Standard databehandlingsvilkår For ProLøn A/S

Standard databehandlingsvilkår For ProLøn A/S

Aftalte betingelser for databehandling

Kunden som tiltræder disse vilkår og ProLøn A/S, CVR- nr. 26038642 (ProLøn) har indgået aftale om Kundens adgang til og brug af ProLøn lønsystem (Abonnementsaftalen). ProLøn lønsystem er en standard it-service udbudt af ProLøn som en cloudtjeneste til brug for gennemførelse af lønudbetaling.

Kunden tiltræder disse databehandlingsvilkår som del af Abonnementsaftalen med ProLøn.

ProLøn vil i henhold til Databeskyttelsesforordningens definitioner være databehandler for Kunden under Abonnementsaftalen, ved udførelse af de aftalte opgaver. ProLøn opbevarer og behandler personoplysninger som led i, at ProLøn lønsystem gøres tilgængelig for Kunden, og Abonnementsaftalen kan inkludere, at ProLøn også foretager øvrige behandlinger, eksempelvis indtastninger mv. Parterne anerkender, at Databeskyttelsesforordningen og Databeskyttelsesloven finder anvendelse for ProLøns behandling af personoplysninger på vegne af Kunden.

Databehandlingsvilkårene er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af

27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen).

Databehandlingsvilkårene har virkning fra det tidspunkt Kunden accepterer dem og Databehandlingsvilkårene erstatter fra dette tidspunkt enhver tidligere databehandleraftale indgået mellem parterne i relation til de aftalte behandlingsaktiviteter under Abonnementsaftalen. Kundens påbegyndelse af eller fortsættelse af brugen af ProLøn lønsystem anses herunder for Kundens udtrykkelige accept af databehandlingsvilkårene.

Databehandlingsvilkårene supplerer herudover Abonnementsaftalen og har forrang for deri konfliktende vilkår.

Databehandleraftale

Databehandlingsvilkårene udgør parternes databehandleraftale for de af Kunden overladte behandlinger af personoplysninger, og som ProLøn har

påtaget sig som led i levering af cloudtjenesten ProLøn lønsystem og eventuelle supplerende ydelser.

Databehandlingsvilkårene fastsætter de rettigheder og forpligtelser, som finder anvendelse, når ProLøn foretager behandling af personoplysninger på vegne af Kunden, og Databehandlingsvilkårene angiver de overordnede sikkerhedsforanstaltninger, som ProLøn iagttager.

For de behandlingsaktiviteter, der er overladt til ProLøn at udføre for Kunden, er ProLøn databehandler i overensstemmelse med de gældende databeskyttelsesregler, mens Kunden enten er dataansvarlig eller databehandler i overensstemmelse med de gældende databeskyttelsesregler. Parterne skal hver især overholde de forpligtelser, som de gældende databeskyttelsesregler fastsætter og Databehandlingsvilkårene frigør dermed ikke hverken ProLøn eller Kunden for sådanne forpligtelser.

Varighed

Databehandlingsvilkårene er gældende, fra de får virkning, og indtil ProLøn har slettet Kundens data i overensstemmelse med reguleringen i Databehandlingsvilkårene. Databehandlingsvilkårene og Abonnementsaftalen er indbyrdes afhængige, og Databehandlingsvilkårene kan derfor ikke opsiges særskilt.

ProLøns særlige garantier

ProLøn garanterer overfor Kunden, at ProLøn besidder tilstrækkelig ekspertise, pålidelighed og ressourcer til at gennemføre fornødne foranstaltninger for at overholde Databeskyttelsesforordningen for så vidt angår de behandlingsaktiviteter, ProLøn skal gennemføre for Kunden efter Abonnementsaftalen.

Kundens særlige ansvar

Kunden er ansvarlig for at overholde den til enhver tid gældende persondatalovgivning i forhold til de personoplysninger, som overlades til ProLøns behandling. Kunden er herunder overfor ProLøn navnlig ansvarlig for og indestår for, at:

- Kunden har fornøden hjemmel til at behandle og til at overlade det til ProLøn at behandle de personoplysninger, der indlæses eller indtastes i ProLøn lønsystem. I de tilfælde hvor Kunden er databehandler for de personoplysninger, som overlades til ProLøns behandling, garanterer Kunden

overfor ProLøn, at Kundens instrukser, sådan som de kommer til udtryk gennem disse Databehandlingsvilkår og Abonnementsaftalen samt anvendelsen af ProLøn og dennes underdatabehandlere som anden databehandler, er autoriseret af den dataansvarlige.

- Den afgivne instruks, i henhold til hvilken ProLøn skal behandle personoplysninger på vegne af Xxxxxx, er lovlig.

Kunden er herudover ansvarlig for at have gennemført fornødne sikkerhedsvurderinger i forhold til Kundens brug af ProLøn lønsystem som en cloudtjeneste. Kunden er overfor ProLøn ansvarlig for, at Kunden under hensyntagen til det aktuelle tekniske niveau i ProLøn lønsystem og hos ProLøn i øvrigt i forhold til de beskrevne foranstaltninger i Databehandlervilkårene, implementeringsomkostningerne og de overladte behandlingers karakter, omfang, sammenhæng og formål samt risiciene for fysiske personers rettigheder og frihedsrettigheder har vurderet, at de af ProLøn gennemførte sikkerhedsforanstaltninger er passende, og at de sikrer et sikkerhedsniveau, der passer til de identificerede risici for de registrerede personer, som de overladte oplysninger vedrører.

Behandlingernes karakter og formål

De aftalte behandlingers karakter er fastsat af parterne til gennemførelse af IT services fra ProLøn til Kunden

Det kan herudover være aftalt mellem parterne, at karakteren af behandlingerne også omfatter levering af tjenesteydelser, som medfører behandling af Kundens oplysninger.

ProLøn vil dermed behandle de overladte oplysninger med det aftalte formål at levere servicen ProLøn lønsystem til Kunden, herunder at facilitere den aftalte funktionalitet som fastlagt i Abonnementsaftalen og produktbeskrivelser af ProLøn lønsystem og tilknyttede tjenesteydelser.

Typen af oplysninger

De overladte behandlinger omfatter de typer af oplysninger, som Kunden indtaster i ProLøn lønsystem. Servicen er designet til, at der kan indtastes identifikationsoplysninger, navne, adresser, lønforhold, cpr-nr. og sådanne øvrige oplysninger, som er nødvendige for at kunne gennemføre lønudbetaling .

Kategorier af registrerede

Kategorierne af registrerede personer, som ProLøn overlades at behandle oplysninger om, omfatter de kategorier, som Kunden lader omfatte af brugen af ProLøn

lønsystem. Servicen er designet til, at der kan indtastes oplysninger om navnlig Kundens medarbejdere og sådanne øvrige, som får løn eller anden godtgørelse eller honorar.

Omfang af behandlingsaktiviteter

ProLøn må alene udføre behandling af Kundens personoplysninger i overensstemmelse med Xxxxxxx instrukser, som er dokumenteret gennem en skriftlig aftale, og som ProLøn har accepteret.

Ved Kundens accept af Databehandlervilkårene, instruerer Kunden ProLøn til at foretage behandling af Kundens personoplysninger til levering af ProLøn lønsystem som en cloudtjeneste og de øvrige tjenesteydelser, der måtte være aftalt på vilkår som angivet i Abonnementsaftalen og disse Databehandlervilkår.

Kunden kan herudover anmode ProLøn om at modtage yderligere skriftlige instrukser for behandling af personoplysninger for Kunden, idet ProLøn frit kan vælge at acceptere eller afslå sådanne yderligere instrukser. ProLøn accepterer dog altid en instruks om at ophøre med at foretage videre behandling, hvilket medfører at ProLøn sletter Kundens data, som angivet under punktet Udlevering og sletning af Kundens data nedenfor.

ProLøn vil efterkomme Xxxxxxx instrukser, som ProLøn har godkendt, medmindre sådan behandling vil være i strid med den gældende databeskyttelseslovgivning, som ProLøn er underlagt. I så fald underretter ProLøn Kunden herom.

ProLøn er dog uanset Kundens instrukser – herunder også om sletning - forpligtet til at foretage behandlinger af Kundens personoplysninger, hvis dette følger af en retlig forpligtelse, som ProLøn er underlagt. Kunden underrettes i så fald herom, inden behandlingen gennemføres, med mindre sådan underretning er ulovlig.

Kunden fastlægger dermed formål og omfang af de til ProLøn overladte behandlingsaktiviteter.

Varighed af behandlingsaktiviteter

ProLøn foretager behandling af Kundens personoplysninger så længe ProLøn er forpligtet under Abonnementsaftalen til at udføre behandlinger – typisk så længe Abonnementsaftalen er i kraft, og i en periode derefter svarende til to år efter udløb af det indeværende år, hvor Abonnementsaftalen ophører. Herefter sletter ProLøn Kundens data. Kunden kan dog i overensstemmelse med punktet Udlevering og sletning af Kundens data instruere ProLøn om at slette dataene på et tidligere tidspunkt.

Sikkerhedsforanstaltninger

ProLøn iværksætter alle foranstaltninger, som kræves i henhold til Databeskyttelsesforordningen artikel 32. ProLøn gennemfører herunder passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de overladte personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.

ProLøn har ved fastlæggelsen af sikkerhedsforanstaltninger anvendt standarderne ISO 27001 og ISO 27002. ProLøn kan løbende ændre i gennemførte sikkerhedsforanstaltninger, idet ændringer i sikkerhedsforanstaltninger dog aldrig må føre til en forringelse af sikkerhedsniveauet.

Rapportering af sikkerhedsbrud

Hvis ProLøn bliver opmærksom på, at der er sket brud på persondatasikkerheden i forhold til de personoplysninger, Xxxxxx har overladt til ProLøn at behandle, skal ProLøn underrette Kunden om bruddet på persondatasikkerheden uden unødig forsinkelse, efter at ProLøn er blevet bekendt med, at der er sket et sådant brud.

ProLøn skal uden unødig forsinkelse efter at være blevet bekendt med, at der er sket et brud på persondatasikkerheden, tage rimelige og proportionelle skridt for at begrænse skaden ved bruddet.

I forlængelse af underretningen til Kunden skal ProLøn give en beskrivelse af omstændighederne ved bruddet, bruddets karakter, hvilke skridt ProLøn har taget eller påtænker at tage for at begrænse skaden ved bruddet, og hvilke forhold ProLøn mener, Xxxxxx skal være særlig opmærksom på i forbindelse med bruddet, med henblik på at Kunden kan opfylde sine forpligtelser ved sikkerhedsbrud indenfor Databeskyttelsesforordningens opsatte tidsfrister.

Underretning kan fremsendes på e-mail til den af Kunden angivne kontaktadresse i ProLøn lønsystem.

ProLøns meddelelse om brud på persondatasikkerheden udgør ikke en anerkendelse af skyld eller ansvar i forhold til et indtruffet brud på persondatasikkerheden.

ProLøn bistår herudover på anmodning Kunden med at sikre overholdelse af Xxxxxxx forpligtelser i medfør af Databeskyttelsesforordningens artikel 33 og artikel 34 under hensyntagen til den overladte behandlings karakter og de oplysninger, der er tilgængelige for ProLøn i forhold til et brud på persondatasikkerheden, som indtræffer hos ProLøn.

Brug af underdatabehandlere

Kunden giver ved sin accept af disse Databehandlervilkår sin generelle godkendelse til, at ProLøn må gøre brug af andre databehandlere (underdatabehandler). Information om anvendte underdatabehandlere, inklusive deres funktion, og i hvilket land underdatabehandleren er etableret, er tilgængelig på ProLøns hjemmeside i menuen ”Persondata”, som findes under ”Om ProLøn”.

ProLøn sikrer ved antagelse af en underdatabehandler, at der indgås en skriftlig aftale med underdatabehandleren, hvorigennem det sikres at

a. der stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelsesforordningen.

b. underdatabehandleren pålægges de samme databeskyttelsesforpligtelser som dem, der er fastsat i disse Databeskyttelsesvilkår, hvilket vil sige at kravene i Databeskyttelsesforordningen art. 28(3) skal efterleves samt at

c. underdatabehandleren alene behandler Kundens persondata i den udstrækning, det er påkrævet for at opfylde de leveranceforpligtelser, underdatabehandleren har påtaget sig overfor ProLøn, samt at behandlingen sker i overensstemmelse med de aftalte instrukser.

Opfylder en underdatabehandler ikke sine databeskyttelsesforpligtelser, forbliver ProLøn fuldt ansvarlig over for Kunden for opfyldelsen af underdatabehandlerens databeskyttelsesforpligtelser.

ProLøn kan løbende opdatere listen over anvendte underdatabehandlere. Opdatering vil ske forinden eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af en underdatabehandler gennemføres. Har Kunden indsigelser mod planlagte ændringer vedrørende tilføjelse eller erstatning af en underdatabehandler, kan Kunden opsige sin Aftale med ProLøn med virkning enten øjeblikkelig eller fra udløb af den på opsigelsestidspunktet igangværende kalender måned. Det er en forudsætning for opsigelse efter dette punkt, at opsigelsen afgives overfor ProLøn inden for 30 dage, efter ProLøn har opdateret listen over anvendte og planlagt anvendte underdatabehandlere. Opsigelse af Aftalen er Kundens eneste beføjelser overfor ProLøn i denne situation.

Overførsler af data

ProLøn opbevarer Kundens data indenfor EU, og der overføres derfor ikke personoplysninger til tredjelande.

ProLøn kan dog som en undtagelse overføre Kundens data, inklusive personoplysninger, til et tredjeland eller en international organisation, når det kræves i henhold til EU- ret eller medlemsstaternes nationale ret, som ProLøn er underlagt; i så fald underrettes Kunden om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

Kundens egen tilgang til personoplysninger opbevaret hos ProLøn og udstillet gennem ProLøn lønsystem fra en lokation, som medfører at der sker en overførsel af personoplysninger til et tredjeland, anses som Kundens egen overførsel, og er dermed ikke omfattet af ProLøns ansvar eller forpligtelser.

Bistand til Kunden

ProLøn forpligter sig til efter Xxxxxxx skriftlige anmodning herom, at yde Xxxxxx følgende bistand:

ProLøn bistår, under hensyntagen til de overladte behandlingers karakter, så vidt muligt Xxxxxx ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af Kundens forpligtelse til at besvare anmodninger om udøvelsen af registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel 3. Modtager ProLøn en anmodning direkte fra en registreret eller potentielt registreret om udøvelse af dennes rettigheder, formidler ProLøn straks henvendelsen videre til Kunden, som herefter afgør, om ProLøns assistance skal rekvireres.

ProLøn bistår også Kunden med at sikre overholdelse af Kundens forpligtelser i medfør af Databeskyttelsesforordningens artikel 32-36 under hensyntagen til de til ProLøn overladte behandlingers karakter og de oplysninger, der er tilgængelige for ProLøn.

ProLøn er berettiget til et særskilt vederlag for den bistand, der ydes til opfyldelse af Kundens anmodninger under dette punkt Bistand til Kunden. Vederlaget beregnes på grundlag af det tidsforbrug ProLøn har anvendt samt ProLøns almindelige timesats for sådant arbejde.

For så vidt angår bistand til opfyldelse af Xxxxxxx forpligtelser efter Databeskyttelsesforordningen art. 33- 34 har ProLøn dog ikke krav på vederlag for opfyldelse af de forpligtelser, ProLøn har efter punktet Rapportering af sikkerhedsbrud.

Udlevering og sletning af Kundens data

Efter Xxxxxxx valg sletter eller tilbageleverer ProLøn alle personoplysninger til Kunden, efter at tjenesterne

vedrørende behandling er ophørt, og ProLøn sletter eksisterende kopier, medmindre ProLøn er underlagt en retlig forpligtelse, som foreskriver at ProLøn skal foretage opbevaring af personoplysningerne.

ProLøns gennemførelse af Kundens instruks om at slette eller udlevere Kundens oplysninger sker i overensstemmelse med Databeskyttelsesforordningens regulering og så hurtigt, som det er praktisk muligt. Hvor Xxxxxx ikke giver anden instruks om sletning, opbevares Kundens data i ProLøn arkiv indtil to år efter udløb af året, hvor Abonnementsaftalen ophører.

Kunden accepterer som del af instruksen herudover, at kundens data indgår i en backup procedure med daglig backup, 14-dages backup, månedlig backup samt årlig backup, hvorfra data slettes, når backuppen i overensstemmelse med ProLøns backupprocedure destrueres.

Ansvar og ansvarsbegrænsning

For erstatning og anden kompensation, som skal betales til registrerede, som følge af overtrædelse af Databeskyttelsesforordningen, finder Databeskyttelses- forordningen artikel 82 og supplerende regler i Databeskyttelsesloven anvendelse, og parterne er dermed inter partes hver i sær ansvarlig for at udrede den del sådanne beløb, som svarer til deres del af ansvaret for skaden. Om nødvendigt fastsættes ansvarsfordelingen gennem domstolsprøvelse.

For bøder og anden straf der pålægges som følge af en ulovlig behandling af personoplysninger, som ProLøn foretager for Kunden, fastlægges den endelige interne fordeling af sådanne bøder efter samme principper uanset hvem en bøde i første omgang er pålagt. Herunder tages også parternes garantier overfor hinanden i betragtning.

ProLøns førelse af fortegnelser

ProLøn er forpligtet til at føre fortegnelser over de kategorier af behandlingsaktiviteter, som udføres for Kunden i overensstemmelse med Databeskyttelses- forordningen art. 30. Kunden er forpligtet til at oplyse ProLøn om navn og kontaktoplysninger på Kundens eventuelle repræsentant og databeskyttelsesrådgiver og ajourføre sådanne oplysninger, så fortegnelserne kan føres korrekt af ProLøn. Oplysningerne skal Kunden indtaste i ProLøn cloudtjenesten under ”kontaktoplysninger” i menuen ”Firmaoplysninger”.

Fortrolighedsforpligtelse

ProLøn skal sikre, at de personer, ProLøn har autoriseret til at behandle Kundens personoplysninger, har forpligtet

sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. ProLøn og enhver, der udfører arbejde for ProLøn, og som har adgang til Kundens personoplysninger, må kun behandle disse oplysninger efter Xxxxxxx instruks, som er accepteret af ProLøn, medmindre anden behandling kræves i henhold til en retlig regulering, som ProLøn er underlagt.

ProLøn må alene autorisere personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde ProLøns forpligtelser overfor Kunden. ProLøn skal løbende vurdere autorisationer og lukke adgange, når autorisationer udløber eller ophører.

Tilsyn og revision

ProLøn stiller alle oplysninger til rådighed for Kunden, der er nødvendige for at påvise overholdelse af kravene i Databeskyttelsesforordningen artikel 28 samt de krav til ProLøn, som fastsættes i disse Databehandlingsvilkår. ProLøn giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Kunden eller en anden revisor, som er bemyndiget af Kunden.

Kunden kan anmode om gennemførelse af fysisk inspektion hos ProLøn. Anmodning skal fremsendes skriftlig til ProLøn med angivelse af, hvad Xxxxxx ønsker at lade omfatte af inspektionen. Parterne aftaler herefter de nærmere omstændigheder og omfang for inspektion, herunder tidspunkt for gennemførelse og rapporteringsform.

Inspektion kan alene ske af en person, som underlægger sig ProLøns almindelige sikkerhedsforanstaltninger, og som tiltræder en fortrolighedsklausul direkte overfor ProLøn.

ProLøn kan fremsætte indsigelse mod en af Kunden udpeget person til gennemførelse af inspektion, hvis den udpegede person efter XxxXxxx rimelige vurdering ikke er egnet eller kvalificeret til at kunne gennemføre inspektionen, herunder at personen (1) ikke er uafhængig,

(2) er en direkte konkurrent til ProLøn eller (3) af anden grund oplagt er uegnet til varetagelse af opgaven.

Fremsætter ProLøn indsigelse mod den udpegede person, må Xxxxxx udpege anden person til gennemførelse af inspektionen.

Tilsyn med ProLøns anvendte underdatabehandlere sker gennem ProLøn. Kunden kan dog vælge at initiere og deltage på en fysisk inspektion også hos underdatabehandleren. Tilsyn skal her ske under overholdelse af underdatabehandlerens opsatte vilkår for inspektion.

ProLøn og underdatabehandleres eventuelle omkostninger i forbindelse med afholdelse af et fysisk tilsyn eller inspektion hos enten ProLøn eller underdatabehandleren, afholdes af Kunden. ProLøn og eventuelle underdatabehandlere er herudover berettiget til vederlag for den medgåede tid til inspektionen, fastsat ud fra gældende prisliste.

Ændringer til Databehandlervilkårene

ProLøn kan med et varsel på 90 dage ændre disse Databehandlervilkår. Oplysninger om planlagte ændringer fremsendes til Kunden. Hvis Xxxxxx ikke ønsker at acceptere de varslede ændringer, kan Xxxxxx opsige sin Abonnementsaftale. Xxxxxx har ikke herudover nogen beføjelser som konsekvens af ændringer til Databehandlingsvilkårene.

ProLøns kontaktoplysninger

Kundens henvendelser til ProLøn omkring databeskyttelse, herunder også anmodninger om tilsyn og inspektion skal fremsendes til:

ProLøn A/S Tronholmen 3

8960 Randers SØ

E-mail: xxxxxxx@xxxxxxx.xx Tlf.: 00 00 00 00

Parternes opbevaringspligt

ProLøn og Kunden er forpligtet til at opbevare elektronisk hver sin version af disse Databehandlingsvilkår og Abonnementsaftalen og eventuelle øvrige aftaler, som er af betydning for, eller supplerer disse Databehandlingsvilkår.