Databehandleraftale
Databehandleraftale
INDHOLDSFORTEGNELSE
1 DATABEHANDLERAFTALE 3
2 BAGGRUND FOR AFTALEN 3
3 INSTRUKSER / BEHANDLING AF DATA 3
3.1 Data kategorier 4
3.2 Typer af personoplysninger omfattet af aftalen 4
4 DEN DATAANSVARLIGES FORPLIGTIGELSER 5
5 SIKKERHEDSFORANSTALTNINGER 5
6 UNDERDATABEHANDLERE 6
7 PERSONDATASIKKERHEDSBRUD 7
8 VARIGHED OG PÅHØR AF DATABEHANDLERAFTALEN 8
1 DATABEHANDLERAFTALE
Gældende for alle leverede Sapera, Sapera Webshop eller CB Retail systemer med CB Retail Kædeserver, CB Webshop, Fjernbackup og/eller SMS/e-mailløsninger, hostet hos Cloud Retail Systems A/S og underleverandører.
Denne aftale henvender sig til alle kunder.
Der indgås hermed følgende databehandleraftale mellem Cloud Retail Systems A/S og “Kunden” (den juridiske enhed der benævnes Kunden og som er dataansvarlig i Aftalen).
2 Baggrund for aftalen
Baggrunden for aftalen er, at Cloud Retail Systems A/S behandler personoplysninger for den dataansvarlige. Aftalen fastlægger de forpligtelser, der relaterer sig til behandlingen og beskyttelsen af personoplysningerne for den dataansvarlige.
I henhold til Europa-Parlamentets og rådets forordning 2016/679 af 27.april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger om fri udveksling af sådanne oplysninger.
Kunden har som den dataansvarlige i forhold til de registrerede personer ansvaret for overholdelse af lovgivningen. Den dataansvarlige har ansvaret for at henvendelser fra de registrerede personer angående deres rettigheder håndteres korrekt. Cloud Retail Systems A/S er forpligtet til at give kunden besked, hvis der efter dennes opfattelse sker lovovertrædelser inden for nedenstående rammer. Cloud Retail Systems A/S er ansvarlig for at opfylde kravene i Persondataforordningen som databehandler.
3 Instrukser / Behandling af data
Cloud Retail Systems A/S handler alene efter instruks fra den dataansvarlige. Instruksen er beskrevet nedenstående i denne aftale. Hermed accepterer Cloud Retail Systems A/S i enhver henseende at behandle personoplysninger i overensstemmelse med persondataforordningen og kun med de formål og på en sådan måde, som det fremgår af denne databehandleraftale.
3.1 Data kategorier
Der behandles oplysninger om følgende kategorier af registrerede personer:
Kunder
Ekspedienter
Leverandører (med personangivelser i systemet)
3.2 Typer af personoplysninger omfattet af aftalen.
Cloud Retail Systems A/S behandler almindelige personoplysninger og behandler alle personoplysninger strengt fortroligt. Cloud Retail Systems A/S har alene ret til at behandle personoplysninger af ovennævnte kategorier.
Cloud Retail Systems A/S behandler følgende personoplysninger:
Kunde
o Almindelige personoplysninger:
Registrerings- og kontaktoplysninger som navn, køn, adresse, husnummer, bogstav/opgang, etage, postboks, postnummer, bynavn, landekode, telefonnummer, mobilnummer, fødselsdato, e-mailadresse, oprettelsesdato, størrelser (om sko/tøj) og markedsføringsgrupper
Almindelige købsoplysninger om hvilke produkter personen har købt hos kunden.
Gruppetilknytning hos kunden
o Følsomme personoplysninger (jf. Databeskyttelsesforordningens artikel 9):
CPR-NR/personnummer (personnummer lagres ikke i CB Retail Kædeserver)
Oplysninger om ekspedienter:
o Almindelige personoplysninger:
Medarbejder navn
Oplysninger om leverandør:
o Almindelige personoplysninger
Kontaktpersonnavn hos leverandøren, e-mailadresse og telefonnummer, adresse, husnummer, bogstav/opgang, etage,
15.05.2018
postboks, postnummer, bynavn, landekode og mobilnummer og oprettelsesdato.
4 Den dataansvarliges forpligtigelser:
Den dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de personoplysninger som behandles af databehandleren.
Den dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anvendelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår behandlingen af personoplysninger.
5 Sikkerhedsforanstaltninger
Cloud Retail Systems A/S skal træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataforordningen og lovgivningen i øvrigt.
Cloud Retail Systems A/S må til varetagelse af sine opgaver i henhold til denne aftale sikre, at de personer, der er autoriseret af Cloud Retail Systems A/S til at varetage behandling af de overladte personoplysninger, har underskrevet fortrolighedserklæring og er underlagt tavshedspligt.
Cloud Retail Systems A/S skal, efter nærmere aftale med den dataansvarlige, så vidt muligt bistå den dataansvarlige med at opfylde dennes forpligtelser over for den registrerede. Dette indebærer, at Cloud Retail Systems A/S på den dataansvarliges anmodning skal give den dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet samt sikre, at der kan ske rettidig anmeldelse af sikkerhedsbrud til Datatilsynet.
Den dataansvarlige har ret til at kræve adgang til de fysiske lokaler hos Cloud Retail Systems A/S, for at foretage revision/inspektion af Cloud Retail Systems A/S håndtering af gældende regler i henhold til persondataforordningen. Revision og
15.05.2018
anmodning om inspektion kan kun finde sted efter forudgående varsel på minimum 4 uger. Cloud Retail Systems A/S har krav på betaling efter medgået tid, for ovennævnte ydelser.
6 Underdatabehandlere
Denne databehandleraftale omfatter også Cloud Retail Systems A/S underleverandører:
MB-Solutions A/X Xxxxxxxxxx 0
7100 Vejle
Xxxxxx Xxxxxxx 00
8310 Tranbjerg J
LINK Mobility A/S Copenhagen Towers Xxxxxxxx Xxxxxxxxx 000, 0.
2300 København S
Front-Safe Spotorno Allé 12
2630 Tåstrup
Underleverandørerne benyttes som hosting center og al kommunikation mellem kunden og underleverandøren foretages altid via Cloud Retail Systems A/S. Overførsel af persondata til anden underleverandør må kun ske, når Cloud Retail Systems A/S har sikret sig, at sådan anden underleverandør har indgået databehandlingsaftale, hvorefter underleverandøren har forpligtet sig til overfor Cloud Retail Systems A/S at være bundet af vilkårene i denne databehandlingsaftale med kunden. Cloud Retail Systems A/S kan ikke skifte underleverandør uden at underrette kunden.
15.05.2018
Cloud Retail Systems A/S og dennes underleverandørers behandling af personoplysninger kan ske helt eller delvist ved anvendelse af
hjemmearbejdspladser, der alle opfylder de sikkerhedskrav, der er omfattet af denne databehandlingsaftale, samt Cloud Retail Systems datapolitik.
Cloud Retail Systems A/S er ansvarlig overfor kunden for underleverandørens databehandling.
7 Persondatasikkerhedsbrud
Såfremt databehandleren måtte blive bekendt med et persondatasikkerhedsbrud, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, er databehandleren forpligtiget til uden unødig forsinkelse, at søge at lokalisere sådan brud og søge at begrænse opstået skade i videst muligt omfang, samt i det omfang det er muligt reetablere eventuelt mistede data.
Databehandleren er endvidere forpligtet til uden unødig forsinkelse at underrette den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Databehandleren skal herefter uden unødig forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til den dataansvarlige, som så vidt muligt skal indeholde:
1. En beskrivelse af karakteren af bruddet, herunder hvilke kategorier af data der er blevet berørt.
2. En beskrivelse af de sandsynlige konsekvenser af bruddet.
3. En beskrivelse af de foranstaltninger, som databehandleren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger
15.05.2018
8 Varighed og påhør af databehandleraftalen
I tilfælde af at hovedaftalen ophører, uanset årsag, ophører aftalen også.
Databehandleren er dog forpligtiget af denne aftale, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige, idet den dataansvarlige snarest muligt og senest 14 dage efter ophør af hovedaftalen skal oplyse databehandleren skriftligt, hvorledes databehandleren skal forholde sig til de behandlede personoplysninger. 30 dage efter ophøret af hovedaftalen er databehandleren berettiget til at slette alle personoplysninger, som er blevet behandlet under den ophørte hovedaftale på vegne af den dataansvarlige.