FrontSafe-databehandlingsvilkår
FrontSafe-databehandlingsvilkår
Frontsafe og kunden, der har accepteret disse vilkår (kunden), har indgået en aftale om levering af visse sikkerhedskopierings- og it-katastrofeberedskabstjenester (som ændret, suppleret eller fornyet fra tid til anden, (“aftalen”).
Dette tillæg er indgået af Frontsafe og kunden og angiver de databehandlingsvilkår, der gælder for tjenesterne, og udgør en del af og er underlagt aftalen, herunder de generelle vilkår og betingelser.
Vilkår, der ikke er defineret i disse databehandlingsvilkår, skal have den betydning, der er angivet i aftalen.
DEFINITIONER
I disse databehandlingsvilkår:
Betyder “associeret selskab” en enhed, der direkte eller indirekte kontrollerer, kontrolleres af eller er under fælles kontrol med, en part,
Betyder “kundens personoplysninger” personoplysninger, der er indeholdt i kundernes' filer, mapper og databaser, som skal sikkerhedskopieres gennem tjenesterne,
Betyder “kunderepræsentant” den person, som kunden fra tid til anden udpeger, som skal fungere som dens primære kontaktperson med hensyn til opfyldelse af aftalen,
Betyder “databehandlingsvilkår” de vilkår, der er angivet i dette tillæg,
Betyder “databeskyttelseslovgivning”, som relevant: a) GDPR (den generelle databeskyttelsesforordning) (fra den 25. maj 2018 og fremefter) og/eller (b) de databeskyttelseslove, der gælder i Frontsafes retskreds, i hvert enkelt tilfælde, som kan ændres eller suppleres fra tid til anden,
Betyder “Frontsafe” den Frontsafe-enhed, der er part i aftalen med kunden. Betyder “GDPR” den generelle databeskyttelsesforordning 2016/679,
Xxxxxxx “tjenester” de tjenester, der leveres i henhold til aftalen, og omfatter online-sikkerhedskopiering af en krypteret kopi af kundens personoplysninger til en lokalitet uden for selskabet (datacenter) via software tilvejebragt af Frontsafe og installeret på kundens personlige computere og/eller servere, der er underlagt tjenesterne, herunder de tilhørende tekniske supporttjenester.
Betyder “underdatabehandlere” tredjeparter, der er autoriseret i henhold til disse databehandlingsvilkår, til at behandle kundens personoplysninger med henblik på at levere dele af tjenesterne og eventuel relateret teknisk support.
Betegnelserne “dataansvarlig”, “registret”, “personoplysninger”, “behandling”, “databehandler” og “tilsynsmyndighed”, som anvendt i disse databehandlingsvilkår, har de betydninger, der er angivet i GDPR.
IKRAFTTRÆDELSESDATO OG VARIGHED
Disse databehandlingsvilkår træder på den dato, de er underskrevet af kunden (“ikrafttrædelsesdatoen”).
.
ARTEN AF OG FORMÅLET MED BEHANDLING
Kunden anerkender og accepterer udtrykkeligt, at Frontsafe ikke har nogen kontrol over eller indflydelse på indholdet af kundens personoplysninger, som blandt andet kan omfatte personoplysninger og følsomme personoplysninger (som defineret i henhold til GDPR) vedrørende kundens eller dennes kundes egne klienter, kunder, leverandører, medarbejdere, andet personale eller andre registrerede inden for rammerne af GDPR). Skulle kunden ønske at kategorisere de registrerede eller typerne af personoplysninger yderligere med henblik på at
indarbejde dem i disse vilkår, kan kunden tilvejebringe sådanne oplysninger for Frontsafe til enhver tid.
Leveringen af tjenesterne omfatter indsamling, registrering, organisering, strukturering, opbevaring i krypteret form, hentning, sletning og ødelæggelse af kundens personoplysninger med det formål at levere tjenesterne og eventuel relateret teknisk support til kunden.
I forbindelse med leveringen af tjenesterne af Frontsafe, er og vil kunden eller dennes kunde være dataansvarlig, og Frontsafe er og vil være databehandler. I tilfælde af at kunden kvalificerer sig som databehandler, skal Frontsafe fungere som dennes underdatabehandler, og kunden garanterer over for Frontsafe, at kundens instruktioner og handlinger med hensyn til kundens personoplysninger, herunder udnævnelsen af Frontsafe som en anden databehandler, er blevet godkendt af den relevante dataansvarlige.
Uanset pkt. 3.3 kan Frontsafe ikke desto mindre fungere som dataansvarlig med hensyn til aktiviteter, der er angivet i dennes databeskyttelsespolitik, som er tilgængelig på dennes websted - xxx.xxxxx-xxxx.xx.
Frontsafe skal kun behandle kundens personoplysninger i overensstemmelse med Kundens anvisninger. Kunden beder Frontsafe om at behandle kundens personoplysninger i overensstemmelse med aftalen og ellers efter instruktioner fra de kontaktpersoner, der er udpeget af kunden eller en sådan tredjepart, som kunden skriftligt (herunder e-mail) har bekræftet er bemyndiget til at tilvejebringe sådanne instruktioner (en “autoriseret agent”) under hensyntagen til arten af tjenesterne, herunder eventuel relateret teknisk support, og under hele aftalens løbetid. Frontsafe skal straks underrette Partnern, hvis en instruktion efter dens opfattelse krænker databeskyttelseslovgivningen. Kunden er til enhver tid fuldt ud erstatningsansvarlig for eventuelle instruktioner tilvejebragt af dennes kontaktperson(er) eller en autoriseret agent.
Parterne anerkender og accepterer, at eventuelle instruktioner kan tilvejebringes via e-mail eller mundtligt, hvor kunden eller den autoriserede agent bruger Frontsafes tekniske supportteam, forudsat, at Frontsafe fører en optegnelse over sådanne mundtlige instruktioner.
Kunden anerkender og accepterer endvidere, at denne (og/eller dennes kunde, hvis dennes kunde (også) kvalificerer sig som den dataansvarlige) er ansvarlig for at bestemme formålene med og måden, hvorpå kundens personoplysninger behandles, og garanterer hermed, og, hvor gældende, dennes kunde garanterer hermed, at den har truffet, og i hele aftalens løbetid vil træffe alle foranstaltninger vedrørende kundens personoplysninger for at sikre overholdelsen af sine forpligtelser i henhold til databeskyttelseslovgivningen, herunder de behandlingsaktiviteter, der udføres af tjenesterne, og eventuelle tilladelser, der kræves fsva. leveringen af sådanne tjenester af Frontsafe i henhold til disse databehandlingsvilkår.
Frontsafe-personale
Frontsafe vil pålægge og opretholde passende kontraktlige forpligtelser vedrørende fortrolighed med hensyn til eventuelt personale, der er autoriseret af Frontsafe til at få adgang til kundens personoplysninger.
Frontsafe vil implementere og opretholde adgangskontroller og -politikker for at begrænse Frontsafe-personale, der behandler kundens personoplysninger til det Frontsafe-personale, der skal behandle kundens personoplysninger for at levere tjenesterne til kunden.
SIKKERHEDSFORANSTALTNINGER
Frontsafe har implementeret og vil opretholde passende tekniske og organisatoriske sikkerhedsforanstaltninger for at forhindre uautoriseret adgang til kundens personoplysninger, uautoriseret eller ulovlig ændring, videregivelse, ødelæggelse eller ulovlig behandling af kundens personoplysninger eller utilsigtet tab eller ødelæggelse af, eller skade på, kundens personoplysninger, og i hvert enkelt tilfælde under hensyntagen til den nyeste teknologi, omkostningerne ved implementeringen og arten, omfanget, sammenhængen og formålet med behandling i medfør af tjenesterne.
Kunden er eneansvarlig for sin brug af tjenesterne, herunder sikring af kontogodkendelsesoplysninger, systemer og enheder (herunder beskyttet udstyr), som kunden bruger til at få adgang til tjenesterne.
OPBEVARING OG OVERFØRSEL AF PERSONOPLYSNINGER
Medmindre andet er aftalt med kunden, behandler Frontsafe kun kundens personoplysninger i EØS eller i et tredjeland omfattet af artikel 45, stk. 1 i GDPR.
UNDERBEHANDLING
Kunden giver hermed specifik tilladelse til ansættelse af ethvert associeret Frontsafe-selskab som en underdatabehandler.
Kunden giver også generel tilladelse til brug af tredjepartsunderdatabehandlere af Frontsafe, forudsat at:
(a) Frontsafe skal begrænse underdatabehandlerens behandling af kundens personoplysninger til behandling, der er nødvendig for at levere eller vedligeholde tjenesterne,
(b) Frontsafe skal indgå kontraktlige aftaler med sådanne underdatabehandlere, der kræver, at de garanterer et tilsvarende niveau af databeskyttelsesoverholdelse og informationssikkerhed som det, der er fastsat heri, i det omfang, der gælder for de behandlingsaktiviteter, der leveres af en sådan underdatabehandler, og
(c) hvis en underdatabehandler ikke overholder sine databeskyttelsesforpligtelser, forbliver Frontsafe fuldt ud erstatningsansvarlig over for kunden.
Frontsafe skal opretholde en ajourført liste over sine underdatabehandlere i forbindelse med eventuelle tjenester, som den leverer til kunden. Frontsafe skal tilvejebringe listen for kunden efter skriftlig anmodning herom.
Frontsafe skal informere kunden, hvis eventuel ny underdatabehandler udnævnes efter ikrafttrædelsesdatoen, og kunden skal have mulighed for at gøre indsigelse mod brugen af en sådan underdatabehandler. Hvis kunden:
(a) ikke svarer (skriftligt) inden for 30 dage fra datoen for meddelelsen, anses kunden for at have givet sin tilladelse til brugen af en sådan underdatabehandler,
(b) svarer (skriftligt) og nægter sin tilladelse, og en gensidigt acceptabel løsning på et sådant afslag ikke kan aftales, kan kunden opsige aftalen for nemheds skyld eller opsige tjenesten eller den del af tjenesten, der leveres af Frontsafe ved hjælp af den relevante underdatabehandler. Denne opsigelsesret er kundens eneste og eksklusive retsmiddel, hvis kunden gør indsigelse mod eventuel ny tredjepartsunderdatabehandler.
Uanset stk. 7.1 til 7.4 ovenfor, og underlagt gældende lovgivning, kan Frontsafe frit anvende underleverandører eller leverandører, der ikke kvalificerer sig som databehandlere i henhold til databeskyttelseslovgivningen, herunder men ikke begrænset til energileverandører, udstyrsleverandører , transportleverandører, udbydere af tekniske tjenester, hardwareforhandlere, osv.) uden at informere eller søge forudgående tilladelse fra kunden.
Frontsafe skal pålægge og opretholde passende kontraktlige forpligtelser vedrørende fortrolighed med hensyn til eventuelle underdatabehandlere, der er autoriseret af Frontsafe til at få adgang til kundens personoplysninger.
ASSISTANCE MED ANMODNINGER FRA REGISTREREDE
Kunden anerkender og accepterer, at denne er ansvarlig for opfyldelse af eventuelle anmodninger fra registrerede i henhold til databeskyttelseslovgivningen.
Frontsafe accepterer, at yde rimelig assistance til kunden uden unødig forsinkelse og under hensyntagen til arten og funktionaliteten af tjenesterne fsva. kundens eller dennes kunders forpligtelser vedrørende:
(a) anmodninger fra registrerede fsva. adgang til eller berigtigelse, sletning, begrænsning eller blokering af kundens personoplysninger, forudsat, at kunden anerkender, at Frontsafe kun besidder kundens
personoplysninger i krypteret form, og sådanne handlinger skal derfor udføres af kunden eller en autoriseret agent på dennes vegne og ikke af Frontsafe,
(b) undersøgelse af eventuel hændelse, der medfører risiko for uautoriseret videregivelse, tab, ødelæggelse eller ændring af kundens personoplysninger, og underretningen til tilsynsmyndigheden og registrerede fsva. sådanne hændelser,
(c) for kundens regning, udarbejdelse af konsekvensanalyser vedrørende databeskyttelse og, hvor relevant, afholdelse af konsultationer med tilsynsmyndigheden.
PÅVISNING AF OVERHOLDELSE
Frontsafe kan bruge uafhængige tredjepartsrevisorer til regelmæssigt at bekræfte tilstrækkeligheden af de sikkerhedskontroller, som gælder for tjenesterne.
Xxxxxx har ret til at kontrollere Frontsafes overholdelse af disse databehandlingsvilkår ved at:
(a) anmode om en kopi af eventuelt certifikat, der stilles til rådighed i henhold til punkt 9.1, og
(b) hvis kunden med rimelighed kan godtgøre, at certifikatet, der tilvejebringes i henhold til punkt 9.2 (a) ikke er tilstrækkeligt til at påvise Frontsafes overholdelse af disse databehandlingsvilkår, eller et sådant certifikat afslører utilstrækkelige sikkerhedsforanstaltninger/ikke stilles til rådighed, så accepterer Frontsafe, efter anmodning af og for kundens regning (herunder alle rimelige gebyrer og omkostninger afholdt af Frontsafe), at stille sådanne andre oplysninger og dokumenter til rådighed og bidrage til sådanne inspektioner, som kunden eller dennes bemyndigede repræsentant med rimelighed måtte anmode om for at kunne kontrollere overholdelse af forpligtelserne i henhold til disse databehandlingsvilkår, forudsat, at en sådan revision foregår i almindelig åbningstid med rimeligt forudgående varsel til Frontsafe og underlagt rimelige fortrolighedsprocedurer. Inden iværksættelsen af en sådan revision, skal parterne opnå gensidig enighed om revisionens omfang, tidspunkt og varighed. Kunden må ikke foretage revision af Frontsafe mere end én gang om året. Frontsafe forbeholder sig ret til at opkræve et gebyr for sine rimelige omkostninger, der afholdes i forbindelse med assistance under enhver sådan revision.
.
Frontsafe skal ikke være forpligtet til at videregive eventuelle fortrolige forretningsmæssige oplysninger eller kommercielt følsomme oplysninger, andre kunders oplysninger eller oplysninger, som den med rimelighed vurderer, kan bruges til at kompromittere sikkerheden eller integriteten af sine systemer.
BRUD PÅ PERSONDATASIKKERHEDEN
Hvis j2 Global bliver opmærksom på en sikkerhedsbrud i forhold til kundens personoplysninger, der resulterer i utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret offentliggørelse eller adgang til kundens personoplysninger, vil Frontsafe underrette kunden uden unødig forsinkelse, og tilvejebringe tilstrækkelige oplysninger til at gøre det muligt for kunden at evaluere bruddet og dens forpligtelser med hensyn til at underrette tilsynsmyndigheder eller registrerede i henhold til databeskyttelseslovgivningen. En sådan underretning skal tilvejebringes for kunderepræsentanten. For at undgå tvivl skal Frontsafe ikke være forpligtet til at underrette kunden om eventuelle mislykkede forsøg eller aktiviteter, der ikke bringer sikkerheden af kundens personoplysninger i fare, herunder mislykkede login-forsøg, pings, portscanninger, denial of service- angreb og andre netværksangreb på firewalls eller netværkssystemer.
Kunden er eneansvarlig for at overholde love om hændelsesunderretning, der gælder for kunden i henhold til databeskyttelseslovgivningen. Uanset ovenstående vil parterne samarbejde og yde al rimelig assistance med hensyn til overholdelse af underretningsforpligtelser over for tredjeparter i henhold til databeskyttelseslovgivningen.
Frontsafes underretning om eller reaktion på et brud på persondatasikkerheden i henhold til dette punkt 10 vil ikke blive fortolket som en anerkendelse af Frontsafe eller ethvert af dets associerede selskaber af eventuel fejl eller erstatningsansvar fsva. bruddet på persondatasikkerheden.
SLETNING AF KUNDEOPLYSNINGER
Kunden pålægger hermed Frontsafe og eventuelle underdatabehandlere, inden for tre måneder efter datoen for opsigelsen af aftalen, at slette alle kundens personoplysninger og efter anmodning herom tilvejebringe skriftlig bekræftelse (herunder via e-mail) for kunden om, at den har truffet sådanne foranstaltninger.
FORHOLD TIL AFTALEN
Ved at acceptere disse databehandlingsvilkår, accepterer kunden, at undtagen som angivet heri, forbliver alle andre vilkår i aftalen i kraft. I tilfælde af uoverensstemmelse mellem disse databehandlingsvilkår og den resterende del af aftalen, skal disse databehandlingsvilkår have forrang. Eventuelle krav i henhold til dette tillæg er underlagt de samme vilkår og betingelser som aftalen, herunder men ikke begrænset til de udelukkelser og begrænsninger, der er angivet i Aftalen.
Kunden: For Frontsafe A/S
Signed: Signed:
Name Name:
Date: