Databehandleraftale
Databehandleraftale
Senest revideret d. 21. Oktober 2021
Indledning
Som en del af parternes Aftale, gælder følgende Databehandleraftale mellem Databehandleren, Intempus ApS og den Dataansvarlige, Kunden, medmindre andet er udtrykkeligt specificeret i andre aftaler mellem parterne.
Formålet med Databehandleraftalen er at regulere, hvordan og til hvilket formål Databehandleren skal be- handle Personoplysninger på vegne af den Dataansvarlige samt at sikre, at den Dataansvarliges Personop- lysninger behandles i henhold til den Dataansvarliges retningslinjer og instrukser samt gældende databe- skyttelseslovgivning.
Kategorier af Registrerede og Personoplysninger, der behandles, fremgår af bilag A.
Definitioner
Personoplysninger, Særlige kategorier af Personoplysninger (Følsomme persondata), Behandling af person- oplysninger, den Registrerede, den Dataansvarlige og Databehandler skal have den betydning, som følger af gældende lovgivning om behandling af personoplysninger herunder Databeskyttelsesforordningen (GDPR).
Den Dataansvarliges forpligtelser
Den Dataansvarlige har ansvaret for, at behandlingen af Personoplysninger lever op til kravene i Databeskyt- telsesforordningen og Databeskyttelsesloven. Den Dataansvarlige er ved brug af de tjenester, som Databe- handler stiller til rådighed i henhold til Aftalen, forpligtet til at behandle Personoplysninger i overensstem- melse med bestemmelserne i gældende lovgivning, herunder bl.a. ved at:
• sikre, at behandlingen af Personoplysninger opfylder Databeskyttelsesforordningen,
• sikre, at de registrerede er oplyst om behandlingen af Personoplysninger,
• sikre, at instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering,
• sikre, at instruksen er hensigtsmæssig set i forhold til denne databehandleraftale og hovedydelsen,
• sikre, at den dataansvarliges brugere er ajourførte,
• sikre, at de har indført detaljerede procedurer varetagelse af den registrerede rettigheder
Databehandlerens forpligtelser
Databehandleren behandler udelukkende Personoplysninger på vegne af og på baggrund af instrukser fra den Dataansvarlige.
Databehandling skal ske på følgende måde:
• Alene i overensstemmelse med gældende lovgivning,
• For at opfylde alle forpligtelser i henhold til Xxxxxxx,
• Som nærmere angivet gennem den Dataansvarliges almindelige brug af Databehandlerens tjenester,
• Som angivet i denne Databehandleraftale.
Databehandler underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med Databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller med- lemsstaternes nationale ret.
Databehandler skal sikre, at Personoplysningerne er underlagt fortrolighed, integritet og tilgængelighed i henhold til gældende lovgivning om behandling af personoplysninger. Databehandler og dennes medar- bejdere skal sikre fortrolighed vedrørende de behandlede Personoplysninger. Denne bestemmelse gælder også efter Aftalens ophør.
Databehandler sikrer, at de personer, der er autoriseret til at behandle Personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Databehandler skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt, for opfyldelse af den Dataansvarliges forpligtelser til at svare på anmodninger fra Regi- strerede og om generel udøvelse af Registreredes rettigheder i henhold til Databeskyttelsesforordningens Kapitel 3 og Artikel 32 til 36.
Databehandler giver, uden unødig forsinkelse, meddelelse til den Dataansvarlige om hændelser, som den Dataansvarlige i henhold til lovgivningen er forpligtet til at meddele til Datatilsynet eller Registrerede. Des- uden giver Databehandler, i det omfang det er lovligt, den Dataansvarlige meddelelse om:
• Anmodninger om videregivelse af Personoplysninger modtaget fra en Registreret.
• Anmodninger om videregivelse af Personoplysninger fra offentlige myndigheder, såsom politiet.
Databehandleren besvarer ikke direkte henvendelser fra Registrerede, medmindre der foreligger samtykke fra den Dataansvarlige.
Databehandleren videregiver ikke Personoplysninger til offentlige myndigheder, såsom politiet, medmindre
der foreligger lovligt grundlag.
Databehandleren har ikke ejerskab til, eller kontrol med, hvorvidt og hvordan den Dataansvarlige vælger at benytte sig af eventuel tredjeparts integrationer via Databehandler API, via direkte databasekobling eller lignende. Ansvaret for sådanne integrationer med tredjepart påhviler udelukkende Dataansvarlig.
Sikkerhed
Databehandler skal indføre systematiske, organisatoriske og tekniske foranstaltninger til sikring af et pas- sende sikkerhedsniveau under hensyntagen til teknologien og omkostningerne til indførelse i forhold til de risici, som behandlingen indebærer, samt arten af de Personoplysninger der skal beskyttes.
Databehandler er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og tjenester. Databehandler yder dette sikkerhedsniveau gennem organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger i hen- hold til kravene til informationssikkerhedsforanstaltninger, som fremgår af Databeskyttelsesforordningens
Artikel 32.
Desuden har de interne rammer for beskyttelse af personoplysninger til formål at sikre fortroligheden, in- tegriteten, sikkerheden og tilgængeligheden af personoplysninger. Følgende foranstaltninger har særlig be- tydning i denne forbindelse:
• Klassificering af Personoplysninger for at sikre iværksættelse af sikkerhedsforanstaltninger svarende til
risikovurderinger.
• Vurdering af brug af kryptering og anonymisering som risikobegrænsende foranstaltninger.
• Begrænsning af tilgang til Personoplysninger til dem, som har brug for adgang til opfyldelse af forplig- telser i henhold til Aftalen.
• Procedurer og arbejdsgange, for registrering, genoprettelse, forebyggelse og rapportering af brud i forbindelse med behandling af Personoplysninger.
Hvis den Dataansvarlige anmoder om oplysninger om sikkerhedsforanstaltninger, dokumentation eller an- dre former for oplysninger omkring, hvordan Databehandler behandler Personoplysninger, og sådanne overskrider de standardoplysninger, som Databehandler har stillet til rådighed for opfyldelse af gældende lovgivning om behandling af Personoplysninger som Databehandler, og dette medfører ekstra arbejde for Databehandler, er Databehandler berettiget til at opkræve den Dataansvarlige betaling for så danne ekstra arbejder.
Databehandler underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandler eller en eventuel underdatabehandler.
Kontrol
Den Dataansvarlige kan foretage kontrol for at påse, at Databehandler overholder denne Aftale, op til 1 gang om året.
Hvis det er et lovkrav gældende for den Dataansvarlige, kan den Dataansvarlige anmode om hyppigere kon- trol.
For at anmode om at foretage en kontrol skal den Dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til Databehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen.
Hvis tredjeparter skal foretage kontrollen, skal det som hovedregel aftales mellem Parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den Dataansvarlige Databehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter Data- behandlers valg.
Hvis det anmodede kontrolomfang er behandlet i ISAE, ISO eller lignende sikkerhedsrapport, varetaget af en kvalificeret tredjepartskontrollant inden for de sidste 12 måneder, og Databehandler bekræfter, at der ikke er foretaget nogle væsentlige ændringer i de kontrollerede foranstaltninger, bekræfter den Dataansvarlige at sådanne resultater accepteres i stedet for at anmode om en ny kontrol af de foranstaltninger, der er om- fattet af rapporten.
I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i medfør af Data- behandlers politikker og må ikke på urimelig måde gribe forstyrrende ind i Databehandlers forretningsdrift.
Den Dataansvarlige afholder alle omkostninger i forbindelse med den Dataansvarliges anmodede kontroller.
Ligeledes fakturerer Databehandler den Dataansvarlige for bistand, som overstiger den standardydelse, som Databehandler stiller til rådighed for opfyldelse af gældende lovgivning om behandling af personoplys- ninger.
Brug af underdatabehandlere og overførsel af data
Som en del af leveringen af tjenester til den Dataansvarlige har Databehandler den Dataansvarliges ge- nerelle tilladelse til at gøre brug af underdatabehandlere. Disse underdatabehandlere kan være eksterne tredjepartsleverandører.
Databehandler skal sikre, at underdatabehandlere pålægges de samme forpligtelser, som fastsat i denne Databehandleraftale. Enhver brug af underdatabehandlere er underlagt Intempus ApS’ Privacy Statement.
Den Dataansvarlige har ret til at anmode om at få et overblik over underdatabehandlere, der aktuelt gøres brug af, med adgang til Personoplysninger, som angivet i Bilag B. Desuden har den Dataansvarlige ret til at anmode om at få fuldt overblik og mere detaljerede oplysninger om disse underdatabehandlere.
Den Dataansvarlige skal på forhånd underrettes om eventuel udskiftning af underdatabehandlere, som be- handler Personoplysninger. Den Dataansvarlige kan gøre indsigelse mod ændringerne, såfremt den Dataan- svarlige har rimelige, konkrete årsager hertil.
Databehandler må ikke lade behandling af Personoplysninger foregå uden for EU/EØS uden den Dataan- svarliges samtykke.
Såfremt den Dataansvarlige giver samtykke til, at Databehandleren foretager behandling af Personoplys- ninger uden for EU/EØS, fremgår dette af bilag B. Databehandler skal sikre et korrekt juridisk grundlag for overførsel af Personoplysninger uden for EU/EØS på vegne af den Dataansvarlige, herunder ved indgåelse af EU-kommissionens Standardkontrakt, samt supplerende sikkerhedsforanstaltninger eller anden godkendt lovlig overførselsmekanisme.
Varighed og ophør
Denne Databehandleraftale er gældende, så længe Databehandler behandler Personoplysninger på vegne af den Dataansvarlige i henhold til Aftalen. Databehandleraftalen ophører automatisk ved opsigelse af Afta- len.
Ved denne Aftales ophør sletter, returnerer eller opbevarer Databehandler, de på vegne af den Dataansvar- lige behandlede Personoplysninger efter aftale med den Dataansvarlige.
Medmindre andet er skriftligt aftalt, tager omkostninger til sådanne foranstaltninger udgangspunkt i:
• Timetakst for den tid Databehandler har brugt, og
• Sværhedsgraden af den anmodede behandling.
Databehandler kan tilbageholde Personoplysninger efter opsigelse af Aftalen i det omfang, det er påkrævet ved lov, som er underlagt samme tekniske og organisatoriske sikkerhedsforanstaltninger, som fremgår af denne Databehandleraftale.
Ændringer og tilføjelser
Databehandleraftalen erstatter alle tidligere Databehandleraftaler indgået mellem Parterne.
Hvis nogen bestemmelse i denne Databehandleraftale bliver ugyldig, påvirker dette ikke gyldigheden af de øvrige bestemmelser. Parterne skal erstatte den ugyldige bestemmelse med en lovlig bestemmelse, der af- spejler formålet med den ugyldige bestemmelse.
Bilag A. Kategorier af Persondata og Registrerede
1) Kategorier af Registrerede og Persondata, der kan være underlagt behandling, i henhold til nær- værende Aftale
a) Kategorier af registrerede
i. Kundens slutbrugere
ii. Kundens medarbejdere
iii. Kundens kontaktpersoner
b) Kategorier af personoplysninger
i. Kontaktoplysninger som navn, adresse, mail, telefon
ii. Stillingskategori, oplysninger om løn, arbejdssted, arbejdstid, fravær, GPS-position, kørsel, udlæg, diæter
iii. evt. øvrige personoplysninger, der er nødvendige for, at den Dataansvarlige kan administrere ansættel- sesforholdet.
c) Behandlingsaktiviteter
Databehandleren varetager via it-systemer håndteringen af den Dataansvarliges administration, opbevaring og lagring af Personoplysninger om den Dataansvarlige og den Dataansvarliges medarbejdere samt kan håndtere rapportering og overførsel af information til den Dataansvarliges regnskabs- og lønsystem.
Herudover forestår Databehandleren drift, test, vedligeholdelse, udvikling samt fejlretning af systemer og applikationer.
Databehandleren anvender som udgangspunkt ikke personoplysninger i forbindelse med test. Personoplys- ninger kan dog indgå i en test eller fejlretning, hvis det er vanskeligt eller umuligt at konstruere testen eller fejlen uden at anvende et minimum af personoplysninger. Databehandleren er i dette tilfælde ikke forpligtet til særskilt at advisere den dataansvarlige.
Såfremt databehandleren anvender personoplysninger i test, er det en betingelse, at testmiljøet overholder mindst samme krav til databeskyttelse, som ved behandling af personoplysninger i øvrigt. Behandling vil til enhver tid ske i overensstemmelse med databehandlerens interne retningslinjer for testdata.
2) Typer af følsomme persondata, der er underlagt behandling, i henhold til Aftalen
Den Dataansvarlige skal give Databehandler meddelelse om, og angive nedenfor, eventuelle typer følsomme persondata i henhold til gældende lovgivning.
Databehandler skal på vegne af den Dataansvarlige behandle oplysninger om: | Ja | Nej |
Race eller etnisk, politisk, filosofisk eller religiøs overbevisning | X | |
At en person er mistænkt, sigtet eller dømt for en forbrydelse | X | |
Helbredsoplysninger | X | |
Seksuel orientering | X | |
Medlemskab af fagforening | X | |
Genetiske eller biometriske data | X |
Bilag B. Oversigt over aktuelle underdatabehandlere
Navn | CVR-nr. | Sted/land | Bistår Databehandleren med |
DigitalOcean | EU528002224 | Data lokation: Interxion Deutschland GmbH Frankfurt DE-FRA1 Xxxxxxx Xxxxxxxxxx 000 Xxxxxxxxx xx Xxxx 00000 Xxxxxxxx Virksomhedsadresse DigitalOcean 000 Xxxxxx xx xxx Xxxxxxxx, 00xx Xxxxx Xxx Xxxx, XX 00000 | Hosting |
Hetzner Online GmbH | DE812871812 | Industriestr. 25 91710 Gunzenhausen Tyskland | Hosting |
Google Ireland Limited | IE6388047V | Xxxxxx Xxxxx Xxxxxx Xxxxxx Xxxxxx 0 Xxxxxxx | Hosting |