Bilag - Databehandleraftale
Bilag - Databehandleraftale
1. Generelt
1.1. Denne aftale vedrørende behandling af personoplysninger (”Databehandleraftalen”) regulerer Valcore A/S, CVR nr. 34472726 (”Databehandleren”) behandling af personoplysninger på vegne af Kunden (den ”Dataansvarlige”) og er et bilag til ”Valcores forretningsbetingelser”.
1.2. Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige
regulering (”Databeskyttelseslovgivningen”), herunder navnlig:
(i) Europa-Parlamentets og Rådets Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger som gennemført i persondataloven (lov 2000-05-31 nr. 429 med senere ændringer) og anden gældende lovgivning,
(ii) Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af
27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, som trådte i kraft den 24. maj 2016 og bliver gældende i Danmark den 25. maj 2018 (“GDPR“), herunder ved vedtagelsen af databeskyttelsesloven. Uanset de generelle henvisninger til GDPR i Databehandleraftalen forpligter GDPR først parterne pr. den 25. maj 2018.
2. Behandling af personoplysninger
2.1. I forbindelse med levering af support samt konsulenttimer behandler Databehandleren personoplysninger på vegne af den Dataansvarlige.
2.2. ”Personoplysninger” omfatter “enhver form for information om en
identificeret eller identificerbar fysisk person” som defineret i GDPR, artikel 4, stk. 1, nr. 1 (”Personoplysningerne”).
Personoplysningerne og kategorierne af registrerede omfattet af Databehandleraftalen er oplistet i underbilag A, der bliver ajourført jævnligt i Databehandlerens fortegnelse over behandlingsaktiviteter, som Databehandleren udleverer til den Dataansvarlige efter skriftlig anmodning herom. Databehandlerens behandlingsaktiviteter og formål med behandling af Personoplysningerne er alene at levere Support samt
konsulenttimer, jf. ”Valcores forretningsbetingelser””. Valcore Databehandleraftale v.1 afsnit 3.
2.3. Databehandleren behandler personoplysninger om den Dataansvarlige og dennes medarbejdere som led i Databehandlerens eget salg, markedsføring og produktudvikling. For disse personoplysninger og for denne behandling er Databehandleren dataansvarlig, og der henvises til persondatapolitik herom, som er tilgængelig på Databehandlerens hjemmeside.
3. Instruks
3.1. Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruksen”). Instruksen på underskriftstidspunktet er, at Databehandleren må behandle Personoplysningerne med henblik på levering af support og konsulenttimer og i øvrigt i overensstemmelse med denne Databehandleraftale.
3.2. Den Dataansvarlige garanterer, at Personoplysningerne, som overlades til Databehandleren, af den Dataansvarlige behandles og overlades i overensstemmelse med den til enhver tid gældende lovgivning, herunder Databeskyttelseslovgivningens regler om behandlingshjemmel og oplysningspligt over for de registrerede.
3.3. Databehandleren skal uden unødvendig forsinkelse informere den Dataansvarlige, hvis Databehandleren mener, at den gældende Instruks overtræder Databeskyttelseslovgivningen.
4. Databehandlerens forpligtelser
4.1. Fortrolighed
4.1.1. Databehandleren skal behandle Personoplysningerne strengt fortrolige. Personoplysningerne må ikke kopieres,
videregives eller behandles uden for Instruksen uden den Dataansvarliges udtrykkelige og forudgående tilladelse.
4.1.2. Databehandlerens medarbejdere skal have påtaget sig en fortrolighedsforpligtelse, som indebærer, at medarbejderne er underlagt tavshedspligt om alle forhold vedrørende Personoplysningerne.
4.2. Sikkerhed
4.2.1. Databehandleren gennemfører de nødvendige tekniske og organisatoriske foranstaltninger for at sikre databeskyttelse i overensstemmelse med Databeskyttelseslovgivningen og i overensstemmelse med GDPR artikel 32.
4.3. Databehandleren sikrer, at adgangen til Personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.
4.4. Databehandleren sikrer ligeledes, at medarbejdere, der behandler Personoplysningerne for Databehandleren, kun behandler disse i overensstemmelse med Instruksen. Valcore Databehandleraftale
v.1 afsnit 3.
4.4.1. Databehandleren udleverer efter skriftlig anmodning herom fra den Dataansvarlige dokumentation på Databehandlerens sikkerhedsforanstaltninger.
4.5. Konsekvensanalyser og forudgående høring
4.5.1. Hvis Databehandlerens bistand er nødvendig og relevant, skal Databehandleren bistå den Dataansvarlige med udarbejdelsen af eventuelle lovpligtige konsekvensanalyser i overensstemmelse med GDPR, artikel 35, samt eventuelle forudgående høringer i overensstemmelse med GDPR, artikel 36.
4.6. De registreredes rettigheder
4.6.1. Hvis den Dataansvarlige modtager en anmodning fra en person om udøvelsen af personens rettigheder efter Databeskyttelseslovgivningen, og korrekt besvarelse af anmodningen kræver bistand fra Databehandleren, skal Databehandleren bistå den Dataansvarlige med nødvendige og relevante oplysninger og dokumentation. Data behandleren skal gives rimelig tid til at levere denne bistand i overensstemmelse med fristerne herfor i Databeskyttelseslovgivningen.
4.6.2. Hvis Databehandleren modtager en anmodning fra en person om udøvelsen af personens rettigheder efter Databeskyttelseslovgivningen, og anmodningen vedrører den Dataansvarliges Personoplysninger, skal Databehandleren uden unødvendig forsinkelse videresende anmodningen til den Dataansvarlige.
4.7. Sikkerhedsbrud
4.7.1. Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
4.7.2. Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.
4.7.3. Databehandleren skal vedligeholde en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende:
(i) De faktiske omstændigheder omkring Sikkerhedsbruddet,
(ii) Sikkerhedsbruddets virkninger og
(iii) De trufne afhjælpningsforanstaltninger.
4.7.4. Fortegnelsen over Sikkerhedsbrud skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne. Valcore Databehandleraftale v.1 afsnit 5.7.
4.8. Dokumentation af overholdelse af Databehandleraftalen
4.8.1. Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren: (i) overholder sine forpligtelser efter denne
Databehandleraftale og Instruksen. (ii) overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.
4.8.2. Databehandlerens dokumentation heraf skal ske inden rimelig tid.
4.9. Placering af Personoplysningerne
4.9.1. Personoplysningerne behandles kun af Databehandleren på Databehandlerens adresse. Databehandleren overfører ikke Personoplysningerne til tredjelande eller internationale organisationer.
4.9.2. Fremtidig overførsel af Personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt i medfør af Databeskyttelseslovgivningen.
5. Underdatabehandlere
5.1. Databehandleren må generelt gøre brug af tredjeparter til behandlingen af Personoplysningerne for den Dataansvarlige (”Underdatabehandler”), i det omfang Databehandleren giver meddelelse herom til den Dataansvarlige for hver Underdatabehandler, før behandlingen påbegyndes af Underdatabehandleren, således at den Dataansvarlige har mulighed for at gøre saglig indsigelse over for Databehandlerens valg af Underdatabehandler. Hvis den Dataansvarlige ønsker at gøre indsigelser herimod, skal den Dataansvarlige give skriftlig meddelelse herom inden for 7 kalenderdage efter modtagelse af Databehandlerens meddelelse om tilføjelsen eller ændringen af en Underdatabehandler. Manglende indsigelse fra den Dataansvarlige vil blive anset for et stiltiende samtykke til underdatabehandlingen.
5.2. Databehandleren skal indgå skriftlig aftale med eventuelle Underdatabehandlere, som pålægger Underdatabehandlerne de samme databeskyttelsesforpligtelser, som påhviler Databehandleren, herunder i medfør af denne Databehandleraftale. Databehandleren skal ligeledes føre løbende kontrol med sine Underdatabehandlere, og dokumentation herfor skal kunne forevises den Dataansvarlige.
5.3. Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.
5.4. Databehandleren benytter på tidspunktet for indgåelsen af Databehandleraftalen de Underdatabehandlere, der fremgår af underbilag B. Ved Databehandlerens benyttelse af nye Underdatabehandlere, skal disse tilføjes under punkt 2 i underbilag
B. Valcore Databehandleraftale v.1 Underbilag B
6. Vederlag og omkostninger
6.1. Den Dataansvarlige skal betale Databehandleren vederlag efter medgået tid til opfyldelse af punkt 4.5, 4.6, 4.7 og 4.8 i denne Databehandleraftale. Ved beregning af vederlaget skal Databehandlerens gældende timepriser anvendes.
6.2. Databehandleren har også krav på vederlag for forbrugt tid og materiale brugt til gennemførelse af den Dataansvarliges eventuelle ændringer af Instruksen, herunder implementeringsomkostninger og forøgede omkostninger til levering af support og konsulenttimer. Databehandleren er fritaget for ansvar for manglende levering af support og konsulenttimer i det omfang (herunder tidsmæssigt), at levering heraf vil være i strid med den ændrede Instruks, eller levering i overensstemmelse med den ændrede Instruks er umulig. Dette kan eksempelvis være tilfældet, (i) hvor ændringerne ikke teknisk, praktisk eller juridisk kan implementeres, (ii) hvor den Dataansvarlige eksplicit meddeler, at ændringerne skal være gældende, før implementeringen er mulig eller (iii) i tidsrummet indtil Parterne får gennemført eventuelle nødvendige ændringer af ”Valcores forretningsbetingelser” i overensstemmelse med ændringsprocedurerne heri.
6.3. Hvis ændringer i Databeskyttelseslovgivningen, herunder fortolkningerne heraf og vejledninger hertil, resulterer i væsentlige forøgede omkostninger for Databehandleren, skal den Dataansvarlige skadesløsholde Databehandleren for dokumenterede meromkostninger som følge deraf.
7. Misligholdelse og ansvar
7.1. ”Valcores forretningsbetingelser” regulering af misligholdelse, ansvar og ansvarsbegrænsninger finder anvendelse for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.
7.2. Parternes ansvar for alle kumulerede krav i henhold til denne Databehandleraftale er begrænset til de samlede forfaldne betalinger i henhold til support og konsulenttimer for den 12 måneders periode, der går umiddelbart forud for en eventuel skadegørende omstændighed. Hvis Databehandleraftalen ikke har været i kraft i 12 måneder, opgøres beløbet forholdsmæssigt på baggrund af den aftalte betaling i den periode, som Databehandleraftalen har været i kraft.
7.3. Ansvarsbegrænsningen omfatter ikke følgende:
(i) Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger.
(ii) Udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtigelser over for en tilsynsmyndighed.
8. Varighed
8.1. Databehandleraftalen gælder, så længe ”Valcores
forretningsbetingelser” er gældende, eller Databehandleraftalen opsiges eller ophæves.
9. Ophør
9.1. Databehandlerens bemyndigelse til at behandle Personoplysningerne på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens ophør, uanset årsag.
9.2. Databehandleren må fortsat behandle Personoplysningerne i op til tre måneder efter Databehandleraftalens ophør, i det omfang dette er nødvendigt for at fortage nødvendige lovpligtige foranstaltninger. I samme periode er Databehandleren berettiget til at lade personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure. Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
9.3. Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle Personoplysningerne, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af Personoplysningerne. Databehandleren er herefter forpligtet til at slette alle Personoplysningerne fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
10. Kontakt
10.1. Kontaktoplysninger for den Dataansvarlige og Databehandleren følger af gældende tilbud. Valcore Databehandleraftale v.1 Underbilag A
Underbilag A
1. Personoplysninger
1.1. Databehandleren behandler følgende typer Personoplysninger som led i levering af support og konsulenttimer:
(i) Almindelige kontaktoplysninger på de personer, der er kontakter hos den Dataansvarlige.
(ii) Registrering af brugere af systemet med: navn, telefonnummer, e-mail samt brugerniveau: trial, standard bruger, administrator.
(iii) Brugernes eventuelle indtastede personoplysninger ved brug af Microsoft Dynamics 365 (CRM) (dette ser og tilgår Databehandleren ikke, medmindre Databehandleren på den Dataansvarliges opfordring bistår med fejlretning og support på specifikke data).
2. Registrerede
2.1. Databehandleren behandler personoplysninger om følgende kategorier af registrerede på vegne af den Dataansvarlige:
(i) Kunder
(ii) Slutbrugere
Underbilag B
1. Godkendte Underdatabehandlere
1.1. Følgende Underdatabehandlere er godkendt på tidspunktet for Databehandleraftalens indgåelse på de betingelser, der følger af Databehandleraftalen og Databeskyttelseslovgivningen:
(i) Host Nordic A/S.
(ii) Inventio A/S
(iii) Click Dimensions
(iv) Scribe
(v) Also A/S
2. Nye Underdatabehandlere
2.1. Følgende Underdatabehandlere er taget i brug og meddelt den Dataansvarlige efter Databehandleraftalens ikrafttrædelse, hvorefter dette bilag er opdateret:
(i) [indsættes når/hvis relevant]