Databehandleraftale
Bilag A
1. Indledning
1.1 Denne aftale vedrørende behandling af personoplysninger (”Databehandleraftalen”) regulerer FutureLink Development ApS & FutureLink Solutions ApS’, CVR nr. 33771916 & 36401184 (”Databehandleren”) behandling af personoplysninger på vegne af Kunden (den ”Dataansvarlige”) og er et bilag til Aftale om brug af BatchFlow suiten.
(”Hovedaftalen”), hvori parterne har aftalt de nærmere vilkår for Databehandlerens levering af ydelser (”Hovedydelserne”).
2. Lovgivning
2.1 Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende
persondataretlige regulering (”Databeskyttelseslovgivningen”), herunder navnlig:
(i) Europa-Parlamentets og Rådets Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger som gennemført i persondataloven (lov 2000-05-31 nr. 429 med senere ændringer) og anden gældende lovgivning,
(ii) Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, som trådte i kraft den 24. maj 2016 og bliver gældende i Danmark den 25. maj 2018 (“GDPR“), herunder ved vedtagelsen af databeskyttelsesloven. Uanset de generelle henvisninger til GDPR i Databehandleraftalen forpligter GDPR først parterne pr. den 25. maj 2018.
3. Behandling af personoplysninger
3.1 I forbindelse med levering af Hovedydelserne behandler Databehandleren personoplysninger på vegne af den Dataansvarlige.
3.2 ”Personoplysninger” omfatter “enhver form for information om en identificeret eller identificerbar fysisk person” som defineret i GDPR, artikel 4, stk. 1, nr. 1
(”Personoplysningerne”). Personoplysningerne og kategorierne af registrerede omfattet af Databehandleraftalen er oplistet i underbilag A, der bliver ajourført jævnligt i Databehandlerens fortegnelse over behandlingsaktiviteter, som Databehandleren udleverer til den Dataansvarlige efter skriftlig anmodning
herom. Databehandlerens behandlingsaktiviteter og formål med behandling af Personoplysningerne er alene at levere Hovedydelserne.
3.3 Databehandlerens behandler personoplysninger om den Dataansvarlige og dennes medarbejdere som led i Databehandlerens eget salg, markedsføring og produktudvikling. For disse personoplysninger og for denne behandling er Databehandleren dataansvarlig, og der henvises til persondatapolitik herom, som er tilgængelig på Databehandlerens hjemmeside.
4. Instruks
4.1 Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruksen”). Instruksen på underskriftstidspunktet er, at Databehandleren må behandle Personoplysningerne med henblik på levering af Hovedydelserne og i øvrigt i overensstemmelse med denne Databehandleraftale.
4.2 Den Dataansvarlige garanterer, at Personoplysningerne, som overlades til Databehandleren, af den Dataansvarlige behandles og overlades i overensstemmelse med den til enhver tid gældende lovgivning, herunder Databeskyttelseslovgivningens regler om behandlingshjemmel og oplysningspligt over for de registrerede.
4.3 Databehandleren skal uden unødvendig forsinkelse informere den Dataansvarlige, hvis Databehandleren mener, at den gældende Instruks overtræder Databeskyttelseslovgivningen.
5. Databehandlerens forpligtelser
5.1 Fortrolighed
5.1.1 Databehandleren skal behandle Personoplysningerne strengt fortrolige. Personoplysningerne må ikke kopieres, videregives eller behandles uden for Instruksen uden den Dataansvarliges udtrykkelige og forudgående tilladelse.
5.1.2 Databehandlerens medarbejdere skal have påtaget sig en fortrolighedsforpligtelse, som indebærer, at medarbejderne er underlagt tavshedspligt om alle forhold vedrørende Personoplysningerne.
5.2 Sikkerhed
5.2.1 Databehandleren gennemfører de nødvendige tekniske og organisatoriske foranstaltninger for at sikre databeskyttelse i overensstemmelse med Databeskyttelseslovgivningen og i overensstemmelse med GDPR artikel 32.
5.3 Databehandleren sikrer, at adgangen til Personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.
5.4 Databehandleren sikrer ligeledes, at medarbejdere, der behandler Personoplysningerne for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.
5.4.1 Databehandleren udleverer efter skriftlig anmodning herom fra den Dataansvarlige dokumentation på Databehandlerens sikkerhedsforanstaltninger.
5.5 Konsekvensanalyser og forudgående høring
5.5.1 Hvis Databehandlerens bistand er nødvendig og relevant, skal Databehandleren bistå den Dataansvarlige med udarbejdelsen af eventuelle lovpligtige konsekvensanalyser i overensstemmelse med GDPR, artikel 35, samt eventuelle forudgående høringer i overensstemmelse med GDPR, artikel 36.
5.6 De registreredes rettigheder
5.6.1 Hvis den Dataansvarlige modtager en anmodning fra en person om udøvelsen af personens rettigheder efter Databeskyttelseslovgivningen, og korrekt besvarelse af anmodningen kræver bistand fra Databehandleren, skal Databehandleren bistå den Dataansvarlige med nødvendige og relevante oplysninger og dokumentation. Data behandleren skal gives rimelig tid til at levere denne bistand i overensstemmelse med fristerne herfor i Databeskyttelseslovgivningen.
5.6.2 Hvis Databehandleren modtager en anmodning fra en person om udøvelsen af personens rettigheder efter Databeskyttelseslovgivningen, og anmodningen vedrører den Dataansvarliges Personoplysninger, skal Databehandleren uden unødvendig forsinkelse videresende anmodningen til den Dataansvarlige.
5.7 Sikkerhedsbrud
5.7.1 Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til
Personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
5.7.2 Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.
5.7.3 Databehandleren skal vedligeholde en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende:
(i) De faktiske omstændigheder omkring Sikkerhedsbruddet,
(ii) Sikkerhedsbruddets virkninger og
(iii) de trufne afhjælpningsforanstaltninger.
5.7.4 Fortegnelsen over Sikkerhedsbrud skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne.
5.8 Dokumentation af overholdelse af Databehandleraftalen
5.8.1 Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren:
(i) overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.
(ii) overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.
5.8.2 Databehandlerens dokumentation heraf skal ske inden rimelig tid.
5.9 Placering af Personoplysningerne
5.9.1 Personoplysningerne behandles kun af Databehandleren på Databehandlerens adresse. Databehandleren overfører ikke Personoplysningerne til tredjelande eller internationale organisationer.
5.9.2 Fremtidig overførsel af Personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt i medfør af Databeskyttelseslovgivningen.
6. Underdatabehandlere
6.1 Databehandleren må generelt gøre brug af tredjeparter til behandlingen af Personoplysningerne for den
Dataansvarlige (”Underdatabehandler”), i det omfang
Databehandleren giver meddelelse herom til den Dataansvarlige for hver Underdatabehandler, før behandlingen påbegyndes af Underdatabehandleren, således at den Dataansvarlige har mulighed for at gøre saglig indsigelse over for Databehandlerens valg af Underdatabehandler. Hvis den Dataansvarlige ønsker at gøre indsigelser herimod, skal den Dataansvarlige give skriftlig meddelelse herom inden for 7 kalenderdage efter modtagelse af Databehandlerens meddelelse om tilføjelsen eller ændringen af en Underdatabehandler. Manglende indsigelse fra den Dataansvarlige vil blive anset for et stiltiende samtykke til underdatabehandlingen.
6.2 Databehandleren skal indgå skriftlig aftale med eventuelle Underdatabehandlere, som pålægger Underdatabehandlerne de samme databeskyttelsesforpligtelser, som påhviler Databehandleren, herunder i medfør af denne Databehandleraftale. Databehandleren skal ligeledes føre løbende kontrol med sine Underdatabehandlere, og dokumentation herfor skal kunne forevises den Dataansvarlige.
6.3 Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.
6.4 Databehandleren benytter på tidspunktet for indgåelsen af Databehandleraftalen de Underdatabehandlere, der fremgår af underbilag B. Ved Databehandlerens benyttelse af nye Underdatabehandlere, skal disse tilføjes under punkt 2 i underbilag B.
7. Vederlag og omkostninger
7.1 Den Dataansvarlige skal betale Databehandleren vederlag efter medgået tid til opfyldelse af punkt 5.5, 5.6,
5.7 og 5.8 i denne Databehandleraftale. Ved beregning af vederlaget skal Databehandlerens gældende timepriser anvendes.
7.2 Databehandleren har også krav på vederlag for forbrugt tid og materiale brugt til gennemførelse af den Dataansvarliges eventuelle ændringer af Instruksen, herunder implementeringsomkostninger og forøgede omkostninger til levering af Hovedydelserne.
Databehandleren er fritaget for ansvar for manglende levering af Hovedydelserne i det omfang (herunder tidsmæssigt), at levering heraf vil være i strid med den ændrede Instruks, eller levering i overensstemmelse med den ændrede Instruks er umulig. Dette kan eksempelvis være tilfældet, (i) hvor ændringerne ikke teknisk, praktisk eller juridisk kan implementeres, (ii) hvor den Dataansvarlige eksplicit meddeler, at ændringerne skal være gældende, før implementeringen er mulig eller (iii) i tidsrummet indtil Parterne får gennemført eventuelle nødvendige ændringer af Hovedaftalen i overensstemmelse med ændringsprocedurerne heri.
7.3 Hvis ændringer i Databeskyttelseslovgivningen, herunder fortolkningerne heraf og vejledninger hertil, resulterer i væsentlige forøgede omkostninger for Databehandleren, skal den Dataansvarlige skadesløsholde Databehandleren for dokumenterede meromkostninger som følge deraf.
8. Misligholdelse og ansvar
8.1 Hovedaftalens regulering af misligholdelse, ansvar og ansvarsbegrænsninger finder anvendelse for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.
8.2 Parternes ansvar for alle kumulerede krav i henhold til denne Databehandleraftale er begrænset til de samlede forfaldne betalinger i henhold til Hovedydelserne for den 12 måneders periode, der går umiddelbart forud for en eventuel skadegørende omstændighed. Hvis Databehandleraftalen ikke har været i kraft i 12 måneder, opgøres beløbet
forholdsmæssigt på baggrund af den aftalte betaling i den periode, som Databehandleraftalen har været i kraft.
8.3 Ansvarsbegrænsningen omfatter ikke følgende:
(i) Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger.
(ii) Udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtigelser over for en tilsynsmyndighed.
9. Varighed
9.1 Databehandleraftalen gælder, indtil Hovedaftalen ophører, eller Databehandleraftalen opsiges eller ophæves.
10. Ophør
10.1 Databehandlerens bemyndigelse til at behandle Personoplysningerne på vegne af den Dataansvarlige bortfaller ved Databehandleraftalens ophør, uanset årsag.
10.2 Databehandleren må fortsat behandle Personoplysningerne i op til tre måneder efter Databehandleraftalens ophør, i det omfang dette er nødvendigt for at fortage nødvendige lovpligtige foranstaltninger. I samme periode er Databehandleren berettiget til at lade personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure.
Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
10.3 Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle Personoplysningerne, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af Personoplysningerne. Databehandleren er herefter forpligtet til at slette alle
Personoplysningerne fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
11. Kontakt
11.1 Kontaktoplysninger for den Dataansvarlige og Databehandleren følger af Hovedaftalen.
Underbilag A
1. Personoplysninger
1.1 Databehandleren behandler følgende typer Personoplysninger som led i levering af Hovedydelsen:
(i) Almindelige kontaktoplysninger på de personer, der er kontakter hos den Dataansvarlige.
(ii) Registrering af brugere af systemet med: navn, telefonnummer, e-mail samt brugerniveau: trial, standard bruger, administrator.
(iii) Brugernes eventuelle indtastede personoplysninger ved brug af BatchFlow suiten (dette ser og tilgår Databehandleren ikke, medmindre Databehandleren på den Dataansvarliges opfordring bistår med fejlretning og support på specifikke data).
2. Registrerede
2.1 Databehandleren behandler personoplysninger om følgende kategorier af registrerede på vegne af den Dataansvarlige:
(i) Kunder
(ii) Slutbrugere
Underbilag B
1. Godkendte Underdatabehandlere
1.1 Følgende Underdatabehandlere er godkendt på tidspunktet for Databehandleraftalens indgåelse på de betingelser, der følger af Databehandleraftalen og Databeskyttelseslovgivningen:
(i) Hosting leverandør: Hostingkompagniet A/S, Lersø Xxxxxxxx 000, 0000 Xxxxxxxxx X
(i) Hosting leverandør, Cloud services, Azure, PowerBI: Microsoft Coporation, Microsoft Corporation, Xxx Xxxxxxxxx Xxx, Xxxxxxx, Xxxxxxxxxx 00000 XXX
(ii) Leverandør af data ved tillægsaftale;
Broadway 33 Aps , Bilagscan, Xxxxxxxx 00X, 0. xxx, 0000 Xxxxxxxxx K Kofax Danmark A/X, Xxxxxxxxxxxxx 00, 0000 Xxxxxx
2. Nye Underdatabehandlere
2.1 Følgende Underdatabehandlere er taget i brug og meddelt den Dataansvarlige efter Databehandleraftalens ikrafttrædelse, hvorefter dette bilag er opdateret: (i)
[indsættes når/hvis relevant]
Ikrafttræden og ophør
1. Denne aftale træder i kraft ved begge parters underskrift heraf.
2. Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
3. Parternes eventuelle regulering/aftale om vederlæggelse, betingelser eller lignende i forbindelse med ændringer af
denne aftale vil fremgå af parternes ”hovedaftale”.
4. Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af
”hovedaftalen”.
5. Aftalen er gældende, så længe behandlingen består. Uanset ”hovedaftalens” og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.
6. Underskrift
For
FutureLink Solutions ApS Xxxxx Xxxxxxxxxxxxxx Telefonnummer x00 00000000 E-mail xxx@xxxxxxxxxx.xx
For (kunden)
XX
Navn Titel