DATABEHANDLER AFTALE – ADWISE MEDIA A/S
DATABEHANDLER AFTALE – ADWISE MEDIA A/S
PARTERNE
Dataansvarlig:
Hostingkunde hos Adwise Media A/S:
Databehandler:
Adwise Media A/S Xxxxxxxxxx 00 X
0000 Xxxxxxxxxxx
CVR: 36544120
Kontaktperson:
xxx@xxxxxx.xx Xxxx Xxxxxxxx
Parterne kaldes i det følgende henholdsvis den “Dataansvarlige” og “Databehandleren”, og “Part” eller tilsammen “Parterne”.
INTRODUKTION
Ved brug hjemmesideløsninger, hosting og ethvert modul eller funktion i forbindelse med hostingen (i det hele benævnt “Hosting”), vil den Dataansvarlige være ansvarlig for sin behandling af personoplysninger hos Databehandleren.
Databehandleren vil behandle personoplysninger på vegne af den Dataansvarlige. For at sikre, at Parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) herefter kaldet ”Databeskyttelsesforordningen”, har Parterne indgået denne databehandleraftale (“Aftalen”), som udgør instruksen fra den Dataansvarlige til Databehandleren og dermed regulerer Databehandlerens Behandling af personoplysninger på vegne af den Dataansvarlige.
Begge Parter bekræfter, at de har fuldmagt til at underskrive Aftalen.
Databehandleren behandler desuden udelukkende Personoplysninger i overensstemmelse med Adwise Media A/S’ Privatlivspolitik.
DEFINITIONER
Definitionen af Personoplysninger, Særlige Kategorier af Data (Følsomme Oplysninger), Behandling, den Registrerede, Dataansvarlig og Databehandler er den samme som efter den relevante persondatalovgivning, herunder Databeskyttelsesforordningen.
Aftalen regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige, og beskriver, hvordan Databehandleren skal medvirke til at beskytte privatliv på vegne af den Dataansvarlige og dennes Registrerede gennem tekniske og organisatoriske foranstaltninger som er krævet under den gældende databeskyttelseslovgivning, herunder Databeskyttelsesforordningen.
Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er at sikre, den Dataansvarliges brug af Hosting og opfyldelsen af enhver aftale mellem Parterne.
Aftalen har forrang for andre modstridende bestemmelser vedrørende behandling af personoplysninger for så vidt angår vilkår for brugen af Hosting eller i andre aftaler gældende Parterne imellem. Aftalen er gyldig, så længe den Dataansvarlige abonnerer på Hosting, og Databehandleren derfor skal behandle Personoplysninger på vegne af den Dataansvarlige. Aftalen har dog ikke forrang, såfremt parterne har indgået en anden databehandleraftale, hvoraf fremgår, at den databehandleraftale har forrang frem for denne Aftale.
DATABEHANDLERENS FORPLIGTELSER
Databehandleren skal udelukkende behandle Personoplysninger på vegne af og som følge af den Dataansvarliges instruktioner. Ved at indgå denne Aftale, instruerer den Dataansvarlige Databehandleren i at behandle personoplysninger på følgende måder:
i) i overensstemmelse med gældende lovgivning
ii) for at opfylde sine forpligtelser i henhold til abonnementsvilkår for Hosting
iii) som yderligere specificeret ved den Dataansvarliges normale brug af Hosting
iv) som beskrevet i denne Aftale
Som en del af at kunne levere Hosting er Databehandleren forpligtet til enhver tid at give den Dataansvarlige gode og konkurrencedygtige løsninger der følger med udviklingen. Databehandleren kan tilbyde bedre løsninger, som er tilpasset den enkelte Dataansvarliges behov, ved at registrere hvordan Dataansvarlig og dennes repræsentanter bruger Hosting. Dette gør Databehandleren for at kunne lave en bedre version af Hosting, og generelt levere bedre ydelser og give mere relevant kommunikation til den Dataansvarlige og dennes repræsentanter. Målet er at Dataansvarlig skal løse så mange udfordringer som muligt på et sted. I den grad at personoplysninger fra Hosting indgår i dette arbejde, behandles disse i henhold til denne Aftale og gældende lovgivning, og kan deles med selskaber i samme koncern med henblik på dette arbejde.
Databehandleren har ikke nogen grund til at tro, at gældende lovgivning forhindrer Databehandleren i at efterleve instruktionerne gengivet ovenfor. Databehandleren skal, hvis denne bliver opmærksom på det, give den Dataansvarlige besked om instruktioner eller andre behandlingsaktiviteter udført af den Dataansvarlige, som efter Databehandlerens opfattelse strider imod den gældende databeskyttelseslovgivning. Kategorierne af Registrerede og Personoplysninger som behandles i henhold til denne Aftale er beskrevet i Bilag A.
Databehandleren skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, som dette er muligt og under hensyntagen til behandlingens art og kategorien af oplysninger, der er tilgængelige for Databehandleren, for at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder for så vidt angår bistand i forhold til opfyldelse af anmodninger
fra Registrerede samt generel overholdelse af bestemmelserne under Databeskyttelsesforordningens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger hos den registrerede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
c. indsigtsretten
d. retten til berigtigelse
e. retten til sletning (”retten til at blive glemt”)
f. retten til begrænsning af behandling
g. underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse via kontaktperson oplyst i Databehandleraftalen, hvis Databehandleren bliver bekendt med en sikkerhedsbrist. Endvidere skal Databehandleren så vidt muligt og lovligt underrette den Dataansvarlige, hvis;
i) En anmodning om indsigt i Personoplysninger modtages direkte fra den Registrerede
ii) En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder, herunder politiet.
Databehandleren må ikke besvare sådanne anmodninger fra Registrerede, medmindre denne er autoriseret af den Dataansvarlige til at gøre det. Databehandleren vil endvidere ikke videregive information om denne Aftale til statslige myndigheder såsom politiet, herunder Personoplysninger, medmindre Databehandleren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.
Hvis den Dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Databehandleren behandler personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services. Databehandleren og dennes ansatte skal sikre fortrolighed i forhold til Personoplysninger, som behandles i henhold til Aftalen. Denne bestemmelse skal ligeledes gælde efter ophør af Aftalen.
UNDERRETNING OM BRUD
Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 48 timer efter, at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
Databehandleren skal bistå den Dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at Databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den Dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
a. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. de foranstaltninger, som den Dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
DEN DATAANSVARLIGES FORPLIGTELSER
Den Dataansvarlige bekræfter ved indgåelse af denne aftale følgende:
> Den Dataansvarlige skal ved brug af Hosting stillet til rådighed af Databehandleren, udelukkende behandle personoplysninger i overensstemmelse med kravene i den gældende Databeskyttelseslovgivning.
> Den Dataansvarlige har et lovligt grundlag for at behandle og videregive personoplysninger til Databehandleren (herunder til underdatabehandlere som Databehandleren anvender).
> Den Dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de Personoplysninger som behandles af Databehandleren.
> Den Dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår behandlingen af Personoplysninger.
> Den Dataansvarlige har opfyldt sine oplysningsforpligtelser over for de Registrerede vedrørende behandlingen af Personoplysninger i henhold til gældende databeskyttelseslovgivning.
> Den Dataansvarlige er enig i, at Databehandleren har givet de relevante garantier for så vidt angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de Registreredes rettigheder og deres Personoplysninger.
> Den Dataansvarlige skal ved brug af Hosting ikke behandle følsomme oplysninger, medmindre dette er specificeret i Bilag A til denne Aftale.
> Den Dataansvarlige skal have en opdateret liste over de kategorier af Personoplysninger, som denne behandler, dette gælder særligt i det omfang sådan Behandling afviger fra de kategorier af Oplysninger, som fremgår af Bilag A.
BRUG AF UNDERDATABEHANDLERE OG VIDEREGIVELSE AF DATA
Som en del af driften af Hosting anvender Databehandleren underleverandører (“Underdatabehandlere”). Sådanne Underdatabehandlere kan være andre selskaber, eller tredjepartsleverandører i og uden for EU/EØS.
Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere, der findes på Databehandlerens hjemmeside på følgende adresse: xxx.xxxxxx.xx/xxx.
Databehandleren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen. Al brug af Underdatabehandlere er endvidere underlagt Adwise Media A/S’ privatlivspolitik.
Denne Aftale udgør den Dataansvarliges forudgående generelle og specifikke skriftlige godkendelse af Databehandlerens brug af Underdatabehandlere.
Hvis en Underdatabehandler er etableret uden for eller Personoplysninger opbevares uden for EU/EØS giver den Dataansvarlige Databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af den Dataansvarlige, herunder ved anvendelse af EU Kommissionens Standardkontrakter.
Den Dataansvarlige skal orienteres, inden Databehandler udskifter sine Underdatabehandlere. Den Dataansvarlige har dog kun ret til at protestere over en ny Underdatabehandler, som behandler Personoplysninger på vegne af den Dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal Databehandleren demonstrere overensstemmelse ved at give den Dataansvarlige adgang til Databehandlerens databeskyttelsesvurdering af Underdatabehandleren. Hvis der stadig er uenighed om anvendelsen af Underdatabehandleren kan den Dataansvarlige opsige sit abonnement på Hosting, herunder med et kortere varsel end normalt for at sikre, at den Dataansvarliges Personoplysninger ikke behandles af den pågældende Underdatabehandler.
SIKKERHED
Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og services, hvilket sikres ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger, som er påkrævede i henhold til information om sikkerhedsforanstaltninger som beskrevet i Databeskyttelsesforordningens artikel 32.
Endvidere har koncernens interne databeskyttelsespolitikker til formål at sikre fortrolighed, integritet, modstandsdygtigheden og adgangen til Personoplysninger. De følgende foranstaltninger er særligt væsentlige:
> Klassificering af Personoplysninger for at sikre implementering af relevante sikkerhedsforanstaltninger i forhold til risikovurderinger.
> Vurdering af kryptering og pseudonymisering som risikoreducerende faktorer.
> Begrænse adgangen til Personoplysninger til de relevante personer, der skal til for at overholde krav og forpligtelser i Aftalen eller i henhold til Parternes aftale om anvendelse af Hosting.
> Drift og implementering af systemer der kan opdage, genoprette, imødegå og rapportere hændelser i forhold til Personoplysninger.
> Kortlægge sikkerhedsstrukturen samt hvordan Personoplysninger overføres mellem Parterne.
> Foretage vurdering af eget sikkerhedsniveau for at sikre, at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af Personoplysninger, herunder i henhold til
Databeskyttelsesforordningens artikel 32 om behandlingssikkerhed samt artikel 25 om Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.
ADGANG TIL REVISION
Den Dataansvarlige er berettiget til at igangsætte en revision af Databehandlerens forpligtelser i henhold til Aftalen én gang årligt. Hvis den Dataansvarlige er forpligtet hertil efter gældende lovgivning, kan der foretages revision oftere en én gang årligt. Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato. Det skal besluttes i fællesskab mellem Parterne, hvis en tredjepart skal foretage revisionen. Imidlertid kan den Dataansvarlige lade Databehandleren bestemme, at revisionen af sikkerhedsårsager skal foretages af en neutral tredjepart efter Databehandlerens valg, såfremt der er tale om et behandlingsmiljø hvor flere dataansvarliges data er anvendt.
Hvis det foreslåede omfang for revisionen følger en ISAE, ISO eller lignende certificeringsrapport udført af en kvalificeret tredjepartsrevisor inden for de forudgående tolv måneder, og Databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den Dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket.
Under alle omstændigheder skal revision finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter.
Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens assistance i forbindelse hermed, som overskrider den almindelige service som Databehandleren og/eller koncernen skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes særskilt.
VARIGHED OG OPHØR
Aftalen er gældende, så længe Databehandleren behandler Personoplysninger på vegne af den Dataansvarlige i forbindelse med den Dataansvarliges brug af Hosting.
Denne Aftale vil automatisk ophøre ved udgangen af den Dataansvarliges opsigelsesperiode i forhold til abonnement på Hosting. Ved ophør af abonnementet vil Databehandleren slette eller returnere alle Personoplysninger i det relevante format, som Databehandleren har behandlet på vegne af den Dataansvarlige under Aftalen. Såfremt den Dataansvarlige ønsker bistand til returnering af data, fastsættes omkostninger forbundet hermed i fællesskab af Parterne og skal baseres på:
i) timetakster for Databehandlerens anvendte tid,
ii) kompleksiteten af den anmodede proces, og
iii) det valgte format.
Databehandleren er berettiget til at beholde Personoplysninger efter ophør af Aftalen i det omfang, det er nødvendigt i henhold til gældende lovgivning, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i Aftalen.
ÆNDRINGER
Ændringer til Xxxxxxx skal vedlægges i et særskilt bilag til Aftalen.
Hvis nogen af bestemmelserne i Aftalen er ugyldige, får dette ikke indvirkning på de resterende bestemmelser. Parterne skal erstatte ugyldige bestemmelser med en lovlig bestemmelse, som afspejler formålet med den ugyldige bestemmelser.
ANSVAR
Ansvar for handlinger i strid med bestemmelserne i denne Aftale reguleres af ansvars- og erstatningsbestemmelser i Abonnementsvilkårene for Hosting. Dette gælder ligeledes for enhver overtrædelse, som foretages af Databehandlerens Underdatabehandlere.
LOVVALG OG VÆRNETING
Aftalen er underlagt dansk ret og enhver tvist skal forelægges en dansk domstol.
UNDERSKRIFT
På vegne af den Dataansvarlige: På vegne af Databehandleren:
Adwise Media A/S
BILAG A – EKSEMPLER PÅ TYPER AF PERSONOPLYSNINGER
Kategorier af Registrerede og Personoplysninger som behandles i henhold til Aftalen
a. Kategorier af Registrerede
i) Den Dataansvarliges slutbrugere
ii) Den Dataansvarliges medarbejdere
iii) Den Dataansvarliges kontaktpersoner
iv) Den Dataansvarliges kunder og kunders slutbrugere
v) Den Dataansvarliges kunders medarbejdere
vi) Den Dataansvarliges kunders kontaktpersoner
vii) Evt.
b. Kategorier af Personoplysninger
i) Navn
ii) Titel
iii) Telefonnummer
iv) E-mail
v) Adresse
vi) CPR-nummer via EAN-fakturering (behandles som fortrolig oplysning)
vii) Evt.