DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
- pr. den 23/05/2018
Mellem:
Kunden (herefter ”Den Dataansvarlige”) og
atriumWeb A/S (herefter ”Databehandleren”) CVR-nr. 33957300
Dalsagervej 25
8250 Egå
1. Baggrund og formål
1.1. Parterne har indgået en Kommerciel Aftale (herefter Kontrakten), hvor Databehandleren skal levere en eller flere ydelser for Den Dataansvarlige. I forbindelse med dette vil Databehandleren behandle personoplysninger på vegne af Den Dataansvarlige.
1.2. Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige drejer sig om, at databehandleren stiller et CMS system til rådighed for Den Dataansvarlige og her igennem opbevarer personoplysninger om Den Dataansvarliges medlemmer, medarbejdere, samarbejdspartnere eller kunder på virksomhedens egne servere, hos databehandleren eller hos underleverandører.
1.3. Personoplysningerne defineres af Den Dataansvarlige.
1.4. Personoplysningerne kan ligeledes ligge til grund for en analyse, som har til hensigt at give brugeren en optimal weboplevelse og øge kvaliteten af Den Dataansvarliges tilstedeværelse på de sociale medier.
1.5. De aftalte priser og betalingsbetingelser, samt andre kommercielle vilkår for ydelserne, er specificeret i Kontrakten.
2. Kontraktens omfang
2.1. Kontrakten beskriver, hvilke(n) ydelse(r) samarbejdet rummer. Derudover kan der foreligge en elektronisk bekræftelse på aftalte ydelser. Kontrakten henviser desuden til Databehandlerens generelle forretningsbetingelser: xxxxx://xxxxxxxxx.xx/xx-xx/xxxxxxxxxxxxxxxxxxxxxx/.
2.2. Kontrakten og andre elektroniske bekræftelser på bestilte ydelser samt de generelle forretningsbetingelser har forrang i forhold til denne Aftale.
2.3. Databehandleren varetager de i Kontrakten beskrevne databehandlingsopgaver på vegne af Den Dataansvarlige.
2.4. Aftalen omfatter behandling af personoplysninger samt oplysninger om virksomheder, som er omfattet af databeskyttelsesforordningen - forordning (EU) 2016/679 af 27. april 2016, og/eller dansk databeskyttelseslovgivning, herunder persondataloven og den nye danske databeskyttelseslov, som vil afløse persondataloven.
2.5. Ved ”personoplysning” forstås enhver form for information om en identificeret eller identificerbar fysisk person, jf. artikel 4, stik 1, i databeskyttelsesforordningen.
2.6. For at sikre et højt serviceniveau samt levering af den/de af Den Dataansvarlige tilkøbte ydelse(r) er Databehandleren berettiget til at benytte sig af relevante hjælpemidler, såsom IT-systemer, diverse software, hosting, back-up eller redskaber, som skønnes at være nødvendige.
2.7. For at kunne levere de i Kontrakten aftalte ydelser er Databehandleren berettiget til at benytte sig af underleverandører og eksterne samarbejdspartnere uden specifik accept fra Den Dataansvarlige.
3. Databehandlerens forpligtelser
3.1. Databehandleren underretter omgående Den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU- ret eller medlemsstaternes nationale ret.
3.2. Databehandleren er instrueret i alene at behandle personoplysningerne med det formål at varetage de i kontrakten fastsatte databehandlingsopgaver og i øvrigt i overensstemmelse med Den Dataansvarliges instrukser og den til enhver tid gældende databeskyttelseslovgivning, herunder bestemmelserne i persondataloven og den kommende danske databeskyttelseslov samt databeskyttelsesforordningen.
3.3. Databehandleren er alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser i henhold til Kontrakten.
3.4. Databehandleren må ikke behandle eller anvende personoplysningerne til andre formål, med mindre Databehandleren er forpligtet hertil efter EU-retten eller lovgivningen i en medlemsstat, som Databehandleren er underlagt. I givet fald skal Databehandleren underrette Den Dataansvarlige om denne juridiske forpligtelse, forinden behandlingen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.
3.5. I det omfang, der indtræder hændelser, herunder men ikke begrænset til tekniske og organisatoriske ændringer, der i væsentlig grad ændrer Databehandlerens nuværende eller fremtidige evne til at varetage databehandlingen i overensstemmelse med Kontrakten, skal Databehandleren straks skriftligt underrette Den Dataansvarlige herom.
4. Behandlingssikkerhed
4.1. Databehandleren garanterer, at Databehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen af personoplysninger opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
4.2. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
5. Tilsyn og revision
5.1. Den Dataansvarlige har ret til for egen regning at udpege en uafhængig ekspert, som skal have adgang til Databehandlerens fysiske faciliteter for behandling af personoplysninger samt modtage de nødvendige informationer til udførelsen af undersøgelsen af, hvorvidt Databehandleren har truffet de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger. Eksperten skal på Databehandlerens anmodning underskrive en sædvanlig fortrolighedserklæring og behandle enhver information indhentet hos eller modtaget direkte fra Databehandleren fortroligt, og må alene dele informationen
med Den Dataansvarlige. Databehandleren skal modtage en kopi af ekspertens rapport. En sådan inspektion skal meddeles Databehandleren mindst 14 dage, før inspektionen ønskes foretaget.
6. Sikkerhedsbrud
6.1. Databehandleren forpligter sig til straks at orientere Den Dataansvarlige om
a. enhver anmodning om videregivelse af personoplysninger omfattet af Aftalen fra en myndighed, medmindre orienteringen af Den Dataansvarlige er forbudt i henhold til EU- retten eller lovgivningen i en medlemsstat.
b. ethvert brud på persondatasikkerheden, herunder fx hændelig eller uautoriseret videregivelse af eller adgang til personoplysningerne behandlet efter denne Aftale, eller anden manglende overholdelse af Databehandlerens forpligtelser, eller enhver mistanke derom,
c. enhver ikke imødekommet anmodning om indsigt modtaget direkte fra den registrerede eller fra tredjemand, medmindre en sådan handlemåde er blevet godkendt.
7. Brug af underdatabehandlere
7.1. Ved indgåelse af Kontrakten giver Den Dataansvarlige sin generelle godkendelse til Databehandleren om at benytte underdatabehandlere.
7.2. Det er Den Dataansvarliges pligt at sørge for, at der foreligger de rette aftaler med underleverandører, som denne måtte gøre brug af i forbindelse med sin digitale tilstedeværelse.
7.3. Databehandleren er således fraskrevet ansvaret for, om Den Dataansvarlige har sikret sig de fornødne aftaler med tredjeparts leverandører. Også skønt disse måtte berøre den/de ydelse(r), som Databehandleraftalen vedrører
7.4. Herunder ses de underleverandører, som Databehandleren benytter sig af i forbindelse med leveringen af de i Kontrakten nævnte ydelser:
Navn: | Beskrivelse: |
WordPress | CMS |
Google AdWords, Analytics, My business, G-suite og Search Console | Annoncering og analyseværktøj |
Annoncering og analyseværktøj | |
Annoncering og analyseværktøj | |
Annoncering og analyseværktøj | |
MailChimp | Nyhedsbrev |
Swydo | Analyse |
Podio | CRM |
Accuranker | Analyse |
Atlassian | Versionshåndtering |
Hetzner | Hosting |
Danhost | Mailserver |
8. Fortrolighed
8.1. Databehandleren skal holde personoplysningerne fortrolige.
8.2. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af Den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
8.3. Bestemmelserne i Aftalen gælder enhver af Databehandlerens medarbejdere, og Databehandleren indestår for, at medarbejderne overholder Aftalen.
8.4. Databehandleren skal begrænse adgangen til personoplysningerne til de medarbejdere, for hvem det er nødvendigt at have adgang til personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for Den Dataansvarlige.
8.5. Databehandlerens forpligtelser efter dette pkt. 4 består uden tidsbegrænsning, og uanset om Parternes samarbejde i øvrigt måtte være ophørt.
9. Ændring og overdragelser
9.1. Er der behov for justeringer i denne Databehandleraftale, for at kunne overholde de til enhver tid gældende regler for behandling af personoplysninger, kan Databehandleren uden varsel foretage de nødvendige ændringer.
9.2. Har Den Dataansvarlige ønsker til ændringer i de aftalte kontraktmæssige vilkår, skal følgende opfyldes:
a. Parterne skal forud for ændringerne drøfte vilkårene for ændringerne – både hvad omfang,
implementeringstid samt omkostninger angår.
b. Med mindre andet er aftalt, har Databehandleren krav på betaling af de omkostninger, som ændringerne vil medføre.
10. Varighed og ophør af Aftalen
10.1. Aftalen kan opsiges af begge Parter med samme varsel som angivet i Kontrakten mellem Parterne.
10.2. Aftalen kan ophæves af begge Parter ved væsentlig misligholdelse i overensstemmelse med de almindelige regler i den gældende lovgivning.
10.3. I tilfælde af ophør af Aftalen, herunder ophør af tjenesterne vedrørende behandling, forpligtes Databehandleren til, efter Den Dataansvarliges valg, at slette alle personoplysninger vedr. Den Dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
10.4. Uanset Kontraktens formelle aftaleperiode, skal Aftalen gælde så længe, som Databehandleren behandler personoplysninger på vegne af Den Dataansvarlige.
11. Underskrift
På vegne af atriumWeb A/S Dato: 25/05/2018
___________________________
Xxxxxx Xxxxxxxxxxx, Direktør