DATABEHANDLERAFTALE

Version 2.2.20

Side 1 af 8




DATABEHANDLERAFTALE



Denne databehandleraftale (herefter ”Aftalen”) er indgået på tidspunktet for parternes behørige underskrift herpå


mellem


KUNDEN


og


COMAsystem ApS Ringager 8

2605 Brøndby


CVR-nr. 33 86 52 79


(herefter "Leverandøren")



by |

Xxxxxx og Leverandøren er samlet benævnt "Parterne" og separat tillige en "Part".


COMAsystem ApS | Ringager 8| 2605 Brønd

s. T 00 00 00 00 | xxxxxxx@xxxxxxxxxx.xx


Version 2.2.20 Side 2 af 8


AFTALENS OMFANG


Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databe- handlingsopgaver på vegne af Xxxxxx og udelukkende efter klar instruks fra Xxxxxx.


De personoplysninger, der behandles af Leverandøren, omfatter de formål med behandlingen, de kategorier af personoplysninger og de kategorier af registrerede personer, som er anført i Appendiks 1.


Ved "personoplysning" forstås enhver form for information om en identificeret eller identificerbar fysisk person, jf. artikel 4(1) i Forordning (EU) 2016/679 af 27. april 2016 ("persondataforordningen"). Hvis der som led i opfyl- delsen af Aftalen behandles andre fortrolige oplysninger end personoplysninger, for eksempel oplysninger som i medfør af lov om finansiel virksomhed anses for fortrolige, så omfatter enhver henvisning til "personoplysninger" også de øvrige fortrolige oplysninger.


1. BEHANDLING AF PERSONOPLYSNINGER

1.1 Instruks: Leverandøren er instrueret i alene at behandle personoplysningerne med det formål at varetage de i Appendiks 1 fastsatte databehandlingsopgaver. Leverandøren må ikke behandle eller anvende per- sonoplysningerne til andre formål end angivet i instruksen, herunder overføre personoplysningerne til et tredjeland eller en international organisation, medmindre Leverandøren er forpligtet hertil efter EU-ret- ten eller lovgivningen i en medlemsstat, som Leverandøren er underlagt. I givet fald skal Leverandøren skriftligt underrette Kunden om denne juridiske forpligtelse, forinden behandlingen påbegyndes, med- mindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underret- ning.


1.2 Hvis Kunden i instruksen i Appendiks 1 eller konkret har givet tilladelse til en overførsel af personoplysnin- ger til et tredjeland eller til internationale organisationer, påhviler det Leverandøren at sikre, at der fore- ligger et lovligt overførselsgrundlag, fx EU Kommissionens standardkontrakter til overførsel af personop- lysninger til tredjelande.


1.3 Hvis Leverandøren skønner, at en instruktion fra Kunden er i strid med persondataforordningen eller da- tabeskyttelseslovgivningen i anden EU-ret eller i lovgivningen i en medlemsstat, skal Leverandøren omgå- ende skriftligt orientere Kunden herom.

COMAsystem ApS | Ringager 8| 2605 Brøndby | T 00 00 00 00 | xxxxxxx@xxxxxxxxxx.xx



Version 2.2.20 Side 3 af 8


2. KRAV TIL LEVERANDØREN

Leverandøren skal sikre, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.


2.1 Leverandøren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at de behandlede personoplysninger


(i) hændeligt eller ulovligt tilintetgøres, fortabes eller ændres,

(ii) videregives eller gøres tilgængelige uden autorisation, eller

(iii) i øvrigt behandles i strid med lovgivningen, herunder persondataforordningen.


2.2 Leverandøren skal desuden overholde de særlige krav til sikkerhedsforanstaltninger, der gælder for Kun- den, jf. Appendiks 1, samt overholde de krav til sikkerhedsforanstaltninger, som direkte forpligter Leve- randøren, herunder kravene til sikkerhedsforanstaltninger i det land hvor databehandlingen finder sted.


2.3 Fastsættelsen af de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under hen- syntagen til


(i) det aktuelle tekniske niveau,

(ii) omkostningerne ved implementeringen, samt

(iii) behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlig- hed og alvor for fysiske personers rettigheder og frihedsrettigheder.


2.4 Leverandøren skal på Kundens anmodning give Kunden alle nødvendige oplysninger til, at denne kan påse, at Leverandørens forpligtelser under Aftalen overholdes, herunder at de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.


2.5 Leverandøren skal hvert år i december for egen regning indhente en erklæring fra en uafhængig ekspert angående Leverandørens overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Aftalen. Erklærin- gen skal udarbejdes på grundlag af en anerkendt standard for sådanne erklæringer. Erklæringen skal sen- des til Kunden senest den 31. december det pågældende år.


2.6 Derudover har Xxxxxx ret til for egen regning at udpege en uafhængig ekspert, som skal have adgang til Leverandørens fysiske faciliteter for behandling af personoplysninger samt modtage de nødvendige infor- mationer til udførelsen af undersøgelsen af, hvorvidt Leverandøren har truffet de nævnte tekniske og or- ganisatoriske sikkerhedsforanstaltninger. Eksperten skal på Leverandørens anmodning underskrive en sædvanlig fortrolighedserklæring for at få adgang til Leverandørens faciliteter og de ovenfor nævnte op- lysninger og behandle enhver information indhentet hos eller modtaget direkte fra Leverandøren strengt fortroligt og må alene dele informationen med Xxxxxx og må ikke anvende informationen til noget andet formål.


2.7 Leverandøren skal til myndigheder og Kundens eksterne rådgivere, herunder revisorer, for Kundens reg- ning give alle ønskede oplysninger i relation til udførelsen af databehandlingsopgaven, i det omfang oplys- ningerne er nødvendige for deres opgavevaretagelse i medfør af EU-retten eller lovgivningen i en med- lemsstat.

COMAsystem ApS | Ringager 8| 2605 Brøndby | T 00 00 00 00 | xxxxxxx@xxxxxxxxxx.xx



Version 2.2.20 Side 4 af 8


2.8 Leverandøren skal give myndigheder, der efter EU-retten eller lovgivningen i en medlemsstat har adgang til Kundens og Kundens leverandørers faciliteter, eller repræsentanter, der optræder på myndighedernes vegne, adgang til Leverandørens fysiske faciliteter mod forevisning af behørig legitimation.


2.9 Leverandøren skal uden unødig forsinkelse efter at være blevet opmærksom herpå, skriftligt orientere Kunden om


(i) enhver anmodning fra en myndighed om videregivelse af personoplysninger omfattet af Aftalen, medmindre orientering af Kunden er forbudt i henhold til EU-retten eller lovgivningen i en med- lemsstat,

(ii) enhver mistanke om, eller konstatering af, (a) brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysnin- ger, der er transmitteret, opbevaret eller på anden måde behandlet af Leverandøren under Afta- len, eller (b) enhver anden manglende overholdelse af Leverandørens forpligtelser efter punkt 2.1 og 2.2, eller

(iii) enhver anmodning om indsigt i personoplysningerne modtaget direkte fra den registrerede eller fra tredjemand.


2.10 Leverandøren skal for Kundens regning straks assistere Xxxxxx med håndteringen af enhver anmodning fra en registreret under kapitel III i persondataforordningen, herunder anmodning om indsigt, berigti- gelse, blokering eller sletning af personoplysninger. Leverandøren skal ligeledes implementere passende tekniske og organisatoriske foranstaltninger til at bistå Kunden med opfyldelse af Kundens forpligtelse til at besvare sådanne anmodninger.


2.11 Leverandøren skal for Kundens regning assistere Xxxxxx med at overholde de øvrige forpligtelser, der måtte påhvile Kunden efter EU-retten eller lovgivningen i en medlemsstat, hvor Leverandørens assistance er forudsat, samt hvor Leverandørens assistance er nødvendig for, at Kunden kan overholde sine forplig- telser. Dette omfatter blandt andet, men er ikke begrænset til, på anmodning at give Kunden alle nødven- dige oplysninger om en hændelse omfattet af punkt 2.9 (ii), samt alle nødvendige oplysninger til brug for en konsekvensanalyse i medfør af artikel 35-36 i persondataforordningen (forordning (EU) 2016/679 af

27. april 2016).


2.12 I Appendiks 1 har Leverandøren oplyst den fysiske placering af servere, servicecentre mv., som indgår i udførelsen af databehandlingen. Leverandøren forpligter sig til at give skriftligt varsel til Kunden mindst 2 måneder forud for ændringer af den fysiske placering. Dette kræver ikke en formel ændring af Appendiks 1, idet forudgående skriftligt varsel via post eller e-mail er tilstrækkeligt.

COMAsystem ApS | Ringager 8| 2605 Brøndby | T 00 00 00 00 | xxxxxxx@xxxxxxxxxx.xx



Version 2.2.20 Side 5 af 8


3. ANDRE DATABEHANDLERE

Leverandøren skal være berettiget til at anvende underdatabehandlere til udførelse af visse eller alle af Leveran- dørens opgaver i henhold til denne Xxxxxx. Leverandøren skal oplyse Kunden om brugen af en bestemt underdata- behandler. Kunden skal være berettiget til at gøre indsigelse mod brugen af den specifikke, nye underdatabe- handler. Ved ophør af brugen af den anden databehandler, skal Leverandøren give Xxxxxx skriftlig meddelelse herom.


3.1 Leverandøren skal forinden brug af en anden databehandler indgå en skriftlig aftale med den anden data- behandler, hvori den anden databehandler som minimum pålægges de samme forpligtelser, som Leve- randøren har påtaget sig ved Aftalen, herunder pligten til at gennemføre passende tekniske og organisa- toriske foranstaltninger til sikring af, at behandlingen opfylder kravene i persondataforordningen.


3.2 Kunden har ret til at få udleveret en kopi af Leverandørens aftale med den anden databehandler, for så vidt angår bestemmelser i nævnte aftale, som vedrører databeskyttelsesforpligtelser. Leverandøren hæf- ter over for Kunden for underleverandørens opfyldelse af sine databeskyttelsesforpligtelser. Det forhold, at Kunden har meddelt samtykke til Leverandørens aftaleindgåelse med en anden databehandler, er uden præjudice for Leverandørens pligt til at efterleve Aftalen.


4. FORTROLIGHED

Leverandøren skal holde personoplysningerne fortrolige.


4.1 Leverandøren må ikke formidle personoplysningerne til tredjemand, medmindre dette er nødvendigt til varetagelse af Leverandørens forpligtelser over for Kunden i henhold til Aftalen og forudsat, at den, til hvem personoplysningerne overlades, er bekendt med oplysningernes fortrolige karakter og har indvilget i at holde personoplysningerne fortrolige i overensstemmelse med Aftalen.


4.2 Leverandøren skal sikre, at Leverandørens medarbejdere overholder fortrolighedsforpligtelserne i Afta- len.


4.3 Leverandøren skal begrænse adgangen til personoplysninger til de medarbejdere, for hvem det er nød- vendigt at have adgang dertil for at kunne opfylde Leverandørens forpligtelser over for Kunden.


4.4 Leverandørens forpligtelser efter nærværende punkt 4 består uden tidsbegrænsning, og uanset om Par- ternes samarbejde i øvrigt måtte være ophørt.

COMAsystem ApS | Ringager 8| 2605 Brøndby | T 00 00 00 00 | xxxxxxx@xxxxxxxxxx.xx



Version 2.2.20 Side 6 af 8


5. ÆNDRINGER OG OVERDRAGELSER


Parterne kan til enhver tid aftale at ændre Aftalen. Ændringer skal være skriftlige for at være gyldige.


5.1 Leverandøren må ikke overdrage sine rettigheder og forpligtelser i henhold til Aftalen uden Kundens for- udgående skriftlige samtykke.


6. VARIGHED OG OPHØR AF AFTALEN

6.1 Aftalen træder i kraft ved begge Parters underskrift og er gældende, indtil den opsiges eller ophæves af en af Parterne i overensstemmelse med bestemmelserne derom i denne Aftale.


6.2 Hver Part kan opsige Aftalen med 3 måneders skriftligt varsel.


6.3 Uanset Aftalens formelle aftaleperiode skal Aftalen vedblive at gælde, så længe Leverandøren behandler de personoplysninger, som Kunden er dataansvarlig for.


6.4 I tilfælde af ophør af Aftalen, uanset det juridiske grundlag herfor, skal Leverandøren for Kundens regning yde de fornødne overgangstjenesteydelser til Kunden. Leverandøren er forpligtet til loyalt og hurtigst mu- ligt at medvirke til, at databehandlingen overgår til en anden leverandør eller tilbageføres til Kunden.


6.5 Leverandøren skal straks efter anmodning fra Kunden overføre eller slette personoplysninger, som Leve- randøren behandler for Kunden, medmindre EU-retten eller lovgivningen i en medlemsstat foreskriver opbevaring af de pågældende personoplysninger.


7. FORRANG

7.1 I tilfælde af uoverensstemmelse mellem bestemmelserne i denne Aftale og bestemmelserne i andre skriftlige eller mundtlige aftaler indgået mellem Parterne, skal bestemmelserne i denne Aftale have for- rang. Bestemmelserne i punkt 2 finder dog ikke anvendelse i det omfang, der er fastsat strengere forplig- telser for Leverandøren ved anden aftale mellem Partnerne. Herudover finder Aftalen ikke anvendelse i det omfang, der er fastsat strengere forpligtelser for Leverandøren eller dennes underleverandører ved brug af Kommissionens standardkontrakter til overførsel af personoplysninger til tredjelande.

COMAsystem ApS | Ringager 8| 2605 Brøndby | T 00 00 00 00 | xxxxxxx@xxxxxxxxxx.xx



Version 2.2.20 Side 7 af 8


APPENDIKS 1


DETTE APPENDIKS UDGØR KUNDENS INSTRUKS T I L LEVERANDØREN I FORBINDELSE MED LEVERANDØRENS DATA- BEHAND LING FOR KUNDEN, OG ER EN INTEGRERET DEL AF AF TALEN.


BEHANDLINGEN AF PERSONOPLYSNINGER


A) FORMÅL OG KARAKTEREN AF DATABEHANDLINGEN


Leverandøren varetager opbevaring og behandling af kundens kontraktdata, der indeholder personhenførbare oplysninger.

Leverandøren har under ingen omstændighed mulighed for at dele kundens oplysninger med tredjepart, med undtagelse af udefrakommende retskrav.


Leverandøren må ikke anvende og eller behandle kundens data ifm. interne formål hos Leverandøren.


B) KATEGORIER AF REGISTREREDE PERSONER

I. Medarbejder [x]

II. Ansøger [x]


III. Leverandører [x]


IV. Kunder [x]


C) KATEGORIER AF PERSONOPLYSNINGER

I. Følsomme personoplysninger [X]


II. Almindelige personoplysninger [X]

COMAsystem ApS | Ringager 8| 2605 Brøndby | T 00 00 00 00 | xxxxxxx@xxxxxxxxxx.xx



Version 2.2.20 Side 8 af 8


D) SÆRLIGE KATEGORIER AF PERSONOPLYSNINGER


Alle de i art.9 stk. 1 nævnte data vil blive lageret af kunden på leverandørens systemer.


Behandlingen af disse oplysninger sker på vegne af kundens slutkunder, som behandler data med hjemmel i art.9 stk.2 b).


E) LOKATION(ER), INKLUSIVE ANGIVELSE AF LAND FOR BEHANDLINGEN


COMAsystem drifter egen hosting af både hardware og software i en datacenterlokation hos Global Connect. Data er placeret på Hørskætten, Høje Taastrup, Sjælland, Danmark.



F) UNDERDATABEHANDLERE

Generel DRIFT & UDVIKLING:


Underdatabehandler: Nordicode ApS – Udvikling København K Danmark Underdatabehandler: Front-Safe A/S – Backup Viby Jylland Danmark


DIGITAL SIGNATUR:


Underdatabehandler VISMA CONSULTING A/S – Lyngby


Denne databehandler varetager kun behandling af persondata for kunder, som anvender digital signatur funktionen igennem COMAsystem.


Databehandler under Privacy Shield ordning:


Underdatabehandler: Cloudflare – lokation kan ikke angives på baggrund af internettets generelle opbygning og virkemåde. Udgangspunkt er Cloudflare Node i København, men er afhængigt af DNS systemets virkemåde.


Underdatabehandler: Microsoft Office 365 – Irland


Hverken Cloudflare eller Microsoft foretager hosting af Kundens data.

COMAsystem ApS | Ringager 8| 2605 Brøndby | T 00 00 00 00 | xxxxxxx@xxxxxxxxxx.xx


Document Metadata

Filed: April 22nd, 2020