MySolutionSpace ApS
MySolutionSpace ApS
Måløv Xxxxx 000.V.
2760 Måløv
CVR: 34 46 36 89
Databehandleraftale
[Part] [Adresse] [Adresse] CVR-nr.: [XX]
(den ”Dataansvarlige”) og
MySolutionSpace ApS
Måløv Xxxxx 000.V. 2760 Måløv Danmark
CVR-nr.: 34 46 36 89
(“Databehandleren”)
(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt “Part” og under et “Par- terne”)
har indgået følgende aftale om behandling af personoplysninger (”Aftalen”):
1. Baggrund for Datebehandleraftalen
1.1 Denne aftale, som er baseret på Dansk Industri’s Standard Databehandleraftale skabelon, fast- sætter de rettigheder og forpligtelser, som finder anvendelse når Databehandleren foretager be- handling af personoplysninger på vegne af den Dataansvarlige.
1.2 Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parla- mentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske perso- ner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplys- ninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller spe- cifikke krav til indholdet af en databehandleraftale.
1.3 Aftalen er en integreret del af Licensaftalen mellem Databehandleren og den Dataansvarlige for adgang til og brug af Tilbudssystemet Toolkit+.
2. Personoplysninger og databehandling
2.1 Som led i Databehandlerens tjenesteydelser for den Dataansvarlige behandler Databehandle- ren, jf. denne Aftale, oplysninger om den Dataansvarliges Kunder af Tilbudssystemet Toolkit+ (herefter benævnt ”Registrerede”) på vegne af den Dataansvarlige.
2.2 Databehandleren behandler følgende kategorier af personoplysninger (herefter benævnt ”Per- sonoplysninger”) om de Registrerede på vegne af den Dataansvarlige:
- Særlige kategorier af personoplysninger: Der opbevares ingen særlige personoplysninger.
- Generelle kategorier af personoplysninger: Kundens navn, adresse, CVR-nummer, telefonnum- mer, kundenummer, kontaktpersoner med telefonnummer og email adresse samt leverings- adresser.
- Straffeoplysninger: Ingen
- Oplysninger om nationalt identifikationsnummer: Nej
2.3 Databehandlerens behandling af Personoplysninger for den Dataansvarlige sker til følgende for- mål: Hosted Tilbudsløsning til håndtering af den Dataansvarliges tilbudsaktivitet over for sine eksisterende og mulige kunder.
2.4 Databehandlerens behandling af Personoplysninger for den Dataansvarlige omfatter følgende aktiviteter:
- Opbevaring af Firma og Personoplysninger og sikring af systemers tilgængelighed, integritet og fortrolighed
- Den Dataansvarlige står selv for indtastning eller indlæsning af ovennævnte oplysninger – eller kan kontrahere dette arbejde udført af Databehandleren på basis af oplysninger fra set eget Øko- nomisystem.
2.5 Databehandleren er ansvarlig for, at Personoplysningerne opbevares inden for EU/EØS og at Personoplysningerne ikke uden den Dataansvarliges forudgående, skriftlige accept overføres til lande uden for EU/EØS.
3. Instrukser og fortrolighed
3.1 Databehandleren må kun behandle Personoplysninger efter dokumenteret instruks fra den Da- taansvarlige, herunder for så vidt angår overførsel af Personoplysningerne til et tredjeland eller en international organisation. Databehandleren må dog undtagelsesvis behandle Personoplys- ninger, uden at dette følger af den Dataansvarliges instruks, såfremt det kræves i henhold EU- retten eller lovgivningen i en medlemsstat, som Databehandleren er underlagt. I så fald under- retter Databehandleren den Dataansvarlige om dette retlige krav, inden behandlingen finder sted, medmindre det er forbudt at foretage en sådan underretning af hensyn til vigtige sam- fundsmæssige interesser.
3.2 Databehandleren må ikke behandle Personoplysningerne til egne formål, medmindre det ud- trykkeligt fremgår af denne Aftale.
3.3 Databehandleren er underlagt fortrolighed, og Databehandleren må ikke uberettiget kopiere, videregive eller udnytte Personoplysningerne. Databehandleren skal sikre, at medarbejdere, der er autoriserede til at behandle Personoplysninger, har påtaget sig en kontraktlig fortroligheds- forpligtelse eller er underlagt en passende lovbestemt tavshedspligt.
3.4 Databehandleren skal sikre, at adgang til Personoplysningerne begrænses til medarbejdere med et arbejdsrelateret behov for adgang til oplysningerne.
4. Sikkerhed mv.
4.1 For at beskytte Personoplysningerne skal Databehandleren implementere passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder EU-forordning 2016/679 om Generel Databeskyttelse (herefter benævnt ”Databeskyttelsesforordning”). Sådanne foranstaltninger fastsættes og tilpasses løbende under hensyntagen til det aktuelle tek- niske niveau, omkostninger og behandlingens karakter, omfang, sammenhæng og formål samt risiciene for fysiske personers rettigheder.
4.2 Databehandleren skal sørge for, at Personoplysningerne slettes fra samtlige IT-systemer, arki- ver m.v., når fortsat opbevaring ikke længere tjener et sagligt formål og den Dataansvarlige giver instruks herom.
4.3 Databehandleren skal informere og uddanne relevante medarbejdere i fortrolighed for behand- ling af personoplysninger og skal sikre, at behandling sker i henhold til Aftalens formål og den Dataansvarliges instrukser.
4.4 Herudover skal databehandleren som minimum anvende følgende foranstaltninger:
4.4.1 Fysisk sikkerhed: Når udstyr og mobile enheder ikke anvendes, skal udstyret og enhederne være låst og/eller låst inde.
4.4.2 Sikkerhedskopier: Personoplysningerne skal rutinemæssigt sikkerhedskopieres. Kopierne skal opbevares adskilt og forsvarligt, således at Personoplysningerne kan genskabes. Instruks om sletning af Personoplysninger omfatter sletning af Personoplysninger indeholdt i sikkerhedsko- pier.
4.4.3 Adgangskontrol: Adgangen til Personoplysningerne skal begrænses med en teknisk adgangs- kontrol. Bruger-ID og kodeord skal være personlige og må ikke overdrages. Der skal findes for- retningsgange for tildeling og lukning af adgang.
4.4.4 Logning: Der skal føres log eller lignende funktion over tilgang og behandling af Personoplys- ningerne. Det skal være muligt at se, hvilke personer, som har haft adgang og den behandling, som den enkelte har foretaget.
4.4.5 Datakommunikation: Kommunikation af Personoplysningerne skal ske over sikre forbindelser. Personoplysninger, der overføres uden for et lukket netværk kontrolleret af Databehandleren, skal beskyttes med kryptering.
4.4.6 Hardware destruktion: Når udstyr eller mobile enheder, som indeholder Personoplysninger, ikke længere anvendes til behandlingen af Personoplysningerne, skal Personoplysningerne per- manent slettes på udstyret, så oplysningerne ikke kan genskabes.
5. Underdatabehandlere
5.1 Databehandleren er med forbehold af pkt. 5.3 hermed bemyndiget til at gøre brug af underda- tabehandlere uden at skulle indhente yderligere skriftlig tilladelse fra den Dataansvarlige, for- udsat at Databehandleren skriftligt underretter den Dataansvarlige om identiteten på den po- tentielle underdatabehandler (og dennes eventuelle databehandlere) inden indgåelse af aftale med de pågældende underdatabehandlere, hvorved den Dataansvarlige får mulighed for at gøre indsigelse.
Note: Tilbudsløsningen Toolkit+ hostes hos CURAit A/S, Værkstedsgården 14, 2620 Alberts- lund, CVR-nr: 32 44 42 88. Der er indgået en tilsvarende Databehandleraftale med CURAit A/S.
5.2 Underretninger og mulighed for at gøre indsigelse efter pkt. 5.1 skal tilsvarende gives ved even- tuelt planlagte ændringer vedrørende tilføjelse, erstatning eller ophør af anvendelse af under- databehandlere. En indsigelse skal være Databehandleren i hænde senest 7 dage efter modta- gelsen hos den Dataansvarlige.
5.3 Det er en forudsætning for antagelse af en underdatabehandler, at Databehandleren indgår en skriftlig aftale med underdatabehandleren om, at underdatabehandleren pålægges de samme databeskyttelsesforpligtelser og kontraktuelle betingelser, som dem der er fastsat i Aftalen, her- under at underdatabehandleren skal gennemføre passende tekniske og organisatoriske foran- staltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelsesforordnin- gen.
5.4 Databehandleren er ansvarlig over for den Dataansvarlige for eventuelle underdatabehandlere på samme måde som for Databehandlerens egne handlinger og undladelser.
6. Bistand til den Dataansvarlige
6.1 Databehandleren skal bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i henhold til Artikel 32 til 36 i Databeskyttelsesforordningen og anden gældende databeskyttel- ses- og informationssikkerhedslovgivning, dvs. sikkerhedsforanstaltninger, underretning af til- synsmyndigheder, underretning af individuelle personer, udarbejdelse af konsekvensanalyser vedrørende databeskyttelse og forudgående høring hos tilsynsmyndigheder mv.
6.2 Under hensyntagen til behandlingens karakter skal Databehandleren så vidt muligt bistå den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyl- delse af den Dataansvarliges lovmæssige forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i Databeskyttelsesforordningens Kapitel III.
6.3 Databehandleren skal omgående underrette den Dataansvarlige ved konstatering af brud på sik- kerheden af betydning for Personoplysningerne.
6.4 Databehandleren skal omgående informere den Dataansvarlige, hvis Databehandleren mener, at en instruks overtræder Databeskyttelsesforordningen eller andre databeskyttelsesbestem- melser i anden EU-ret eller medlemsstaters nationale ret.
7. Påvisning af overholdelse, revisioner mv.
7.1 Databehandleren skal efter anmodning og uden særskilt vederlag stille alle de oplysninger til rådighed for den Dataansvarlige, der er nødvendige for at påvise overholdelse af forpligtelserne i Aftalen, Databeskyttelsesforordningen og eventuel særlovgivning.
7.2 Databehandleren skal give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller revisorer bemyndiget af den Dataansvarlige, de offentlige myndigheder i Danmark eller af anden kompetent jurisdiktion. Den pågældende revisor skal være underlagt fortrolighed, enten aftalemæssigt eller ved lov.
8. Varighed og ophør
8.1 Aftalen træder i kraft ved indgåelsen og skal gælde, indtil den opsiges af en af Parterne med 3 [tre] måneders varsel.
8.2 Ved Aftalens ophør skal Databehandleren tilbagelevere alle Personoplysningerne til den Data- ansvarlige eller aflevere Personoplysningerne til en ny databehandler efter den Dataansvarliges instruks. Herefter er Databehandleren forpligtet til omgående at slette alle eksisterende kopier af Personoplysningerne, medmindre EU-retten eller lovgivningen i en medlemsstat foreskriver fortsat opbevaring af Personoplysningerne.
8.3 Hvis der efter ophør af Aftalen opstår tvivl om, hvorvidt Databehandleren har slettet alle Per- sonoplysningerne, kan den Dataansvarlige anmode Databehandleren om for egen regning at indhente en revisionserklæring, der påviser at databehandlingen ikke fortsat pågår og at Per- sonoplysningerne er blevet slettet.
9. Underskrifter
9.1 Aftalen underskrives i to enslydende originale eksemplarer, hvoraf Den Dataansvarlige og Dta- behandleren hver modtager et eksemplar.
For Databehandleren | For den Dataansvarlige | ||
Sted: Dato: Firmanavn: | Måløv 19. juni 2018 MySolutionSpace ApS | Sted: Dato: Firmanavn: | |
Navn: | Xxxxxxxxx Xxxxxxx | Xxxx: | |
Position | Salgsdirektør | Position | |
Underskrift | Underskrift | ||