Databehandlingsvilkår
Databehandlingsvilkår
Vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde
1. Gyldighed
1.1 Dette dokument, benævnt ”Databehandlingsvilkår”, beskriver de vilkår KreativGrafisk forpligter sig til at opfylde som leverandør og databehandler ved behandling af personoplysninger på vegne af en dataan- svarlig kunde.
1.2 Disse vilkår betragtes som en indgået aftale mellem parterne, når en dataansvarlig kunde afgiver ordre på en opgave, der indebærer, at leverandøren som en del af opgaven skal udføre behandling af personoplys- ninger på vegne af kunden.
1.3 Aftalen omfatter følgende personoplysninger:
• Navn
• Adresse
• Telefonnummer
• Alder
• Køn
1.4 Aftalen kan med parternes samtykke udvides til flere oplysningstyper og/eller datasubjekter.
2. Formål
2.1 Databehandleren må alene behandle personoplysninger til formål, som er nødvendige for at udføre og levere den bestilte opgave i henhold til den aftale, parterne har indgået med kundens bestilling, jf. leve- randørens sædvanlige salgs- og leveringsbetingelser.
3. Databehandlerens forpligtelser
3.1 Databehandleren må kun behandle de af den dataansvarlige leverede personoplysninger i overens- stemmelse med den dataansvarliges instrukser og er i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning.
3.2 Databehandleren er forpligtet til at træffe de fornødne tekniske og organisatoriske sikkerhedsforanstalt- ninger, herunder sådanne yderligere foranstaltninger, som måtte være nødvendige, mod at de i pkt. 1.2, anførte personlysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller ikke behandles i overensstemmelse med person- datalovgivningen.
Databehandleren er således blandt andet forpligtet til at:
• indføre log-in- og adgangskodeprocedurer
• opsætte og vedligeholde firewall og antivirussoftware
• sikre, at alene ansatte med arbejdsrelaterede formål har adgang til personoplysningerne
• sikre, at de ansatte, der er involveret i at behandle personoplysningerne, har forpligtet sig til fortrolig- hed eller er underlagt lovbestemt tavshedspligt, opbevare datalagermedier på forsvarlig vis, således disse ikke er offentligt tilgængelige
• sikre, at bygninger og systemer, der anvendes i forbindelse med databehandlingen, er sikre, samt at der alene anvendes hardware og software i høj kvalitet, som opdateres
• sikre, at prøver og affaldsmateriale tilintetgøres, opbevares og returneres i henhold til kravene til databeskyttelse og efter nærmere instrukser fra den dataansvarlige
• sikre, at de ansatte modtager uddannelse, fyldestgørende instruktioner i og retningslinjer for behand- lingen af personoplysningerne
3.3 Databehandleren skal på den dataansvarliges anmodning redegøre for og/eller dokumentere, at databe- handleren opfylder kravene i persondatalovgivningen, bl.a. fremvise dokumentation for databehandle- rens datastrømme samt procedurer/politikker for persondatabehandling.
3.4 Hvis databehandleren behandler personoplysninger i et andet EU/EØS medlemsland, skal databehandle- ren overholde medlemslandets lovgivning om sikkerhedsforanstaltninger.
3.5 Databehandleren skal straks informere den dataansvarlige om driftsforstyrrelser, mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder ved behandlingen af personoplysningerne. Ved sikkerhedsbrud skal databehandleren straks og senest 24 timer efter opdagelse af sikkerhedsbruddet underrette den dataansvarlige. Databehandleren skal efter anmodning bistå den dataansvarlige i forbin- delse med sikkerhedsbruddet.
3.6 Databehandleren skal på den dataansvarliges anmodning give tilstrækkelige oplysninger til, at denne kan påse, at databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Den dataansvarlige kan for egen regning lade databehandlerens behandling af personoplysninger under- kaste en årlig revision af en uafhængig tredjepart.
3.7 Hvis databehandleren eller en anden databehandler, som har modtaget samme oplysninger, modtager en anmodning om adgang til registrerede personoplysninger fra en registreret eller dennes agent, eller en registreret fremsætter indsigelse mod behandlingen af de registrerede personoplysninger, skal databe- handleren straks sende anmodningen og/eller indsigelsen til den dataansvarlige med henblik på den da- taansvarliges videre sagsbehandling, medmindre databehandleren er berettiget til at håndtere en sådan forespørgsel selv. Databehandleren skal efter anmodning bistå den dataansvarlige ved anmodningen og/ eller indsigelsen.
4. Overførsel til andre databehandlere eller tredjeparter
4.1 Databehandleren er kun forpligtet til at overføre de i pkt. 1.2. angivne personoplysninger til andre data- behandlere eller tredjeparter, såfremt den dataansvarlige giver skriftlig instruks herom.
4.2 Databehandleren må ikke videregive eller overlade personoplysninger til andre tredjeparter eller databe- handlere uden den dataansvarliges forudgående skriftlige instruks, medmindre dette sker til opfyldelse af gældende persondatalovgivning.
4.3 Databehandleren skal inden overførsel af personoplysninger til en anden databehandler sikre, at sådan underdatabehandler har indgået en databehandleraftale, hvor denne forpligter sig på de samme vilkår, som er gældende i henhold til nærværende aftale.
4.4 Hvis personoplysningerne overføres til udenlandske underdatabehandlere, skal det i ovennævnte data- behandleraftaler anføres, at det er den dataansvarliges lands databeskyttelseslovgivning, der gælder for udenlandske underdatabehandlere. Hvis underdatabehandleren endvidere er etableret inden for EU, skal det i databehandleraftalen anføres, at det modtagende EU-lands lovgivningsmæssige krav vedrørende databehandlere, f.eks. krav om meddelelse til nationale myndigheder, skal overholdes. Databehandler- aftalen skal inden overførsel af personoplysninger fremlægges for den dataansvarlige for at sikre, at den opfylder betingelserne i denne aftale.
4.5 Databehandleren skal i sit eget navn indgå skriftlige databehandleraftaler inden for EU/EØS. For så vidt angår underdatabehandlere uden for EU/EØS, skal databehandleren indgå standardaftaler i overens- stemmelse med EU-Kommissionens standardkontraktbestemmelser om videregivelse af personoplysnin- ger til databehandlere etableret i tredjelande.
4.6 Databehandleren har fuldmagt til at indgå standardaftaler med underdatabehandlere uden for EU/EØS på den dataansvarliges vegne og i dennes navn. Det forudsættes, at den dataansvarlige forinden har givet instruks herom.
5. Ændring
5.1 I tilfælde af ændringer af den danske databeskyttelovgivning er den dataansvarlige berettiget til at korri- gere de i denne aftale indeholdte instrukser med 2 ugers skriftligt varsel ved fremsendelse af nye skriftli- ge instrukser til databehandleren, dog således at databehandleren til enhver tid skal overholde gældende persondatalovgivning.
6. Misligholdelse
6.1 Databehandleren skal skadesløsholde den dataansvarlige for enhver form for krav, omkostninger, tab, ansvar, bøder, udgifter eller skader, som er en direkte følge af misligholdelse af denne aftale, herunder som følge af manglende overholdelse af gældende persondatalovgivning.
7. Ikrafttrædelse og ophør
7.1 Denne aftale betragtes som et tillæg til den aftale der indgås mellem ordregiver og leverandør, når ordre- giver foretager bestilling af en opgave, der involverer behandling af persondata. Aftalen træder dermed i kraft ved ordreafgivelse.
7.2 Ved ophør af den indgåede aftale mellem ordregiver og leverandør ophører denne aftale også. Leverandø- ren er dog som databehandler forpligtet af denne aftale, så længe denne behandler personoplysninger på vegne af den dataansvarlige.
7.3 I tilfælde af denne aftales ophør, er den dataansvarlige berettiget til at forlange personoplysningerne tilbageleveret på et medie valgt af den dataansvarlige, eller at personoplysningerne slettes.
8. Lovvalg og værneting
8.1 Nærværende aftale reguleres efter dansk ret.
8.2 Enhver tvist, som måtte opstå som følge af aftalen, herunder om aftalens eksistens eller gyldighed, skal afgøres af domstolene ved databehandlerens værneting.
KreativGrafisk
Odense d. 18. maj 2018