DATABEHANDLERAFTALE V1.0
DATABEHANDLERAFTALE V1.0
Mellem
E-Komplet A/S
CVR 34 58 76 55
Xxxxxxxxxxxxx 0X 0000 Xxxxxxx SV Danmark
(Herefter ”Databehandleren”)
og
(Herefter ”den Dataansvarlige”)
Dato og underskrift
1 BAGGRUND OG FORMÅL
1. Denne databehandleraftale er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophæ- velse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
2. Denne databehandleraftale skal regulere Databehandlerens behandling af per- sonoplysninger, som sker med henblik på opfyldelse af de mellem parterne ind- gående aftaler, som er oplistet i Bilag A (herefter ”Parternes øvrige aftaler”.
3. Databehandlerens behandling af personoplysninger må udelukkende ske i hen- hold til de i Bilag B, under produktbeskrivelserne, anførte formål og instrukser.
4. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende be- stemmelser i andre aftaler mellem parterne, herunder de aftaler, som fremgår af Bilag A.
5. Databehandleraftalens Bilag B indeholder nærmere oplysninger om behandlin- gen, herunder om behandlingens formål og karakter, typen af personoplysnin- ger, kategorierne af registrerede og varighed af behandlingen.
2 DEN DATAANSVARLIGES FORPLIGTELSER OG RETTIGHEDER
1. Den dataansvarlige har som udgangspunkt ansvaret for, at behandlingen af per- sonoplysninger sker indenfor rammerne af Databeskyttelsesforordningen og de, af de enkelte EU-medlemsstater vedtagne, udfyldende regler. Den dataansvar- lige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
3 DATABEHANDLEREN HANDLER EFTER INSTRUKS
1. Databehandleren må kun behandle personoplysninger efter dokumenteret in- struks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Instruksen følger af de mellem parterne indgåede aftaler jf. Bilag A.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks ef- ter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4 FORTROLIGHED
1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige.
Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser over- for den dataansvarlige jf. de i Bilag A anførte aftaler.
3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle per- sonoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante medar- bejdere er underlagt ovennævnte tavshedspligt.
5 BEHANDLINGSSIKKERHED
1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til da- tabeskyttelsesforordningens artikel 32.
2. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etable- ring af yderligere sikkerhedsforanstaltninger vil fremgå af parternes aftale om en konkret ydelse eller service.
6 ANVENDELSE AF UNDERDATABEHANDLERE
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttel- sesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databe- handler (underdatabehandler).
2. Som her ved generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller er- statning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Ved underskrift af nærværende aftale godkendes de underdatabehandler, som er oplistet under de enkelte ser- vices i Bilag B.
3. Databehandleren forpligter sig til at sikre, at alle underdatabehandlere, som Da- tabehandleren anvender, pålægges de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale. Hvis underdatabehandleren ikke opfylder de databeskyttelsesforpligtelser som følger af den til enhver tid gæl- dende persondatalovgivning, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
4. Underdatabehandleraftalen skal fremsendes til den Dataansvarlige på dennes forlangende, dog med undtagelse af rent kommercielle forhold mellem Databe- handleren og underdatabehandleren, som ikke vedrører de databeskyttelses- mæssige forpligtelser.
5. Såfremt den Dataansvarlige måtte ønske at instruere underdatabehandlere di- rekte, bør dette alene ske efter drøftelse med og via Databehandleren. Hvis den Dataansvarlige afgiver instruks direkte overfor underdatabehandlere, skal den Dataansvarlige senest samtidig underrette Databehandleren om instruksen og baggrunden for denne.
6. Hvor den Dataansvarlige instruerer underdatabehandlere direkte, a) er Databe- handleren fritaget for ethvert ansvar, og enhver følge af sådan instruks er alene den Dataansvarliges ansvar, b) hæfter den Dataansvarlige for enhver omkost- ning, som instruksen måtte medføre for Databehandleren, herunder er Databe- handleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige time-takst for al arbejdstid, som en sådan direkte instruks måtte medføre for Databehandleren og c) den Dataansvarlige er selv ansvarlig overfor underdata- behandlere for enhver omkostning, vederlag eller anden betaling til underdata- behandleren, som den direkte instruks måtte medføre.
7 OVERFØRSEL AF OPLYSNINGER TIL TREDJELANDE ELLER INTERNATIO- NALE ORGANISATIONER
1. Databehandleren overfører ikke personoplysninger til tredjelande eller internati- onale organisationer.
2. Såfremt det skulle blive nødvendigt at overføre personoplysninger til tredjelande eller internationale organisationer, skal der indgås særskilt aftale herom mellem parterne.
8 BISTAND TIL DEN DATAANSVARLIGE
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i data- beskyttelsesforordningens kapitel 3.
2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den da- taansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32- 36 under hensynstagen til behandlingens karakter og de oplysninger, der er til- gængelige for databehandleren, jf. art 28, stk. 3, litra f.
3. Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til Persondataforordningens kapitel III, her- under om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante per- sonoplysninger behandles af Databehandleren. Modtager Databehandleren så- dan henvendelse fra den registrerede, orienterer Databehandleren den Dataan- svarlige herom snarest muligt. Den Dataansvarlige hæfter for alle Databehand- lerens omkostninger ved sådan bistand, herunder til under-databehandleren.
Databehandlerens bistand afregnes til Databehandlerens til enhver tid gældende timetakst for sådant arbejde.
9 UNDETRETNING OM BRUD PÅ PERSONDATASIKKERHEDEN
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.
Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 36 timer efter at denne er blevet bekendt med bruddet, sådan at den dataan- svarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.
2. I overensstemmelse med denne aftales afsnit 10.2., litra b, skal databehandleren
- under hensynstagen til behandlingens karakter og de oplysninger, der er til- gængelige for denne – bistå den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden, ved at tilvejebringe nedenstående oplysninger:
1. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personop- lysninger
2. Sandsynlige konsekvenser af bruddet på persondatasikkerheden
3. Foranstaltninger, som er truffet eller foreslås truffet for at håndtere brud- det på persondatasikkerheden, herunder hvis det er relevant, foranstalt- ninger for at begrænse dets mulige skadevirkninger
10 SLETNING OG TILBAGELEVERING AF OPLYSNINGER
1. Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret tillader opbevaring af personoplysningerne.
11 TILSYN OG REVISION
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databe- handlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
2. Databehandleren lader én gang årligt den Dataansvarlige foretage en revision af databehandleren med henblik på at dokumentere at denne overholder sine for- pligtelser efter artikel 28 og denne aftale. Databehandleren stiller i denne forbin- delse den nødvendige dokumentation til rådighed, og giver den dataansvarlige adgang til sagligt relevante fysiske lokationer i forbindelse med revisionen.
3. Såfremt den Dataansvarlige ønsker at få udarbejdet en sikkerhedsrevisionsrap- port udover det i pkt. 11.2 omtalte, eller at der i øvrigt foretages tilsyn af Data- behandlerens eller underdatabehandlerens persondatabehandling, herunder så- fremt den Dataansvarlige ønsker sikkerhedsrevisionsrapport udarbejdet på et nærmere bestemt tidspunkt, aftales dette nærmere - også hvor der er tale om tilsyn i forhold til underdatabehandlere - med Databehandleren.
4. Den Dataansvarlige afholder alle omkostninger i forbindelse hermed, herunder til underdatabehandlere. Databehandleren er berettiget til at kræve at sådant tilsyn hos Databehandleren eller underdatabehandlere alene foretages af en al- ment anerkendt og uafhængig tredjepart, som beskæftiger sig med sådanne for- hold, og som er underlagt fortrolighed omkring alle relevante forhold, som der måtte opnås kendskab til i forbindelse med tilsynet, herunder personoplysninger.
5. Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
12 IKRAFTTRÆDEN OG OPHØR
1. Aftalen træder i kraft ved Databehandlerens underskrift og er gældende frem til de i Bilag A omfattede tjenesteydelser og leverancer opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse eller ophævelse i afta- lerne om levering af de pågældende tjenesteydelser og leverancer.
2. Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhen- sigtsmæssigheder i aftalen giver anledning hertil.
3. Parternes eventuelle regulering/aftale om vederlæggelse, betingelser eller lig- nende i forbindelse med ændringer af denne aftale vil fremgå af partners øvrige aftaler, som er oplistet i bilag A.
4. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af de mellem parterne indgåede aftaler i Bilag A.
5. Aftalen er gældende, så længe behandlingen består. Uanset ”hovedaftalens” og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.
UNDERSKRIFTER
På vegne af Databehandleren
Xxxxxxx Xxxxxxx Xxxxxxx Adm. Direktør
Bilag A Omfattede aftaler
Følgende aftaler er indgået mellem den Dataansvarlige og Databehandleren.
Aftaletype/Navn Aftalens udløb
E-Komplet Løber til opsigelse jf. betingelser
Bilag B OPLYSNINGER OM BEHANDLINGEN
Formålet med databehandlerens behandling af personoplysninger på vegne af den da- taansvarlige er nedenfor inddelt i de services, som udbydes af databehandleren.
Såfremt den dataansvarlige benytter sig af flere services, henvises der til de enkelte punkter:
E-Komplet
Systemet håndterer økonomi, sagsstyring, kvalitetssikring og fakturakontrol for hånd- værkere. Der kan gives tilbud, indkøb og salg af materiale, tidsstyring, lønstyring og kalender styring for ansatte.
Typer af personoplysninger og kategorier af registrerede Der behandles oplysninger om privatpersoner og virksomheder. Følgende typer af personoplysninger behandles:
• Navn
• Kommunikation mellem den Dataansvarlige og Databehandleren (e-mail)
• Log over aktivitet
• Dataansvarliges kunder i E-Komplet:
o navn
o e-mailadresse
o telefonnummer
o adresse
o betalingsoplysninger.
o CVR/EAN
• Dataansvarliges medarbejdere i E-Komplet:
o navn
o stillingsbetegnelse
o e-mailadresse
o telefonnummer
o adresse
o lønsatser
o løn
o sygdomsperioder
o ferieperioder (til lønberegning).
o ansættelsesperiode
Fysisk lokation Danmark Behandlingssikkerhed
Kundesystemer og (person)data opbevares på it-systemer i vores datacentre. Disse datacentre er beskyttede med elektronisk fysisk adgangskontrol med to-faktor ad- gang, elektronisk overvågning af indbrud med tilknyttet alarmselskab, videoovervåg- ning og flere lag fysisk sikkerhed. Internt i datacentrene er kunder, med egen adgang, fysisk adskilte og visse kritiske systemer er ydermere fysisk adskilte fra de normale driftssystemer. Databehandlers adgang til datacenter sker udelukkende vha. VPN.
Underdatabehandlere
• Netic A/S, Alfred Xxxxxxxxx 00, 0000 Xxxxxxx Øst
Sletning
Procedure for sletning af oplysninger
Det er muligt i E-Komplet systemet at omdøbe både kunder og medarbejder, og man kan således anonymisere disse.
Databehandleren stiller ovenfor nævnte services til rådighed for den dataansvarlige og opbevarer herigennem personoplysninger om den dataansvarliges kunder og ansatte på databehandlerens eksterne servere. Serverens placering kan ses unde den enkelte ser- vice ovenfor.