Onmondo A/S · Kongevejen 400D · 2840 Holte · Telefon 70 22 52 12 · service@onmondo.com
Xxxxxxx A/S · Kongevejen 400D · 2840 Holte · Telefon 00 00 00 00 · xxxxxxx@xxxxxxx.xxx
Databehandleraftale v. 1.0
Dataansvarlig:
PV Sport 81, Xxxxxxxxx Xxxxxxxx 0, 0000 Xxx
Databehandler:
Xxxxxxx A/S Kongevejen 400 D
2840 Holte
CVR nr. 32775691
1. Indledning
1.1. Denne aftale vedrørende behandling af personoplysninger (”Databehandleraftalen”) regulerer Xxxxxxx A/S’, CVR nr. 32775691 (”Databehandleren”) behandling af personoplysninger på vegne af Kunden (den ”Dataansvarlige”) og er et bilag til Aftale om brug af GoMINIsite CMS (”Hovedaftalen”), hvori parterne har aftalt de nærmere vilkår for Databehandlerens levering af ydelser (”Hovedydelserne”).
2. Lovgivning
2.1. Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige regulering (”Databeskyttelseslovgivningen”), herunder navnlig:
2.1.1. Europa-Parlamentets og Rådets Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger som gennemført i persondataloven (lov 2000-05- 31 nr. 429 med senere ændringer) og anden gældende lovgivning,
2.1.2. Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, som trådte i kraft den 24. maj 2016 og bliver gældende i Danmark den 25. maj 2018 (“GDPR“), herunder ved vedtagelsen af databeskyttelsesloven. Uanset de generelle henvisninger til GDPR i Databehandleraftalen forpligter GDPR først parterne pr. den 25. maj 2018.
Xxxxxxx A/S · Kongevejen 400D · 2840 Holte · Telefon 00 00 00 00 · xxxxxxx@xxxxxxx.xxx
Databehandleraftale v. 1.0
3. Behandling af personoplysninger
3.1. I forbindelse med levering af Hovedydelserne behandler Databehandleren personoplysninger på vegne af den Dataansvarlige.
3.2. ”Personoplysninger” omfatter “enhver form for information om en identificeret eller identificerbar fysisk person” som defineret i GDPR, artikel 4, stk. 1, nr. 1 (”Personoplysningerne”). Personoplysningerne og kategorierne af registrerede omfattet af Databehandleraftalen er oplistet i underbilag A, der bliver ajourført jævnligt i Databehandlerens fortegnelse over behandlingsaktiviteter, som Databehandleren udleverer til den Dataansvarlige efter skriftlig anmodning herom. Databehandlerens behandlingsaktiviteter og formål med behandling af Personoplysningerne er alene at levere Hovedydelserne.
3.3. Databehandleren behandler personoplysninger om den Dataansvarlige og dennes medarbejdere som led i Databehandlerens eget salg, markedsføring og produktudvikling. For disse personoplysninger og for denne behandling er Databehandleren dataansvarlig, og der henvises til persondatapolitik herom, som er tilgængelig på Databehandlerens hjemmeside.
4. Instruks
4.1. Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruksen”). Instruksen på underskriftstidspunktet er, at Databehandleren må behandle Personoplysningerne med henblik på levering af Hovedydelserne og i øvrigt i overensstemmelse med denne Databehandleraftale.
4.2. Den Dataansvarlige garanterer, at Personoplysningerne, som overlades til Databehandleren, af den Dataansvarlige behandles og overlades i overensstemmelse med den til enhver tid gældende lovgivning, herunder Databeskyttelseslovgivningens regler om behandlingshjemmel og oplysningspligt over for de registrerede.
4.3. Databehandleren skal uden unødvendig forsinkelse informere den Dataansvarlige, hvis Databehandleren mener, at den gældende Instruks overtræder Databeskyttelseslovgivningen.
5. Databehandlerens forpligtelser
5.1. Fortrolighed
5.1.1. Databehandleren skal behandle Personoplysningerne strengt fortrolige. Personoplysningerne må ikke uberettiget kopieres, videregives eller behandles uden for Instruksen uden den Dataansvarliges udtrykkelige og forudgående tilladelse.
Xxxxxxx A/S · Kongevejen 400D · 2840 Holte · Telefon 00 00 00 00 · xxxxxxx@xxxxxxx.xxx
Databehandleraftale v. 1.0
5.1.2. Databehandlerens medarbejdere skal have påtaget sig en fortrolighedsforpligtelse, som indebærer, at medarbejderne er underlagt tavshedspligt om alle forhold vedrørende Personoplysningerne.
5.2. Sikkerhed
5.2.1. Databehandleren gennemfører de nødvendige tekniske og organisatoriske foranstaltninger for at sikre databeskyttelse i overensstemmelse med Databeskyttelseslovgivningen og i overensstemmelse med GDPR artikel 32.
5.3. Databehandleren sikrer, at adgangen til Personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.
5.4. Databehandleren sikrer ligeledes, at medarbejdere, der behandler Personoplysningerne for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.
5.4.1. Databehandleren udleverer efter skriftlig anmodning herom fra den Dataansvarlige dokumentation på Databehandlerens sikkerhedsforanstaltninger.
5.5. Konsekvensanalyser og forudgående høring
5.5.1. Hvis Databehandlerens bistand er nødvendig og relevant, skal Databehandleren bistå den Dataansvarlige med udarbejdelsen af eventuelle lovpligtige konsekvensanalyser i overensstemmelse med GDPR, artikel 35, samt eventuelle forudgående høringer i overensstemmelse med GDPR, artikel 36.
5.6. De registreredes rettigheder
5.6.1. Hvis den Dataansvarlige modtager en anmodning fra en person om udøvelsen af personens rettigheder efter Databeskyttelseslovgivningen, og korrekt besvarelse af anmodningen kræver bistand fra Databehandleren, skal Databehandleren bistå den Dataansvarlige med nødvendige og relevante oplysninger og dokumentation. Databehandleren skal gives rimelig tid til at levere denne bistand i overensstemmelse med fristerne herfor i Databeskyttelseslovgivningen.
5.6.2.Hvis Databehandleren modtager en anmodning fra en person om udøvelsen af personens rettigheder efter Databeskyttelseslovgivningen, og anmodningen vedrører den Dataansvarliges Personoplysninger, skal Databehandleren uden unødvendig forsinkelse videresende anmodningen til den Dataansvarlige.
5.7. Sikkerhedsbrud
5.7.1. Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
Xxxxxxx A/S · Kongevejen 400D · 2840 Holte · Telefon 00 00 00 00 · xxxxxxx@xxxxxxx.xxx
Databehandleraftale v. 1.0
5.7.2. Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.
5.7.3. Databehandleren skal vedligeholde en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende:
(i) De faktiske omstændigheder omkring Sikkerhedsbruddet,
(ii) Sikkerhedsbruddets virkninger og
(iii) de trufne afhjælpningsforanstaltninger.
5.7.4. Fortegnelsen over Sikkerhedsbrud skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne.
5.8. Dokumentation af overholdelse af Databehandleraftalen
5.8.1. Databehandleren skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Databehandleren:
(i) overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.
(ii) overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.
5.8.2.Databehandlerens dokumentation heraf skal ske inden rimelig tid.
5.9. Placering af Personoplysningerne
5.9.1. Personoplysningerne behandles kun af Databehandlerens ansatte i Danmark. Databehandleren overfører ikke Personoplysningerne til tredjelande eller internationale organisationer.
5.9.2.Fremtidig overførsel af Personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt i medfør af Databeskyttelseslovgivningen.
6. Den dataansvarliges forpligtelser
Den Dataansvarlige bekræfter ved indgåelse af denne aftale, at:
6.1. Den Dataansvarlige skal ved brug af Applikationen stillet til rådighed af Databehandleren, udelukkende behandle Personoplysninger i overensstemmelse med kravene i den gældende Databeskyttelseslovgivning.
Xxxxxxx A/S · Kongevejen 400D · 2840 Holte · Telefon 00 00 00 00 · xxxxxxx@xxxxxxx.xxx
Databehandleraftale v. 1.0
6.2. Den Dataansvarlige har et lovligt grundlag for at behandle og videregive Personoplysninger til Databehandleren (herunder til underdatabehandlere som Databehandleren anvender).
6.3. Den Dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de Personoplysninger som behandles af Databehandleren.
6.4. Den Dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår Behandlingen af Personoplysninger.
6.5. Den Dataansvarlige har opfyldt sine oplysningsforpligtelser over for de Registrerede vedrørende behandlingen af Personoplysninger i henhold til gældende databeskyttelseslovgivning.
6.6. Den Dataansvarlige er enig i, at Databehandleren har givet de relevante garantier for så vidt angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de Registreredes rettigheder og deres Personoplysninger.
6.7. Den Dataansvarlige skal ved brug af Applikationen ikke behandle person følsomme oplysninger, medmindre andet er aftalt skriftligt med Xxxxxxx A/S.
6.8. Den Dataansvarlige skal have en opdateret liste over de kategorier af Personoplysninger, som denne behandler.
7. Underdatabehandlere
7.1. Databehandleren må generelt gøre brug af tredjeparter til behandlingen af Personoplysningerne for den Dataansvarlige (”Underdatabehandler”), i det omfang Databehandleren giver meddelelse herom til den Dataansvarlige for hver Underdatabehandler, før behandlingen påbegyndes af Underdatabehandleren, således at den Dataansvarlige har mulighed for at gøre saglig indsigelse over for Databehandlerens valg af Underdatabehandler. Hvis den Dataansvarlige ønsker at gøre indsigelser herimod, skal den Dataansvarlige give skriftlig meddelelse herom inden for 7 kalenderdage efter modtagelse af Databehandlerens meddelelse om tilføjelsen eller ændringen af en Underdatabehandler. Manglende indsigelse fra den Dataansvarlige vil blive anset for et stiltiende samtykke til underdatabehandlingen.
7.2. Databehandleren skal indgå skriftlig aftale med eventuelle Underdatabehandlere, som pålægger Underdatabehandlerne de samme databeskyttelsesforpligtelser, som påhviler Databehandleren, herunder i medfør af denne Databehandleraftale. Databehandleren skal ligeledes føre løbende kontrol med sine Underdatabehandlere, og dokumentation herfor skal kunne forevises den Dataansvarlige.
7.3. Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.
Xxxxxxx A/S · Kongevejen 400D · 2840 Holte · Telefon 00 00 00 00 · xxxxxxx@xxxxxxx.xxx
Databehandleraftale v. 1.0
7.4. Databehandleren benytter på tidspunktet for indgåelsen af Databehandleraftalen de Underdatabehandlere, der fremgår af underbilag B. Ved Databehandlerens benyttelse af nye Underdatabehandlere, skal disse tilføjes under punkt 2 i underbilag B.
8. Vederlag og omkostninger
8.1. Den Dataansvarlige skal betale Databehandleren vederlag efter medgået tid til opfyldelse af punkt 5.5, 5.6, 5.7 og 5.8 i denne Databehandleraftale. Ved beregning af vederlaget skal Databehandlerens gældende timepriser anvendes.
8.2. Databehandleren har også krav på vederlag for forbrugt tid og materiale brugt til gennemførelse af den Dataansvarliges eventuelle ændringer af Instruksen, herunder implementeringsomkostninger og forøgede omkostninger til levering af Hovedydelserne. Databehandleren er fritaget for ansvar for manglende levering af Hovedydelserne i det omfang (herunder tidsmæssigt), at levering heraf vil være i strid med den ændrede Instruks, eller levering i overensstemmelse med den ændrede Instruks er umulig. Dette kan eksempelvis være tilfældet,
(i) hvor ændringerne ikke teknisk, praktisk eller juridisk kan implementeres,
(ii) hvor den Dataansvarlige eksplicit meddeler, at ændringerne skal være gældende, før implementeringen er mulig eller
(iii) i tidsrummet indtil Parterne får gennemført eventuelle nødvendige ændringer af Hovedaftalen i overensstemmelse med ændringsprocedurerne heri.
8.3. Hvis ændringer i Databeskyttelseslovgivningen, herunder fortolkningerne heraf og vejledninger hertil, resulterer i væsentlige forøgede omkostninger for Databehandleren, skal den Dataansvarlige skadesløsholde Databehandleren for dokumenterede meromkostninger som følge deraf.
9. Misligholdelse og ansvar
9.1. Hovedaftalens regulering af misligholdelse, ansvar og ansvarsbegrænsninger finder anvendelse for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.
9.2. Parternes ansvar for alle kumulerede krav i henhold til denne Databehandleraftale er begrænset til de samlede forfaldne betalinger i henhold til Hovedydelserne for den 12 måneders periode, der går umiddelbart forud for en eventuel skadegørende omstændighed. Hvis Databehandleraftalen ikke har været i kraft i 12 måneder, opgøres beløbet forholdsmæssigt på baggrund af den aftalte betaling i den periode, som Databehandleraftalen har været i kraft.
9.3. Ansvarsbegrænsningen omfatter ikke følgende:
Xxxxxxx A/S · Kongevejen 400D · 2840 Holte · Telefon 00 00 00 00 · xxxxxxx@xxxxxxx.xxx
Databehandleraftale v. 1.0
(i) Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger.
(ii) Udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtigelser over for en tilsynsmyndighed.
10. Varighed
10.1. Databehandleraftalen gælder, indtil Hovedaftalen ophører, eller Databehandleraftalen opsiges eller ophæves.
11. Ophør
11.1. bemyndigelse til at behandle Personoplysningerne på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens ophør, uanset årsag.
11.2. Databehandleren må fortsat behandle Personoplysningerne i op til 14 uger efter Databehandleraftalens ophør, i det omfang dette er nødvendigt for at fortage nødvendige lovpligtige foranstaltninger. I samme periode er Databehandleren berettiget til at lade personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure. Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
11.3. Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle Personoplysningerne, som Databehandleren har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af Personoplysningerne. Databehandleren er herefter forpligtet til at slette alle Personoplysningerne fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
12. Kontakt
12.1. Kontaktoplysninger for den Dataansvarlige og Databehandleren følger af Hovedaftalen.
Xxxxxxx A/S · Kongevejen 400D · 2840 Holte · Telefon 00 00 00 00 · xxxxxxx@xxxxxxx.xxx
Databehandleraftale v. 1.0
Underbilag A
1. Personoplysninger
1.1. Databehandleren behandler følgende typer Personoplysninger som led i levering af Hovedydelsen:
(i) Almindelige kontaktoplysninger på de personer, der er kontakter hos den Dataansvarlige.
(ii) Registrering af brugere af systemet med: navn, telefonnummer, e-mail samt brugerniveau: trial, standard bruger, administrator.
(iii) Brugernes eventuelle indtastede personoplysninger ved brug af GoMINIsite CMS (dette ser og tilgår Databehandleren ikke, medmindre Databehandleren på den Dataansvarliges opfordring bistår med fejlretning og support på specifikke data).
2. Registrerede
2.1. Databehandleren behandler personoplysninger om følgende kategorier af registrerede på vegne af den Dataansvarlige:
(i) Kunder
(ii) Slutbrugere
Xxxxxxx A/S · Kongevejen 400D · 2840 Holte · Telefon 00 00 00 00 · xxxxxxx@xxxxxxx.xxx
Databehandleraftale v. 1.0
Underbilag B
1. Godkendte Underdatabehandlere
1.1. Følgende Underdatabehandlere er godkendt på tidspunktet for Databehandleraftalens indgåelse på de betingelser, der følger af Databehandleraftalen og Databeskyttelseslovgivningen:
(i) Curanet
(ii) WebCRM
(iii) Timelog
(iv) E-conomics
2. Nye Underdatabehandlere
2.1. Følgende Underdatabehandlere er taget i brug og meddelt den Dataansvarlige efter Databehandleraftalens ikrafttrædelse, hvorefter dette bilag er opdateret:
(i) [indsættes når/hvis relevant]
Xxxxxxx A/S · Kongevejen 400D · 2840 Holte · Telefon 00 00 00 00 · xxxxxxx@xxxxxxx.xxx
Databehandleraftale v. 1.0