DATABEHANDLERAFTALE
DATABEHANDLERAFTALE
1. Parterne
Q8 AB (556027-3244), herefter Q8, og Q8 kunden, herefter Dataansvarlig, indgår en aftale (’Tjenesteydelseskontrakt’) som fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
Q8 og den Dataansvarlige kaldes herefter hver for sig en ’Part’ eller til sammen ’Parterne’.
2. Baggrund
Denne Databehandleraftale (Samhandelsaftalen’Databehandleraftalen’) fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige. Denne behandliong sker for at Q8 og den Dataansvarlige kan opfyldes deres forpligtelser i henhold til den indgåede ”Samhandelsaftale”)
Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale
Parterne indgår med denne aftaler vedrørende (’Tjenesteydelseskontrakt’) en aftale. I forbindelse med udførelse af Samhandelsaftalen vil Q8 behandle personoplysninger på vegne af den Dataansvarlige og dermed være databehandler.
Denne aftale med tilhørende specifikationer (til sammen ’Databehandleraftalen’) er et bilag eller en tillægsaftale til Samhandelsaftalen og udgør aftalen mellem den dataansvarlige og databehandleren, der er omfattet af Gældende databeskyttelseslovgivning (som defineret herunder).
3. Definitioner
Begreber, der defineres juridisk i den Gældende databeskyttelseslovgivning, såsom ’dataansvarlig’, ’databehandler’, ’personoplysninger’, ’behandling’, ’registreret’ og ’tilsynsmyndighed’, skal fortolkes og anvendes i overensstemmelse med Gældende databeskyttelseslovgivning, når de angives med lille begyndelsesbogstav.
Derudover gælder uden begrænsning af ovenstående og ud over de begreber, der er defineret herover, at følgende definitioner skal have nedenstående betydning, når de angives med stort begyndelsesbogstav:
’Omfattede personoplysninger’ | Personoplysninger, der overføres til, opbevares af eller på anden vis behandles af Q8 på vegne af den Dataansvarlige Samhandelsaftalensom angivet i bilag til denne Databehandleraftale. |
’Specifikationen’ | Henviser til bilag til nærværende Databehandleraftale, hvor Q8’s behandling af personoplysninger beskrives nærmere. |
’Gældende databeskyttelseslovgivning’ | Henviser til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af oplysninger, om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse, ’GDPR’) samt gældende svensk databeskyttelseslovgivning. |
4. Aftaledokument og anvendelighed
Databehandleraftalen består af dette hoveddokument og Specifikationen. Hvis der opstår konflikt eller uoverensstemmelse mellem Databehandleraftalen og Samhandelsaftalen, skal bestemmelserne i Databehandleraftalen være gældende.
5. Behandling og instruktioner
Q8 må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Q8 er underlagt. Denne instruks skal være specificeret i bilag til denne Databehandleraftale.
Q8 forpligter sig til at behandle de Omfattede personoplysninger i henhold til Databehandleraftalen, Samhandelsaftalen og den Dataansvarliges skriftlige instruktioner.
Den Dataansvarlige har ansvar for, at behandling af de Omfattede personoplysninger, der skal udføres i henhold til Databehandleraftalen, opfylder Gældende databeskyttelseslovgivning, herunder, men ikke begrænset til, at påkrævet information gives til den registrerede, og at retsgrundlaget er dokumenteret for alle behandlinger. Desuden forpligter den enkelte Part sig til at overholde Gældende databeskyttelseslovgivning i det omfang, at denne lovgivning finder anvendelse for Partens forpligtelser i henhold til Samhandelsaftalen.
Den Dataansvarlige skal instruere Q8 skriftligt i henhold til Gældende databeskyttelseslovgivning vedrørende Q8’s behandling af de Omfattede personoplysninger.
Databehandleraftalen og Samhandelsaftalen indeholder udtømmende instruktioner fra den Dataansvarlige til Q8. Hvis den Dataansvarlige giver nye eller ændrede instrukser i aftaleperioden, og disse instrukser medfører yderligere omkostninger for Q8, skal den Dataansvarlige holde Q8 skadesløs over for alle disse omkostninger.
Hvis den Dataansvarliges instruktioner efter Q8’s mening er i strid med Gældende databeskyttelseslovgivning, skal Q8 uden unødig forsinkelse underrette den Dataansvarlige og afvente yderligere instrukser fra den Dataansvarlige.
6. Fornødne tekniske og organisatoriske garantier
Q8 forpligter sig til at træffe de fornødne tekniske og organisatoriske garantier, der skal til for at opnå et sikkerhedsniveau, som er passende i forhold til de risici, der er forbundet med behandlingen af de Omfattede personoplysninger. Q8 skal derved tage hensyn til den seneste udvikling, gennemførelsesomkostningerne samt arten, omfanget, sammenhængen og formålet med behandlingen samt risiciene, af varierende sandsynlighed og alvor, for de Registreredes rettigheder og frihedsrettigheder.
De tekniske og organisatoriske ganratier som Q8 som minumum skal opfylde er angivet i bilag til denne Databehandleraftale.
Q8 skal følge tilsynsmyndighedens beslutning om foranstaltninger til opfyldelse af sikkerhedskrav i henhold til Gældende databeskyttelseslovgivning.
7. Overførsel af personoplysninger uden for EU/EØS
Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af Q8 på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
Q8 kan overføre de Omfattede personoplysninger til steder uden for EU/EØS- området, hvis og i det omfang, hvis dette er anført i Instruksen i bilaget til denne Databehandleraftale eller på anden vis er aftalt skriftligt.
8. Oplysningspligt osv.
Q8 skal i forhold til de omfattede personoplysninger og i betragtning af behandlingens beskaffenhed bistå den Dataansvarlige gennem fornødne tekniske og organisatoriske garantier i den udstrækning, det er muligt, så den Dataansvarlige kan opfylde sin forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder i henhold til Gældende databeskyttelseslovgivning.
Q8 skal bistå den Dataansvarlige med i forhold til de Omfattede personoplysninger og under hensyntagen til typen af behandling samt de oplysninger, Q8 har til rådighed, at sikre, at forpligtelserne i henhold til artikel 32-36 i GDPR opfyldes.
I henhold til den Dataansvarliges instrukser skal Q8 slette eller returnere de Omfattede personoplysninger til den Dataansvarlige, efter at behandlingen af de Omfattede personoplysninger er afsluttet, og slette eksisterende kopier af de Omfattede personoplysninger, hvis opbevaring af personoplysningerne ikke længere er nødvendig eller aftalt.
Q8 skal give den Dataansvarlige adgang til alle de oplysninger, der er nødvendige for, at den Dataansvarlige kan påvise, at de forpligtelser, der er fastsat i artikel 28 i GDPR, er opfyldt.
Q8 skal muliggøre og bidrage til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller af en anden revisor, der er bemyndiget af den Dataansvarlige.
Q8 underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden. Q8’s underretning til den Dataansvarlige skal om muligt ske senest 36 efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33. Q8 skal bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente
tilsynsmyndighed. Det betyder, at Q8 skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed.
9. Kontakt til registrerede og tilsynsmyndighed
Hvis en registreret, en tilsynsmyndighed eller en anden tredjepart anmoder om oplysninger fra Q8 vedrørende behandling af de Omfattede personoplysninger, skal Q8 uden unødig forsinkelse henvise sådanne anmodninger til den Dataansvarlige og afvente instrukser i henhold til punkt 5.3 herover.
10. Underleverandør
Den Dataansvarlige giver hermed Q8 generel forhåndstilladelse i henhold til artikel 28, stk. 2, i GDPR til på den Dataansvarliges vegne at anvende underleverandører til behandling af de Omfattede personoplysninger.
Databehandleraftaler, der indgås med sådanne underleverandører, skal pålægge underleverandøren de samme forpligtelser, som Q8 har i henhold til Databehandleraftalen.
Q8 skal informere den Dataansvarlige om eventuelle planer om at anvende nye underleverandører og om udskiftning af underleverandører, der behandler de Omfattede personoplysninger. Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 1 måneds varsel og den dataansvarlige skal dermed have mulighed for at gøre indsigelse mod sådanne ændringer.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen. Hvis underleverandøren ikke overholder sine forpligtelser hvad angår databeskyttelse, skal Q8 være fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underleverandørens forpligtelser.
11. Fortrolighed
Ud over den tavshedspligt, der følger af Samhandelsaftalen, forpligter Parterne sig til ikke at videregive de Omfattede personoplysninger eller andre oplysninger, der fremkommer i henhold til Databehandleraftalen, til tredjemand (’Fortrolige oplysninger’), medmindre en sådan forpligtelse foreligger i henhold til Gældende databeskyttelseslovgivning eller er instrueret af den Dataansvarlige. Parten forpligter sig derudover til, hverken direkte eller indirekte, på egne eller andres vegne, at anvende Fortrolige oplysninger til andre formål end opfyldelse af sine forpligtelser i henhold til Gældende databeskyttelseslovgivning eller Databehandleraftalen.
Q8 skal sikre, at personer med beføjelser til at behandle de Omfattede personoplysninger har forpligtet sig til at overholde tavshedspligten eller er omfattet af fornøden lovbestemt tavshedspligt.
12. Ansvar
Q8’s ansvar i henhold til Databehandleraftalen omfatter ikke indirekte skader, følgeskader eller tredjeparts skader, medmindre andet følger i henhold til Gældende databeskyttelseslovgivning.
Q8’s ansvar for direkte skader i henhold til Databehandleraftalen skal være begrænset i henhold til aftalesummen for Samhandelsaftalen, dog minimum DKK
500.000. Som direkte skade skal anses den skadeserstatning og de administrative
bøder (herunder rimelige advokatsalærer), Parten pålægges at betale i en endelig dom afsagt ved en højeste instans.
Ansvarsbegrænsningerne herover gælder ikke i tilfælde af grov uagtsomhed eller forsætlig handling eller undladelse.
13. Aftaleperioden og aftalens ophør
Databehandleraftalen er gældende fra dens underskrift, og så længe Q8 behandler de Omfattede personoplysninger.
Ved ophør af Q8’s behandling af de Omfattede personoplysninger skal Q8 i henhold til den Dataansvarliges instrukser enten (i) overføre alle de Omfattede personoplysninger til den Dataansvarlige eller (ii) slette de Omfattede personoplysninger permanent.
14. Andet
Tilføjelser til og ændringer af Databehandleraftalen skal for at være gyldige ske skriftligt og være underskrevet af begge Parter.
Ingen af Parterne har ret til helt eller delvist at overdrage forpligtelser eller rettigheder i henhold til Databehandleraftalen til tredjepart.
15. Gældende lov og tvistløsning
Databehandleraftalen og enhver behandling af de Omfattede personoplysninger, der sker i henhold til Databehandleraftalen, er underlagt dansk lov med undtagelse af gældende lovvalgsregler. Tvister vedrørende fortolkningen eller anvendelsen af Databehandleraftalen skal afgøres efter dansk ret med Københavns Byret som værneting.Samhandelsaftalen
****
BILAG TIL DATABEHANDLERAFTALE – SPECIFIKATION
1. Instruks
Behandlingens genstand/instruks
2. Omfattede personoplysninger
Angiv de personoplysninger, der behandles: | |||||
☒ | Navn | ☒ | Adresse | ☒ | Telefonnummer |
☒ | E-mailadresse | ☒ | Personnummer | ☐ | Foto |
☐ | Kopi af ID-kort | ☐ | Kreditkortoplysninger | ||
Øvrige personoplysninger, der behandles: | |||||
Behandles der følsomme personoplysninger (særskilte kategorier af oplysninger)? | |||
☐ | Ja | ☒ | Nej |
Hvis ja, hvilke oplysninger? | |||
3. Kategorier af registrerede
a) Xxxxxx, der har anøsgt om eller er tildelt et gyldigt Q8 kort og deres medarbejdere.
4. Behandlingens varighed
5. Databehandleraftalen
Bruger Q8 underdatabehandlere til behandling af personoplysninger? | |||||
☒ | Ja | ☐ | Nej | ||
Hvis ja, anfør den part/de parter, der er involveret i behandlingen af personoplysninger: | |||||
Behandlerens navn | Den tjeneste, der leveres | Geografisk placering (land) | |||
MegaCard | Print på kort | Sverige | |||
6. Teknisk og organisatorisk sikkerhed
Q8 har truffet hensigtsmæssige tekniske og organisatoriske foranstaltnin-ger for at beskytte dine Personoplysninger mod uautoriseret eller anden uønsket ad-gang.
Adgang til Personoplysninger er begrænset til personer, der har et sagligt behov for ad-gang til Personoplysninger. Medarbejdere, der håndterer Personoplysninger, er instrue-ret og oplært i, hvad de må gøre med Personoplysninger, og hvordan de skal beskytte Personoplysninger.
Når dokumenter (papirer, kartotekskort mv.) med Personoplysninger smides ud, anven-des makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til Personoplysninger.
Der anvendes adgangskoder til at få adgang til pc’er og andet elektronisk udstyr med Personoplysninger. Kun de personer, der skal have adgang, får en kode og da kun til de systemer, den pågældende har brug for at anvende. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.
Hvis Personoplysninger lagres på en USB-nøgle, skal Personoplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af Per-sonoplysninger på andre bærbare datamedier.
PC’er koblet til internettet har en opdateret firewall og viruskontrol installeret.
Hvis følsomme Personoplysninger eller CPR-nummer sendes med e-mail via internettet, skal sådanne e-mails krypteres. Hvis du sender Personoplysninger til os via e-mail, skal du være opmærksom på, at afsendelse til os ikke er sikker, såfremt dine e-mails ikke er krypteret. Vi opfordrer til, at du ikke sender os fortrolige eller følsomme Personoplys-ninger pr. e-mail, medmindre dette konkret er aftalt på forhånd, således at vi kan sikre det fornødne sikkerhedsniveau.
I forbindelse med reparation og service af dataudstyr, der indeholder Personoplysnin-ger, og når datamedier skal sælges eller kasseres, træffer vi de fornødne foranstaltnin-ger, så Personoplysningerne ikke kan komme til uvedkommendes kendskab. Det kan f.eks. være ved brug af fortrolighedserklæringer.
Ved brug af en ekstern databehandler til håndtering af Personoplysninger, underskrives en skriftlig databehandleraftale mellem os og Q8. Det gælder eksempel-vis, når der anvendes et eksternt dokumentarkiv eller hvis der anvendes cloud-systemer i forbindelse med behandlingen af Personoplysninger – herunder kommunikation med lejeren. På samme vis indgås der altid en skriftlig aftale mellem os og vores lejer, så-fremt vi agerer som databehandler. Databehandleraftalerne er også tilgængeligt elektro-nisk.
Backup
Q8 tager backup af alle databaser og filer på fællesdrev. Backup opbeva-res på en ekstern server.
Alle backup data og filer overskrives med intervaller på 30 dage.
****