Generel Databehandleraftale for Vitec Datamanns kunder
Generel Databehandleraftale for Vitec Datamanns kunder
Denne Databehandleraftale (Herefter benævnt: ”aftalen") er indgået i overensstemmelse
med de nationale databeskyttelsesregler for personoplysninger og Europa-Parlamentets og Europa Rådets forordning (EU) 2016/679 (GDPR). Vitec Datamann A/S ("Databehandleren") har fastlagt sine aktiviteter som Databehandler på vegne af sine kunder (”Dataansvarlige”) som beskrevet nedenfor. Vitec Datamanns medarbejdere kan blive Databehandlere på
vegne af dataansvarlige efter instruktion. Denne aftale træder i kraft den 1. september 2023 og er en integreret del af Vitec Xxxxxxxxx generelle betingelser for service og support. Ved benævnelse af Vitec Datamann forstås hermed også eventuelle under-selskaber.
1. Generel Databehandling
Vitec Datamann fungerer som Databehandler, når vi tilgår dataansvarliges data på en ASP- server (for Vitec Datamanns systemløsninger Auto ASP og WeDo ASP) eller når
dataansvarliges data tilgås på deres egne servere. For yderligere beskrivelser af ASP- løsninger henvises til ”Tillæg til AutoVision (ASP) og Tillæg for Vitec Ejendom (ASP)” i forlængelse af Vitec Datamanns handelsvilkår. Vitec Datamann fungerer også som Databehandler, når vi assisterer i support situationer og overtager betjeningen af dataansvarliges brugeres terminaler. Disse aktiviteter er omfattet af denne Aftale. Vitec Datamanns systemløsninger og data er placeret i servercenter i EU.
2. Behandling af personoplysninger (forpligtelser og rettigheder)
Vitec Datamanns medarbejdere må kun behandle personoplysninger på vegne af dataansvarlige i overensstemmelse med instruktioner fra denne. Disse instruktioner kan typisk gives via e-mail, eller dertil indrettet system til direkte kommunikation med dataansvarlige.
Datatilsynet understreger, at Databehandleren skal følge følgende retningslinjer, jævnfør artikel 24 i persondataforordningen.
1. Databehandleren skal alene behandle personoplysninger efter
dokumenterede instruktioner fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. I så fald skal Databehandleren underrette den dataansvarlige om dette retlige krav inden behandlingen, medmindre dette er forbudt af hensyn til vigtige samfundsmæssige interesser.
2. Den dataansvarlige skal sørge for, at der gives instruktioner til databehandleren om, hvordan personoplysninger skal behandles, herunder
Vitec Datamann A/S | ||
Hørkær 24 - 2 sal | 1 (5) | |
DK 2730 Herlev, Danmark | CVR NR: 59 94 35 10 |
vedrørende overførsel af personoplysninger til tredjelande eller internationale organisationer, og at disse instruktioner dokumenteres.
3. Den dataansvarlige skal kun vælge databehandlere, der kan give tilstrækkelig garanti for at gennemføre de tekniske og organisatoriske foranstaltninger, der er nødvendige for at opfylde kravene i denne forordning og beskytte rettighederne for den registrerede.
4. Bestemmelserne i denne forordning vedrørende databehandleren gælder også for underdatabehandleren og for personer, der arbejder under databehandlerens eller underdatabehandlerens myndighed.
3. Databehandleren handler efter instruks
Databehandleren må kun behandle personoplysninger efter instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret enten via e-mail eller dertil indrettet system til direkte kommunikation med dataansvarlige. Ligeledes kan instruksen gives af dataansvarliges medarbejder via telefonisk henvendelse. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk.
Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4. Fortrolighed og tavshedspligt
Databehandleren skal sikre, at kun autoriserede personer har adgang til de
personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til
oplysningerne skal straks ophøre, hvis autorisationen inddrages eller udløber. Kun personer, der har et nødvendigt formål, skal have adgang til personoplysningerne, og de skal
forpligtes til fortrolighed eller være underlagt passende lovbestemt tavshedspligt.
Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
5. Behandlingssikkerhed
Databehandleren skal træffe passende tekniske og organisatoriske foranstaltninger i henhold til artikel 32 i databeskyttelsesforordningen for at beskytte personoplysninger og sikre et passende sikkerhedsniveau. Parternes eventuelle aftale om vederlæggelse vedrørende behandlingssikkerhed vil fremgå af hovedaftalen. Vitec Datamann yder normalt den ønskede bistand og fakturerer dataansvarlige efter forbrugt tid.
Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
1. Pseudonymisering og kryptering af personoplysninger
2. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
3. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
4. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres.
6. Eventuel anvendelse af underdatabehandlere
Databehandleren skal overholde betingelserne i artikel 28, stk. 2 og 4 i
databeskyttelsesforordningen for at bruge underdatabehandlere. Databehandleren må ikke bruge en anden databehandler til opfyldelse af denne aftale uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere.
Databehandleren skal pålægge underdatabehandleren de samme
databeskyttelsesforpligtelser som dem, der er fastsat i denne aftale, gennem en kontrakt eller andet retligt dokument i overensstemmelse med EU-retten eller medlemsstaternes nationale ret. Databehandleren er ansvarlig for at sikre, at underdatabehandleren opfylder sine databeskyttelsesforpligtelser, og eventuelle ændringer i underdatabehandleraftalen skal sendes i kopi til den dataansvarlige.
7. Eventuel overførsel af oplysninger til tredjelande eller internationale organisationer
Databehandleren må kun behandle personoplysninger efter dokumenteret instruktion fra den dataansvarlige vedrørende overførsel af personoplysninger til tredjelande eller
internationale organisationer. Uden den dataansvarliges instruktion eller godkendelse kan databehandleren ikke overføre personoplysninger til tredjelande eller internationale organisationer, medmindre dette er krævet i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt.
8. Databehandlerens bistand til den dataansvarlige
Databehandleren bistår den dataansvarlige med passende tekniske og organisatoriske
foranstaltninger for at besvare anmodninger om udøvelsen af de registreredes rettigheder i overensstemmelse med databeskyttelsesforordningens kapitel 3. Dette inkluderer at hjælpe den dataansvarlige med at opfylde oplysningspligten, indsigtsretten, retten til berigtigelse, retten til sletning, retten til begrænsning af behandling, retten til dataportabilitet, retten til indsigelse og retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering.
9. Underretning om brud på persondatasikkerheden
Databehandleren skal unødig forsinkelse underrette den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.
10. Sletning og tilbagelevering af oplysninger
Ved ophør af tjenesterne vedrørende behandling forpligter databehandleren sig til enten at slette, eller tilbagelevere alle personoplysninger til den dataansvarlige efter den
dataansvarliges valg. Dette inkluderer også sletning af eksisterende kopier, medmindre EU- retten eller national ret foreskriver opbevaring af personoplysningerne.
11. Tilsyn og revision
Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af denne aftale og databeskyttelsesforordningen, til rådighed for den dataansvarlige og
muliggør revisioner og inspektioner. Databehandleren forpligter sig til at give myndigheder adgang til faciliteterne og samarbejde i forbindelse med tilsyn og revision i
overensstemmelse med gældende lovgivning. Eventuelle kommercielle vilkår vedrørende tilsyn og revision vil blive specificeret i hovedaftalen.
12. Ikrafttræden og ophør
Aftalen træder i kraft på datoen for begge parters underskrift på aftale om databehandlerens systemløsninger Auto ASP og WeDo ASP samt afvikling af samme på dataansvarliges egne servere.
Aftalen er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan aftalen ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.
Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstemmelse med punkt 10 i aftalen, kan aftalen opsiges med skriftlig varsel af begge parter. Denne aftale ophører uden videre varsel når dataansvarlige udtræder af de generelle handelsbetingelser med databehandleren i forbindelse med levering af systemløsningerne nævnt i punkt 1.