DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
samt
FORRETNINGS- & SAMHANDELSBETINGELSER
Indgået mellem
Danline Innovation A/S
(kaldet ”Danline” & ”Databehandleren”) Xxxxxxxxxx 00
7000 Fredericia
Cvr-nr.: 25831152
og
(kaldet ”Kunden” & den ”Dataansvarlige” ) CVR-nr.:
(Den Dataansvarlige og Danline kaldes tilsammen ”Parterne” og hver for sig en ”Part”)
BILAG TIL DATABEHANDLERAFTALEN
Bilag 1 Hovedydelsen
Bilag 2 Tekniske og organisatoriske sikkerhedskrav og garantier Bilag 3 Dokumentation for overholdelse af forpligtelser
Bilag 4 Den Dataansvarliges forpligtelser Bilag 5 Underdatabehandlere
1. BAGGRUND OG FORMÅL
1.1 Parterne har aftalt levering af visse ydelser fra Danline til den Dataansvarlige, som nærmere be- skrevet i Parternes særskilte aftale herom samt bilag 1 til denne aftale (”Hovedydelserne”).
1.2 I den forbindelse behandler Danline personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag (”Databehandleraftalen”)
1.3 Databehandleraftalen har til formål at sikre, at Danline overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig:
• persondataloven (lov 2000-05-31 nr. 429 med senere ændringer)
• persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne får virkning.
2. OMFANG
2.1 Danline bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges veg- ne på vilkårene fastsat i Databehandleraftalen.
2.2 Danline må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarli- ge (”Instruks”). Denne Databehandleraftale inkl. bilag udgør Instruksen på underskriftstidspunktet.
2.3 Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige.
2.4 Danline må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjæl- pemidler, herunder IT-systemer. .
3. VARIGHED
3.1 Databehandleraftalen gælder indtil enten (a) aftale(r)n(e) om levering af Hovedydelserne ophører eller (b) Databehandleraftalen opsiges eller ophæves.
4.1 Tekniske og organisatoriske sikkerhedsforanstaltninger
4.1.1 Danline har ansvaret for at gennemføre fornødne (a) tekniske og (b) organisatoriske foranstalt- ninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågælden- de behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sand- synlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Danline skal bl.a. tage kategorien af personoplysninger beskrevet i bilag 1 i betragtning ved fastlæggelsen af disse for- anstaltninger.
4.1.2 Danline skal uanset punkt 4.1.1 gennemføre de tekniske og organisatoriske sikkerhedsforanstalt- ninger som fremgår af (a) bilag 2 til denne Databehandleraftale samt (b) aftale(r)n(e) om levering af Hovedydelserne.
4.1.3 Danline garanterer overfor den Dataansvarlige, at Danline vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Danlines behandling af personoplys- ninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.
4.1.4 Parterne er enige om, at de afgivne garantier anført i bilag 2 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandleraftale.
4.2 Medarbejderforhold
4.2.1 Danline skal sikre, at medarbejdere, der behandler personoplysninger for Danline, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4.3 Dokumentation for overholdelse af forpligtelser
4.3.1 Danline skal på skriftlig anmodning dokumentere overfor den Dataansvarlige, at Danline:
a) overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.
b) overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.
4.3.2 Danlines dokumentation heraf skal ske inden rimelig tid.
4.3.3 Det nærmere indhold af forpligtelserne under punkt 4.3.1 er beskrevet i bilag 3 til denne Databe- handleraftale.
4.4 Sikkerhedsbrud
4.4.1 Danline skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
4.4.2 Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.
4.5.1 Danline skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandlerafta- le, herunder ved:
a) besvarelser til registrerede ved udøvelse af disses rettigheder,
b) Sikkerhedsbrud,
c) konsekvensanalyser, og
d) forudgående høringer fra tilsynsmyndighederne.
4.5.2 Danline har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 4.5
5. DEN DATAANSVARLIGES FORPLIGTELSER
5.1 Den Dataansvarlige har de forpligtelser, der fremgår af bilag 4.
6. UNDERDATABEHANDLERE
6.1 Danline må kun gøre brug af en tredjepart til behandlingen af personoplysninger for den Dataan- svarlige (”Underdatabehandler”) i det omfang dette fremgår af:
a) bilag 5 til denne Databehandleraftale, eller
b) Instruks fra den Dataansvarlige.
6.2 Danline og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehand- leren de samme databeskyttelsesforpligtelser, som påhviler Danline (herunder i medfør af denne Databehandleraftale).
6.3 Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige.
6.4 Danline er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Danline selv.
7. OVERFØRSEL TIL TREDJELANDE OG INTERNATIONALE ORGANISATIONER
7.1 Danline må kun overføre personoplysninger til tredjelande eller internationale organisationer udenfor EU i det omfang dette fremgår af:
a) Instruks fra den Dataansvarlige.
7.2 Overførsel af personoplysninger må i alle tilfælde kun ske i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.
8. DATABEHANDLING UDENFOR INSTRUKSEN
8.1 Danline kan behandle personoplysninger udenfor Instruksen i tilfælde, hvor det kræves af EU- retten eller national ret, som Danline er underlagt.
8.2 Ved behandling af personoplysninger udenfor Instruksen skal Danline underrette den Dataan- svarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal inde- holde en henvisning til de retlige krav, der ligger til grund for behandlingen.
8.3 Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.
9. VEDERLAG OG OMKOSTNINGER
9.1 Parterne har alene krav på betaling for opfyldelse af denne Databehandleraftale, hvis dette kon- kret er angivet heri eller i aftale(r)n(e) om levering af Hovedydelserne.
9.2 En Part har uanset ovenstående ikke krav på betaling for assistance eller implementering af æn- dringer i det omfang, sådan assistance eller ændring er en direkte følge af Parternes mislighol- delse af denne Databehandleraftale.
10. OPHØR
10.1 Danline og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Danline har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandlerafta- lens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Xxxxxxx er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Den Data- ansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
FORRETNINGS- & SAMHANDELSBETINGELSER
Formålet med dette aftalegrundlag, er at notere vore aftaler om levering af følgende ydelser:
Danline tilbyder hostning af DNS. DNS hostning, er en ydelse, hvor Xxxxxxx ’s servere kan over- sætte et domænenavn til en IP-adresse.
Ved hostning leverer Danline plads til kundens websites på vore servere.
Danline leverer plads på vores Mailhotel, til kundernes indgående post. Danline leverer ikke mail- løsninger for udgående post.
D. APPLIKATIONS LEJE (eks. DANPLANNER, DANPOS, DANBASE & FRF-BOOKING)
Ved applikations leje, forstås at kunden lejer en brugsret til software som er tilgængelig på Danline ’s servere, eks. brugsret til Danplanner, Danpos, Danbase, FRF-booking.
I forbindelse med leje af software, stiller Xxxxxxx ’s lagrings plads til rådighed på vore servere.
Belastnings afgift, er betaling for dataplads og trafik på Danline ’s servere, i forbindelse med appli- kations leje.
Kunde specifikke løsninger, som udvikles efter kundens specifikationer.
Websites, udviklet efter kundens ønsker og oplæg.
Support, service og timeydelser.
J. IND- OG UDGÅENDE WEB SERVICE’S
Løsninger hvor Xxxxxxx stiller Webservice’s til rådighed, hvorfra der kan trækkes data, eller hvor Danline kalder externe Web service’s og leverer data.
Danline forpligtiger sig til at have den størst mulige ”oppetid” på de hostnings ydelser som Danline leve- rer. Danline kontrollerer løbende, at den nødvendige maskinkapacitet, samt båndbredde er til stede, så- ledes at der ikke er unødige ventetider på vore servere.
Danline, kan ikke på nogen måde gøres ansvarlig for hverken direkte eller afledte følge omkostninger kunden må lide, herunder men ikke kun som følge af: data-, kodnings- og programmerings fejl, server nedbrud, virusinfektion, net-nedbrud, data-tab, ændret synlighed af website – eks. Google Rank, mv.
Danline, kan ikke på nogen måde, gøres ansvarlig for tab/omkostninger, som kunden måtte lide i for- bindelse med brug af lejet software, eks. Xxxxxxxxxx, Danpos, Danbase og FRF-booking.
Danline er forpligtiget til, at rette fejl og mangler som kunden skriftligt fejlrapporterer inden 3 måneder efter levering/upload.
Såfremt der efter 3 måneder konstateres fejl, mangler eller uhensigtsmæssigheder i software eller websider udviklet af Danline, er Danline forpligtiget til mod betaling, at medvirke til rettelse af disse fejl, mangler og uhensigtsmæssighed.
Ophavsretten til al software udviklet af Danline, forbliver Danlines ejendom. For softwareapplikationer, erhverver kunden en brugsret. For Web-komponenter som indgår i kundeløsninger, erhverver kunden en brugsret, så længe komponenten afvikles på Danline Innovations servere.
Ved levering af designløsninger, fremsender eller upload’er Danline et designoplæg, som kunden skal acceptere, før det egentlige design udvikles. Forud for levering, fremsender eller upload’er Danline et 1’st korrektur, som skal godkendes af kunden forud for levering.
Danline er ikke ansvarlig for fejl i designløsninger, som kunden først påpeger efter godkendelse af 1’st korrektur.
Danline kan ikke på nogen måde gøres ansvarlig for de tab som kunden måtte lide som følge af fejl og mangler i design udviklet af Danline. Danline, er dog pligtig til at rette fejl mangler, som kunden påpeger ved 1’st korrektur.
Ved opgaver, hvor tekst, oversættelser, billedmateriale og anden dokumentation leveres af kunden kan Danline ikke gøres ansvarlig for tab i forbindelse med urigtig eller tabsgivende dokumentation, oversæt- telse.
Danline kan heller ikke gøres ansvarlig, hvis der rejses krav fra 3’die mand vedrørende ophavsrets krænkelser mv.
Danlines skitser, layout, rentegninger, tekstforslag mv. tilhører Danline, og må ikke uden Danlines ac- cept overleveres til, eller bearbejdes af tredjemand.
Kunden har selv ansvaret for, at tekst og billeder som findes på kundens hjemmeside, eller lejede ap- plikationer (Danplanner, Danpos, Danbase & FRF-booking systemet), ikke er i strid med dansk lov, el- ler krænker tredjemands ophavsrettigheder. Kunden skal selv indhente eventuelle tilladelse til at an- vendelse af tredjemands materiale.
Såfremt Danline, i forbindelse med etablering af kundens website, etablering af Danplanner, Danpos, Danbase systemet eller FRF-booking, skal trække data fra kundens nuværende website, påhviler det kunden, at betale eventuelle omkostninger som måtte påløbe, fra den hidtidige leverandør.
a. Email
Da E-mail løbende hentes fra Danlines servere, når de ankommer, tager Xxxxxxx ikke backup, af de individuelle postkasser.
b. Websites
Danline tage løbende backup af kundernes websider. Det tidsforbrug der er, ved genskabelse af enkelt kunders hjemmesider – betales af kunden. Hvis behovet for genskabelse skyldes server- nedbrud, afholder Danline omkostningerne.
Danline, forpligtiger sig til, uden unødig ophold, at genetablere web serveren ved nedbrud, dog uden sikkerhed og ansvar, for at der ikke kan tabes data.
c. Lejede applikationer (Xxxxxxxxxx, Danpos, Danbase & FRF-Booking)
Danline tager løbende backup af de data, der er i lejede applikationer (Xxxxxxxxxx, Danpos, Dan- base & FRF-booking). Backup kan kun benyttes ved genskabelse af alle data i Danplanner, Dan- base, Danpos eller FRF-booking, og ikke genskabelse af enkelte kunders data.
Ønsker kunden backup af egne data, kræver dette en special løsning, som Danline mod betaling kan udvikle. Løsning skal herefter styres og administreres af kunden.
7. OPSIGELSE OG ÆNDRINGER I AFTALEN
a. Websites
Web hosting aftaler har en ordinær løbetid på 12 måneder, der følger kalenderåret. Fakturering sker ved aftalens indgåelse forholdsmæssigt for perioden indtil årets udløb. Herefter har aftalen hovedforfald pr. 1. januar for det kommende kalenderår. Aftalen kan opsiges af såvel Danline In- novation som kunden med mindst 1 måneds varsel inden hovedforfald (senest 1. december)
b. Applikations leje, og Web service’s
Aftalen kan opsiges/ændres af såvel Danline som kunde, med 3 måneders varsel.
Såfremt der er aftalt en bestemt leveringsdato, forpligtiger Danline Innovation sig til, at sætte alle res- sourcer ind, for at leve op til den aftalte dato. Såfremt Danline Innovation ikke kan levere, til den aftalte dato, skal Danline Innovation uden unødig ophold, meddele kunden dette. Danline Innovation kan kun idømmes bod for forsinket levering, såfremt dette er særskilt aftalt.
Tilbud afgivet af Danline Innovation er bindende i 14 dage fra afgivelse.
Aftale er indgået når Danline Innovation, modtager kundens accept, pr. telefon, mail eller brev.
Såfremt kunden modtager en ordrebekræftelse, betragtes denne som accepteret, hvis der ikke inden 8 dage gøres indsigelser.
Hvis en lejet applikation exporterer data til trediemand, er Danline berettiget til at opkræve et gebyr hos modtageren af de eksporterede data, for at stille eksportservice til rådighed.
11. BETALINGSBETINGELSER OG FAKTURERING
Applikations leje aftalen har en periode på 3 måneder og faktureres kvartalsvis forud.
Belastnings afgift beregnet ud fra antal produkter, faktureres kvartalsvis bagud.
Alle priser er eksklusive moms.
Ved leverancer, og udviklingsopgaver, som strækker sig over flere måneder, faktureres medgået tid, underleverandør leverancer mv. månedligt. Danline Innovation ordinære betalingsbetingelser er 8 dage netto kontant. Ved overskridelse af betalingsfristen debiteres 1% pr. påbegyndt måned fra forfaldsda- toen.
Danline Innovation beholder ophavs- og øvrige rettigheder til det leverede, indtil betaling har fundet sted.
Danline Innovation er berettiget til at ophæve og fjerne/suspendere kundens lejede applikationer, hjemmesider & email konti fra Danlines servere, såfremt kunden ikke rettidigt har betalt sit hosting og applikations leje abonnenter til Danline.
FORRETNINGS- & SAMHANDELSBETINGELSER, samt DATABEHANDLERAFTALE
For den Dataansvarlige – Kunden
For Danline
Fredericia
BILAG 1 HOVEDYDELSEN
1. HOVEDYDELSEN
1.1 Danline har følgende hovedydelser:
a) Udlejer applikationer ”cloud applikationer”, eks. DANPLANNER, DANPOS, DANBASE og FRF-booking
b) Udleje af server plads til websites og dettes administrations modul
1.2 Danline opbevarer udelukkende de data, som den Dataansvarlige taster ind i enten en:
a) en cloud applikation - eller
b) administrations modulet til den Dataansvarliges website
I Danlines ”cloud applikationer”, er der rutiner, som den dataansvarlige kan bruge til at redigere persondata. Der kan ligeledes være rutiner, som den Dataansvarlige, kan bestille til at køre på et bestemt tidspunkt.
2. PERSONOPLYSNINGER
2.1 Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:
a) Lagring af almindelige personoplysninger, navn og adresse
b) Lagring af CPR-numre. I Danlines ”cloud applikationer” kan den Dataansvarlige, ligeledes indtaste CPR-numre. Den dataansvarlige må selv slette disse, eller angive et tidspunkt hvor applikationen, skal annonymisere CPR-nummeret, hvis en sådan funktion er tilgæn- gelig i applikationen.
2.2 Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databe- handleraftalen:
a) Kunder
b) Medarbejdere
BILAG 2
TEKNISKE OG ORGANISATORISKE SIKKERHEDSKRAV OG GARANTIER
1. SPECIFIKKE TEKNISKE OG ORGANISATORISKE SIKKERHEDSKRAV:
1.1 Der stilles følgende specifikke krav til Danlines fysiske sikkerhed:
a) Data som Danline opbevarer, befinder sig fysisk i et dansk data hosting center.
a) Danlines servere, er beskyttet bag Firewall. Data som overføres er krypteret, HTTPS.
b) Adgang til applikationen Danplanner, Danpos, Danbase og FRF-booking, er sikret gennem IP-validering, brugernavn og password.
BILAG 3
DOKUMENTATION FOR OVERHOL- DELSE AF FORPLIGTELSER
Som led i Danlines demonstrering overfor den Dataansvarlige af overholdelse af sine forpligtelser efter punkt 4.3 i Databehandleraftalen skal nedenstående punkter udføres og overholdes.
1. GENEREL DOKUMENTATION TIL DEN DATAANSVARLIGE
1.1 Danline er på skriftlig anmodning forpligtet til at fremsende følgende generelle dokumentation til den Dataansvarlige:
a) En erklæring fra Danlines ledelse om, at Danline under sin behandling af personoplysnin- ger på den Dataansvarliges vegne løbende sikrer overholdelse af sine forpligtelser efter denne Databehandleraftale.
2.1 Danline skal på skriftlig anmodning bidrage til og give adgang til audit.
2.2 Danline har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 2.
3. ØVRIGT
3.1 Overstående punkter skal ikke anses for udtømmende, og Danline er derfor forpligtet til at foreta- ge sådanne yderligere handlinger og tiltag, som er nødvendige for demonstration af Danlines for- pligtelse efter punkt 4 i Databehandleraftalen.
3.2 Danline er ikke forpligtet til at følge en anmodning fra den Dataansvarlige i henhold til dette bilag 3 hvis anmodningen strider mod den persondataretlige regulering. Danline skal underrette den Dataansvarlige i det omfang, det er Danlines vurdering, at dette er tilfældet.
BILAG 4
DEN DATAANSVARLIGES FORPLIGTELSER
4. FORPLIGTELSER
4.1 Den Dataansvarlige har følgende forpligtelser
a) at sikre, at der løbende sker sletning af persondata, der ikke et relevant behov for at beva- re.
b) at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regule- ring
BILAG 5 UNDERDATABEHANDLERE
1. GENERELT
1.1 Danline har applikationer og data placeret i et eksternt dansk datacenter.
1.2 Det eksterne datacenter, er underdatabehandlere, og forestår overvågning og drift, herunder backup af Danlines dataservere.
Danline Innovation A/S