Databehandleraftale

Databehandleraftale

360 Business Tool, pr. 1. juni 2020

1. Indledning

1.1. Denne aftale vedrørende behandling af personoplysninger (”Databehandleraftalen”) regulerer 360 Busi- ness Tool ApS, CVR nr. 32279325 (”Databehandleren”) behandling af personoplysninger på vegne af Kun- den (den ”Dataansvarlige”)

1.2. Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Databehandlerens vilkår. (herefter "Hovedydelsen").

1.3. I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne databehandleraftale (herefter "Databehandleraftalen")

1.4. Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gæl- dende persondataretlige regulering.

2. Omfang

2.1. Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på de vilkår som er fastsat i Databehandleraftalen.

2.2. Databehandleren må alene behandle personoplysninger efter instruks fra den Dataansvarlige (heref- ter "Instruks"). Databehandleraftalen samt vilkår for levering af Hovedydelsen udgør Instruksen på underskriftstidspunktet.

2.3. Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige.

2.4. Databehandleren må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.

3. Databehandlerens forpligtelser

3.1. Databehandleren har ansvaret for at implementere de fornødne tekniske og organisatoriske foran- staltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.

3.2. Databehandleren gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.

3.3. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandle- ren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

3.4. Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens for- pligtelser over for den Dataansvarlige.

3.5. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandle- ren, kun behandler disse i overensstemmelse med Instruksen.

3.6. Databehandlerens standarddokumentation fremgår af vilkår for levering af Hovedydelsen. Kunden kan specificere yderligere dokumentation.

3.7. Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der poten- tielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (herefter "Sikkerhedsbrud").

3.8. Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.

3.9. Databehandleren skal vedligeholde en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende:

• De faktiske omstændigheder omkring Sikkerhedsbruddet,

• Sikkerhedsbruddets virkninger, og

• de trufne afhjælpningsforanstaltninger.

3.10. Fortegnelsen skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyn- dighederne.

3.11. Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af Databehandlerafta- len, herunder besvarelser til registrerede ved udøvelse af disses rettigheder, Sikkerhedsbrud, konse- kvensanalyser, og forudgående høringer fra tilsynsmyndighederne.

3.12. Databehandleren skal herunder fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsyns- myndigheden, i det omfang Databehandleren er den nærmeste hertil.

3.13. Databehandleren har krav på betaling for al medgået tid og materialer for bistand til opfyldelse af disse forpligtelser. Ved beregning af vederlaget skal Databehandlerens gældende licens- og timepri- ser anvendes.

3.14. Hvis ændringer i Databeskyttelseslovgivningen, herunder fortolkningerne heraf og vejledninger her- til, resulterer i væsentlige forøgede omkostninger for Databehandleren, kan Databehandleren vælge at hæve licens og timepriser tilsvarende.

4. Den dataansvarliges forpligtelser

4.1. Den Dataansvarlige har følgende forpligtelser:

• At sikre at behandlingen af personoplysninger er lovlig i henhold til den Persondataretlige regulering, og at vilkår for levering af Hovedydelsen til enhver tid er overholdt.

5. De registreredes rettigheder

5.1. Hvis den Dataansvarlige modtager en anmodning fra en person om udøvelsen af personens rettighe- der efter Databeskyttelseslovgivningen, og korrekt besvarelse af anmodningen kræver bistand fra Databehandleren, skal Databehandleren bistå den Dataansvarlige med nødvendige og relevante op- lysninger og dokumentation. Data behandleren skal gives rimelig tid til at levere denne bistand i over- ensstemmelse med fristerne herfor i Databeskyttelseslovgivningen.

6. Placering af Personoplysningerne

6.1. Databehandleren må kun overføre personoplysninger til et land uden for den Europæiske Union eller EØS (et ”Tredjeland”) eller internationale organisationer i det omfang dette fremgår af denne Data- behandleraftale, eller instruks fra den Dataansvarlige.

6.2. Overførsel af personoplysninger må i alle tilfælde kun ske, hvis Databehandleren har sikret et fornø- dent overførelsesgrundlag, f.eks. EU Kommissionens Standardkontraktsbestemmelser.

6.3. Overførsel af personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.

7. Underdatabehandlere

7.1. Databehandleren må gøre brug af en tredjepart til behandlingen af personoplysninger for den Data- ansvarlige ("Underdatabehandler") i det omfang dette fremgår af denne databehandleraftale, eller instruks fra den Dataansvarlige.

7.2. Databehandleren skal indgå aftaler med Underdatabehandlere, som pålægger Underdatabehandle- ren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af Databehandleraftalen).

7.3. Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.

7.4. Den Dataansvarlige meddeler med Databehandleraftalen sin forudgående generelle skriftlige god- kendelse til, at Databehandleren kan gøre brug af en Underdatabehandler. Databehandleren skal skriftligt underrette den Dataansvarlige om anvendelse af en Underdatabehandler forud for anven- delsens påbegyndelse.

7.5. Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan Underdatabehand- ler i det omfang, der er en rimelig grund hertil.

7.6. Den Dataansvarlige giver hermed sin godkendelse til, at Databehandleren anvender følgende Under- databehandlere:

• XDC IT & Hosting A/S

• Microsoft Azure

• Microsoft Office 365

• Dropbox

• SMSAPI

• Mailchimp

7.7. Den Dataansvarlige har via instruks mulighed for at begrænse brugen af underdatabehandlere. Det er muligt at udelukke specifikke, eller alle, underdatabehandlere. En sådan udelukkelse kan kræve ændringer til kunden opsætning, betyde yderligere omkostninger for kunden og/eller forringet funk- tionalitet.

8. Misligholdelse

8.1. Reguleringen af misligholdelse i vilkår for levering af Hovedydelsen finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

9. Ansvar og ansvarsbegrænsning

9.1. Reguleringen af ansvar og ansvarsbegrænsninger i vilkår for levering af Hovedydelsen finder anven- delse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

10. Force majeure

10.1. Reguleringen af force majeure i vilkår for levering af Hovedydelsen finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

11. Opsigelse og ophævelse

11.1. Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i vilkår for levering af Hovedydelsen

12. Forrang

12.1. Såfremt der er modstrid mellem denne Databehandleraftale og vilkår for levering af Hovedydelsen, har vilkårene forrang, med mindre andet følger direkte af databehandleraftalen.