid |
AWS (Amazon Web Services) LU19647148 | Luxembourg | Ikke relevant | Hosting |
DigitalOcean Frankfurt Tyskland Nr. EU528002224 | Tyskland | Ikke relevant | Hosting |
Hetzner Online GMBH Gunzenhausen Tyskland Nr. DE812871812 | Tyskland | Ikke relevant | Hosting |
Google Ireland Limited LU19647148 | Luxembourg | Ikke relevant | Hosting |
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uden den dataansvarliges skriftlige godkendelse – gøre brug af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.
B.2. Varsel for godkendelse af underdatabehandlere
Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
En sådan underretning skal ske med 1 måneds varsel til den 1. i en måned.
Såfremt den dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give meddelelse herom til databehandleren. Den dataansvarlige kan alene gøre indsigelse, såfremt den dataansvarlige har rimelige, konkrete årsager hertil.
Indsigelse mod tilføjelse eller erstatning af underdatabehandlere har ikke opsættende virkning for gennemførelsen heraf. Hvis den dataansvarlige har indsigelser, er såvel den dataansvarlige og databehandleren berettiget til skriftligt at opsige Aftalen med virkning fra tidspunktet for ibrugtagning af nye underdatabehandlere, således at ændringen ikke vil træde i kraft overfor den dataansvarlige.
Underbilag C Instruks vedrørende behandling af personoplysninger
C.1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører behandlingsaktiviteterne som er beskrevet i bilag A.
C.2. Behandlingssikkerhed
Behandlingen involverer personoplysninger, og Databehandleren implementerer alle nødvendige foranstaltninger i forhold til GDPR artikel 32, idet at når der tages hensyn til det faktiske niveau, implementeringsomkostningerne og karakteren af den pågældende behandling, omfang, kontekst og formål samt risici for forskellige muligheder og alvor af fysiske personers rettigheder og frihedsrettigheder, skal der gennemføres et nødvendigt sikkerhedsniveau.
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om de tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og aftalte) niveau af datasikkerhed.
Databehandleren skal dog – under alle omstændigheder og som minimum – dokumentere overholdelse af ISAE 3000-rammen eller lignende rammer, herunder implementere følgende foranstaltninger:
● Informationssikkerhedspolitik; herunder overordnede retningslinjer og krav til informationssikkerhed samt organisering af informationssikkerhed såsom oplysninger om virksomhedens informationssikkerhedsansvarlige
● Medarbejdersikkerhed; herunder baggrundstjek, gennemgang af straffeattest samt fortrolighedserklæringer/-erklæringer
● Adgangskontrol/styring; herunder begrænsning af adgang til data kun til dem, der har et arbejdsrelateret behov, så forpligtelser i henhold til Aftalen kan opfyldes
● Kryptografi; Herunder kryptering af data i overførsel
● Fysisk beskyttelse og miljøbeskyttelse; Herunder beskyttelse af fysiske adgangspunkter til databehandlerens lokationer
● Driftssikkerhed; herunder implementerede processer til håndtering af udviklings- og forandringsstyring, backup, logning samt overvågning af og beskyttelse mod tekniske sårbarheder
● Kommunikationssikkerhed; Herunder beskyttelse og opdeling af netværk samt etablerede sikre kommunikationsformer
● Anskaffelse, udvikling og vedligeholdelse af systemer; Herunder proces for sikker udvikling
● Underdatabehandlere; Herunder proces til sikring af, at underdatabehandlere lever op til de samme forpligtelser som beskrevet i denne databehandleraftale samt proces for løbende opfølgninger
● Håndtering af brud på informationssikkerheden; Inklusive ”incident response ”-proces, samt proces Side 16 af 17 for underretning af den dataansvarlige
● Informationssikkerhedsaspekter med nød-, alarm- og genetableringsstyring; Herunder implementeret Business Continuity Management Proces
Hvis den dataansvarlige anmoder om data vedrørende sikkerhedsforanstaltninger, dokumentation eller andre former for data vedrørende, hvordan databehandleren behandler personoplysninger, og sådanne data overstiger de standarddata, som den dataansvarlige har afgivet til opfyldelse af gældende lovgivning om behandling af personoplysninger som databehandler, og dette medfører ekstra arbejde for databehandleren, er databehandleren berettiget til at kræve betaling af den dataansvarlige for dette ekstra arbejde.
C.3. Bistand til den dataansvarlige
Databehandleren skal så vidt muligt bistå den dataansvarlige i overensstemmelse med Bestemmelse 9.1 og 9.2 herunder bistå den dataansvarlige med følgende oplysninger i tilfælde af brud på informationssikkerheden:
● Beskrivelse af hændelsesforløb
● Identifikation af de registrerede som er berørt af hændelsen
● Typer af persondata som omfattet af hændelsen
Databehandleren besvarer ikke direkte henvendelser fra Registrerede, medmindre der foreligger samtykke fra den Dataansvarlige. Databehandleren videregiver ikke Personoplysninger til offentlige myndigheder, såsom politiet, medmindre der foreligger lovligt grundlag.
C.4. Opbevaringsperiode/sletterutine
Personoplysninger opbevares så længe der er et samarbejde mellem Databehandler og den dataansvarlige. Ved aftaleophør slettes alle den dataansvarliges personoplysninger hos databehandleren efter 90 dage, medmindre andet er aftalt.
Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal databehandleren enten slette eller tilbagelevere personoplysningerne i overensstemmelse med bestemmelse 11.1, medmindre den dataansvarlige – efter underskriften af disse bestemmelser – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til bestemmelserne.
C.5. Lokalitet for behandling
Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende:
Visma DataLøn og ProLøn A/S Gærtorvet 1-5,
DK-1799 København V
samt på lokationer for anvendte underdatabehandlere som angivet i Bilag B.
I tilfælde af distancearbejde kan behandling af persondata kun finde sted ved opkobling via VPN (Virtual Private Network).
C.6. Instruks vedrørende overførsel af personoplysninger til tredjelande
Den dataansvarlige giver instruks til, at personoplysninger behandles af de underdata- behandlere, der er nævnt i bilag B, samt på de pågældende lokationer heri.
Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsel af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.
C.7. Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren
Databehandleren indhenter årligt en revisionserklæring fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelses- bestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Der er enighed mellem parterne om, at følgende typer af revisionserklæring kan anvendes i overensstemmelse med disse Bestemmelser:
● ISAE 3000 GDPR-erklæring
Revisionserklæringen kan efter aftalte vilkår fremsendes til den dataansvarlige til orientering.
Baseret på resultaterne af erklæringen, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlems- staternes nationale ret og disse Bestemmelser. Parterne skal blive enige om eventuelle yderligere foranstaltninger. Databehandleren er berettiget til at opsige Aftalen mellem Parterne, hvis en aftale ikke kan opnås. Den dataansvarlige afholder alle udgifter i forbindelse med yderligere kontrol, herunder betaling for databehandlerens tidsforbrug.
For at anmode om at foretage en kontrol skal den dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til databehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen.
Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra data- behandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan kun gennemføres, efter aftale mellem parterne.
Hvis behandling sker i et “multitenant” miljø eller lignende, giver den dataansvarlige data behandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter databehandlers valg.
Den dataansvarlige afholder alle omkostninger forbundet med sådanne inspektioner.
I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i medfør af databehandlers politikker og må ikke på urimelig måde gribe forstyrrende ind i databehandlers forretningsdrift.
Et eventuelt særskilt vederlag til databehandleren i henhold til det ovenstående beregnes på grundlag af det tidsforbrug, databehandleren anvender på fremskaffelsen af informationen, samt databehandlerens almindeligt gældende timesatser, og databehandleren har derudover krav på, at den dataansvarlige dækker eventuelle eksterne omkostninger afholdt af databehandleren til fremskaffelse af informationen, herunder omkostninger afholdt til eventuelt fornøden bistand fra underdatabehandlere.
C.8. Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til underdatabehandlere
Databehandleren indhenter på baggrund af risikovurderinger årligt dokumentation for relvante underdatabehandleres overholdelse af databeskyttelsesforordningen, databeskyttelses- bestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Der er enighed mellem parterne om at proces for, gennemførelse og tilstrækkelighed heraf dokumenteres via den dataansvarliges revision af databehandleren jf. C.7.
Hvis ydeligere information vedrørende underdatabehandleres overholdes af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser skal leveres til den dataansvarlige, vil databehandleren, for den dataansvarliges regning, indhente den, efter aftale, fornødne og tilgængelige dokumentation hos underdatabehandlere.