Databehandleraftale
Denne databehandleraftale ligger til grund for den behandling af persondata, som NemEkstrakt foretager på vegne af dig som kunde. Databehandleraftalen træder i kraft samtidigt med indgåelsen af NemEkstrakt Standardaftale (”hovedaftalen”). Hvis du ønsker det, kan NemEkstrakt fremsende en underskrevet version af databehandleraftalen, hvori dine virksomhedsoplysninger er udfyldt.
Databehandleraftalen er indgået i henhold til art. 28 stk. 3 i Europa-Parlamentet og Rådets forordning (EU) 2016/679 (“GDPR”) med henblik på at regulere NemEkstrakts behandling af personoplysninger på vegne af dig som kunde.
Aftalen er indgået mellem:
Den dataansvarlige [Kundens virksomhedsnavn]
[-adresse og CVR-nr.] [Kundens kontaktoplysninger]
og
Databehandleren
NemEkstrakt ApS Xxxxxxxxxx 00, 0. xxx XX-0000 Herning CVR-nr.: 00000000
Præambel
1.1. Definitionen af “personoplysninger”, “særlige kategorier af personoplysninger” (følsomme oplysninger), “databehandling”, “den registrerede”, “dataansvarlig” og “databehandler” er den samme som anført i GDPR.
1.2. Formålet med denne databehandleraftale er at sikre parternes efterlevelse af gældende databeskyttelseslovgivning og dokumentere den dataansvarliges instruks til databehandleren. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er at sikre den dataansvarliges brug af applikationen NemEkstrakt som yderligere beskrevet parternes ”hovedaftale”: NemEkstrakt Standardaftale.
1.3. Databehandleraftalen fastsætter parternes rettigheder og forpligtelser, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
1.4. Databehandleraftalen har forrang frem for andre modstridende bestemmelser vedrørende behandling af personoplysninger, for så vidt angår hovedaftalen eller andre aftaler gældende parterne imellem. Databehandleraftalen er gældende mellem parterne så længe hovedaftalen er i kraft, og databehandleren derfor skal behandle personoplysninger på vegne af den dataansvarlige.
1.5. Databehandleraftalen frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter gældende databeskyttelseslovgivning.
1.6. Til databehandleraftalen hører tre bilag. Bilagene fungerer som en integreret del af databehandleraftalen:
1.6.1. Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
1.6.2. Bilag B indeholder særlige vederlagsbestemmelser, der ikke eller fremgår af databehandleraftalen eller parternes hovedaftale.
1.6.3. Bilag C indeholder en liste over de underdatabehandlere, som databehandleren anvender ved databehandleraftalens indgåelse.
2. Den dataansvarliges rettigheder og forpligtelser
2.1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger i forbindelse med brug af NemEkstrakt applikationen sker i overensstemmelse med GDPR art. 24, anden EU-ret eller national ret samt denne databehandleraftale.
2.2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger. Det er hertil alene under den dataansvarliges kontrol, hvilke personoplysninger der behandles, herunder indeholdes i dokumenter, der processeres i applikationen, og øvrige data, der indtastes og genereres i NemEkstrakt applikationen.
2.3. Den dataansvarlige er ansvarlig for at sikre, at der eksisterer et lovligt behandlingsgrundlag for behandlingen og videregivelsen af personoplysninger, som databehandleren instrueres i at foretage, herunder videregivelse til de underdatabehandlere, som databehandleren benytter, og som til enhver tid er oplistet i Bilag C.
2.4. Den dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de personoplysninger, som behandles af databehandleren.
2.5. Den dataansvarlige har opfyldt sin oplysningsforpligtelse over for de registrerede vedrørende behandlingen af personoplysninger i henhold til gældende databeskyttelseslovgivning.
3. Databehandleren handler efter instruks
3.1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU- eller national ret, som databehandleren er underlagt. Ved at indgå denne databehandleraftale instruerer den dataansvarlige databehandleren i at behandle personoplysninger på følgende måder:
3.1.1. I overensstemmelse med gældende lovgivning;
3.1.2. for at opfylde sine forpligtelser i henhold til hovedaftalen for brug af applikationen;
3.1.3. som yderligere specificeret ved den dataansvarliges normale brug af applikationen;
3.1.4. som beskrevet i denne databehandleraftale.
3.2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks vurderes at være i strid med gældende databeskyttelseslovgivning eller anden EU- eller national ret.
4. Behandlingssikkerhed
4.1. Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau. Dette sker i form af implementering af relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger.
Implementeringen sker under hensyntagen til den teknologi, der er tilgængelig og omkostningerne ved implementeringen samt omfanget, konteksten og formålet med behandlingen for at sikre et tilstrækkeligt sikkerhedsniveau, der imødekommer den risiko og kategorien af personoplysninger, der skal beskyttes.
4.2. Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt - og kun i et nødvendigt omfang. Fortrolighedspligten skal ligeledes gælde efter ophør af databehandleraftalen.
4.3. NemEkstrakt har implementeret sikkerhedsforanstaltninger og interne databeskyttelsespolitikker med henblik på at sikre fortrolighed, integritet, modstandsdygtighed og adgang til personoplysninger. De følgende foranstaltninger er særligt væsentlige:
4.3.1. Risikovurderinger af eget sikkerhedsniveau med henblik på at sikre at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af personoplysninger, herunder i henhold til GDPR art. 32 om behandlingssikkerhed.
4.3.2. Effektiv kryptering ved overførsel af personoplysninger via internettet.
4.3.3. Løbende awareness træning til alle medarbejdere med fokus på it-sikkerhed og behandling af personoplysninger.
4.3.4. Ekstern adgang til systemer og databaser der bruges til at behandle persondata, sker udelukkende gennem en indbygget firewall.
4.3.5. Begrænsning i adgangen til personoplysninger til de relevante personer, der skal til for at overholde krav og forpligtelser i databehandleraftalen.
4.3.6. Etablerede kontroller til at identificere og rapportere eventuelle brud på persondatasikkerheden.
4.3.7. Udførelse af sårbarhedsscanninger og penetrationstests på regelmæssig basis for at sikre, at tekniske foranstaltninger implementeres og testes.
5. Anvendelse af underdatabehandlere
5.1. Som en del af driften af NemEkstrakt anvender databehandleren underdatabehandlere. Denne databehandleraftale udgør den dataansvarliges forudgående generelle skriftlige godkendelse af databehandlerens brug af underdatabehandlere. Sådanne underdatabehandlere kan være andre selskaber inden for NemEkstrakt koncernen, som NemEkstrakt ApS er en del af, eller tredjepartsleverandører i og uden for EU/EØS. Databehandlerens underdatabehandlere er oplistet i den til enhver tid gældende liste over underdatabehandlere i Bilag C.
5.2. Databehandleren sikrer, at dennes underdatabehandlere overholder tilsvarende forpligtelser og krav, som er beskrevet i denne databehandleraftale. Den dataansvarlige skal orienteres senest 30 dage inden databehandleren tager en ny underdatabehandler i brug. Den dataansvarlige har ret til at protestere imod en ny underdatabehandler, som behandler personoplysninger på vegne af den dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal databehandleren demonstrere overensstemmelse ved at give den dataansvarlige adgang til databehandlerens databeskyttelsesvurdering og udarbejdede dokumenter om brug af underdatabehandleren. Hvis der herefter fortsat er uenighed om anvendelsen af underdatabehandleren, kan den dataansvarlige opsige sit abonnement med et kortere varsel end normalt for at sikre, at den dataansvarliges personoplysninger ikke behandles af den pågældende underdatabehandler.
6. Overførsel til tredjelande eller internationale organisationer
6.1. Enhver overførsel af personoplysninger til et tredjeland eller en international organisation forudsætter indgåelse af EU Kommissionens Standardkontraktbestemmelser (EU SCC's) eller et andet gyldigt overførselsgrundlag. Den dataansvarlige giver databehandleren autorisation til at sikre et
tilstrækkeligt grundlag for overførsel af personoplysninger til et tredjeland på vegne af den dataansvarlige.
7. Bistand til den dataansvarlige
7.1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i GDPR kapitel 3.
7.2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af GDPR art. 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleringen.
7.3. Hvis den dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan databehandleren behandler personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende databeskyttelseslovgivning, kan databehandleren kræve betaling for sådanne yderligere services, jf. også Bilag B.
8. Underretning om brud på persondatasikkerheden
8.1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden, som involverer persondata, databehandleren behandler på vegne af den dataansvarlige.
8.2. Databehandleren skal underrette den dataansvarlige via den kontaktperson, som er oplyst i databehandleraftalen, hvis databehandleren bliver bekendt med en sikkerhedsbrist.
6. Returnering og sletning/anonymisering af data
9.1. Ved ophør af tjenesterne vedrørende behandlingen forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle data indeholdende personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne. Såfremt den dataansvarlige ønsker tilbagelevering/eksport af data, kan databehandleren kræve betaling herfor i overensstemmelse med Bilag B.
10. Revision, herunder inspektion
10.1. Den dataansvarlige er berettiget til at igangsætte en revision af databehandlerens forpligtelser i henhold til databehandleraftalen.
10.2. Såfremt databehandlerens assistance i forbindelse med revision overskrider den almindelige service, som databehandleren skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes dette særskilt.
11. Ikrafttræden og ophør
11.1. Denne databehandleraftale er gældende, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med den dataansvarliges brug af NemEkstrakt applikationen.
11.2. Databehandleren er berettiget til at beholde personoplysninger efter ophør af databehandleraftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i databehandleraftalen.
12. Ændringer til databehandleraftalen
12.1. Den gældende version af databehandleraftalen vil til enhver tid kunne tilgås på hjemmesiden. Væsentlige ændringer varsles 30 dage inden de træder i kraft via e-mail eller servicemeddelelse. Brug af NemEkstrakt applikationen efter udløbet af varsel for opdateringen udgør en accept af databehandleraftalen.
13. Ansvar
13.1. Ansvar for handlinger i strid med bestemmelserne i denne databehandleraftale reguleres af ansvars- og erstatningsbestemmelserne i hovedaftalen. Dette gælder ligeledes for enhver overtrædelse, som foretages af databehandlerens underdatabehandlere.
14. Lovvalg og værneting
14.1. Denne databehandleraftale er underlagt dansk ret og enhver tvist, der udspringer af denne databehandleraftale, skal anlægges ved Byretten i Herning.
15. Underskrifter
På vegne af dataansvarlige På vegne af databehandleren
Bilag A – Oplysninger om behandlingen
A. Formålet med databehandleren behandling af personoplysninger på vegne af den dataansvarlige:
· At den dataansvarlige kan anvende NemEkstrakt som ejes og administreres af NemEkstrakt ApS til at samle og adskille PDF filer, beriget med personfølsomme data baseret på brugerindtastede data.
B. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen):
· At NemEkstrakt ApS stiller systemet NemEkstrakt til rådighed for dataansvarlige og herigennem opbevarer personoplysninger om dataansvarliges klienter på virksomhedens servere.
C. Behandlingen omfatter følgende typer af personoplysninger om de registrerede:
· Navn, adresse, emailadresse, cpr-nummer, cvr-nummer, kontaktpersoner (inklusive telefonnummer og e-mail), betalingsoplysninger.
D. Behandlingen omfatter følgende kategorier af registrerede
· Personer som har eller har haft ansættelse hos den dataansvarlige
· Personer som kan stå anført i behandlede dokumenter (personer hos dataansvarliges klienter)
E. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter denne aftales ikrafttræden. Behandlingen har følgende varighed:
· Behandlingen er ikke tidsbegrænset og varer indtil hovedaftalen opsiges eller ophæves af parterne.
Bilag B - Særlige vilkår om vederlag
Databehandleren vederlægges særskilt i henhold til sine til enhver tid gældende timepriser:
1. såfremt den dataansvarlige stiller yderligere krav til databehandlerens organisatoriske og tekniske sikkerhedsforanstaltninger, end hvad der med rimelighed kan kræves i henhold til Databeskyttelsesforordningen, jf. nærværende databehandleraftales punkt 4
2. for sin bistand til den dataansvarliges overholdelse af Databeskyttelsesforordningens kapitel 3 samt artikel 32-36, jf. nærværende databehandleraftales punkt 7
3. for sin bistand til eksport af data, jf. nærværende databehandleraftalens punkt 9
4. for sin bistand til revisioner og inspektioner, jf. nærværende databehandleraftales punkt 10
Bilag C - Godkendte underdatabehandlere
Databehandlerens anvendelse af underdatabehandlere sker i henhold til nærværende databehandleraftales punkt 5 (Anvendelse af underdatabehandlere) og punkt 6 (Overførsel til tredjelande eller internationale organisationer).
Den dataansvarlige har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:
Navn underdatabehandler: Microsoft Corporation
CVR-nr./virksomhedsnummer: Ikke tilgængeligt; stor international virksomhed med mange juridiske enheder
Adresse: Xxx Xxxxxxxxx Xxx, Xxxxxxx, XX 00000, XXX Land: USA
Beskrivelse af behandlingen hos underdatabehandleren:
Hosting og drift: Microsoft Azure leverer cloud infrastruktur og platformsservices, hvor NemEkstrakt er hostet. Dette inkluderer dataopbevaring, datahåndtering, compute ressourcer og netværkstjenester.
Sikkerhedsforanstaltninger: Implementerer en række sikkerhedsforanstaltninger for at beskytte dataene, herunder kryptering i hvile og under overførsel, firewall-beskyttelse, og regelmæssige sikkerhedsrevisioner.
Compliance: Overholder branchestandarder og regulatoriske krav, herunder GDPR, via EU's standardkontraktbestemmelser og andre compliance-initiativer.
Overførsel til tredjelande eller internationale organisationer
Da Microsoft er baseret i USA, et tredjeland ifølge EU, anvender Microsoft EU-Kommissionens Standardkontraktbestemmelser for at opfylde kravene i GDPR vedrørende overførsel af data uden for EU/EØS.
Navn underdatabehandler: SoftLab RCD d.o.o.
CVR-nr./virksomhedsnummer: 07864493 Adresse: Xxxx Xxxxx 00, 00000 Xxxxxxx, Xxxxxx Land: Serbien
Beskrivelse af behandlingen hos underdatabehandleren:
Softwareudvikling og teknisk support: SoftLab RCD d.o.o. leverer softwareudviklingstjenester og teknisk support for NemEkstrakt. Dette inkluderer programmering, testning, vedligeholdelse og fejlrettelser af applikationen.
Sikkerhedsforanstaltninger: Implementerer sikkerhedsforanstaltninger, der er passende til beskyttelsen af persondata og overholder de tekniske og organisatoriske krav, som NemEkstrakt stiller.
Datahåndtering: Sikrer, at alle data, der behandles eller videregives, gøres under strikte fortrolighedsaftaler og i overensstemmelse med gældende databeskyttelseslovgivning.
Overførsel til tredjelande eller internationale organisationer:
Som et firma baseret i Serbien, som er en kandidat til EU-medlemskab og har en tilstrækkelig databeskyttelsesaftale med EU, skal SoftLab RCD d.o.o. sikre, at alle dataoverførsler til Serbien er i overensstemmelse med EU's databeskyttelseskrav.
Navn underdatabehandler: mipendo ApS
CVR-nr./virksomhedsnummer: 38 54 53 45 Adresse: Xxxxxxxxxx 00, 0. xxx, XX-0000 Xxxxxxx Xxxx: Xxxxxxx
Beskrivelse af behandlingen hos underdatabehandleren:
Rådgivning og projektledelse: mipendo ApS fungerer som konsulent og projektleder i relation til NemEkstrakt’s samarbejde med SoftLab RCD d.o.o., hvilket inkluderer koordinering og facilitation af kommunikation og projektaftaler mellem de to enheder. Xxxxxx teknisk projektleder på vegne af NemEkstrakt ApS ud mod kunder og samarbejdspartnere.
Innovationskonsultation: Tilbyder ekspertise og strategisk rådgivning om digital innovation, som hjælper med at forme og optimere funktionaliteten og sikkerheden i NemEkstrakt-applikationen.
Datahåndtering og sikkerhed: Sikrer, at alle data, der behandles eller overføres mellem NemEkstrakt og SoftLab RCD d.o.o., gøres under fortrolighed og i overensstemmelse med gældende databeskyttelseslovgivning.
Overførsel til tredjelande eller internationale organisationer:
Da mipendo ApS er baseret i Danmark, og al datahåndtering foregår inden for EU, er dataoverførsler underlagt EU's databeskyttelsesforordninger uden behov for yderligere overførselsmekanismer til tredjelande.
Om underdatabehandlere fra tredjelande
Generelt Der henvises i det hele til databehandleraftalens punkt 6.
Ved anvendelse af underdatabehandlere med hjemsted i tredjelande anvender databehandleren EU Kommissionens Standardkontraktbestemmelser (EU SCC's) som overførselsgrundlag.
Databehandleren har for disse underdatabehandlere endvidere udarbejdet Transfer Impact Assessments (TIA), der løbende revurderes, ligesom databehandleren har truffet passende tekniske og organisatoriske foranstaltninger til imødegåelse af eventuelle risici som følge af lovgivning eller praksis i de pågældende tredjelande.
Til dataansvarlige der har fravalgt underdatabehandlere med hjemsted i tredjelande
Enkelte af XxxXxxxxxxx’x kunder har i deres abonnement fravalgt anvendelsen af underdatabehandlere med hjemsted i tredjelande.
Databehandleren har i kraft af implementering af supplerende tekniske og organisatoriske foranstaltninger sikret, at personhenførbare data fra disse kunder ikke kan tilgås af underdatabehandlere med hjemsted i tredjelande, der anvendes af NemEkstrakt i forhold til øvrige kunder.