DATABEHANDLERAFTALE

DATABEHANDLERAFTALE

indgået mellem

Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW

Pahm ApS

CVR-nr.: 30561317

Åstvej 10B 7190 Billund

(den ”Dataansvarlige”)

og

Flexfone A/S

CVR-nr.: 34042985

Xxxxxxxxxxx 00

8660 Skanderborg (”Databehandleren”)

(Den Dataansvarlige og Databehandleren kaldes tilsammen ”Parterne” og hver for sig en ”Part”)

BILAG TIL DATABEHANDLERAFTALEN‌

Bilag 1: Sikkerhedsforanstaltninger

Bilag 2: Dokumentation for overholdelse af forpligtelser

1. BAGGRUND OG FORMÅL

1.1 Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som er nærmere beskrevet i punkt 2.

1.2 I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag (”Databehandleraftalen”).

1.3 Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gæl- dende persondataretlige regulering, herunder navnlig:

• persondataloven (lov 2000-05-31 nr. 429 med senere xxxxxxxxx)

• databeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af

Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW

27. april 2016), når denne får virkning samt

• supplerende national lovgivning, som træder i kraft samtidig med/gælder sideløbende med databeskyttelsesforordningen

2. HOVEDYDELSEN

2.1 Hovedydelsen består af levering af kommunikationsløsninger og internet med henblik på videre- salg.

2.2 Personoplysninger

2. 2. 1 Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:

a) Almindelige personoplysninger (ikke udtømmende), herunder navn, adresse, mailadresse, telefonnummer etc.

b) Følsomme personoplysninger, herunder racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om hel- bredsmæssige og seksuelle forhold eller seksuelle orientering, genetiske data og biometri- ske data, andre personlige oplysninger, herunder strafbare forhold, væsentlige sociale pro- blemer og andre rent private forhold og CPR-numre, behandler Databehandleren som ud- gangspunkt ikke som en del af Hovedydelsen.

2. 2. 2 Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databe- handleraftalen:

a) Ansatte hos den Dataansvarlige

b) Slutkunder

3. OMFANG

3.1 Databehandleren bemyndiges til at fortage behandling af personoplysninger på den Dataansvarli- ges vegne på vilkårene fastsat i Databehandleraftalen.

3.2 Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Data- ansvarlige. Denne Databehandleraftale inkl. bilag udgør Instruksen på underskriftstidspunktet.

3.3 Databehandleren må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer, så længe de lever op til databeskyttelsesforordningens be- stemmelser.

4. VARIGHED

4.1 Databehandleraftalen gælder, indtil enten (a) aftale(r)n(e) om levering af Hovedydelserne ophører, eller (b) Databehandleraftalen opsiges eller ophæves.

Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW

5. DATABEHANDLERENS FORPLIGTELSER

5.1 Tekniske og organisatoriske sikkerhedsforanstaltninger

5. 1. 1 Databehandleren har ansvaret for at gennemføre fornødne (a) tekniske og (b) organisatoriske for- anstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres un- der hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågæl- dende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sand- synlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i punkt 2 i betragtning ved fastlæggelsen af disse foranstaltninger.

5. 1. 2 Databehandleren skal uanset punkt 5.1.1 gennemføre de tekniske og organisatoriske sikkerheds- foranstaltninger, som fremgår af (a) bilag 1 til denne Databehandleraftale samt (b) punkt 2 om levering af Hovedydelserne.

5. 1. 3 Databehandleren garanterer overfor den Dataansvarlige, at Databehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.

5. 1. 4 Parterne er enige om, at de anførte tekniske og organisatoriske sikkerhedskrav anført i bilag 1 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandleraftale.

5.2 Medarbejderforhold

5. 2. 1 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandle- ren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

5. 2. 2 Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

5. 2. 3 Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandle- ren, kun behandler disse i overensstemmelse med Instruksen.

5.3 Påvisning af overholdelse

5. 3. 1 Databehandleren stiller efter anmodning alle oplysninger, der er nødvendige for at påvise overhol- delse af kravene i Databehandleraftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. En sådan anmodning besvares inden rimelig tid.

5. 3. 2 Det nærmere indhold af forpligtelserne under punkt 5.3.1 er beskrevet i bilag 2 til denne Databe- handleraftale.

5.4 Sikkerhedsbrud

5. 4. 1 Databehandleren er forpligtet til uden unødig forsinkelse at underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, æn- dring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataan- svarlige.

Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW

5.5 Bistand

5. 5. 1 Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehand- leraftale, herunder ved:

a) besvarelser til registrerede ved udøvelse af disses rettigheder,

b) sikkerhedsbrud

c) konsekvensanalyser, og

d) forudgående høringer fra tilsynsmyndighederne.

6. UNDERDATABEHANDLERE OG SAMARBEJDSPARTNERE

6.1 Den Dataansvarlige giver Databehandleren samtykke til anvendelse af underdatabehandlere og samarbejdspartnere inden for EU, forudsat, at de i Aftalen stillede betingelser for dette er opfyldt. Den Dataansvarlige kan altid se Databehandlerens underdatabehandlere og samarbejdspartnere på xxx.xxxxxxxxxx.xxxxxxxx.xx.

6.2 Underdatabehandleren er under Databehandlerens instruks. Databehandleren har indgået skriftlig databehandleraftale med underdatabehandleren, hvori det er sikret, at underdatabehandleren op- fylder krav tilsvarende dem, som stilles til Databehandleren af den Dataansvarlige i medfør af Af- talen.

6.3 Omkostninger forbundet med etablering af aftaleforholdet til en underdatabehandler, herunder om- kostninger til udarbejdelse af databehandleraftale, afholdes af Databehandleren og er således den Dataansvarlige uvedkommende.

6.4 Den Dataansvarlige har ikke mulighed for at instruere underdatabehandlere/samarbejdspartnere direkte. Såfremt den Dataansvarlige måtte ønske at ændre i en underdatabehandlers/samarbejds- partners instruks kan dette alene ske efter drøftelse med og via Databehandleren.

6.5 Den Dataansvarlige accepterer ved indgåelsen af nærværende Aftale, at Databehandleren er be- rettiget til at skifte underdatabehandler/samarbejdspartner, forudsat, at a) en eventuel ny underda- tabehandler/samarbejdspartner overholder tilsvarende betingelser, som stilles i nærværende punkt 6 til den nuværende underdatabehandler/samarbejdspartner, og at b) Databehandleren informerer den Dataansvarlige om en eventuel anden underdatabehandlers/samarbejdspartners påbegyn- delse af behandling af personoplysninger, som den Dataansvarlige er dataansvarlig for. Der vil til enhver tid være en opdateret liste over underdatabehandlere/samarbejdspartnere tilgængelig på xxx.xxxxxxxxxx.xxxxxxxx.xx.

6.6 Den Dataansvarlige accepterer, at Databehandleren anvender standardsoftware til at behandle persondata på vegne af den Dataansvarlige. Den Dataansvarlige kan altid se Databehandlerens anvendelse af standardsoftware på xxx.xxxxxxxxxx.xxxxxxxx.xx

7. DATABEHANDLING UDEN FOR INSTRUKSEN

Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW

7.1 Databehandleren kan behandle personoplysninger uden for Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt.

7.2 Ved behandling af personoplysninger uden for Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.

7.3 Underretning skal ikke ske, hvis underretning vil være i strid med EU-retten eller den nationale ret.

8. FORCE MAJEURE

8.1 Databehandleren kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til; krig, optøjer, terror, opstand, strejke, ildsvåde, natur- katastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærd- sel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, virus samt indtrædelse af force majeure hos underleverandører.

8.2 Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure-situatio- nen varer.

9. VEDERLAG OG OMKOSTNINGER

9.1 Databehandleren kan i visse tilfælde have krav på betaling efter medgået tid samt Databehandle- rens øvrige omkostninger herved for de ydelser, der udføres efter Databehandleraftalen, som følger af ændringer i den Dataansvarliges forhold. Ydelserne kan omfatte bistand til ændringer, der følger af nye risikovurderinger og konsekvensanalyser samt ændringer nødvendiggjort af, at den Dataan- svarlige forpligtes af anden lovgivning. Databehandleren er dog ikke berettiget til vederlag, i det omfang Databehandleren jf. lovgivningen er den direkte forpligtede part. Dette gælder kun i relation til levering af Hovedydelsen.

9.2 Vederlaget opgøres efter de aftalte timesatser i aftale(r)n(e) om levering af Hovedydelserne, og hvor der ikke er aftalt timesatser heri, da efter Leverandørens gældende timesatser. Timesatsen må ikke overskride branchekutyme.

9.3 Databehandleren har uanset ovenstående ikke krav på betaling for assistance eller implementering af ændringer i det omfang, sådan assistance eller ændring er en direkte følge af Databehandlerens egen misligholdelse af denne Databehandleraftale.

10. OPHØR

10.1 Opsigelse og ophævelse

10. 1. 1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftale(r)n(e) om levering af Hovedydelserne.

10.2 Virkning af ophør

Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW

10. 2. 1 Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den Dataansvar- lige bortfalder ved Databehandleraftalens ophør, uanset årsag.

10. 2. 2 Databehandleren er forpligtet af denne Aftale, så længe Databehandleren behandler personoplys- ninger på vegne af den Dataansvarlige. Såfremt Databehandleren ophører med at levere services til den Dataansvarlige, skal den Dataansvarlige snarest muligt, og senest 14 dage efter ophøret, oplyse Databehandleren skriftligt, hvorledes Databehandleren skal forholde sig til de behandlede personoplysninger. 30 dage efter ophøret af Databehandleraftalen er Databehandleren berettiget til at slette alle personoplysninger, som er blevet behandlet på vegne af den Dataansvarlige.

11. FORRANG

11.1 Såfremt der er modstrid mellem denne Databehandleraftale og aftale(r)n(e) om levering af Hoved- ydelserne, har denne Databehandleraftale forrang, med mindre andet følger direkte af Databe- handleraftalen.

11.2 Såfremt der er modstrid mellem denne Databehandleraftale og anden lovgivning i forhold til a) terrorloven b) skatteloven c) bogføringsloven etc. har disse lovgivningers bestemmelser forrang for databeskyttelseslovgivningen.

BILAG 1 SIKKERHEDSFORANSTALTNINGER

1. SPECIFIKKE FYSISKE OG TEKNISKE SIKKERHEDSFORANSTALTNINGER:

1.1 Der stilles følgende specifikke krav til Databehandlerens fysiske sikkerhed:

e) I forhold til adgangskontrol bruger Databehandleren ID-kort, og al adgang til lokaler kan ude- lukkende ske igennem autoriseret login.

f) Alle gæster bliver indmeldt ved deres ankomst og er ledsaget under besøg.

g) Vores lokationer er sikret med alarmering, hvis uvedkommende opholder sig i vores bygnin- ger.

Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW

h) De datacentre, databehandleren benytter, er ”state of the art” og placeret i Danmark. Data- behandlerens datacenterleverandør er ansvarlig for de fysiske rammer, som f.eks. strøm, køling, brandslukning og adgangskontrol. Databehandleren fører kontrol med, at datacen- terleverandører til en hver tid efterlever de gældende sikkerhedsregler på området.

1.2 Der stilles følgende specifikke krav til Databehandlerens tekniske sikkerhed:

i) Databehandleren anbefaler altid, at data fra den Dataansvarlige til Databehandleren sendes som krypteret data.

j) Databehandleren benytter Next Generation firewalls, der begrænser angreb mod kundernes miljøer, og DDoS-beskyttelse, der begrænser den påvirkning, som eventuelle angreb måtte have på serverne. Avanceret netværksinspektion opfanger mønstre og angrebsforsøg fra kendte, ondsindede ip-adresser.

k) Vi overvåger vores infrastruktur og relevante services døgnet rundt med tilknyttet vagtord- ning. Alle afvigelser registreres i vores sagssystem.

l) Vi logger alle adgange til management- og kundemiljøer, så vi hurtigt kan se unormalitet og handle derefter. Vores centrale logplatform sikrer, at vi hurtigt kan korrelere logs fra mange kilder.

m) Vi udfører backup af alle vitale systemer flere gang dagligt. Backupdata spejles altid mellem to fysisk uafhængige lokationer, så der altid er en tilgængelig kopi i tilfælde af et kritisk ned- brud.

n) Der foreligger beredskabsplaner, som fastlægger vores procedurer, rutiner og roller i tilfælde af kritiske nedbrud. Medarbejdere trænes i beredskabet jævnligt.

o) For at sikre os bedst muligt udfører vi regelmæssigt penetrationstests mod kritiske kompo- nenter i vores infrastruktur. Tests udføres for at se, hvordan vores systemer regerer på eks- terne trusler.

1.3 Der stilles følgende specifikke krav til Databehandlerens sletning af personoplysninger:

p) Der henvises her til Aftalens punkt 11 vedrørende forrang.

Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW

q) Databehandleren sletter alle personoplysninger, så snart Databehandleren ikke længere har brug for dem for at kunne levere Hovedydelsen.

BILAG 2

DOKUMENTATION FOR OVERHOL- DELSE AF FORPLIGTELSER

Som led i Databehandlerens demonstrering over for den Dataansvarlige af overholdelse af sine forpligtelser efter punkt 5 i Databehandleraftalen skal nedenstående punkter udføres og overholdes.

1. GENEREL DOKUMENTATION TIL DEN DATAANSVARLIGE

1.1 Databehandleren lægger følgende generelle dokumentation til den Dataansvarlige tilgængelig på xxx.xxxxxxxxxx.xxxxxxxx.xx:

Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW

a) En erklæring fra Databehandlerens ledelse om, at Databehandleren under sin behandling af personoplysninger på den Dataansvarliges vegne løbende sikrer overholdelse af sine for- pligtelser efter denne Databehandleraftale. Findes på xxx.xxxxxxxxxx.xxxxxxxx.xx under ’Materialer’ og under fanen ’Juridisk’.

b) En beskrivelse af de praktiske tiltag, herunder såvel tekniske som organisatoriske, som Da- tabehandleren har gennemført for at sikre overholdelse af sine forpligtelser efter Databe- handleraftalen. Beskrivelsen kan bl.a. omfatte en fremstilling af etablerede og implemente- rede ledelsessystemer for informationssikkerhed og for behandling af personoplysninger samt beskrivelsen af andre iværksatte tiltag. Findes på xxx.xxxxxxxxxx.xxxxxxxx.xx under ’Materialer’ og under fanen ’Juridisk’.

c) En beskrivelse af hvilke kontrolforanstaltninger Databehandleren har iværksat og gennem- ført til måling og kontrol af virkningen af det etablerede ledelsessystem for informationssik- kerhed og for behandling af personoplysninger. Findes på xxx.xxxxxxxxxx.xxxxxxxx.xx under ’Materialer’ og under fanen ’Juridisk’.

Underskrifterne i dette dokument er juridisk bindende. Dokumentet er underskrevet via Penneo™ sikker digital underskrift.

Underskrivernes identiteter er blevet registereret, og informationerne er listet herunder.

Penneo dokumentnøgle: YHH2C-BC5DD-EO1KY-50L6H-ZPP5L-QELFW

“Med min underskrift bekræfter jeg indholdet og alle datoer i dette dokument.”

Xxxx Xxxxxxx	Xxx Xxx
Direktør	Forhandler
På vegne af: Flexfone A/S	På vegne af: Pahm ApS
Serienummer: PID:9208-2002-2-057931671471	Serienummer: CVR:30561317-RID:76941881
IP: 91.133.63.185	IP: 46.32.38.14
2018-04-16 06:53:30Z	2018-04-16 10:54:50Z

Dette dokument er underskrevet digitalt via Xxxxxx.xxx. Signeringsbeviserne i dokumentet er sikret og valideret ved anvendelse af den matematiske hashværdi af det originale dokument. Dokumentet er låst for ændringer og tidsstemplet med et certifikat fra en betroet tredjepart. Alle kryptografiske signeringsbeviser er indlejret i denne PDF, i tilfælde af de skal anvendes til validering i fremtiden.

Sådan kan du sikre, at dokumentet er originalt

Dette dokument er beskyttet med et Adobe CDS certifikat. Når du åbner dokumentet

i Adobe Reader, kan du se, at dokumentet er certificeret af Penneo e-signature ser- vice <xxxxxx@xxxxxx.xxx>. Dette er din garanti for, at indholdet af dokumentet er uændret.

Du har mulighed for at efterprøve de kryptografiske signeringsbeviser indle- jret i dokumentet ved at anvende Penneos validator på følgende websted: xxxxx://xxxxxx.xxx/xxxxxxxx