DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
mellem | [BUTIKSNAVN] (DATAANSVARLIG) |
og | OPTIKIT A/S (DATABEHANDLER) |
INDHOLDSFORTEGNELSE
KATEGORIERNE AF REGISTREREDE TYPEN AF PERSONOPLYSNINGER OG BEHANDLINGSAKTIVITETERNE | ||
UNDERDATABEHANDLERE OG LOKATIONER FOR BEHANDLING AF PERSONOPLYSNINGER | ||
BILAG | ||
Bilag 1 Bilag 2 | Kategorierne af registrerede, typen af personoplysninger og behandlingsaktiviteterne Liste over underdatabehandlere og lokationer for behandling af personoplysninger |
PARTER
mellem | [Navn] CVR-nr. [*] [Adresse] (den "Dataansvarlige") |
og | OptikIT A/S CVR-nr. 38506668 Langebjerg 1 4000 Roskilde ("Databehandleren") |
Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part". |
1. BAGGRUND
1.2 Som led i Databehandlerens levering af Ydelserne (som defineret nedenfor) til den Dataansvarlige i henhold til Aftalen skal Databehandleren behandle personoplysninger på vegne af den Dataansvarlige.
1.3 Den gældende Databeskyttelseslovgivning (som defineret nedenfor) kræver, at der mellem en dataansvarlig og en databehandler, der behandler personoplysninger på vegne af den dataansvarlige, indgås en skriftlig kontrakt, som fastlægger omfanget af og kravene til den pågældende behandling.
2. DEFINITIONER
2.1 De termer, der er defineret i Aftalen, vil have samme betydning i denne Databehandleraftale, medmindre andet udtrykkeligt fremgår af Databehandleraftalen.
2.2 Medmindre andet fremgår af sammenhængen, har følgende termer følgende betydning:
1. "Aftalen" har den i punkt 1.1 anførte betydning.
2. "Databehandleraftale" betyder denne aftale om behandling af personoplysninger, inklusive bilag.
3. "Databeskyttelseslovgivning" betyder de til enhver tid gældende love og regler, som finder anvendelse for behandling og beskyttelse af personoplysninger overalt i det Europæiske Økonomiske Samarbejdsområde samt de retningslinjer mv., der udstedes af det danske datatilsyn eller andre kompetente tilsynsmyndigheder.
4. "Forordning om Databeskyttelse" betyder "Europa-Parlamentets og Rådets forordning (EU) nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)" med de til enhver tid gældende ændringer og/eller tilføjelser.
5. "Ydelserne" betyder de tjenesteydelser og leverancer, som Databehandleren som leverandør leverer til den Dataansvarlige som kunde i henhold til Aftalen.
2.3 Begreberne "personoplysninger", "særlige kategorier af personoplysninger", "behandling", "dataansvarlig", "databehandler", "registrerede", "tilsynsmyndighed", "pseudonymisering", "tekniske og organisatoriske foranstaltninger" og "brud på persondatasikkerheden" i denne Databehandleraftale skal forstås i overensstemmelse med gældende Databeskyttelseslovgivning.
3. BEHANDLING AF PERSONOPLYSNINGER
3.1 Databehandleren skal behandle personoplysninger på vegne af den Dataansvarlige i overensstemmelse med gældende Databeskyttelseslovgivning.
3.2 Kategorierne af registrerede, typen af personoplysninger, der behandles af Databehandleren, og behandlingsaktiviteterne er beskrevet i bilag 1 til denne Databehandleraftale.
3.4 Databehandleren skal sikre, at de personer, som er involveret i behandlingen af personoplysninger efter Databehandleraftalen, enten har forpligtet sig til fortrolighed eller er underlagt en behørig lovbestemt tavshedspligt.
3.5 Databehandleren skal træffe de fornødne tekniske og organisatoriske foranstaltninger til at sikre, at enhver person, der udfører arbejde for Databehandleren, og som har adgang til personoplysningerne, kun behandler disse personoplysninger efter instruks fra den Dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes national ret, jf. punkt 3.3.
3.6 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at den Dataansvarlige kan påse, at kravene i den gældende Databeskyttelseslovgivning overholdes. Databehandleren skal endvidere give tilladelse og bidrage til eventuelle revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en revisor, som er bemyndiget dertil af den Dataansvarlige. Ønsker Dataansvarlig revision hos Databehandler sker dette efter faktureret timetakst fra Databehandler til Dataansvarlig.
3.7 Databehandleren skal straks underrette den Dataansvarlige, hvis Databehandleren vurderer, at en instruks fra den Dataansvarlige er i strid med gældende Databeskyttelseslovgivning.
4. SIKKERHEDSFORANSTALTNINGER
4.1 Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal Databehandleren træffe de fornødne tekniske og organisatoriske foranstaltninger til at sikre et sikkerhedsniveau, der passende tager højde for disse risici. Databehandleren skal ligeledes opfylde de eventuelle sikkerhedskrav, der påhviler Databehandleren i henhold til gældende Databeskyttelseslovgivning, herunder gældende sikkerhedskrav i det land, hvori Databehandleren er etableret.
4.2 Databehandleren skal ved hjælp af passende tekniske og organisatoriske foranstaltninger bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til gældende Databeskyttelseslovgivning.
4.3 Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden. Endvidere skal Databehandleren bistå den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser til at (i) dokumentere alle brud på persondatasikkerheden, (ii) anmelde eventuelle brud på persondatasikkerheden til de(n) kompetente tilsynsmyndighed(er), (iii) underrette de registrerede om sådanne brud på persondatasikkerheden, såfremt der består en forpligtelser dertil efter artiklerne 33 og 34 i Forordning om Databeskyttelse, og
(iv) bistå den Dataansvarlige i forhold til dennes eventuelle øvrige forpligtelser som følge af bruddet på persondatasikkerheden. I det omfang at sikkerhedsbruddet ikke skyldes Databehandlerens forhold, er Databehandleren berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.
5. UNDERDATABEHANDLING
5.1 For at kunne udføre de i Aftalen aftalte serviceydelser, benytter Databehandleren sig af underleverandører til at bistå med leveringen af Ydelserne. Listen over de underleverandører, der p.t. beskæftiger sig med behandling af personoplysninger (i det følgende benævnt underdatabehandlere), samt over de lande og faciliteter, hvori/hvorpå personoplysningerne behandles, er vedlagt som bilag 2. Eventuelle tilføjelser og/eller ændringer til listen vil blive meddelt den Dataansvarlige.
Meddelelse skal gives mindst tredive (30) kalenderdage forud for den påtænkte ændring. Hvis den Dataansvarlige ønsker at gøre indsigelser mod en ændring af listen over underleverandører i bilag 2, skal den Dataansvarlige give skriftlig meddelelse herom inden for ti (10) kalenderdage efter modtagelse af Databehandlerens meddelelse om ændringen. Manglende rettidig indsigelse fra den Dataansvarlige vil blive anset for en stiltiende godkendelse af underdatabehandlingen.
5.2 Databehandleren skal sikre, at pågældende underdatabehandling er lovlig, og at alle underdatabehandlere påtager sig og er underlagt samme vilkår og forpligtelser, som Databehandleren er underlagt i henhold til kontraktgrundlaget med den Dataansvarlige.
5.3 Databehandleren indestår for lovligheden af sine underdatabehandleres behandling af personoplysninger. Databehandleren bærer det fulde ansvar for alle handlinger og undladelser fra dennes underdatabehandlere og fra de personer, som er ansat eller på anden måde inddraget af underdatabehandlerne. Dette ansvar gælder i samme omfang og udstrækning mv. som ansvaret for Databehandlerens egne handlinger og undladelser.
6. DATABEHANDLERENS GENERELLE FORPLIGTELSER
6.1 Databehandleren skal bistå den Dataansvarlige med at overholde den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder eventuelle forpligtelser i forhold til f.eks. artikel 35 (Konsekvensanalyser vedrørende databeskyttelse) og artikel 36 (Forudgående høring) i Forordning om Databeskyttelse. Hvis dette måtte kræve yderligere fra Databehandleren, end de allerede aftalte Ydelser i henhold til Aftalen, vil den Dataansvarlige blive faktureret særskilt for omkostningerne herfor.
7. ÆNDRINGER
7.1 Såfremt den Dataansvarlige ændrer anvisningerne i denne Databehandleraftale eller anmoder Databehandleren om at implementere nye sikkerhedsforanstaltninger end dem, der gælder for Databehandleren ved indgåelsen af denne Databehandleraftale, og en sådan anmodning ikke skyldes forhold, som Databehandleren tidligere skulle have taget tilstrækkelig højde for, skal den Dataansvarlige bekoste enhver yderligere udgift, som Databehandleren bliver pålagt som en konsekvens heraf.
8. OPHØR
8.1 Denne Databehandleraftale ophører automatisk i forbindelse med Aftalens ophør eller udløb eller på den Dataansvarliges/Databehandlerens anmodning.
8.2 Parterne er enige om, at Databehandleren ved Aftalens ophør efter den Dataansvarliges valg enten skal
(i) returnere alle data, der er behandlet under Aftalen og Databehandleraftalen, samt eventuelle kopier heraf til den Dataansvarlige, og/eller (ii) slette alle data, der er behandlet under Aftalen og Databehandleraftalen, og dokumentere over for den Dataansvarlige, at dette er sket. Sletning skal i givet fald ske fra enhver computer, server og/eller anden lagringsenhed eller -medie, medmindre det følger af EU-retlige regler og/eller medlemsstaternes nationale regler, at der skal ske opbevaring af sådanne data i en nærmere angiven periode.
9. UNDERSKRIFTER
Databehandleraftalen underskrives i to eksemplarer, hvoraf hver Part modtager ét eksemplar. Parterne skal opbevare en elektronisk kopi af den underskrevne Databehandleraftale.
FOR DEN DATAANSVARLIGE | FOR DATABEHANDLEREN | |||
Underskrift | Dato | Underskrift | Dato | |
Navn: | Navn: | |||
BILAG 1 - KATEGORIERNE AF REGISTREREDE, TYPEN AF PERSONOPLYSNINGER OG BEHANDLINGSAKTIVITETERNE
Dette bilag udgør en integreret del af Databehandleraftalen.
1. KATEGORIERNE AF REGISTREREDE TYPEN AF PERSONOPLYSNINGER OG BEHANDLINGSAKTIVITETERNE
Databehandlerens behandling relaterer sig til følgende kategorier af registrerede: Dataansvarliges kunder
Medarbejdere, som er ansat hos den Dataansvarlige
Databehandlerens behandling relaterer sig til følgende type af personoplysninger:
Kundeoplysninger: navn, XXX.xx, kontaktoplysninger, helbredsoplysninger (eksempelvis herunder også oplysninger om kundens syn), oplysninger om produkter, kunder har brugt eller bruger, optikerens observationer, oplysninger, om kunden ønsker at modtage direkte markedsføring, mv.
Oplysninger om medarbejdere: navn, jobfunktion, observationer i forhold til konkrete kunder Særlige kategorier af oplysninger (hvis relevant)
Databehandlerens behandling omfatter også følgende særlige kategorier af personoplysninger: Helbredsoplysninger (eksempelvis herunder også oplysninger om kundens syn)
2. BEHANDLINGSAKTIVITETERNE
Personoplysningerne vil blive genstand for følgende grundlæggende behandling:
Indsamling, gennemgang, bearbejdning, overførsel, opbevaring, sletning osv. til brug for følgende formål:
• Udførelse af de beskrevne Ydelser i Aftalen, herunder eksempelvis support, backup, levering af nye opdateringer til software;
• Håndtering af forhold i forbindelse med datasikkerhed samt andre tekniske forhold, såsom overførsel, adgang mv.;
• Anvendelse af personoplysninger i testmiljøer, i det omfang det er nødvendigt for at håndtere udviklingsopgaver på vegne af den Dataansvarlige, herunder også anvendt ved test af evt. nye versionsreleases;
• Anvendelse af personoplysninger til brug for konverteringer;
• Anvendelse af personoplysninger til brug for IT- support, herunder fejlsøgning og håndtering af konkrete henvendelser fra den Dataansvarlige.
• Opbevaring af personoplysninger, herunder i forbindelse med backup, og opfyldelse af Aftalen;
• I forbindelse med IT-support og fejlrettelser efter henvendelse fra den Dataansvarlige vil der kunne blive brugt videooptagelser af fejlen fra en skærm hos den Dataansvarlige, hvilket slettes automatisk hver dag, efter at opgaven er blevet tilstrækkeligt dokumenteret;
• Benyttelse af databaser til test, fejlretning og konvertering;
• Benyttelse af alle hentede data til opfyldelse af Aftalen og den indgåede Databehandleraftale.
For at kunne opfylde Databehandlerens forpligtelser under Aftalen og opretholde det i Aftalen aftalte serviceniveau vil adgang til en skærm hos den Dataansvarlige kunne benyttes fjernadgang ved support og andre Ydelser. Det er den Dataansvarliges ansvar at oplyse egne medarbejdere herom, herunder særligt om vigtigheden af ikke at gøre irrelevante oplysninger tilgængelige, mens der udføres en supportopgave. Dette drejer sig særligt om oplysninger af følsom eller fortrolig karakter, når der ydes support via opkobling til en skærm hos den Dataansvarlige.
Alle medarbejdere hos Databehandleren er underlagt tavshedspligt, vedr. alle oplysninger de måtte blive bekendt med.
BILAG 2 - LISTE OVER UNDERDATABEHANDLERE OG LOKATION FOR BEHANDLING AF PERSONOPLYSNINGER
Dette bilag udgør en integreret del af Databehandleraftalen.
3. UNDERDATABEHANDLERE OG LOKATIONER FOR BEHANDLING AF PERSONOPLYSNINGER
Databehandleren anvender følgende underdatabehandlere:
Virksomhed | Adresse | By | Land | Vedrørende. |
Frontsafe | Xxxxxxxxxxx Xxxx 00 | 0000 Xxxx | Xxxxxxx | Backup |
Mimer Group | Brede 75 | 2800 Kongens Lyngby | Danmark | SMS i OptikIT |
OnlineCity ApS | Xxxxxxxxxxxxx 00 | 0000 Xxxxxx | Xxxxxxx | SMS i HORIZON og AMPAREX |
AMPAREX Gmbh | Xxx-Xxxx-Xxxxxx 00 | 00000 Xxxxxxxxxx- Echterdingen | Tyskland | AMPAREX software |
The Rocket Science Group LLC d/b/a Mailchimp | 000 Xxxxx xxXxxx Xxx XX, Xxxxx 0000 | Xxxxxxx, XX 00000 | XXX | Ved modtagelse af nyhedsbreve fra OptikIT A/S, som kunden er tilmeldt via |