ITD
De til enhver tid værende kunder hos ITD Medlemsservice
med de relevante og anførte selskabsoplysninger og
CVR-nr.: .
(den "Dataansvarlige")
ITD
Lyren 1
6330 Padborg Danmark
CVR-nr.: 40990917
("Databehandleren") Dato: 11.03.2020 13:47
1. Indledning
1.1 Denne aftale vedrørende behandling af personoplysninger ("Databehandleraftalen") regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige og er et bilag til aftale(r) og/eller ordrebekræftelser vedrørende ydelser om køre-/hviletid, APV, ADR og egenkontrol fra ITD Medlemsservice ("Hovedaftalen"), hvori parterne har aftalt de nærmere vilkår for Databehandlerens levering af ydelser ("Hovedydelserne").
1.2 Hvis der er uoverensstemmelser mellem forpligtelserne under Hovedaftalen og Databehandleraftalen, skal Databehandleraftalen have forrang.
2. Lovgivning
2.1 Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige regulering ("Databeskyttelseslovgivningen"), navnlig Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (“GDPR“) samt anvendelige nationale implementeringslove, herunder den danske databeskyttelseslov.
3. Behandling af personoplysninger
3.1 I forbindelse med levering af Hovedydelserne behandler Databehandleren personoplysninger på vegne af den Dataansvarlige.
3.2 "Personoplysninger" omfatter enhver form for information om en identificeret eller identificerbar fysisk person, der behandles i forbindelse med Databehandleraftalen, som defineret i GDPR, artikel 4, stk. 1, nr. 1 ("Personoplysningerne"). Personoplysningerne, kategorierne af registrerede, formålene med behandlingen, behandlingsaktiviteterne og lokationerne for behandlingen er angivet i underbilag A, Parterne skal opdatere underbilag A, når der indtræder ændringer, der nødvendiggør dette.
3.3 Databehandleren skal have og ajourføre en eller flere fortegnelser i overensstemmelse med GDPR, artikel 30, stk. 2.
4. Instruks
4.1 Databehandleren må alene behandle Personoplysningerne efter dokumenteret instruks fra den Dataansvarlige ("Instruksen"), medmindre Databehandleren er forpligtet til at behandle Personoplysningerne anderledes for at overholde EU-ret eller EU-medlemsstaternes nationale ret, som Databehandleren er underlagt. I så fald skal Databehandleren straks give den Dataansvarlige besked om afvigelsen fra Instruksen og årsagen hertil. Instruksen på underskriftstidspunktet er, at Databehandleren må behandle og opbevare Personoplysningerne med henblik på, og i det omfang det er nødvendigt for, levering af Hovedydelserne og i øvrigt i overensstemmelse med denne
Databehandleraftale, herunder inden for rammerne specificeret i underbilag A.
4.2 Den Dataansvarlige er ansvarlig for, at Personoplysningerne, som overlades til Databehandleren, behandles og overlades i overensstemmelse med Databeskyttelseslovgivningen og eventuelle senere ændringer, herunder Databeskyttelseslovgivningens regler om behandlingshjemmel og oplysningspligt over for de registrerede.
4.3 Hvis den Dataansvarlige bliver bekendt med, at Databehandleren behandler Personoplysningerne i strid med denne Databehandleraftale, kan den Dataansvarlige instruere Databehandleren i at stoppe behandling af Personoplysningerne med omgående effekt.
4.4 Databehandleren skal omgående informere den Dataansvarlige, hvis Databehandleren mener, at den gældende Instruks overtræder Databeskyttelseslovgivningen eller anden lovgivning.
5. Fortrolighed
5.1 Databehandleren skal behandle Personoplysningerne strengt fortroligt. Personoplysningerne må ikke kopieres, videregives eller på anden måde behandles uden for Instruksen uden den Dataansvarliges udtrykkelige og forudgående tilladelse.
5.2 Databehandlerens medarbejdere, som behandler Personoplysningerne, skal have påtaget sig en fortrolighedsforpligtelse, som indebærer, at de er underlagt tavshedspligt om alle forhold vedrørende Personoplysningerne.
5.3 Fortrolighedsforpligtelsen som angivet under dette punkt gælder også efter Databehandleraftalens ophør, og uanset baggrunden for ophøret.
6. Sikkerhed
6.1 Databehandleren gennemfører de nødvendige tekniske og organisatoriske foranstaltninger for at sikre databeskyttelse i overensstemmelse med Databeskyttelseslovgivningen og i overensstemmelse med GDPR, artikel 32.
6.2 Databehandlerens sikkerhedsforanstaltninger er nærmere beskrevet i underbilag B .
6.3 Databehandleren udleverer efter skriftlig anmodning herom fra den Dataansvarlige dokumentation for Databehandlerens sikkerhedsforanstaltninger.
7. Konsekvensanalyser og forudgående høring
7.1 Hvis Databehandlerens bistand er nødvendig og relevant, skal Databehandleren bistå den Dataansvarlige med udarbejdelsen af eventuelle lovpligtige konsekvensanalyser i overensstemmelse med GDPR, artikel 35, samt eventuelle forudgående høringer i overensstemmelse med GDPR, artikel 36.
8. De registreredes rettigheder
8.1 Hvis den Dataansvarlige modtager en anmodning om udøvelsen af personers rettigheder efter Databeskyttelseslovgivningen, og korrekt besvarelse af anmodningen kræver bistand fra Databehandleren, skal Databehandleren bistå den Dataansvarlige med nødvendige og relevante oplysninger og dokumentation samt passende tekniske og organisatoriske sikkerhedsforanstaltninger.
8.2 Hvis den Dataansvarlige vil have hjælp til at besvare en anmodning fra en registreret person, skal den Dataansvarlige sende skriftlig anmodning herom til Databehandleren, og Databehandleren skal som svar herpå levere den nødvendige hjælp eller dokumentation hurtigst muligt og senest 7 kalenderdage efter modtagelse af anmodning herom.
8.3 Hvis Databehandleren modtager en anmodning om udøvelsen af personers rettigheder efter Databeskyttelseslovgivningen fra andre end den Dataansvarlige, og anmodningen vedrører Personoplysningerne, skal Databehandleren uden unødvendig forsinkelse videresende anmodningen til den Dataansvarlige.
9. Sikkerhedsbrud
9.1 Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden hos Databehandleren eller Underdatabehandlere, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysningerne ("Sikkerhedsbrud"). Sikkerhedsbrud skal meddeles straks og senest 12 timer efter det tidspunkt, hvor Databehandleren er blevet bekendt med Sikkerhedsbruddet.
9.2 Databehandleren skal vedligeholde en eller flere fortegnelser over alle Sikkerhedsbrud. Fortegnelserne skal som minimum dokumentere følgende for hvert Sikkerhedsbrud:
9.2.1 De faktiske omstændigheder omkring Sikkerhedsbruddet, herunder, hvis muligt, kategorierne og antallet af berørte registrerede personer og kategorier af Personoplysninger berørt af Sikkerhedsbruddet.
9.2.2 Sikkerhedsbruddets faktiske og potentielle virkninger og effekter.
9.2.3 Beskrivelser af de trufne afhjælpningsforanstaltninger, som er gennemført for at begrænse Sikkerhedsbruddets eventuelle negative konsekvenser.
9.3 Fortegnelserne over Sikkerhedsbrud skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne.
9.4 Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige i forhold til afklaring af sikkerhedsbruddet, herunder i forbindelse med eventuel anmeldelse til tilsynsmyndigheder og/eller de berørte registrerede personer.
10. Dokumentation af overholdelse af Databehandleraftalen
10.1 Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren
10.1.1 overholder sine forpligtelser efter denne Databehandleraftale og Instruksen, og
10.1.2 overholder bestemmelserne i Databeskyttelseslovgivningen, for så vidt angår Personoplysningerne, som behandles på den Dataansvarliges vegne.
10.2 Databehandlerens dokumentation i henhold til punkt 10.1 skal sendes til den Dataansvarlige inden for rimelig tid efter modtagelsen af anmodningen herom.
10.3 Databehandleren skal som dokumentation på løbende overholdelse af Databehandleraftalen stille egenkontrolrapporter til rådighed for den Dataansvarlige. Disse egenkontrolrapporter skal som minimum udarbejdes én gang årligt og skal følge principperne og kontrolmålene i revisionsstandarden ISAE3000 som udarbejdet af FSR-danske revisorer og Datatilsynet. Egenkontrolrapporterne underskrives af Databehandlerens ledelse. Databehandleren er ikke forpligtet til selv at iværksætte og gennemføre ekstern revision (audit) af Databehandlerens overholdelse af Databehandleraftalen.
10.4 Uanset punkt 10.3 skal Databehandleren derudover give mulighed for og bidrage til revisioner og inspektioner hver 12. måned, der foretages af revisorer udpeget af den Dataansvarlige, de offentlige myndigheder i Danmark eller af anden kompetent jurisdiktion, i det omfang det er nødvendigt for at kontrollere, at Databehandleren overholder Databehandleraftalen og gældende Databeskyttelseslovgivning. Den pågældende revisor skal være underlagt fortrolighed i henhold til lov eller aftale. Den Dataansvarlige skal skriftligt varsle revisioner som beskrevet med 14 kalenderdage.
11. Underdatabehandlere
11.1 Ved Databehandlerens brug af tredjeparter til behandling af Personoplysningerne for den Dataansvarlige (såkaldte "Underdatabehandlere") gælder følgende: Databehandleren må ikke uden udtrykkelig skriftlig godkendelse fra den Dataansvarlige anvende andre Underdatabehandlere end dem, der er angivet i underbilag C, herunder foretage udskiftning af disse, til at behandle Personoplysningerne. Den Dataansvarlige kan ikke nægte at godkende tilføjelse eller udskiftning af en Underdatabehandler, medmindre der foreligger en konkret saglig begrundelse herfor.
11.2 Databehandleren skal indgå skriftlig aftale med eventuelle Underdatabehandlere, som pålægger Underdatabehandlerne de samme databeskyttelsesforpligtelser og sikkerhedsforpligtelser, som påhviler Databehandleren i medfør af denne Databehandleraftale. Databehandleren skal ligeledes føre løbende kontrol med sine Underdatabehandlere, og dokumentation herfor skal forevises den Dataansvarlige løbende.
11.3 Databehandleren er direkte ansvarlig for Underdatabehandlernes behandling af Personoplysningerne på samme vis, som var behandlingen foretaget af Databehandleren selv.
11.4 Databehandleren benytter på tidspunktet for indgåelsen af Databehandleraftalen de Underdatabehandlere, der fremgår af underbilag C. Ved Databehandlerens benyttelse af nye Underdatabehandlere, skal disse tilføjes under punkt 2 i underbilag C.
12. Placering af Personoplysningerne
12.1 Personoplysningerne behandles kun af Databehandleren på de lokationer, som er angivet i underbilag A. Databehandleren overfører som led i opfyldelse af Hovedaftalen Personoplysningerne til følgende lande: Schweiz. Sådanne overførsler sker på baggrund af beslutninger fra EU-Kommissionen, hvorefter der generelt enten via lovgivning eller via andre foranstaltninger er sikret et tilstrækkeligt beskyttelsesniveau.
12.2 Såfremt overførslen af Personoplysningerne til tredjelande udenfor EU/EØS sker ved Databehandlerens overførsel til Underdatabehandlere, giver den Dataansvarlige ved Databehandleraftalen fuldmagt til, at Databehandleren på vegne af den Dataansvarlige kan indgå standardkontraktbestemmelserne vedtaget af Kommissionen med Databehandlerens Underdatabehandlere, forudsat at alle regler i Databeskyttelseslovgivningen for overførsel og behandling i øvrigt efterleves. Såfremt den Dataansvarlige selv er databehandler, og Databehandleren optræder som underdatabehandler for Personoplysningerne i forhold til den Dataansvarliges ultimative kontraktpart(er), skal den Dataansvarlige indhente fuldmagt fra den ultimative kontraktpart til Databehandlerens indgåelse af standardkontraktbestemmelserne.
12.3 Såfremt overførslen af Personoplysningerne til tredjelande udenfor EU/EØS sker ved Databehandlerens overførsel til selvstændigt dataansvarlige, giver den Dataansvarlige ved Databehandleraftalen fuldmagt til, at Databehandleren på vegne af den Dataansvarlige kan indgå standardkontraktbestemmelserne vedtaget af Kommissionen med selvstændigt dataansvarlige, forudsat at alle regler i Databeskyttelseslovgivningen for overførsel og behandling i øvrigt efterleves. Såfremt den Dataansvarlige selv er databehandler, og Databehandleren optræder som underdatabehandler for Personoplysningerne i forhold til den Dataansvarliges ultimative kontraktpart(er), skal den Dataansvarlige indhente fuldmagt fra den ultimative kontraktpart til Databehandlerens indgåelse af standardkontraktbestemmelserne.
12.4 Overførsel af Personoplysninger må i alle tilfælde kun ske som foreskrevet i denne Databehandleraftale, på den Dataansvarliges instruks, og i det omfang det er tilladt i medfør af Databeskyttelseslovgivningen.
13. Vederlag og omkostninger
13.1 Den Dataansvarlige skal betale Databehandleren vederlag for medgået tid i henhold til Databehandlerens gældende timepriser til opfyldelse af følgende punkter i Databehandleraftalen: 7 (bistand med udarbejdelse af konsekvensanalyser for den Dataansvarlige), 8 (bistand med den Dataansvarliges overholdelse af de registreredes rettigheder).
13.2 Databehandleren har krav på vederlag for medgået tid og materiale brugt til gennemførelse af den Dataansvarliges eventuelle ændringer af Instruksen, herunder implementeringsomkostninger og forøgede omkostninger til levering af Hovedydelserne.
13.3 Hver part afholder egne omkostninger forbundet med ændringer i Databeskyttelseslovgivningen, herunder fortolkningerne heraf og vejledninger hertil.
14. Misligholdelse og ansvar
14.1 Databehandleren er ikke ansvarlig for manglende levering eller forsinkelse af Hovedydelserne i det omfang, at levering heraf vil være i strid med den ændrede Instruks, eller levering i overensstemmelse med den ændrede Instruks er umulig. Dette kan eksempelvis være tilfældet, (i) hvor ændringerne ikke teknisk, praktisk eller juridisk kan implementeres eller (ii) hvor den Dataansvarlige eksplicit meddeler, at ændringerne skal være gældende, før implementeringen er mulig.
14.2 Uanset modstridende bestemmelser i denne Databehandleraftale skal Hovedaftalens regulering af misligholdelse og ansvarsbegrænsning finde anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. Parternes ansvar for alle kumulerede krav i henhold til denne Databehandleraftale er dog begrænset til de samlede forfaldne vederlag i henhold til Hovedydelserne for den 12 måneders periode, der går umiddelbart forud for en eventuel skadegørende omstændighed. Hvis Databehandleraftalen ikke har været i kraft i 12 måneder, opgøres beløbet forholdsmæssigt på baggrund af perioden, hvor Databehandleraftalen har været i kraft. Ansvarsbegrænsningen omfatter ikke tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger eller udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtigelser over for en tilsynsmyndighed.
15. Varighed
15.1 Databehandleraftalen er gældende, så længe Databehandleren eller dennes Underdatabehandlere behandler Personoplysningerne.
16. Ophør
16.1 Databehandlerens bemyndigelse til at behandle Personoplysningerne på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens ophør, uanset årsag.
16.2 Databehandleren må fortsat behandle Personoplysningerne i op til tre måneder efter
Databehandleraftalens ophør, i det omfang dette gøres for at foretage nødvendige lovpligtige foranstaltninger, og der samtidig gives besked til den Dataansvarlige herom. I samme periode er Databehandleren berettiget til at lade Personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure.
Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
16.3 Databehandleren og dennes Underdatabehandlere skal efter den Dataansvarliges valg slette eller tilbagelevere alle Personoplysningerne til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af Personoplysningerne. Databehandleren er efter den Dataansvarliges skriftlige valg forpligtet til at tilbagelevere eller slette alle Personoplysningerne, medmindre andet følger af EU-retten eller medlemsstaternes nationale ret. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
17. Kontakt
17.1 Kontaktoplysninger for den Dataansvarlige og Databehandleren følger af Hovedaftalen.
18. Accept
18.1 Både Databehandleren og den Dataansvarlige indestår for, at Databehandleraftalen indgås og accepteres af en person fra hver part, der har den fornødne fuldmagt og mandat til at forpligte hver respektive part.
Underbilag A
1. Personoplysninger
1.1 Databehandleren behandler Personoplysningerne i forbindelse med leveringen af Hovedydelserne. De behandlede Personoplysninger omfatter, men er ikke begrænset til, følgende typer af Personoplysninger:
navn, adresse, telefonnummer, e-mail, brugernavn til et eller flere systemer, adgangskode til et eller flere systemer, bankoplysninger (kortoplysninger eller kontooplysninger), CPR-nummer, fødselsdato, IP-adresse, oplysninger om brugeres anvendte device, varierende personoplysninger, som kunden eller kundens kunder afgiver eller registrerer uden virksomhedens aktive behandling og identificering heraf, varierende personoplysninger på kunders systemer, som der gives adgang til
2. Formål
2.1 Personoplysningerne behandles med følgende formål:
Håndtering og dokumentation af de relevante områder i overensstemmelse med aftalen/aftalerne med kunderne.
3. Registrerede
3.1 Databehandleren behandler personoplysninger om følgende kategorier af registrerede på vegne af den Dataansvarlige:
kunder (hvor kunderne er forbrugere eller enkeltmandsvirksomheder), kunders ansatte (hvor kunderne er virksomheder), kunders kunder og deres ansatte (eksempelvis til CRM-leverandører)
4. Databehandlingsaktiviteter
4.1 Databehandleren behandler Personoplysningerne ved følgende databehandlingsaktiviteter:
ITD's håndtering af kunders dokumentation og processer vedrørende køre-/hviletid, ADR, APV og egenkontrol.
5. Lokationer
5.1 Databehandleren behandler Personoplysningerne på følgende lokationer: ITD, Lyren 0, 0000 Xxxxxxx, Xxxxxxx.
ITD København, Xxxxxxxxxxxxx 00, 0. xxx, 0000 Xxxxxxxxx V, Danmark.
Underbilag B
1. Indledning
1.1 Denne beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger (herefter " Sikkerhedsbeskrivelsen") er udarbejdet med henblik på at dokumentere Databehandlerens etablerede sikkerhedsforanstaltninger, der er implementeret i medfør af GDPR, artikel 32, eller som etableres inden behandlingen af Personoplysningerne.
2. Organisatorisk sikkerhed
2.1 Databehandleren har etableret følgende organisatoriske sikkerhedsforanstaltninger:
2.1.1 a) Alle Databehandlerens medarbejdere er underlagt fortrolighedsforpligtelser, der gælder for alle behandlede personoplysninger.
b) Databehandlerens medarbejderes adgang til personoplysninger er begrænset, så kun de relevante medarbejdere har adgang til de nødvendige personoplysninger.
c) Databehandleren har dokumenterbare procesbeskrivelser for behandlingen af personoplysninger.
d) Databehandleren har en it-sikkerhedspolitik.
e) Databehandleren har en fast proces, der sikrer, at der ved reparation, service og kassation af hardware sørges for sletning eller fortsat fortrolighed vedrørende personoplysninger på det berørte hardware.
3. Teknisk og logisk sikkerhed
3.1 Databehandleren har etableret følgende tekniske og logiske sikkerhedsforanstaltninger:
3.1.1 a) Databehandleren anvender logisk adgangskontrol med brugernavn og adgangskode eller anden entydig autorisation.
b) Databehandleren foretager regelmæssigt backup.
c) Databehandleren anvender firewall, som opdateres jævnligt.
d) Databehandleren anvender antivirusprogrammer, som opdateres jævnligt.
e) Databehandlerens websites og web-formularer anvender SSL certifikater/ HTTPS (Hyper Text Transfer Protocol Secure).
f) Databehandleren fører log og kontrol af uautoriserede eller gentagne mislykkede forsøg på log-in.
4. Fysisk sikkerhed
4.1 Databehandleren har etableret følgende fysiske sikkerhedsforanstaltninger:
4.1.1 a) Databehandlerens udstyr (herunder PC'er, eventuelle servere mv.) er sikret bag låste døre og/eller aflåste skabe.
b) Databehandleren anvender alarmsystem til at opdage og forhindre indbrud.
c) Databehandleren anvender brandalarm og røgdetektorer til at opdage og forhindre ildebrande.
d) Databehandleren anvender kontrolproces eller kontrolsystem til kontrol med besøgendes identitet.
Underbilag C
1. Godkendte Underdatabehandlere
1.1 Databehandleren anvender ikke underdatabehandlere til at levere Hovedydelserne på tidspunktet for indgåelse af Databehandleraftalen.
2. Nye Underdatabehandlere
2.1 Nye Underdatabehandlere kan tages i brug af Databehandleren ved at tilføje og opdatere disse i et separat dokument i forlængelse af dette underbilag, som sendes til godkendelse hos den Dataansvarlige i overensstemmelse med GDPR artikel 28, stk. 2, før en ny Underdatabehandler tages i brug.