VILKÅR FOR LØNPARTNERE
VILKÅR FOR LØNPARTNERE
Vilkår for Lønpartnere
Gældende fra 1. august 2021
Disse regler fastlægger rammerne for en Lønpartners brug af DataLøn til levering af lønadministration til Kundevirksomheder.
1. Definitioner
1.1 Aftalen
Lønpartners og Visma DataLøns aftale om Lønpartners brug af DataLøn, disse regler samt prisliste.
1.2 Bankdage
Alle dage undtagen lørdage, søn og helligdage, fredag efter Kr. himmelfartsdag, 5. juni samt 24. og 31. december.
1.3 DataLøn
DataLøn er et lønsystem, hvor Visma DataLøn på vegne af en Lønpartner foretager lønbehandling, herunder beregning af løn, A-skat, AM-bidrag, ATP- bidrag, feriepenge og pension samt indberetning af oplysninger til SKAT (eIndkomst).
1.4 Kundevirksomhed
En virksomhed, der har indgået aftale med Lønpartner om levering af lønadministration.
1.5 Lønpartner
En virksomhed, der erhvervsmæssigt leverer lønadministration til Kundevirksomheder.
1.6 Medarbejdere
De af Kundevirksomhedens medarbejdere, konsulenter m.v., som Lønpartner har registreret i DataLøn (hver enkelt betegnes ”Medarbejder”).
1.7 Overførselsservice
Overførselsservice er et af Nets Denmark A/S udbudt produkt, hvor Nets Denmark A/S på vegne af beløbsafsender behandler og videresender betalingsgrundlag til beløbsafsenders pengeinstitut med henblik på gennemførelse af pengeoverførsler til beløbsmodtager.
1.8 Samlet Betaling
ATP’s opkrævning af Finansieringsbidrag mm.
1.9 Visma DataLøn
Visma DataLøn og ProLøn A/S, CVR-nr. 48 11 77 16, som er det selskab, der udbyder DataLøn.
2. Lønpartners forpligtelser
2.1 Lønpartners forhold til Kundevirksomheden Lønpartner disponerer på enhver måde på Kundevirksomhedens vegne i relation til lønbehandling hos Visma DataLøn.
Lønpartner er ansvarlig for ydelser leveret til Kundevirksomheder, herunder for leverancer baseret på DataLøn.
Lønpartner forestår selv prisfastsættelse og fakturering af ydelser over for Kundevirksomheden. Lønpartners prissætning er Visma DataLøn uvedkommende.
2.2 Oprettelse
Lønpartner, herunder Lønpartners eventuelle selvstændige administrationskontorer, oprettes i DataLøn med egen identifikation.
Kundevirksomheden oprettes ligeledes i DataLøn med egen identifikation og som hørende til en Lønpartner.
2.3 Indberetning til DataLøn
Lønpartner skal indberette data elektronisk og indestå for indlevering og ægthed af data.
Lønpartner skal endvidere følge gældende vejlednings- og informationsmateriale for DataLøn. Materialet fremgår af Visma DataLøns hjemmeside/sendes til Lønpartner.
2.4 Servicering af Kundevirksomheden
Lønpartner servicerer sine tilknyttede Kundevirksomheder omkring brugen af DataLøn.
Abonnerer Kundevirksomheden på mailservice fra DataLøn, kan Visma DataLøn rette henvendelse direkte til Kundevirksomheden. Dette gælder også, såfremt Visma DataLøn udsender generel information om DataLøn.
3. Visma DataLøns forpligtelser
3.1 Lønbehandling
Visma DataLøn foretager lønbehandling, leverer outputmateriale og tilbyder serviceydelser og kurser mv. Ydelsernes indhold er beskrevet i vejledninger til DataLøn.
Som et element i lønbehandlingen danner Visma DataLøn betalingsgrundlag, der anvendes ved pengeoverførsler.
3.2 Udveksling af data
Visma DataLøn udveksler data elektronisk med tredjemand og foretager ændringer af registrerede stamoplysninger efter anmodning fra tredjemand, f.eks. SKAT og pensionsselskaber. Berørte Kundevirksomheder orienteres af tredjemand eller af Visma DataLøn.
4. Refusionsanmodninger mv.
4.1 Refusion via Visma DataLøn
Lønpartner kan anmode om, at Visma Bluegarden søger om refusion af sygedagpenge og dagpenge efter barselloven på vegne af Kundevirksomheden.
Ved anmodning herom anses Kundevirksomheden via Lønpartner at have afgivet en erhvervsfuldmagt til Visma DataLøn hertil, og dette indebærer samtidig, at Lønpartner på vegne af Kundevirksomheden har givet samtykke til, at Visma DataLøn kan indberette data til NemRefusion for Kundevirksomheden.
4.2 Indberetning til NemRefusion
Visma Bluegarden indberetter oplysninger til NemRefusion på grundlag af de data, Kundevirksomheden har indberettet til Lønpartner, og som Lønpartner herefter har videregivet til Visma Bluegarden.
Der kan alene indberettes oplysninger for medarbejdere, der er omfattet af Kundevirksomhedens aftale med Lønpartner.
Visma Bluegarden kontrollerer ved hjælp af fejlmeddelelser og kvitteringer fra NemRefusion, at indberetninger accepteres. Herudover sikrer Visma Bluegarden, at eventuelle fejl og mangler, som NemRefusion giver meddelelse om, rettes.
Indberetninger, der ikke er signeret (”kladder”), slettes fra NemRefusion 6 måneder efter sidste anvendelse uden yderligere varsel. Signerede indberetninger slettes fra NemRefusion 24 måneder efter signeringstidspunktet uden yderligere varsel.
Kundevirksomheden er ansvarlig for korrektheden af de data, der indberettes til Lønpartner til brug for indberetning til NemRefusion.
Indberetning af urigtige eller vildledende oplysninger til brug for afgørelser efter sygedagpengelov eller lov om ret til orlov og dagpenge ved barsel kan straffes efter straffeloven. Det samme gælder ved fortielse af oplysninger af betydning for sådanne afgørelser.
Den kommune, som modtager indberettede oplysninger, har adgang til Kundevirksomhedens lokaler og arbejdssteder med henblik på at kontrollere lønudbetalinger mv., som danner grundlag for beregningen af syge- og barselsdagpenge.
5. Rekvisition af CPR-oplysninger
5.1 CPR-oplysninger
Lønpartner kan rekvirere oplysninger om Medarbejderes navn og adresse i Det Centrale Personregister (CPR) på vegne af Kundevirksomheden.
5.2 Rekvisition af oplysninger
Lønpartner må alene rekvirere oplysninger i CPR om personer, som Kundevirksomheden i kraft af aftale skal udbetale løn, honorar mv. til. Behandling af de modtagne oplysninger fra CPR skal ske i overensstemmelse med den til enhver tid gældende Databeskyttelsesforordning og Databeskyttelseslov. Forsætlig eller groft uagtsom overtrædelse af disse betingelser for rekvisition af oplysninger fra CPR er strafbar.
Visma DataLøn registrerer bruger-id, tidspunkt og cpr- nummer for enhver rekvisition af oplysninger fra CPR. Visma DataLøn opbevarer disse oplysninger i 6 måneder, hvorefter de slettes. På forlangende udleverer Visma DataLøn oplysningerne til CPR.
6. Pengeoverførsler
6.1 Overførsel vedrørende lønbehandling
Overførsel af beløb finder sted via den konto i pengeinstituttet, som Lønpartner har oplyst til Visma DataLøn. Overførsler sker via Overførselsservice.
Overførsler sker i henhold til de gældende regler for henholdsvis Overførselsservice og for Kundevirksomhedens betalingskonto i Kundevirksomhedens pengeinstitut. Dette er Visma DataLøn uvedkommende.
6.2 Overførsel via Samlet Betaling
Ved tilmelding til Samlet Betaling i DataLøn, indestår Lønpartner over for Visma DataLøn for, at Kundevirksomheden har givet samtykke til, at ATP må iværksætte betalinger fra Kundevirksomheden til ATP. Overførsler til Samlet Betaling sker via Overførselsservice.
Ønsker Kundevirksomheden at framelde sig Samlet Betaling, skal Lønpartner foretage frameldelse inden
d. 1. i måneden før sidste rettidige betalingsdag.
7. Databehandling
7.1 Dataansvarlig
Kundevirksomheden er dataansvarlig og har ansvar for behandlingen af de personoplysninger, som Lønpartneren sender til Visma DataLøn med henblik på Visma DataLøns opfyldelse af Aftalen.
7.2 Databehandler
Lønpartner er databehandler, og Visma Dataløn er underdatabehandler, jf. den til enhver tid gældende Databeskyttelsesforordning og Databeskyttelseslov, og behandler udelukkende oplysninger på den dataansvarliges vegne.
Det er ikke Visma DataLøns ansvar, om der er fornøden hjemmel til at behandle de personoplysninger, Lønpartner indberetter til DataLøn.
De nærmere vilkår for Lønparteners brug af Visma DataLøn som underdatabehandler er reguleret i databehandleraftalen vedlagt som bilag 1.
8. Produktændringer i DataLøn
Visma DataLøn kan foretage produktændringer i DataLøn.
Visma DataLøn tilstræber at informere Lønpartner om ændringer af produktet med mindst 1 måneds varsel. Dog kan produktionsforhold og udefra kommende forhold som f.eks. ændret lovgivning medføre, at produktet ændres uden eller med kortere varsel.
9. Rettigheder
9.1 Rettigheder til DataLøn
Visma DataLøn har ejendomsret, ophavsret og enhver anden immateriel rettighed til DataLøn, herunder programmer, dokumentation og vejledninger, som Visma DataLøn stiller til rådighed for Lønpartner.
Inden for rammerne af Aftalen får Lønpartner en ikke- eksklusiv og ikke-overdragelig ret til at anvende DataLøn over for sine Kundevirksomheder.
9.2 Lønpartners markedsføring
Lønpartner forestår egen markedsføring. Nævnes ”DataLøn”, skal det skrives på den her viste måde.
Indeholder markedsføringsmaterialet henvisninger til Visma DataLøn eller til DataLøn, eller nærmere beskrivelser af Visma DataLøn eller DataLøn, skal materialet godkendes af Visma DataLøn inden offentliggørelse.
10. Tredjemands rettigheder
Så vidt det er Visma DataLøn bekendt, krænker Visma DataLøns ydelser ikke tredjemands immaterielle rettigheder, herunder patenter og ophavsrettigheder.
Rejser tredjemand krav, opstået som følge af at ydelsen krænker dennes rettigheder, skal den part, som kravet rejses mod, straks meddele dette skriftligt til den anden part.
Den part, der krænker tredjemands ret, skal holde den anden part skadesløs for dennes egne omkostninger, herunder udgifter til advokat og omkostninger, der måtte blive tilkendt sagsøger samt tredjemands berettigede krav.
Den part, der krænker tredjemands ret, skal afhjælpe manglen ved enten at indgå en aftale med tredjemand eller ved at ændre/erstatte sine ydelser, så Aftalen opfyldes. Hvis omkostningerne i forbindelse hermed ikke står i et rimeligt forhold til ydelsen, kan parten vælge at opsige Aftalen uden varsel.
11. Ansvar og ansvarsbegrænsning
11.1 Parternes ansvar
Hvor andet ikke fremgår af Aftalen, er parterne ansvarlige efter dansk rets almindelige regler.
Parterne fraskriver sig dog ethvert ansvar for indirekte tab og følgeskader som f.eks. produktionstab, tabt fortjeneste og rentetab.
11.2 Visma DataLøns ansvarsbegrænsning
Visma DataLøns erstatningsansvar pr. skadesbegivenhed er begrænset til det beløb, Visma DataLøn har faktureret Lønpartner og den berørte Kundevirksomhed i de forudgående 12 måneder.
Visma DataLøns erstatningsansvar over for Lønpartner kan dog maksimalt udgøre kr. 250.000 kr. pr. løbende 12 måneder.
Visma DataLøn har intet ansvar for funktionsfejl, forsinkelser eller produktionsforstyrrelser, der forårsages af forhold, som Visma DataLøn ikke har indflydelse på, eksempelvis fejl ved Lønpartners og Kundevirksomhedernes data, Lønpartners forkerte anvendelse af Visma DataLøns produkter, forhold ved anvendte IT-installationer, manglende kompatibilitet, ændringer foretaget af Lønpartner samt forstyrrelser ved datatransmission eller netværk.
Visma DataLøn har intet erstatningsansvar over for Kundevirksomheden. Retter Kundevirksomheden et erstatningskrav mod Visma Bluegarden, skal Lønpartner skadesløsholde Visma Bluegarden herfor.
12. Force Majeure
Visma DataLøn er ikke ansvarlig for skader, der skyldes force majeure, herunder lovforskrifter, myndighedsforanstaltninger eller lignende, indtruffet eller truende krig, oprør, borgerlige uroligheder, terror, sabotage, naturkatastrofer, strejker, lockout, boykot, blokade, hærværk, brand, eksplosion, svigtende energitilførsel eller andre begivenheder, der hindrer eller i væsentlig grad vanskeliggør det for Visma DataLøn at opfylde sine forpligtelser. Det påhviler Visma DataLøn at udfolde rimelige bestræbelser med henblik på at overvinde sådanne eventuelle vanskeligheder og at foretage levering, så snart forholdene tillader dette.
13. Fejl og forsinkelse
13.1 Afhjælpning
Hvis der er fejl eller forsinkelser ved levering af ydelsen, og dette skyldes Visma DataLøn, er Visma DataLøn berettiget og forpligtet til at
• afhjælpe sådanne fejl og forsinkelser, i det omfang det er praktisk muligt og kan ske uden urimelige økonomiske konsekvenser, og
• foretage omlevering af udført arbejde, hvor dette ernødvendigt.
Hvis Visma DataLøn ikke er ansvarlig for fejl eller forsinkelser, kan Visma DataLøn efter Lønpartners anmodning medvirke ved afhjælpning eller omlevering mod et rimeligt vederlag.
13.2 Reklamationsfrist
Fejl eller forsinkelser i Visma DataLøns ydelser skal meddeles Visma DataLøn senest 1 uge efter levering.
14. Fortrolighed og offentliggørelse
14.1 Fortrolighed
Parterne og deres medarbejdere har tavshedspligt vedrørende oplysninger om den anden parts forretningshemmeligheder og forretningsforbindelser samt andre fortrolige forhold, som parterne får kendskab til ved Aftalens opfyldelse.
14.2 Offentliggørelse
Fortrolige oplysninger fra den anden part må kun anvendes og opbevares som led i Aftalens opfyldelse. Opbevaring og anvendelse skal ske på forsvarlig måde og med mindst samme omhu, som den part, der modtager oplysningerne, anvender på sine egne fortrolige oplysninger.
15. Underleverandører
15.1 Brug af underleverandører
Visma DataLøn kan anvende underleverandører. Underleverandører er underlagt samme tavshedspligt som anført i pkt. 14.1.
15.2 Hæftelse for underleverandører
Visma DataLøn hæfter for underleverandørers ydelser på samme måde som for egne ydelser. Visma DataLøn påtager sig intet ansvar for tredjemands standardprogrammel, som indgår i Visma DataLøns leverance.
16. Priser og betaling
16.1 Betaling til Visma DataLøn
Visma DataLøn fakturerer Lønpartner for Visma DataLøns ydelser i henhold til den til enhver tid gældende prisliste, jf. dog punkt 16.2. Priserne er angivet ekskl. moms.
Betaling sker ved, at Visma DataLøn debiterer Lønpartners konto i Lønpartners pengeinstitut.
Visma DataLøns fakturering dækker også Kundevirksomhedernes brug af Overførselsservice i relation til DataLøn. Eventuel opkrævning fra Kundevirksomhedens pengeinstitut vedrørende brug af Kundevirksomhedens betalingskonto er Visma DataLøn uvedkommende.
16.2 Kundevirksomhedens betaling
Lønpartner kan vælge, at Visma DataLøn skal fakturere Kundevirksomheden for visse ydelser fra DataLøn, Er dette tilfældet, debiterer Visma DataLøn Kundevirksomhedens konto i Kundevirksomhedens pengeinstitut direkte. Endelig afregning over for Kundevirksomheden sker i henhold til aftalen mellem Lønpartner og Kundevirksomheden.
Lønpartner indestår for dækning af Kundevirksomhedens betaling til Visma DataLøn. Er der ikke dækning for et beløb på Kundevirksomhedens
konto, kan Visma DataLøn debitere beløbet på Lønpartners konto.
17. Aftaleændringer
Visma DataLøn kan ændre Aftalen, herunder priser, med 1 måneds skriftligt varsel. Dette gælder dog ikke, hvis myndighedskrav, sikkerhedshensyn eller lignende forhold nødvendiggør et kortere varsel. Meddelelser, herunder ændringer af priser, kan varsles ved brev eller elektronisk, f.eks. via e-mail eller indbakkebesked.
18. Opsigelse og ophævelse
18.1 Parternes opsigelsesfrist
Lønpartner kan opsige Aftalen skriftligt med 1 måneds forudgående varsel til den 1. i en måned. Visma DataLøn kan opsige Aftalen ved et skriftligt varsel på 3 måneder til den 1. i en måned.
18.2 Opsigelse af Kundevirksomheden
Lønpartners egen opsigelsesfrist i forhold til Kundevirksomheden må ikke overstige Visma DataLøns opsigelsesfrist i henhold til punkt 18.1.
18.3 Ophævelse
En part kan hæve Aftalen uden varsel, hvis
a) den anden part væsentligt misligholder Aftalen,
b) den første part skriftligt har fremsat påkrav om afhjælpning af misligholdelsen, og
c) den anden part ikke har påbegyndt afhjælpningen senest 7 Bankdage efter modtagelse af påkravet.
Hvis Visma DataLøn hæver Aftalen, har Visma DataLøn krav på betaling for det udførte arbejde.
18.4 Konsekvenser af opsigelse og ophævelse
Hvis Aftalen mellem parterne opsiges eller ophæves, kan en Kundevirksomhed, der anvender DataLøn via Lønpartner, ikke anvende DataLøn i henhold til den hidtidige registrering, men må selvstændig indgå aftale med Visma DataLøn om brug af DataLøn.
Det samme gør sig gældende, hvis aftalen mellem Løn- partner og en Kundevirksomhed opsiges eller ophæves.
18.5 Udestående ydelser
Selv om Aftalen er ophørt, gælder den stadig for forpligtelser, der skal opfyldes i op til 6 måneder efter, at Aftalen er ophørt.
Disse ydelser leveres i henhold til Aftalen og på Aftalens vilkår.
Ophører Aftalen som følge af konkurs, gennemføres de ydelser, der er udestående, ikke.
19. Overdragelse
Visma XxxxXxx har ret til at overdrage sine rettigheder og forpligtelser ifølge Aftalen til et andet selskab i Visma DataLøn-koncernen uden Lønpartners samtykke.
Herudover kan ingen af parterne uden den anden parts skriftlige samtykke overdrage sine rettigheder og forpligtelser ifølge Xxxxxxx til tredjemand.
20. Lovvalg og værneting
Aftalen er undergivet dansk ret. Eventuelle uoverensstemmelser mellem parterne, som ikke kan løses ved forhandling, kan indbringes for de ordinære domstole med Visma DataLøns hjemting som værneting.
Bilag 1 Databehandleraftale
1. Indledning
Som en del af parternes Aftale, gælder følgende Databehandleraftale mellem Underdatabehandleren, Vis-ma Dataløn A/S og Databehandleren, Lønpartner, med mindre andet er udtrykkeligt specificeret i andre aftaler mellem parterne.
Formålet med Databehandleraftalen er at regulere, hvordan og til hvilket formål Underdatabehandleren skal behandle Personoplysninger på vegne af Databehandleren samt at sikre, at den Dataansvarliges Personoplysninger behandles i henhold til Databehandlerens retningslinjer og instrukser samt gældende databeskyttelseslovgivning.
Kategorier af Registrerede og Personoplysninger, der behandles, fremgår af underbilag A.
2. Definitioner
Kundevirksomheden er dataansvarlig (herefter kaldet den Dataansvarlige), Lønpartner er databehandler (herefter kaldet Databehandler), og Visma DataLøn er underdatabehandler (herefter kaldet Underdatabehandler).
Personoplysninger, kategorier af Særlige Personoplysninger persondata), (Følsomme Behandling af personoplysninger, den Registrerede, den Dataansvarlige, Databehandler og Underdatabehandler skal have den betydning, som følger af gældende lovgivning om behandling af personoplysninger, herunder Databeskyttelsesforordningen (GDPR).
3. Den Dataansvarliges forpligtelser
Den Dataansvarlige har ansvaret for, at Behandlingen af Personoplysninger lever op til kravene i Databeskyttelsesforordningen og Databeskyttelsesloven.
Den Dataansvarlige er ved brug af de tjenester, som Databehandler stiller til rådighed i henhold til aftalen, forpligtet til at behandle Personoplysninger i overensstemmelse med bestemmelserne i gældende lovgivning om behandling af personoplysninger.
Den Dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som Databehandleren instrueres i at foretage.
4. Databehandlerens forpligtelser
Databehandler er ved brug af de tjenester, som Underdatabehandler stiller til rådighed i henhold til Aftalen, forpligtet til at behandle Personoplysninger i overensstemmelse med bestemmelserne i gældende lovgivning om behandling af personoplysninger.
Databehandler er endvidere ansvarlig for, at den Dataansvarliges Personoplysninger behandles i henhold til retningslinjer og instrukser fra den Dataansvarlige.
5. Underdatabehandlerens forpligtelser
Underdatabehandleren behandler udelukkende Personoplysninger på vegne af og på baggrund af instrukser fra Databehandleren. Databehandling skal ske på følgende måde:
• Alene i overensstemmelse med gældende lovgivning,
• For at opfylde alle forpligtelser i henhold til Aftalen,
• Som nærmere angivet gennem Databehandlerens almindelige brug af Underdatabehandlerens tjenester,
• Som angivet i denne Databehandleraftale.
Underdatabehandler underretter omgående Databehandleren, hvis en instruks efter Underdatabehandlerens mening er i strid med Databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
Underdatabehandler skal sikre, at Personoplysningerne er underlagt fortrolighed, integritet og tilgængelighed i henhold til gældende lovgivning om behandling af personoplysninger.
Underdatabehandler og dennes medarbejdere skal sikre fortrolighed vedrørende de behandlede Personoplysninger. Denne bestemmelse gælder også efter Aftalens ophør.
Underdatabehandler sikrer, at de personer, der er autoriseret til at behandle Personoplysninger på vegne af Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Underdatabehandler skal bistå Databehandler med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt, for opfyldelse af Databehandlerens forpligtelser til at bistå ved besvarelse af anmodninger fra Registrerede og om generel udøvelse af Registreredes rettigheder i henhold til Databeskyttelsesforordningens Kapitel 3 og Artikel 32 til 36.
Underdatabehandler giver, uden unødig forsinkelse, meddelelse til Databehandler om hændelser, som Databehandler i henhold til lovgivningen, er forpligtet til at meddele til den Dataansvarlige, Datatilsynet eller Registrerede.
Desuden giver Underdatabehandler, i det omfang det er hensigtsmæssigt og lovligt, Databehandler meddelelse om:
• Anmodninger om videregivelse af Personoplysninger modtaget fra en Registreret.
• Anmodninger om videregivelse af Personoplysninger fra offentlige myndigheder, såsom politiet.
Underdatabehandleren besvarer ikke direkte henvendelser fra Registrerede, medmindre der via Databehandler foreligger samtykke fra den Dataansvarlige. Underdatabehandleren videregiver ikke Personoplysninger til offentlige myndigheder, såsom politiet, medmindre der foreligger lovligt grundlag.
Underdatabehandleren har ikke ejerskab til, eller kontrol med, hvorvidt og hvordan Databehandler vælger at benytte sig af eventuel tredjeparts integrationer via Underdatabehandler API, via direkte databasekobling eller lignende. Ansvaret for sådanne integrationer med tredjepart påhviler udelukkende Databehandler.
6. Sikkerhed
Underdatabehandler skal indføre systematiske, organisatoriske og tekniske foranstaltninger til sikring af et passende sikkerhedsniveau under hensyntagen til teknologien og omkostningerne til indførelse i forhold til de risici, som behandlingen indebærer, samt arten af de Personoplysninger der skal beskyttes.
Underdatabehandler er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og tjenester. Underdatabehandler yder dette sikkerhedsniveau gennem organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger i henhold til kravene til informationssikkerhedsforanstaltninger, som fremgår af Databeskyttelsesforordningens Artikel 32.
Desuden har de interne rammer for beskyttelse af Personoplysninger, som er udarbejdet af Visma- koncernen, til formål at sikre fortroligheden, integriteten, sikkerheden og tilgængeligheden af Personoplysninger. Følgende foranstaltninger har særlig betydning i denne forbindelse:
• Klassificering af Personoplysninger for at sikreiværksættelse af sikkerhedsforanstaltninger svarende til risikovurderinger.
• Vurdering af brug af kryptering og anonymisering som risikobegrænsende foranstaltninger.
• Begrænsning af tilgang til Personoplysninger til dem, som har brug for adgang til opfyldelse af forpligtelser i henhold til Aftalen.
• Kontrolsystemer, der registrerer, genopretter, forebygger og rapporterer brud i forbindelse med behandling af Personoplysninger.
• Sikkerhedsprocedurer som angivet i underbilag C.
Hvis Databehandler anmoder om oplysninger om sikkerhedsforanstaltninger, dokumentation eller andre former for oplysninger omkring, hvordan Underdatabehandler behandler Personoplysninger, og sådanne overskrider de standardoplysninger, som Underdatabehandler har stillet til rådighed for opfyldelse af gældende lovgivning om behandling af Personoplysninger som Underdatabehandler, og dette medfører arbejde for ekstra Underdatabehandler, Underdatabehandler er berettiget til at opkræve Databehandler betaling for sådanne ekstra arbejder.
Underdatabehandler underretter uden unødig forsinkelse Databehandler efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Underdatabehandler eller en eventuel under-underdatabehandler.
7. Kontrol
Databehandler kan foretage kontrol for at påse, at Underdatabehandler overholder denne Databehandleraftale, op til 1 gang om året.
Hvis det er et lovkrav gældende for den Dataansvarlige eller Databehandler, kan Databehandler anmode om hyppigere kontrol.
For at anmode om at foretage en kontrol skal Data- behandler fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til Underdatabehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen.
Hvis tredjeparter skal foretage kontrollen, skal det som hovedregel aftales mellem parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver Databehandler Underdatabehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter Underdatabehandlers valg.
Hvis det anmodede kontrolomfang er behandlet i ISAE, ISO eller lignende sikkerhedsrapport, varetaget af en kvalificeret tredjepartskontrollant inden for de sidste 12 måneder, og Underdatabehandler bekræfter, at der ikke er foretaget nogle væsentlige ændringer i de kontrollerede foranstaltninger, bekræfter Databehandler, at sådanne resultater accepteres i stedet for at anmode om en ny kontrol af de foranstaltninger, der er omfattet af rapporten.
I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i medfør af Underdatabehandlers politikker og må ikke på
urimelig måde gribe forstyrrende ind i Underdatabehandlers forretningsdrift.
Databehandler afholder alle omkostninger i forbindelse med Databehandlers anmodede kontroller.
Ligeledes fakturerer Underdatabehandler Databehandler for bistand, som overstiger den standardydelse, som Underdatabehandler eller Visma- koncernen stiller til rådighed for opfyldelse af gældende lovgivning om behandling af personoplysninger.
8. Brug af underdatabehandlere og overførsel af data
Som en del af leveringen af tjenester til Databehandler har Underdatabehandler Databehandlers generelle tilladelse til at gøre brug af under- underdatabehandlere. Disse under- underdatabehandlere kan være andre selskaber i Visma-koncernen eller eksterne tredjepartsleverandører.
Underdatabehandler skal sikre, at under- underdatabehandlere pålægges de samme forpligtelser, som fastsat i denne Databehandleraftale. Enhver brug af under-underdatabehandlere er underlagt Visma-koncernens Privacy Statement.
Databehandler har ret til at anmode om at få et overblik over under-underdatabehandlere, der aktuelt gøres brug af, med adgang til Personoplysninger, som angivet i underbilag B. Desuden har Databehandler ret til at anmode om at få fuldt overblik og mere detaljerede oplysninger om disse under- underdatabehandlere.
Databehandler skal på forhånd underrettes om eventuel udskiftning af under-underdatabehandlere, som behandler Personoplysninger. Databehandler kan gøre indsigelse mod ændringerne, såfremt Databehandler har rimelige, konkrete årsager hertil.
Underdatabehandler må ikke lade behandling af Personoplysninger foregå uden for EU/EØS uden Databehandlers samtykke.
Såfremt Databehandler giver samtykke til, at Underdatabehandleren foretager behandling af Personoplysninger uden for EU/EØS, fremgår dette af underbilag B. Underdatabehandler skal sikre et korrekt juridisk grundlag for overførsel af Personoplysninger uden for EU/EØS på vegne af Databehandler, herunder ved indgåelse af EU- kommissionens Standardkontrakt eller overførsel af Personoplysninger i henhold til Privacy Shield.
9. Varighed og ophør
Denne Databehandleraftale er gældende, så længe Underdatabehandler behandler Personoplysninger på
vegne af Databehandler i henhold til Aftalen. Databehandleraftalen ophører automatisk ved opsigelse af Aftalen.
Ved Aftalens ophør sletter, returnerer eller opbevarer Underdatabehandler, de på vegne af Databehandler behandlede Personoplysninger efter aftale med Databehandler.
Medmindre andet er skriftligt aftalt, tager omkostninger til sådanne foranstaltninger udgangspunkt i:
• Timetakst for den tid Underdatabehandler har brugt, og
• Sværhedsgraden af den anmodede behandling.
Underdatabehandler kan tilbageholde Personoplysninger efter opsigelse af Aftalen i det omfang, det er påkrævet ved lov, som er underlagt samme tekniske og organisatoriske sikkerhedsforanstaltninger, som fremgår af denne Databehandleraftale.
10. Ændringer og tilføjelser
Ændringer til dette bilag skal udfærdiges i et nyt bilag til Aftalen.
Hvis nogen bestemmelse i denne Databehandleraftale bliver ugyldig, påvirker dette ikke gyldigheden af de øvrige bestemmelser. Parterne skal erstatte den ugyldige bestemmelse med en lovlig bestemmelse, der afspejler formålet med den ugyldige bestemmelse.
11. Ansvar
Ansvaret for brud på bestemmelserne i denne Databehandleraftale reguleres af ansvarsbestemmelserne i Regler for Lønpartners brug af Dataløn. Dette gælder også for eventuelle brud begået af Underdatabehandlers underdatabehandlere.
Underbilag A Kategorier af Persondata og Registrerede
1) Kategorier af Registrerede og Persondata, der er underlagt behandling, i henhold til nærværende Aftale
a) Kategorier af registrerede
i. Lønpartners slutbrugere
ii. Lønpartners kontaktpersoner
iii. Kundevirksomhedens medarbejdere
b) Kategorier af personoplysninger
i. Kontaktoplysninger som navn, adresse, mail, telefon
ii. CPR-nr.
iii. Stillingskategori, oplysninger om løn, arbejdstid, fravær, pension, skat, bankkonto
iv. evt. øvrige personoplysninger, der er nødvendige for, at den Dataansvarlige kan administrere ansættelsesforholdet.
c) Behandlingsaktiviteter
Underdatabehandleren varetager via it-systemer håndteringen af Databehandlers lønadministration for den Dataansvarlige, udarbejdelse af lønsedler, opbevaring og lagring af Personoplysninger om Databehandlers brugere og kontaktpersoner, den Dataansvarlige og den Dataansvarliges medarbejdere, rapportering og overførsel af information til Databehandler, den Dataansvarlige, Nets Denmark A/S, pengeinstitutter, pensionsselskaber, evt. pligtige rapporteringer i arbejdsgiverforeninger, offentlige styrelser (SKAT, statistik m.m.).
Herudover forestår Underdatabehandleren drift, test, vedligeholdelse, udvikling samt fejlretning af systemer og applikationer.
2) Typer af følsomme persondata, der er underlagt behandling, i henhold til Aftalen
Databehandler skal give Underdatabehandler meddelelse om, og angive nedenfor, eventuelle typer Følsomme persondata i henhold til gældende lovgivning om Behandling af personoplysninger
Underdatabehandler skal på vegne af Databehandler behandle oplysninger om: | Ja | Nej |
Race eller etnisk, politisk, filosofisk eller religiøs overbevisning | X | |
At en person er mistænkt, sigtet eller dømt for en forbrydelse | X | |
Helbredsoplysninger | X | |
Seksuel orientering | X | |
Medlemskab af fagforening | X | |
Genetiske eller biometriske data | X |
Underbilag B Oversigt over aktuelle under-underdatabehandlere
Databehandlers aktuelle underdatabehandlere, der kan få adgang til den Dataansvarliges Personoplysninger, omfatter:
Navn | CVR-nr. | Sted/land | Juridisk overdragelses- mekanisme, hvis under- databehandleren har adgang til personoplysninger fra lande uden for EU | Bistår underdata- behandleren med |
Nets Denmark A/X Xxxxxxxxxxxx 00 0000 Xxxxxxxx | 00000000 | Xxxxxxx | Ikke relevant | Datalagring Lønkørsler |
e-Boks A/S Xxxx Xxxxxxxxxx Alle 7, 1. 2900 Hellerup | 25674154 | Danmark | Ikke relevant | Elektronisk post |
PostNord Strålfors A/X Xxxxxxxxxxxxx 00 0000 Xxxxxxxxx X | 00000000 | Xxxxxxx | Ikke relevant | Printopgaver |
Atea A/X Xxxxxxxxxxx 0 0000 Xxxxxxxx | 25511484 | Danmark | Ikke relevant | Datalagring |
Visma Raet B.V. Xxxxxxxxxx 00, 0000 XX, Xxxxx- xxxxx, XXXXXXX Xxxxxxxxxxx | Holland | Ikke relevant | Datalagring, E-arkiv | |
NetNordic Enterprise Communications A/S Lyskær 1 2730 Herlev | 29797056 | Danmark | Ikke relevant | Datalagring, telefonsamtaler |
Visma ITC AS Karenlyst alle 56 0277 Oslo | Norge | Ikke relevant | Infrastruktur | |
Google LLC 0000 Xxxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxx, XX 00000 XXX | Irland | Ikke relevant | Datalagring, kundesager og informationsdeling | |
OnlineCity ApS Xxxxxxxxxxxxx 00 0000 Xxxxxx X | 00000000 | Xxxxxxx | Ikke relevant | Udsendelse af sms i forbindelse med log-on |
Cim Mobility Xxxxxxxxx 00 0000 Xxxxxx | 00000000 | Xxxxxxx | Ikke relevant | Udsendelse af sms i forbindelse med log-on |
Microsoft Azure, Microsoft Ireland Operations Ltd. Atrium Xxxxxxxx Xxxxx X, Xxxxxxxxxx Xxxx, Xxxxxxxxx Xx- xxxxxxxx Xxxxxx, Xxxxxx 00, Ire- land | Irland | Ikke relevant | Datalagring Lønkørsler | |
BtB Consult ApS Xxxxx Xxxxxx 00 0000 Xxxxx | 00000000 | Xxxxxxx | Ikke relevant | Sagsbehandling mv. i forbindelse med Databehandlers levering af lønadministration og kundesupport |
xxxxx Xxx og HR ApS Gl. Xxxxxxxx 00 X 0000 Xxxxxx | 00000000 | Xxxxxxx | Ikke relevant | Sagsbehandling mv. i forbindelse med Databehandlers levering af lønadministration og kundesupport |
Underbilag C Underdatabehandlerens sikkerhedsprocedurer
Sikkerhedsprocedurer
Informationssikkerheden i Visma Dataløn er baseret på standarden ISO / IEC 27001: 2013 Informationsteknologi – Sikkerhedsteknikker.
Standarden indeholder Statement of Applicability (SOA), som er en del af Visma Dataløn Information Security Management System (ISMS). SOA udgør politikker, procedurer, processer, organisatoriske beslutningsprocesser og aktiviteter inden for følgende informationssikkerhedskontrolområder i Visma DataLøn:
• Organisering af informationssikkerhed
• Personalesikkerhed
• Styring af aktiver
• Adgangsstyring
• Kryptografi
• Fysisk sikring og miljøsikring
• Driftssikkerhed
• Kommunikationssikkerhed
• Anskaffelse, udvikling og vedligeholdelse af systemer
• Leverandørforhold
• Styring af informationssikkerhedsbrud
• Informationssikkerhedsaspekter ved nødberedskabs- og reetableringsstyring
• Compliance
Informationssikkerhed
Visma Dataløn har implementeret politikker, kontroller og processer, som dækker de nedenfor beskrevne informationssikkerhedsområder:
• Fortrolighed
Sikre at uautoriserede personer ikke kan få adgang til data, som kan misbruges til skade for Visma DataLøns kunder, forretningsforbindelser og ansatte.
• Integritet
Sikre at systemer indeholder akkurat og komplet information.
• Tilgængelighed
Sikre at relevant information og relevante systemer er tilgængelige og stabile.
Styring af informationssikkerhed
Styring af informationssikkerhed i Visma Dataløn er baseret på ISO 27005 Informationsteknologi Sikkerhedsteknikker Risikostyring af informationssikkerhed.
Informationssikkerhed, Organisation
Visma Dataløn har etableret et ledelsesrammeværk til initiering og styring af implementering samt drift af informationssikkerhed.
Personalesikkerhed
Visma Dataløn har sikret, at medarbejdere og aftaleparter har forstået deres ansvar og er kompetente til at varetage deres roller.
Asset management
Visma Dataløn har identificeret organisatoriske aktiver og defineret passende beskyttelse.
Adgangsstyring
Visma Dataløn har via godkendelsesog autorisationsprocesser sikret, at det kun er muligt at opnå en arbejdsrelateret adgang til informationsog informationsbehandlingsfaciliteter.
Kryptografi
Visma Dataløn har sikret en korrekt og effektiv brug af kryptografi for at beskytte fortrolighed, autenticiteten og integriteten af information.
Fysisk sikring og miljøsikring
Visma Dataløn forhindrer uautoriseret fysisk adgang, skade og forstyrrelse i virksomhedens informationer og databehandlingslokationer.
Driftsikkerhed
Visma Dataløn har sikret korrekt og sikker drift gennem dokumenterede procedurer og processer.
Kommunikationssikkerhed
Visma Dataløn har sikret beskyttelse af information på netværk og databehandlingslokationer.
Anskaffelse, udvikling og vedligeholdelse af systemer
Al ekstern erhvervelse eller forbedring/fornyelse af informationssystemer, tjenester og komponenter i Visma Dataløn er centralt evalueret og godkendt for at sikre compliance.
Politik til udvikling og vedligeholdelse af services er etableret og anvendes til udviklingen i organisationen.
Leverandørforhold
Visma Dataløn har sikret beskyttelse af virksomhedens aktiver, der er tilgængelige for leverandører, herunder regelmæssig overvågning og revision af leverandørleverancer.
Styring af informationssikkerhedsbrud
Visma Dataløn har en konsekvent og effektiv tilgang til styring af informationssikkerhedshændelser, herunder kommunikation om sikkerhedshændelser og svagheder.
Informationssikkerhedsaspekter ved nødberedskabs- og reetableringsstyring
Visma DataLøn sikrer kontinuitet og rettidig genopretning af forretningskritiske processer og systemer i tilfælde af en kritisk situation og sikrer, at kritiske processer virker på et hensigtsmæssigt niveau.
Compliance
Visma Dataløn har implementeret procedurer for at undgå brud på juridiske, lovmæssige eller kontraktlige forpligtelser i forbindelse med informationssikkerhed og eventuelle sikkerhedskrav