Databehandleraftale
Databehandleraftale
Det Nordjyske Mediehus behandler personoplysninger på vegne af Annoncøren, hvorfor følgende databehandleraftale er gældende ved brug af JaTak funktionen.
Præambel
1. Disse Bestemmelser fastsætter Databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den Dataansvarlige.
2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).
3. I forbindelse med leveringen af JaTak + SoMe Link pakken behandler Databehandleren personoplysninger på vegne af den Dataansvarlige i overensstemmelse med disse Bestemmelser.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
5. Der hører to bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den Dataansvarliges betingelser for Databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den Dataansvarlige har godkendt brugen af.
2. Parterne
Denne databehandleraftale (herefter Aftalen) om Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er indgået mellem:
Det Nordjyske Mediehus A/S
Xxxxx Xxxxxxxxx 00-00, 0000 Xxxxxxx
Cvr. nr. 18096641
(Databehandleren)
Og
JaTak Annoncøren (Dataansvarlige)
3. Den Dataansvarliges rettigheder og forpligtelser
1. Den Dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens
artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
2. Den Dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Den Dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som Databehandleren instrueres i at foretage.
4 Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt.
2. Databehandleren skal behandle personoplysningerne i overensstemmelse med den til enhver tid gældende lovgivning.
3. Databehandleren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af den Dataansvarliges instruks.
4. Efterfølgende instruks kan også gives af den Dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.
5. Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
5. Fortrolighed
1. Databehandleren må kun give adgang til personoplysninger, som behandles på den Dataansvarliges vegne, til personer, som er underlagt Databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang.
2. Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de pågældende personer, som er underlagt Databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
6. Behandlingssikkerhed
Databeskyttelsesforordningens artikel 32 fastslår, at den Dataansvarlige og Databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende tekniske og organisatoriske foranstaltninger, som er aftalt med den Dataansvarlige:
Tekniske sikkerhedsforanstaltninger
1. Adgangskontrol: Databehandleren skal sørge for, at adgang til personoplysningerne kun er tilladt for autoriserede personer.
2. Kryptering: Databehandleren skal sørge for, at alle personoplysninger er krypteret under overførsel og opbevaring, så uautoriserede personer ikke kan læse eller manipulere dataene.
3. Backup og gendannelse: Databehandleren skal tage regelmæssige sikkerhedskopier af personoplysninger og have en plan for hurtig gendannelse i tilfælde af datatab eller nedbrud.
4. Opdatering og patching: Databehandleren skal sørge for, at alle software- og hardwarekomponenter, der anvendes til behandling af personoplysninger, er opdateret og patchet regelmæssigt for at minimere risikoen for sårbarheder.
5. Overvågning og logning: Databehandleren skal overvåge alle systemaktiviteter og logge alle handlinger, der involverer personoplysninger, så eventuelle brud på sikkerheden kan opdages og undersøges hurtigt.
Organisatoriske sikkerhedsforanstaltninger
• Fysisk adgangskontrol: Herunder sørger Databehandleren for, at det hardware, hvorpå dataene er tilgængelig, er sikret.
• Databehandleren har en politik for behandling af personoplysninger.
• Træning af medarbejdere og løbende awareness: Databehandleren sørger for løbende træning af medarbejdere.
7. Bistand til den Dataansvarlige
Databehandleren skal bistå den Dataansvarlige med opfyldelse af dennes forpligtelser i forbindelse med:
1. Besvarelse af anmodninger fra registrerede ved udøvelse af disses rettigheder. Hvis mere end blot henvisning til den Dataansvarlige vil Databehandleren være berettiget til at fakturere Dataansvarlig for den tid der måtte være brugt ud fra rammeaftalens vilkår om timepriser.
2. Sikkerhedsbrud.
3. Foretagelse af konsekvensanalyser.
4. Forudgående høringer fra tilsynsmyndigheder.
5. At kunne dokumentere overholdelse af gældende persondatalovgivning.
Databehandleren forpligter sig til at orientere den Dataansvarlige om enhver anmodning modtaget direkte fra en registrerede ved udøvelse af dennes rettigheder.
Hvis der er behov for at opfylde skærpede sikkerhedskrav, skal Databehandleren implementere sådanne skærpede sikkerhedskrav mod en rimelig betaling fra den Dataansvarlige.
8. Anvendelse af underdatabehandler
Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
1. Databehandleren har den Dataansvarlige s generelle godkendelse til brug af underdatabehandlere. Databehandleren skal indgive anmodning om en specifik godkendelse mindst inden anvendelsen af den pågældende underdatabehandler. Listen over underdatabehandlere, som den Dataansvarlige allerede har godkendt, fremgår af bilag B.
2. Når Databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den Dataansvarlige , skal Databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder Databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
3. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den Dataansvarlige s anmodning herom – i kopi til den Dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den Dataansvarlige.
4. Databehandleren skal i sin aftale med underdatabehandleren indføje den Dataansvarlige som begunstiget tredjemand i tilfælde af Databehandlerens konkurs, således at den Dataansvarlige kan indtræde i Databehandlerens rettigheder og gøre dem gældende over for underdatabehandlere, som f.eks. gør den Dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
5. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den Dataansvarlige og Databehandleren, herunder underdatabehandleren.
9. Overførsel til tredjelande eller internationale organisationer
1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af Databehandleren på baggrund af dokumenteret instruks herom fra den Dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som Databehandleren ikke er blevet instrueret i at foretage af den Dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt, skal Databehandleren underrette den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
3. Uden dokumenteret instruks fra den Dataansvarlige kan Databehandleren således ikke inden for rammerne af disse Bestemmelser:
1. overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
2. overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
3. behandle personoplysningerne i et tredjeland
4. Den Dataansvarlige s instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.
5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
10. Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 36 timer efter, at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf.
databeskyttelsesforordningens artikel 33.
11. Sletning og returnering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er Databehandleren forpligtet til at slette alle personoplysninger, der er blevet behandlet på vegne af den Dataansvarlige og bekræfte over for den dataansvarlig, at oplysningerne er slettet, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
12. Revision, herunder inspektion
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
2. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den Dataansvarliges eller Databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation
13. Ikrafttræden og ophør
1. Bestemmelserne træder i kraft ved Annoncørens ibrugtagning af JaTak.
2. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.
3. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet i overensstemmelse med Bestemmelse 11.1, kan Bestemmelserne opsiges med skriftligt varsel af begge parter.
14. Kontaktoplysninger
Ved spørgsmål til databehandleraftalen eller henvendelser vedrørende behandling af personoplysninger kan Det Nordjyske Mediehus kontaktes på e-
Bilag A - Oplysninger om behandlingen
A.1. Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige
Formålet med behandlingen af personoplysninger er at kunne købe og bekræfte JaTak tilbud via sociale medier.
A.2. Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige drejer sig primært om (karakteren af behandlingen)
Adgang til personoplysningerne i forbindelse med support til den Dataansvarliges brug af JaTak platformen samt hosting af løsningen.
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
Almindelige personoplysninger herunder:
• Navn
• E-mailadresse
• Mobilnummer
• Bestillinger fra sociale medier
A.4. Behandlingen omfatter følgende kategorier af registrerede
Kategorierne af de registrerede personer, som personoplysningerne vedrører, udgør fortrinsvis den Dataansvarliges kunder, som accepterer et JaTak tilbud.
A.5. Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed
Så længe samarbejdet mellem Databehandleren og den Dataansvarlige består. Den Dataansvarlige kan til enhver tid selv slette personoplysninger på JaTak platformen.
Bilag B - Underdatabehandlere
B.1. Godkendte underdatabehandlere
Ved Bestemmelsernes ikrafttræden har den Dataansvarlige godkendt brugen af følgende underdatabehandlere:
NAVN | CVR | ADRESSE | BESKRIVELSE AF BEHANDLING |
Quick info ApS | 32093558 | Xxxxx Xxxxxx Xxx 00X XX-0000 Xxxxxx | JaTak platform og hosting |
Ved Bestemmelsernes ikrafttræden har den Dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet.
Databehandleren må ikke – uden den Dataansvarliges skriftlige godkendelse – gøre brug
af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.