LICENSVILKÅR FOR
LICENSVILKÅR FOR
KARNOV GROUP WHISTLEBLOWER
Licensvilkår for licensering af Karnov Group Whistleblower-system
1. Introduktion
Nærværende Licensvilkår fastsætter de vilkår og betingelser, der gælder for licensering af Karnov Group Whistleblower-system. Såfremt Licenstager tilkøber yderligere ydelser hos Licensgiver, omfattes sådanne ydelser af Karnov Groups generelle Licensvilkår for onlineprodukter, medmindre der gælder særskilte vilkår for den tilkøbte ydelse.
1.1 Definitioner.
Licensvilkårene anvender følgende definitioner:
”Systemet” Karnov Groups Whistleblower-system, der giver fysiske perso- ner adgang til at foretage indberetning eller offentliggørelse af oplysninger om overtrædelser, som personen har skaffet sig ad- gang til i forbindelse med vedkommendes arbejdsrelaterede ak- tiviteter, jf. i det hele § 3 i lov nr. 1436 af 26. juni 2021 om be- skyttelse af whistleblowere (whistleblower-loven). En nærmere beskrivelse af Systemet fremgår af Karnovs informationsside om produktet: xxxxx://xxx.xxxxxxxxxxx.xx/xxxxxxxxxx/xxx
”Licensaftalen” Parternes aftale om licensering af det Licenserede, som den fremgår af ordrebekræftelsen udstedt ved aftalens indgåelse.
”Licensgiver” Karnov Group Denmark A/S
”Licenstager” Xxxxxx,s om har indgået aftale med Licensgiver om levering af det licenserede.
”Brugere” (herunder studerende og andre brugere) Alle, der har adgang til det af Licenstager licenserede produkt, herunder medarbejdere, studerende og andre brugere.
”Licenserede” De af Licensgivers onlineprodukter, der er omfattet af Licensaf- talen, og som Licenstager betaler licensafgift for, og som er un- derlagt disse Licensvilkår.
”Licensretten” Licenstagers brugsret til det Licenserede, som denne opnår ved accept af Licensvilkårene og ordrebekræftelsen og betaling af de til licensen knyttede licensafgifter, jf. Licensvilkårenes pkt. 2.1.
”Licensvilkår(ene)” Nærværende licensvilkår, bilag hertil, samt eventuelle efterføl- gende tilføjelser eller ændringer hertil, herunder prisændringer jf. Licensvilkårenes pkt. 13.
2. Licensrettens omfang
2.1 Whistleblower-systemet
Licensaftalen giver Licenstager brugsret til Systemet på nedenstående Licensvilkår. Sy- stemet leveres til Licensgiver af WhistleSoft ApS, der besidder alle rettigheder til Syste- met. Licensgiver videresælger i eget navn og for egen regning Systemet til Licenstager.
2.2 Brugsret til det Licenserede
Ved accept af Licensvilkårene og betaling af de til licensen knyttede licensafgifter opnår Licenstager en tidsbegrænset, ikke-overdragelig og ikke-eksklusiv brugsret til det Li- censerede samt eventuelle senere opdateringer af det Licenserede i overensstemmelse
med Licensvilkårene.
Brugsretten giver alene Licenstager ret til i forbindelse med sædvanlig anvendelse af det Licenserede at foretage indtastninger og manuelle søgninger, at udskrive, at elektronisk kopiere til egne dokumenter, at fysisk kopiere indhold til intern anvendelse hos Licensta- ger og at downloade dele af det Licenserede. Informationer og data, der udgør hele eller dele af det Licenserede hentet af Licenstager, må ikke anvendes i eller til virksomhed, der konkurrerer med Licensgivers nuværende forretningsområder.
Det Licenserede eller dele heraf må ikke videregives eller på anden måde gøres tilgænge- ligt for tredjemand. Licenstager må dog til tredjemand, fx politiet eller andre relevante myndigheder, videregive oplysninger, samlinger af oplysninger eller lignende udtræk af det Licenserede, såfremt udlevering er nødvendig for Licenstagers varetagelse af sine el- ler Brugernes legitime interesser i forbindelse med brug af et whistleblower-system.
Licenstager må ikke og må ikke tillade nogen tredjepart på nogen måde at ændre det Li- censerede eller andet materiale udleveret af Licensgiver.
2.3 Tekniske forudsætninger for anvendelse af det Licenserede
Licenstager er selv ansvarlig for at anskaffe og installere anvendeligt browser-program- mel til fremvisning af det Licenserede. Licenstager er bekendt med, at mulighederne for at anvende det Licenserede afhænger af Licenstagers valg af browser-programmel. Li- censgiver sikrer, at almindeligt anvendte browsere understøttes. Licenstager vil ved hen- vendelse til Licensgiver kunne få oplyst, hvilket browser-programmel der kan anvendes til fremvisning af det Licenserede. Licensgiver er berettiget til at ændre sit programmel med den virkning, at Licenstager er nødt til at anskaffe og installere nyt browser-pro- grammel for at være i stand til at anvende det Licenserede. Licenstager er ligeledes selv ansvarlig for, at opkobling til Licensgivers server etableres samt for at vedligeholde og opretholde denne opkobling.
2.4 Overholdelse af Licensvilkårene
Licenstager er forpligtet til at sørge for, at Licenstagers Brugere er informeret om og overholder Licensvilkårene samt respekterer Licensgivers immaterielle rettigheder, her- under ophavsrettigheder. Licensgiver kontrollerer løbende, at licensvilkårene overholdes. Såfremt Licensgiver får begrundet formodning om, at Licenstager overtræder licensvil- kårene, skal Licenstager på Licensgivers forlangende skriftligt redegøre for forhold af betydning for vurderingen af, om licensvilkårene er overtrådt.
3. Levering og udnyttelse af Licensretten
3.1 Adgang til systemet
Licenstager har adgang til at bruge Systemet på det tidspunkt, der fremgår af ordrebe- kræftelsen. Afhængig af abonnementstypen udnyttes Licensretten enten via en adgang fra Licenstagers IP-adresse, via den enkelte Brugers personlige password, eller en kom- bination heraf. Abonnementstypen fremgår af ordrebekræftelsen.
3.2 Adgang via personligt password
Berettiget til at anvende det Licenserede er alene de(n) Bruger(e), som Licensgiver i hen- hold til aftalen med Licenstager og Licensvilkårene har udstedt personligt password til. En Bruger må alene foretage login til det Licenserede fra tre enheder ad gangen.
Licenstager og dennes Brugere må ikke give tredjemand adgang til det Licenserede via online service, internet, intranet eller på anden måde, ligesom Licenstager og dennes Brugere ikke må videregive de(t) af Licensgiver udstedte password(s) til tredjemand.
Er Licenstager en virksomhed, offentlig eller privat institution, organisation, mv., må Li- censtager heller ikke give andre medarbejdere end de(n) Bruger(e), Licensgiver har ud- stedt password til, adgang til det Licenserede via online service, internet eller intranet, ligesom Licenstager ikke på anden måde må videregive de af Licensgiver udstedte password(s) til andre medarbejdere.
4. Opdatering og ændring af det Licenserede
4.1 Opdatering
Licensgiver har ret til løbende at ajourføre og opdatere det Licenserede, når Licensgiver finder det nødvendigt. Sådan ajourføring og opdatering medfører ingen indskrænkninger eller ændringer i Licenstagers forpligtelser over for Licensgiver, herunder giver sådanne ændringer af det Licenserede ikke Licenstager ret til at gøre misligholdelsesbeføjelser gældende over for Licensgiver.
4.2 Ændring
Licensgiver er endvidere berettiget til at foretage ændringer i funktionaliteten af det Li- censerede, herunder fjerne og/eller ændre funktioner, som Licensgiver finder nødvendigt for generelt at kunne levere den bedst mulige ydelse over for sine kunder. Det er til en- hver tid Licensgiver, der afgør, hvilke funktionaliteter der lever op til dette krav. Sådanne ændringer af funktionaliteten af det Licenserede medfører heller ingen indskrænkninger eller ændringer i Licenstagers forpligtelser over for Licensgiver, ligesom sådanne æn- dringer af det Licenserede ikke giver Licenstager ret til at gøre misligholdelsesbeføjelser gældende over for Licensgiver. En fjernelse af væsentlige funktioner, såsom funktioner, der understøtter fremsøgning af dokumenter, overvågning og udskrivning, skal imidlertid anses at udgøre en ændring af Licensvilkårene. Ved en sådan fjernelse gælder således alt det anførte i Licensvilkårenes pkt. 13, hvoraf bl.a. følger, at fjernelsen skal varsles som nærmere beskrevet i pkt. 13.
5. Rettigheder
5.1 Rettigheder til det Licenserede
Licensgiver, eller tredjemand fra hvem Licensgiver afleder sine rettigheder, har ophavs- ret og enhver anden rettighed til det Licenserede, herunder til html-kode, tekst, billeder eller andre elementer, som Licenstager kan opnå adgang til via Systemet. Ophavsretten omfatter desuden ethvert fysisk materiale, herunder brugermanualer og undervisnings- materiale, der er udleveret af Licensgiver til Licenstager. Licenstager skal respektere Li- censgivers eller tredjemands rettigheder, og Licenstager er ansvarlig uden beløbsmæs- sig begrænsning for tilsidesættelse af disse rettigheder, herunder ved uberettiget videre- givelse af det Licenserede til tredjemand.
Licenstager må ikke bryde eller ændre eventuelle sikkerhedsmekanismer, herunder sik- kerhedskoder, ligesom Licenstager ikke må ændre eller fjerne angivelser i det License- rede vedrørende rettighedsforhold, varemærker, produktinformation eller lignende.
5.2 Rettigheder til indtastninger mv.
Licenstager og dennes Xxxxxxx disponerer selv over egne indtastninger, herunder ind- hold i form af billeder eller lignende dokumentationsmateriale, i Systemet. Licensgiver benytter således ikke sådanne indtastninger mv. til egne formål.
Licenstager er indforstået med, at Licensgiver, i det omfang det er foreneligt med data- beskyttelseslovgivningen, whistleblower-loven eller anden lovgivning, sletter alle indtast- ninger mv. udarbejdet af Licenstager eller dennes Brugere ved ophør af Licensaftalen, og at individuelle Brugeres indtastninger mv. vil blive slettet ved ophør af ansættelses- forholdet mellem den pågældende Bruger og Licenstager,
Licenstager sikrer, at Licenstageres Brugere er informeret om, at Brugernes indtastnin- ger mv. vil blive slettet ved ophør af Licensaftalen og ved ophør af Brugerens ansættel- sesforhold med Licenstager. Eventuelle tvister mellem Licenstager og dennes Brugere vedrørende retten til indtastninger mv. i Systemet er således Licensgiver uvedkom- mende.
6. Betaling for det Licenserede
6.1 Betalingsfrist
Licensafgiften for brugsret til Systemet fremgår af ordrebekræftelsen eller Licensgivers almindelige listepriser. Licensafgiften betales forud for abonnementsperioder af 12 må- neder ad gangen. Licensgivers betalingsbetingelser er kontant 14 dage fra fakturadato.
Såfremt Licenstager ikke foretager betaling inden for den anførte betalingsfrist, påløber der det udestående beløb morarente i overensstemmelse med rentelovens regler herom.
Licensgiver forbeholder sig i tillæg til rettigheder efter pkt. 12,3. afsnit, ret til midlertidigt at lukke for adgangen til det Licenserede, såfremt Licensgiver ikke modtager rettidig be- taling af licensafgift fra Licenstager. Licenstager er ikke berettiget til refusion af licens- afgift som følge af manglende adgang til det Licenserede, når lukning af adgangen til det Licenserede skyldes Licenstagers manglende betaling af licensafgift.
6.2 Afmelding, overførsel eller tilkøb af brugeradgange
En afmeldt brugeradgang bliver ikke krediteret, uanset hvornår i abonnementsperioden afmelding sker. Licenstager har mulighed for at overføre en afmeldt brugeradgang til en anden Bruger i løbet af den tilbageværende del af abonnementsperioden.
Licenstager har mulighed for at tilkøbe flere brugeradgange. Disse vil blive faktureret i forbindelse med oprettelsen af brugeradgangen, og fakturering vil dække den tilbagevæ- rende del af abonnementsperioden.
7. Afhjælpning af fejl
Det Licenserede gives i licens, som det er og forefindes, uden nogen former for garanti. Licensgiver yder således ingen garanti for, at afviklingen af det Licenserede samt opkob- lingen til det Licenserede vil være uden afbrydelser og fejlfri. Licensgiver foretager lø- bende afprøvning af det Licenserede, men kan ikke udelukke, at det Licenserede - som enhver anden software, der stilles til rådighed online - indeholder fejl og uhensigtsmæs- sigheder. Sådanne fejl er ikke hævebegrundende og berettiger ikke Licenstager til af- hjælpning eller andre misligholdelsesbeføjelser. Tilsvarende gælder for indholdsmæs- sige fejl. Licensgiver tilstræber, at alle fejl og uhensigtsmæssigheder i det Licenserede rettes løbende, men Licensgier yder ingen garanti for, at enhver fejl og uhensigtsmæs- sighed vil blive rettet.
8. Support
Licenstager er berettiget til såvel telefonisk support som support via e-mail fra Licensgi- vers help-desk. Denne support gælder alene i forhold til det Licenserede og ikke i forhold til samspillet med Licenstagers IT-udstyr, browser, programmer m.v.
Licensgiver yder support inden for Licensgivers normale åbningstid, som til enhver tid fremgår af Licensgivers hjemmeside. Licensgiver tilstræber at besvare alle henvendel- ser så hurtigt som muligt og bekræfter modtagelsen inden for en arbejdsdag. Besva- relse på henvendelsen kan forventes inden for tre arbejdsdage. Såfremt en henvendelse er af en sådan karakter, at yderligere undersøgelser er påkrævet, modtager Licensta- ger/Brugeren besked inden for tre arbejdsdage med estimat for, hvornår henvendelsen kan besvares.
9. Ansvar og erstatning
Licensgiver er ansvarlig for, at Systemet er opfylder alle relevante lovkrav, herunder krav i medfør af whistleblowerloven, GDPR og databeskyttelsesloven, informationssikker- hedslovgivningen, hvidvaskloven, revisorloven mv.
Licensgiver er ansvarlig for produktskader i overensstemmelse med de bestemmelser i produktansvarsloven, der ikke kan fraviges ved aftale, men fraskriver sig produktansvar på ethvert andet grundlag.
Licensgiver er under ingen omstændigheder ansvarlig over for Licenstager for indirekte tab eller følgeskader opstået i forbindelse med anvendelsen af det Licenserede; herun- der driftstab, tab af forventet profit, tab og/eller retablering af data, tab af goodwill samt andre former for følgeskade. Herunder er Licensgiver ikke ansvarlig over for Licenstager for fejl ved Licenstageres rådgivning, der skyldes fejl eller mangler ved det Licenserede.
Licensgiver er heller ikke ansvarlig for tab opstået som følge af, at Licenstager ikke har haft mulighed for at anvende det Licenserede, uanset årsagen hertil og uanset om Li- censgiver forud har været adviseret om muligheden for, at et sådant tab kunne ind- træde.
Licensgivers ansvar for tab eller skade kan i intet tilfælde overstige et beløb, som svarer til den licensafgift, som Licenstager har betalt til Licensgiver for den licensperiode, hvor- til skaden kan henføres.
Licensgiver fraskriver sig ethvert ansvar for tab eller skade, som kan henføres til Licens- tagers egen opkobling til Licensgivers service, herunder manglende opkobling, system- nedbrud m.v. Tilsvarende gælder i forhold til Licenstagers øvrige IT-udstyr, browser, pro- grammel m.v.
I tilfælde af Licenstagers misligholdelse af Licensvilkårene er Licensgiver i tillæg til eventuelt krav på vederlag for uberettiget udnyttelse af det Licenserede berettiget til er- statning i overensstemmelse med dansk rets almindelige regler.
10. Force majeure
Ingen af parterne skal i henhold til Licensaftalen anses for ansvarlig over for den anden part for så vidt angår forhold, der ligger uden for partens kontrol, og som parten ikke ved Licensaftalens indgåelse burde have taget i betragtning og ej heller burde have undgået eller overvundet, herunder men ikke begrænset til krig og mobilisering, borgerlige urolig- heder, naturkatastrofer, strejke, lockout, svigtende forsyninger af råmateriale, ildebrand, beskadigelse af produktionsapparat, afbrydelse af den almindelige samfærdsel, herun- der energiforsyning samt import- og/eller eksportforbud. Forhold hos en parts leveran- dør anses som force majeure for denne part under Licensaftalen, såfremt der for leve- randøren foreligger en tilsvarende hindring, og leverandøren ikke burde have undgået el- ler overvundet denne eventuelt ved brug af en alternativ leverandør.
11. Overdragelse
Licenstager kan ikke uden Licensgivers skriftlige samtykke overdrage sine rettigheder og forpligtelser ifølge Licensaftalen til tredjemand.
12. Varighed, opsigelse og ophævelse
Licensaftalen løber, ind til aftalen opsiges af én af parterne. Opsigelse kan ske til enhver tid, dog senest 14 dage før udløbet af den igangværende abonnementsperiode. Opsigel- sen har virkning for den førstkommende abonnementsperiode.
Opsigelse skal ske skriftligt enten via brev eller e-mail.
Licensgiver er berettiget til uden varsel og til øjeblikkeligt ophør at ophæve Licensafta- len, såfremt Licenstager ikke overholder Licensvilkårene.
Licenstager er i så fald berettiget til at modtage overskydende forudbetalte licensafgif- ter for den resterende del af den i pkt. 6 nævnte 12-måneders periode tilbagebetalt.
13. Ændring af licensvilkårene
Licensgiver kan til enhver tid ændre Licensvilkårene, herunder foretage prisændringer, idet sådanne ændringer dog skal meddeles Licenstager senest 30 dage før udløbet af den igangværende abonnementsperiode. Licensgivers meddelelse til Licenstager skal angive de gennemførte ændringer. Eventuelle vilkårsændringer, herunder prisændringer, har virkning fra den førstkommende abonnementsperiode.
Såfremt Licenstager ikke ønsker at være forpligtet af de ændrede Licensvilkår, skal Li- censtager inden 14 dage før udløbet af den igangværende abonnementsperiode skrift- ligt meddele Licensgiver, at ændringen af Licensvilkårene ikke kan tiltrædes. Licensafta- len betragtes herefter som opsagt ved Licensgivers meddelelse om ændringen af Li- censvilkårene i overensstemmelse med Licensvilkårenes pkt. 12., 1. afsnit.
Såfremt Licenstager ikke inden 14 dage før udløbet af den igangværende abonnements- periode har meddelt Licensgiver, at ændringen af Licensvilkårene ikke kan tiltrædes, vi- dereføres Licensaftalen i overensstemmelse med de ændrede Licensvilkår.
14. Behandling af oplysninger
Licensgiver vil i forbindelse med levering af det Licenserede indsamle og behandle op- lysninger om Licenstagers, herunder dennes Brugeres, anvendelse af det Licenserede. Yderligere vil Licensgiver behandle de persondata, herunder data om personligt ejede virksomheder, som Brugerne måtte indtaste i Licenstagers systemer.
Licensgiver er databehandler for Licenstager, der er dataansvarlig, jf. den vedhæftede databehandleraftale herunder. Licensgiver vil alene behandle personoplysninger om Bru- gere i overensstemmelse med Licenstagers instruks. Licenstagers instruks omfatter be- handlinger, som er nødvendige for Licensgivers levering af ydelser under Licensvilkå- rene samt nødvendige for Licensgivers administration af kundeforhold.
Licensgiver træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kundskab, misbruges eller i øvrigt behandles i strid med gældende persondatalovgivning.
Behandlingen har til formål at give Licensgiver mulighed for at sikre, at Licensvilkårene overholdes.
Licenstager og Licenstagers Brugere kan på begæring få oplyst, hvilke oplysninger der behandles. Licenstager og Licenstagers Brugere har endvidere i visse tilfælde ret til at få begrænset behandlingen af oplysningerne samt til at få udleveret oplysninger om sig el- ler få overført oplysningerne til en anden udbyder af lignende produkter.
Oplysningerne vil ikke blive videregivet til tredjemand.
Licenstager foretager selv løbende ajourføring og kontrol af oplysningerne for at sikre, at der ikke behandles urigtige eller vildledende oplysninger.
Licenstager og Licenstagers Brugere kan til enhver tid klage til Datatilsynet, såfremt Li- censtager eller Licenstagers Brugere mener, at Licensgivers behandling af oplysninger
strider mod gældende databeskyttelseslovgivning.
15. Fortrolighed og sikkerhed
16.1 Fortrolighed
Licensgiver sikrer, at Brugernes indtastninger i og anden interaktion med Systemet be- handles med fortrolighed, jf. § 25-26 i whistleblowerloven. herunder at sådant materiale ikke videregives til uvedkommende eller på anden måde kommer til uvedkommendes kundskab.
Licensgiver sikrer endvidere, at der kun gives adgang til Brugernes indtastninger til de af Licensgivers medarbejdere, for hvem sådan adgang er nødvendig for udførelsen af med- arbejderens jobfunktioner hos Licensgiver.
16.2 Sikkerhed
Licensgiver sikrer, at Brugernes indberetninger, inklusive dokumentationsmateriale, op- bevares i et datamiljø, som lever op til sikkerhedskrav svarende til kravene for opbeva- ring af personoplysninger, jf. Licensvilkårenes pkt. 14, samt lever op til de sikkerheds- krav, der følger af den til enhver tid gældende lovgivning om informationssikkerhed.
16. Aftalegrundlag
Det samlede aftalegrundlag udgøres af parternes skriftlige aftale (hvis der er en sådan ud over ordrebekræftelsen), ordrebekræftelse samt nærværende Licensvilkår.
I tilfælde af fortolkningstvivl gælder følgende rangorden mellem dokumenterne, idet den skriftlige aftale skal have forrang frem for ordrebekræftelsen og så fremdeles:
1. Parternes skriftlige aftale
2. Ordrebekræftelse, eller et dokument, der efter sin ordlyd træder i stedet herfor.
3. Licensvilkår
19. Lovvalg og værneting
Licensaftalen er undergivet dansk ret. Enhver tvist, som måtte opstå i forbindelse med Licensaftalen, herunder tvister vedrørende Licensaftalens eksistens eller gyldighed, skal afgøres ved Københavns Byret.
STANDARDKONTRAKTBESTEMMELSER
i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger
mellem Kunden
herefter ”den dataansvarlige”
og
Karnov Group Denmark A/S CVR 10 36 19 90
Sk. Petri Passage 5, stuen, 1165 København K,
Danmark
herefter ” databehandleren”
der hver især er en ”part” og sammen udgør ”parterne”
HAR AFTALT følgende standardkontraktsbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder.
1. Indhold
3. Den dataansvarliges rettigheder og forpligtelser 12
4. Databehandleren handler efter instruks 12
7. Anvendelse af underdatabehandlere 13
8. Overførsel til tredjelande eller internationale organisationer 15
9. Bistand til den dataansvarlige 15
10. Underretning om brud på persondatasikkerheden 16
11. Sletning og returnering af oplysninger 17
12. Revision, herunder inspektion 17
13. Parternes aftale om andre forhold 18
15. Kontaktpersoner hos den dataansvarlige og databehandleren 19
Bilag A Oplysninger om behandlingen 20
Bilag B Underdatabehandlere 22
Bilag C Instruks vedrørende behandling af personoplysninger 23
Bilag D Parternes regulering af andre forhold Error! Bookmark not defined.
2. PRÆAMBEL
1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataan- svarlige.
2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af person- oplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).
3. I forbindelse med leveringen af Whistesofts Whisteblowerløsning behandler da- tabehandleren personoplysninger på vegne af den dataansvarlige i overensstem- melse med disse Bestemmelser. Ifølge whistleblowerloven (jf. lov nr. 1436 af 26. juni 2021), § 22, kan behandling af personoplysninger ske, når det er nødvendigt for at behandle indberetninger, der er modtaget som led i en whistleblowerord- ning.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
5. Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, ka- tegorierne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den dataansvar- lige har godkendt brugen af.
8. Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandle- rens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstalt- ninger, som databehandleren som minimum skal gennemføre, og hvordan der fø- res tilsyn med databehandleren og eventuelle underdatabehandlere.
9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke af om- fattet af Bestemmelserne.
10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektro- nisk, af begge parter.
11. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databe- handleren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgiv- ning.
3. Den dataansvarliges rettigheder og forpligtelser
1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstater- nes1 nationale ret, herunder whistleblowerloven, samt disse Bestemmelser.
2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behand- lingsgrundlag for behandlingen af personoplysninger, som databehandleren in- strueres i at foretage.
4. DATABEHANDLEREN HANDLER EFTER INSTRUKS
1. Databehandleren må kun behandle personoplysninger efter dokumenteret in- struks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne in- struks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men in- struksen skal altid være dokumenteret og opbevares skriftligt, herunder elektro- nisk, sammen med disse Bestemmelser.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks ef- ter vedkommendes mening er i strid med denne forordning eller databeskyttel- sesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
5. FORTROLIGHED
1. Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens in- struktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
2. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbefø- jelser, er underlagt ovennævnte tavshedspligt.
3. Databehandleren må kun videregive personoplysninger, som behandles på den dataansvarliges vegne, i det omfang det følger af whistleblowerloven, jf. dennes
§ 26, Databeskyttelsesforordningen eller anden lovgivning.
1 Henvisninger til ”medlemsstat” i disse bestemmelse skal forstås som en henvisning til ”EØS medlemsstater”.
6. BEHANDLINGSSIKKERHED
1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og data- behandleren, under hensyntagen til det aktuelle tekniske niveau, implemente- ringsomkostningerne og den pågældende behandlings karakter, omfang, sam- menhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysi- ske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og fri- hedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
a. Pseudonymisering og kryptering af personoplysninger
b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og ro- busthed af behandlingssystemer og -tjenester
c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til per- sonoplysninger i tilfælde af en fysisk eller teknisk hændelse
d. en procedure for regelmæssig afprøvning, vurdering og evaluering af ef- fektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataan- svarlige – også vurdere risiciene for fysiske personers rettigheder som behand- lingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige infor- mation til rådighed for databehandleren som gør vedkommende i stand til at iden- tificere og vurdere sådanne risici.
3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som da- tabehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering
– kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
7. ANVENDELSE AF UNDERDATABEHANDLERE
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttel- sesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databe- handler (en underdatabehandler).
2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyl- delse af disse Bestemmelser uden forudgående specifik skriftlig godkendelse fra den dataansvarlige.
3. Databehandleren må kun gøre brug af underdatabehandlere med den dataansvar- liges forudgående specifikke skriftlige godkendelse. Databehandleren skal ind- give anmodningen om en specifik godkendelse mindst 40 dage inden anvendel- sen af den pågældende underdatabehandler. Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B.
4. Når databehandleren gør brug af en underdatabehandler i forbindelse med udfø- relse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestem- melser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehand- leren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyt- telsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som heri- gennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmel- ser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
6. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataan- svarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, så- ledes at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandlere, som f.eks. gør den dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere person- oplysningerne.
7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, for- bliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes ret- tigheder, der følger af databeskyttelsesforordningen, herunder særligt forordnin- gens artikel 79 og 82, over for den dataansvarlige og databehandleren, herunder underdatabehandleren.
8. OVERFØRSEL TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER
1. Enhver overførsel af personoplysninger til tredjelande eller internationale organi- sationer må kun foretages af databehandleren på baggrund af dokumenteret in- struks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisa- tioner, som databehandleren ikke er blevet instrueret i at foretage af den dataan- svarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvar- lige om dette retlige krav inden behandling, medmindre den pågældende ret for- byder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
3. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser:
a. Overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
b. Overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
c. Behandle personoplysningerne i et tredjeland
4. Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforord- ningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.
5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplys- ninger som omhandlet i databeskyttelsesforordningens kapitel V.
9. BISTAND TIL DEN DATAANSVARLIGE
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske for- anstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i data- beskyttelsesforordningens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvar- lige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
a. Oplysningspligten ved indsamling af personoplysninger hos den regi- strerede
b. Oplysningspligten, hvis personoplysninger ikke er indsamlet hos den re- gistrerede
c. Indsigtsretten
d. Retten til berigtigelse
e. Retten til sletning (”retten til at blive glemt”)
f. Retten til begrænsning af behandling
g. Underretningspligten i forbindelse med berigtigelse eller sletning af per- sonoplysninger eller begrænsning af behandling
h. Retten til dataportabilitet
i. Retten til indsigelse
j. Retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
2. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren endvidere, under hensyntagen til be- handlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med:
a. Den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre at det er usandsynligt, at bruddet på personda- tasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
b. Den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sand- synligvis vil medføre en høj risiko for fysiske personers rettigheder og fri- hedsrettigheder
c. Den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyt- telse af personoplysninger (en konsekvensanalyse)
d. Den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyn- dighed, Datatilsynet, inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
3. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstalt- ninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket om- fang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse
9.1. og 9.2.
10. UNDERRETNING OM BRUD PÅ PERSONDATASIKKERHEDEN
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 48 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvar-
lige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerhe- den til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens arti- kel 33.
3. I overensstemmelse med Bestemmelse 9.2.a skal databehandleren bistå den da- taansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsyns- myndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe ne- denstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataan- svarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
a. Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personop- lysninger
b. De sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. De foranstaltninger, som den dataansvarlige har truffet eller foreslår truf- fet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirknin- ger.
4. Parterne skal i bilag C angive den information, som databehandleren skal tilveje- bringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndig- hed.
11. SLETNING OG RETURNERING AF OPLYSNINGER
1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er databe- handleren forpligtet til at slette alle personoplysninger, der er blevet behandlet på vegne af den dataansvarlige og bekræfte over for den dataansvarlig, at oplysnin- gerne er slettet, medmindre EU-retten eller medlemsstaternes nationale ret fore- skriver opbevaring af personoplysningerne.
12. REVISION, HERUNDER INSPEKTION
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overhol- delsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rå- dighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, her- under inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med da- tabehandleren og underdatabehandlere er nærmere angivet i Bilag C.7. og C.8.
3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den dataansvarliges eller databehandlerens facilite- ter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
13. PARTERNES AFTALE OM ANDRE FORHOLD
1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende be- handling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod Bestemmelserne eller for- ringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelsesforordningen.
14. IKRAFTTRÆDEN OG OPHØR
1. Bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.
2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.
3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af per- sonoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, med- mindre andre bestemmelser, der regulerer levering af tjenesten vedrørende be- handling af personoplysninger, aftales mellem parterne.
4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overens- stemmelse med Bestemmelse 11.1 og Bilag C.4, kan Bestemmelserne opsiges med skriftlig varsel af begge parter.
5. Underskrift
På vegne af databehandleren | |
Navn: | Xxxxx Xxxx Xxxxxx |
Position: | CEO, Karnov Group Danmark |
Adresse: | Karnov Group Denmark A/S Skt. Petri Passage 0, Xxxxx, 0000 Xxxxxxxxx K |
Kontaktinfor- mation: | x00 0000 0000 |
Dato: | 01.09.2021 |
Signature | |
15. Kontaktpersoner hos den dataansvarlige og databehandleren
1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner.
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner.
På vegne af databehandleren | På vegne af den dataansvarlige | ||
Ansvarlig for data Beskyttelse | Xxx Xxxxxx, Data Protection and Compliance Manager | Kundens kon- taktperson | Kundens kontaktperson registreres som del af adgang til produktet. Kundens kontaktpersons kontakt- oplysninger inkl. e-mailadresse re- gistreres som del af transaktionen. Såfremt kunden ønsker en anden person angivet som ansvarlig for databeskyttelse retter kunden hen- vendelse til Karnovs kundeservice og beder om at få oprettet en sær- lig kontaktperson. |
Adresse | Skt. Petri Passage 5, stuen, 1165 København K Denmark | ||
Kontakt information: | x00 0000 0000 | ||
Ansvarlig for informations- sikkerhed | Xxxxxxxx Xxxxxx, Chief Information Security Of- ficer | ||
Addresse | Skt. Petri Passage 5, stuen, 1165 København K, Denmark | ||
Kontaktinfor- mation: | x00 0000 0000 | ||
APPENDIX A – Oplysninger om behandlingen
A.1. FORMÅLET MED DATABEHANDLERENS BEHANDLING AF PERSONOPLYSNINGER PÅ VEGNE AF DEN DATAANSVARLIGE
Databehandleren sælger whistleblowerløsninger til virksomheder. Virksomhedens ansatte kan bruge ord-
ningen eller foretage sagsbehandling i systemet. Karnov eller Karnovs slutkunde har mulighed for at admi- nistrere brugeradgange igennem whistleblowerløsningens brugerportal.
Formålet med behandlingen af personoplysninger er at modtage, opbevare og stille indberetninger til rå- dighed for sagsbehandlere som er udpeget af den dataansvarlige til behandling af indberetninger som led i den dataansvarliges whistleblowerordning, jævnfør LOV nr. 1436 af 29/06/2021 (lov om beskyttelse af whistleblowere).
A.2. DATABEHANDLERENS BEHANDLING AF PERSONOPLYSNINGER PÅ VEGNE AF DEN DATAANSVAR- LIGE DREJER SIG PRIMÆRT OM (KARAKTEREN AF BEHANDLINGEN)
At modtage indberetninger fra slutbruger, samt at opbevare og stille indberetninger til rådighed for sagsbe-
handlere, som er udpeget til at behandle oplysninger.
A.3. BEHANDLINGEN OMFATTER FØLGENDE TYPER AF PERSONOPLYSNINGER OM DE REGISTREREDE Databehandleren modtager og behandler persondata i overensstemmelse med databehandlingsaftalen. Dataejer overfører nedenstående typer persondata til databehandleren:
Artikel 6, Almindelige personinformationer | Artikel 9, Følsomme personinformationer | Artikel 10, Personinformation ved- rørende staffedomme og lovover- trædelser |
☒ Kontaktinformation (fx navn, e-mail, telefon) ☒ Stamdata (fx fødselsdata) ☒ Registrationsnumre (fx brugerID, databaseID, kundeID) ☒ Information om ansættelsesforhold (fx kontrakt, titel, personalefil) ☒ Information om løn (fx løninformationer, bankdetaljer) ☒ Kvalifikationer og certificeringer, ☒ Præstation (fx overtid, KPI’er) ☒ Relationer (fx kundestatus, kontaktroller) ☒ Behavioural information (fx brugspræferencer, brugshistorik) ☒ Præferencer (fx indstillinger, brugerundersøgel- ser, personlige indstillinger) ☒ Logins ☒ Teknisk Information (fx OS-version, browser version, IP- adresser) ☒ Indkøbshistorik (fx boganskaffelser, abonnementer) ☒ Fortrolig information | Information about… ☒ Race eller etnisk oprindelse. ☒ Politisk overbevisning eller til- hørsforhold. ☒ Religiøs eller filosofisk overbevis- ning. ☒ Medlemsskab af fagforening. ☒ Helbred. ☒ Sexliv. ☒ Sexuel orientering. ☒ Genetiske data ☒ Biometriske data ☒ Information om børn ☒ Anden følsom information, | Information about… ☒ Straffedomme og lovovertrædel- ser |
(fx CPR-nummer)
☒ Grove eller gentagne overtrædel- ser af lovgivningen eller interne ret- ningslinjer eller adfærdskodeks.
☐ Xxxxx personinformationer (defineres af databehandler herun- der)
A.4. BEHANDLINGEN OMFATTER FØLGENDE KATEGORIER AF REGISTREREDE
☒ Whistleblowers (fx ansatte hos slutkunden, som tilføjer information om lovovertrædelser til whistleblowerløsningen),
☒ Kunder eller slutbrugere (fx formidlere af brugeradgange, systemadministratorer, sagsbe- handlere og kundens kontaktpersoner),
☐ Leverandører (logininformationer for personer som leverer 3.-parts tjenester til Karnov Group fx i form af vedligehold eller teknik),
☒ Ansatte hos Karnov
(ansatte i Karnov Group Denmarks kundeservice),
☐ Besøgende
(besøgende på Karnov Groups fysiske lokationer eller til arrangementer hos eller uden for Kar- nov)
☒ Parter i straffesager eller involverede i lovovertrædelser
(fx ansatte hos slutkunden, som er involverede i grove eller gentagende lovovertrædelser eller interne retningslinjer eller adfærdskodeks som kan føre til disciplinære eller strafferetslige konsekvenser)
A.5. DATABEHANDLERENS BEHANDLING AF PERSONOPLYSNINGER PÅ VEGNE AF DEN DATAANSVAR- LIGE KAN PÅBEGYNDES EFTER DISSE BESTEMMELSERS IKRAFTTRÆDEN. BEHANDLINGEN HAR FØL- GENDE VARIGHED
☒ Behandlingen er ikke tidsbegrænset og varer, ind til aftalen opsiges eller ophæves af en af parterne.
Databehandlingsaftalen har varighed ud over hovedaftalen mellem parterne, og har effekt, så længe data- behandler behandler, herunder opbevarer, personinformationer modtaget fra, indsamlet på vegne af data- ansvarlig eller på anden måde behandlet som en del af aftale forholdet mellem den dataansvarlige og da- tabehandler, ind til databehandler har godtgjort tilbagelevering og destruktion af persondata i jævnfør da- tabehandlingsaftalens afsnit 11.1.
BILAG B - UNDERDATABEHANDLERE
B.1. GODKENDTE UNDERDATABEHANDLERE
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabe- handlere
SERVICE | CVR | ADDRESS | BRIEF DESCRIPTION OF THE ACTIVITY |
Microsoft Azure Services | IE8256796U | Microsoft Ireland Operations Ltd. One Microsoft Place, South County Business Park, Leopardstown, Dublin, X00 X000, Ireland | Opbevaring og backup af data Hosting af applikationslag |
Hosting og udvik- ling | 35248021 | Unica Net Agenavej 39, 2670 Greve Danmark | Opbevaring og backup af data |
Drift, vedligehold og udvikling | 41842164 | Whistlesoft ApS Xxxxxxxxxx Xxxx 0, 0000 Xxxxxxxxxx- lund Danmark | Opbevaring og backup af data |
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabe- handlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uden den dataansvarliges skriftlige godkendelse – gøre brug af en underdatabehandler til en anden behandlingsaktivitet end den be- skrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.
B.2. VARSEL FOR GODKENDELSE AF UNDERDATABEHANDLERE
Information om databehandlere varsles skriftligt til den kontraktansvarlige hos Karnov Group og til Karnov Groups Data Protection and Compliance Manager og Chief Information Security Officer, som angivet i da- tabehandlingsaftalens afsnit 14 og 15.
Databehandler varsler dataansvarlige om ønsket brug af ny underdatabehandler senest 40 dage før for- ventet ibrugtagning, således at Karnov Group har mulighed for at tage stilling til og vurdere ændringer i behandlingsrisiko, i god tid før ændringer i behandlingsforholdet.
BILAG C - INSTRUKS VEDRØRENDE BEHANDLING AF PERSONOPLYSNINGER
C.1. BEHANDLINGENS GENSTAND/INSTRUKS
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databe- handleren udfører følgende:
Databehandleren leverer adgang til whistleblowerløsning leveret af udvikleren, Whistlesoft ApS, som er un- derdatabehandler for Karnov Group Denmark A/S. Karnov håndterer opsætning af brugeradministratorer og kontaktperson for den dataansvarlige, som herefter selv er ansvarlig for oprettelse af slutbrugere i form af sagsbehandlere, en whistleblower-konto, som tillader slutbrugers kunder anonymt at indgive varsel om forhold, og at sagsbehandle i et beskyttet miljø.
Whistlesoft ApS er underdatabehandler for Karnov Group, som er databehandler for slutkunden. Slutkunden er selv dataansvarlig og har fuld kontrol over egne data eller mulighed for at instruere databehandler om behandling af data, jfr. abonnementsbetingelser mellem parterne. Ligeledes er dataansvarlig selv ansvarlig for at udfærdige og implementere interne strukturer, politikker og lignende, til understøttelse af whistleblo- werløsningen, ligesom det er den dataansvarliges ansvar at tilse, at der eksisterer nødvendige mekanismer til at sikre, at advarsler fra dataansvarliges ansatte behandles korrekt. Databehandler bemyndiges til at instruere underdatabehandler om ændringer i kundens data, og underdatabehandler imødekommer disse uden yderligere beregning, såfremt kunden eller databehandleren ikke selv kan eksekvere kontrol over per- soninformationer.
Databehandler og denne underdatabehandlere bemyndiges til behandling af personinformation med hen- blik på drift og understøttelse af kundens eller whistleblowers anvendelse af produktet, samt til udvikling, abonnementsstyring og sikring af sikkerhed, nødvendig for leverancen af et stabilt og sikkert produkt, som efterlever gældende lovkrav jfr. Lov om beskyttelse af whistleblowere, samt EU2016/679 og EU2019/1937.
C.2. BEHANDLINGSSIKKERHED
Under hensyntagen til den store mængde persondata klassificeret under persondataforordningens (GDPR) artikel 6, følsomme personoplysninger omfattet a GDPR artikel 9, informationer om straffedomme eller lovovertrædelser omfattet af GDPR artikel 10, anses at behandlingen udgør en høj risiko for datasubjektet, hvorfor et tilsvarende højt niveau for behandlings- og datasikkerhed anlægges af databehandler og dennes underdatabehandlere.
Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foran- staltninger:
• Sikre, at data opbevares krypteret i overensstemmelse med best-practice for data, som kan indeholde fortrolige eller følsomme informationer, som minimum krypteret til AES256 eller til- svarende krypteringsstandard, samt at krypterede data og krypteringsnøgler opbevares, såle- des at kundens rimelige bekymringer ift. international lovgivning så vidt muligt imødekommes.
• Sikre, at kommunikation mellem tjenesten og slutbruger krypteres og foregår via SSL eller en tilsvarende sikret forbindelse som i rimelig grad beskytter den dataansvarliges personinforma- tioner.
• Sikre, at data som opbevares i løsningen, kun kan tilgås af verificerede slutbrugere og ikke kan komme uvedkommende til kendskab.
• Sikre, at data kan genskabes efter tekniske eller fysiske hændelser.
• Sikre, at den dataansvarliges adgang kun ændres på baggrund af skriftlig instruktion eller på baggrund af skriftlig godkendelse fra kundens kontaktperson, samt at ændringer logges, såle- des at den dataansvarlige kan se, hvis indholdet af løsningen er ændret og af hvem.
• Sikre, at adgang til databaser fra udviklings- og support teams kun logges og i videst muligt omfang begrænses adgang til krypterede personoplysninger, samt at adgang i løsningens back-end i videst muligt omfang følger industriens minimumsstandarder.
• Sikre, at underdatabehandler tager fornødne sikkerhedstiltag til at forhindre og begrænse ek- sekvering af malware eller lignende kode, jfr. best-practice i form af fx kodevalidering, penetra- tionstesting, software patching og hardware patching, mv.
C.3 BISTAND TIL DEN DATAANSVARLIGE
Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelse 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:
Underdatabehandleren udvikler nødvendig teknisk information, som kan overdrages til den dataansvarliges risikoanalyse.
Den dataansvarlige kan anmode om databehandlerens bistand under følgende leveranceparametre:
• Underdatabehandleren skal iværksætte bistanden for den dataansvarlige senest tre arbejds- dage efter at have modtage databehandlerens anmodning.
• Databehandleren kan pålægge underdatabehandler at påbegynde akut bistand samme ar- bejdsdag, idet databehandleren er opmærksom på, at dette kan medføre efterfølgende regi- strering af omkostninger, som ikke er et resultat af fejl eller mangler i produktet.
C.4 OPBEVARINGSPERIODE/SLETTERUTINE
Personoplysninger opbevares, i det tidsrum, det er nødvendigt i forhold til formålet med behandlingen, jfr. GDPR art. 5, stk. 1, litra e. hvorefter de slettes hos underdatabehandleren.
Ved ophør af aftalen vedrørende behandling af personoplysninger, skal databehandleren tilbagelevere og slette personoplysningerne i overensstemmelse med bestemmelse 11.1, medmindre den dataansvarlige – efter underskriften af disse bestemmelser – har ændret den dataansvarliges oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til bestemmel- serne.
Givet personoplysningernes karakter certificerer underdatabehandleren skriftligt for databehandler, at per- sondata er slettet i forståelse af, at certifikatet kan overdrages til den dataansvarlige.
C.5 LOKALITET FOR BEHANDLING
Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvarliges for- udgående skriftlige godkendelse ske på andre lokaliteter end følgende:
• Whistlesoft ApS, Xxxxxxxxxx Xxxx 0, 0000 Xxxxxxxxxxxxxx, Xxxxxxx.
• Unica Net, Agenavej 39, 2670 Greve, Danmark.
• Microsoft Ireland Operations Ltc, One Microsoft Place, South County Business Part, Leopard- stown, Dublin 18 D18 P521, Irland.
C.6 INSTRUKS VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE Databehandler har ikke tilladelse til at over overføre eller overdrage persondata om EU-borgere, kunder, ansatte, ansøgere, gæster eller andre kategorier af data subjekter til lokationer i 3. lande uden dataansvar- liges udtrykkelige skriftlige tilladelse.
Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks ved- rørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.
Support af Microsoft Azure Cloud leveres direkte til Microsoft Ireland Operations fra:
• Microsoft,
Xxx Xxxxxxxxx Xxx, Xxxxxxx, Xxxxxxx, Xxxxxxxxxx Xxxxx, XXX.
Detaljer om serviceleverancen og support leveret af underdatabehandlere i tredjelande kan fin- des under: xxxxx://xxxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxx/xxxxx
C.7 PROCEDURER FOR DEN DATAANSVARLIGES REVISIONER, HERUNDER INSPEKTIONER, MED BE- HANDLINGEN AF PERSONoplysninger, som er overladt til databehandleren
Den dataansvarliges tilsynsaktiviteter udføres som en integreret del af de løbende statusmøder mellem parterne, jfr. den model for samarbejde, som er fastsat i licensaftalen mellem parterne. På statusmøder drøftes bl.a. sikkerhedsspørgsmål og spørgsmål om databehandling på baggrund af parternes gensidige vurdering af trusselsbillede, opdaterede vurderinger af kritiske sårbarheder, identificerede sikkerhedsbud og lignende, som påvirker den overordnede sikkerhed for de behandlingsaktiviteter, der reguleres af aftalen.
Ved et højt risikoniveau indhentes følgende på årlig basis: | Er der ikke tale om et højt risikoniveau, ind- hentes følgende på årlig basis: |
☐ ISAE-3000 periodeerklæring, ☐ ISAE-3402 periodeerklæring, ☒ Lignende revisionsmateriale, defineret her- under: Whistleblower security Whitepaper ☐ Databehandler udfylder sikkerheds- questionaire, fra databehandler. Databehand- ler rapporterer resultat og metode til dataan- svarlig. | ☐ ISAE-3000 periodeerklæring, ☐ ISAE-3000 punkterklæring, ☐ ISAE-3402 periodeerklæring, ☐ Lignende revisionsmateriale, defineret herunder:
☐ Underdatabehandler udfylder sikkerheds- questionaire, fra databehandler. Databe- handler rapporterer resultat og metode til dataansvarlig. |
Det er fastlagt, at der i behandlingen af persondata er tale om et højt risikoniveau. Databehandleren tilser, at underdatabehandler, som er ansvarlig for udvikling og operation af produktet, leverer nødvendig kontrol- information (se C8). Som del af afhandlingen mellem den dataansvarlige og databehandler leverer databe- handleren på kundens skriftlige forlangende yderligere information i tillæg til dokumentation fra underda- tabehandler i form af Karnovs Whitleblower Security Whitepaper.
C.8 PROCEDURER FOR DATABEHANDLERS REVISIONER, HERUNDER INSPEKTIONER, MED BEHAND- LINGEN AF PERSONOPLYSNINGER, SOM ER OVERLADT TIL UNDERDATABEHANDLEREN
Den dataansvarliges tilsynsaktiviteter udføres som en integreret del af de løbende statusmøder mellem
parterne. På statusmøder drøftes bl.a. sikkerhedsspørgsmål og spørgsmål om databehandling på bag- grund af parternes gensidige vurdering af trusselsbillede, opdaterede vurderinger af kritiske sårbarheder, identificerede sikkerhedsbud og lignende, som påvirker den overordnede sikkerhed for de behandlingsak- tiviteter, der reguleres af aftalen.
Ved et højt risikoniveau indhentes følgende på årlig basis: | Er der ikke tale om et højt risikoniveau, ind- hentes følgende på årlig basis: |
☒ ISAE-3000 periodeerklæring, ☐ ISAE-3402 periodeerklæring, ☐ SOC 3 rapport, ☐ Lignende revisionsmateriale, defineret her- under: ☒ Underdatabehandler udfylder sikkerheds- questionaire, fra databehandler. Databehand- ler rapporterer resultat og metode til dataan- svarlig. ☒ Fysisk inspektion af underdatabehandler med tilhørende inspektionsrapport. | ☐ ISAE-3000 periodeerklæring, ☐ ISAE-3000 punkterklæring, ☐ ISAE-3402 periodeerklæring, ☐ SOC rapport, ☐ Lignende revisionsmateriale, defineret herunder: ☐ Underdatabehandler udfylder sikkerheds- questionaire, fra databehandler. Databe- handler rapporterer resultat og metode til dataansvarlig. ☐ Fysisk inspektion af underdatabehandler med tilhørende inspektionsrapport. |
Parterne har i fællesskab vurderet, at der er tale om et højt risikoniveau for datasubjekterne, og det er fast- sat, at underdatabehandleren mindst en gang årligt, uden yderligere omkostninger for databehandleren, producerer og forelægger, en ISAE 3000 perioderapport for databehandleren, som dokumentation for un- derdatabehandlerens efterlevelse af databehandlingsaftalen i forståelse af, at denne kan deles med den dataansvarlige. Dette indebærer, at den dataansvarlige gives mulighed for at foretage fysisk inspektion af Whistlesoft ApS. Underdatabehandleren kan pålægges årligt at udfylde et sikkerheds-questionnaire, som redegør for underdatabehandlers behandlingssikkerhed og efterlevelse af persondatalovgivningen i form af national og international lovgivning.
Dokumentation fremsendes uden unødig forsinkelse til databehandleren til orientering i forståelse af, at databehandleren kan dele indholdet med den dataansvarlige. Databehandleren eller dataansvarlige kan an- fægte rammerne for og/eller revisionsmetoden og kan i så tilfælde anmode om en ny dokumentation under andre rammer og/eller under anvendelse af anden metode.
Den dataansvarlige forstår og accepterer, at databehandleren ikke konsekvent vil pålægge underdatabe- handleren at besvare sikkerheds-questionnaire, men at dette, når besvarelsen én gang er udført, anses for et ekstra tiltag, som anvendes, såfremt underdatabehandleren oplever brud på behandlingssikkerheden, eller såfremt databehandleren modtager gentagne klager over underdatabehandlerens behandlingssikker- hed på trods af at være pålagt at foretage ændringer i behandlingssikkerhed eller procedurer.
Baseret på resultatet, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foran- staltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbe- stemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.