Databehandleraftale
Databehandleraftale
Det Nordjyske Mediehus behandler personoplysninger på vegne af Annoncøren, hvorfor følgende databehandleraftale er gældende ved indsamling af personoplysninger på leads til opsætning af en uforpligtet salgsvurdering.
1. Præambel
1. Disse Bestemmelser fastsætter Databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den Dataansvarlige.
2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).
3. I forbindelse med lead generering for den dataansvarlige behandler Databehandleren personoplysninger på vegne af den Dataansvarlige i overensstemmelse med disse Bestemmelser.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
5. Der hører to bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den Dataansvarliges betingelser for Databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den Dataansvarlige har godkendt brugen af.
2. Parterne
Denne databehandleraftale (herefter Aftalen) om Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er indgået mellem:
Det Nordjyske Mediehus A/S CVR 18096641
Østre Havnegade 63-65
9220 Aalborg Ø Danmark (Databehandleren)
Og
Samarbejdspartneren / mægleren (Dataansvarlige)
3. Den Dataansvarliges rettigheder og forpligtelser
1. Den Dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se bl.a. forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
2. Den Dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som Databehandleren instrueres i at foretage.
3. Den Dataansvarlige er ansvarlig for at iagttage oplysningspligten samt de registreredes rettigheder overfor alle leads, som Databehandleren indsamler oplysninger om.
4. Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. Denne instruks er nærmere beskrevet i bilag A.
2. Databehandleren skal behandle personoplysningerne i overensstemmelse med den til enhver tid gældende lovgivning.
3. Databehandleren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af den Dataansvarliges instruks.
4. Efterfølgende instruks kan også gives af den Dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.
5. Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
5. Fortrolighed
1. Databehandleren må kun give adgang til personoplysninger, som behandles på den Dataansvarliges vegne, til personer, som er underlagt Databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang.
2. Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de pågældende personer, som er underlagt Databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
6. Behandlingssikkerhed
1. Den Dataansvarlige og Databehandleren er forpligtet til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Dette gøres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, jf. databeskyttelsesforordningen artikel 32.
2. Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende tekniske og organisatoriske foranstaltninger, som er aftalt med den Dataansvarlige:
Tekniske sikkerhedsforanstaltninger
- Adgangskontrol: Databehandleren skal sørge for, at adgang til personoplysningerne kun er tilladt for autoriserede personer.
- Kryptering: Databehandleren skal sørge for, at alle personoplysninger er krypteret under overførsel og opbevaring, så uautoriserede personer ikke kan læse eller manipulere dataene.
- Backup og gendannelse: Databehandleren skal tage regelmæssige sikkerhedskopier af personoplysninger og have en plan for hurtig gendannelse i tilfælde af datatab eller nedbrud.
- Opdatering og patching: Databehandleren skal sørge for, at alle software- og hardwarekomponenter, der anvendes til behandling af personoplysninger, er opdateret og patchet regelmæssigt for at minimere risikoen for sårbarheder.
Organisatoriske sikkerhedsforanstaltninger
- Fysisk adgangskontrol: Herunder sørger Databehandleren for, at det hardware, hvorpå dataene er tilgængelig, er sikret.
- Databehandleren har en politik for behandling af personoplysninger.
- Træning af medarbejdere og løbende awareness: Databehandleren sørger for løbende træning af medarbejdere.
7. Bistand til den Dataansvarlige
Databehandleren skal bistå den Dataansvarlige med opfyldelse af dennes forpligtelser i forbindelse med:
1. Besvarelse af anmodninger fra registrerede ved udøvelse af disses rettigheder. Hvis mere end blot henvisning til den Dataansvarlige vil Databehandleren være berettiget til at fakturere Dataansvarlig for den tid, der måtte være brugt.
2. Sikkerhedsbrud.
3. Foretagelse af konsekvensanalyser.
4. Forudgående høringer fra tilsynsmyndigheder.
5. At kunne dokumentere overholdelse af gældende persondatalovgivning.
Databehandleren forpligter sig til at orientere den Dataansvarlige om enhver anmodning modtaget direkte fra en registrerede ved udøvelse af dennes rettigheder.
Hvis der er behov for at opfylde skærpede sikkerhedskrav, skal Databehandleren implementere sådanne skærpede sikkerhedskrav mod en rimelig betaling fra den Dataansvarlige.
8. Anvendelse af underdatabehandler
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
2. Databehandleren har den Dataansvarlige s generelle godkendelse til brug af underdatabehandlere. Databehandleren skal indgive anmodning om en specifik godkendelse mindst inden anvendelsen af den pågældende underdatabehandler. Listen over underdatabehandlere, som den Dataansvarlige allerede har godkendt, fremgår af bilag B.
3. Når Databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den Dataansvarlige , skal Databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder Databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
4. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den Dataansvarlige s anmodning herom – i kopi til den Dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke
sendes til den Dataansvarlige.
5. Databehandleren skal i sin aftale med underdatabehandleren indføje den Dataansvarlige som begunstiget tredjemand i tilfælde af Databehandlerens konkurs, således, at den Dataansvarlige kan indtræde i Databehandlerens rettigheder og gøre dem gældende over for underdatabehandlere, som f.eks. gør den Dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
6. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den Dataansvarlige og Databehandleren, herunder underdatabehandleren.
9. Overførsel til tredjelande eller internationale organisationer
1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af Databehandleren på baggrund af dokumenteret instruks herom fra den Dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som Databehandleren ikke er blevet instrueret i at foretage af den Dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt, skal Databehandleren underrette den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
3. Uden dokumenteret instruks fra den Dataansvarlige kan Databehandleren således ikke inden for rammerne af disse Bestemmelser:
a. overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
b. overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
c. behandle personoplysningerne i et tredjeland
4. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
10. Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 36 timer efter, at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
11. Sletning og returnering af oplysninger
1. Ved ophør af behandling af personoplysninger, er Databehandleren forpligtet til at slette alle personoplysninger, der er blevet behandlet på vegne af den Dataansvarlige og bekræfte over for den dataansvarlig, at oplysningerne er slettet, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
12. Revision, herunder inspektion
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
2. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den Dataansvarliges eller Databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation.
13. Ikrafttræden og ophør
1. Bestemmelserne træder i kraft ved når der er indgået aftale om samarbejde, og faktura er betalt.
2. Bestemmelserne er gældende, så længe Samarbejdet varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer behandling af personoplysninger, aftales mellem den Dataansvarlige og Databehandleren.
3. Hvis behandling af personoplysninger ophører, og personoplysningerne er slettet i overensstemmelse med Bestemmelse 11.1, kan Bestemmelserne opsiges med skriftligt varsel af både den Dataansvarlige og Databehandleren sammen eller hver for sig.
14. Kontaktoplysninger
Ved spørgsmål til databehandleraftalen eller henvendelser vedrørende behandling af personoplysninger kan Det Nordjyske Mediehus kontaktes på e-mail: xxxxxxxxxx@xxxx.xx.
Bilag A - Oplysninger om behandlingen
A.1. Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige
Denne databehandler aftale er indgået mellem parterne med henblik på et samarbejde om at indsamle navn og kontaktoplysninger på leads til en uforpligtet salgsvurdering.
A.2. Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige drejer sig primært om (karakteren af behandlingen)
Indsamling og efterfølgende videregivelse af personoplysninger via databehandlerens platform: XxxxXxx.xx.
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
Almindelige personoplysninger herunder:
• Navn
• E-mailadresse
• Mobilnummer
• Lokalområde / Adresse
A.4. Behandlingen omfatter følgende kategorier af registrerede
Kategorierne af de registrerede personer, som personoplysningerne vedrører personer, der samtykker til at modtage en uforpligtet salgsvurdering af den dataansvarlige.
A.5. Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed
Så længe samarbejdet mellem Databehandleren og den Dataansvarlige består. Personoplysninger slettes af Databehandleren når samarbejdet ophører.
Bilag B Underdatabehandlere
B.1. Godkendte underdatabehandlere
Ved Bestemmelsernes ikrafttræden har den Dataansvarlige godkendt brugen af følgende underdatabehandlere:
NAVN | CVR | ADRESSE | BESKRIVELSE AF BEHANDLING |
Ved Bestemmelsernes ikrafttræden har den Dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uden den Dataansvarliges skriftlige godkendelse – gøre brug af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.
Bilag C Instruks vedrørende behandling af personoplysninger
C.1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
Indsamler kontaktoplysninger på leads, der skriver sig op til en uforpligtet salgsvurdering via link på Xxxxxxx.xx.
C.2. Behandlingssikkerhed
Databehandleren er berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau.
Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige:
• Databehandleren tilsikrer at al kommunikation på offentlige netværk er krypteret.
• Databehandleren har et krav til løbende evaluering af alle interne processer med fokus på sikring af kvalitet og effektivitet.
• Der er etableret adgangskontrol på Databehandlerens hovedkontor, og der er etableret alarm, som er aktiveret uden for kontorets åbningstid.
• Det er ikke tilladt for medarbejderne at medbringe personoplysninger på papir eller anden form for tryk på hjemmekontor.
• Alle medarbejdere er underlagt tavshedspligt og læser og holder sig opdateret omkring Databehandlerens it-sikkerhedspolitik og personalehåndbog.
• Databehandleren sikrer, at alle systemer med personoplysninger skal tilbyde passende log funktion, og adgang eller forsøg på adgang til systemet registreres.
C.3 Bistand til den dataansvarlige
Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med punkt 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:
• Fortegnelse over informationsaktiver
• Hændelseslog (herunder brud på persondatasikkerheden)
• Dokumentation af processer, systemer, behandlinger m.v.
C.4 Opbevaringsperiode/sletterutine
Ved ophør af samarbejde vedr. behandling af personoplysninger, skal databehandleren enten slette eller tilbagelevere personoplysningerne i overensstemmelse med punkt 11.1, medmindre den dataansvarlige – efter underskriften af denne databehandleraftale – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til denne databehandleraftale.
C.5 Lokalitet for behandling
Behandling af de omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende:
- Xxxxx Xxxxxxxxx 00-00, 0000, Xxxxxxx, Xxxxxxx
C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande
Hvis den dataansvarlige ikke i denne databehandleraftale eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af denne databehandleraftale at foretage sådanne overførsler.