Databehandleraftale

Databehandleraftale

Mellem den Dataansvarlige

FIRMA
ADRESSE
CVRNR

Dataansvarliges kontaktperson:

Navn og efternavn: NAVN
E-mail: EMAIL
Telefon: TLF

og

Databehandleren

EFFIPRESS IVS
Danstrupvej 27L, 1. sal
3480 Fredensborg
Danmark
CVR 37280038

Baggrund for databehandleraftalen

Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Databehandleren foretager behandling af personoplysninger på vegne af Dataansvarlige.

Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

Ved brug af Effipress ydelser og ethvert modul eller anden funktion der har forbindelse med Ydelsen (derefter kaldt ”Ydelsen”), vil den Dataansvarlige være ansvarlig for sin behandling af personoplysninger.

Begge parter bekræfter, at de har fuldmagt til at underskrive aftalen.

Databehandleraftalen og ”Salgs- og leveringsbetingelser” er indbyrdes afhængige, og kan ikke opsiges særskilt. Denne databehandleraftale kan dog erstattes af en anden gyldig databehandleraftale.

Aftalen samt krav der følger med GDPR er først gældende fra d. 25. maj 2018 og er gyldig så længe den Dataansvarlige abonnerer på Ydelsen.

Aftalen indeholder følgende bilag:

  • Bilag A: Beskrivelse af personoplysninger samt kategorier af personoplysninger behandlet af Databehandleren på vegne af den Dataansvarlige.
  • Bilag B: Informationer vedr. sikkerhedsforanstaltninger og tilsyn over underdatabehandlere.

Definitioner og anvendelse

Databehandleraftalen bruger samme definitioner af personoplysninger, Følsomme Oplysninger, Behandling, den Registrerede, Dataansvarlig og Databehandler som det er defineret i GDPR.

I alle tilfælde hvor Databehandlerens bistand og assistance går ud over, hvad der er nødvendigt, skal den Dataansvarlige betale Databehandleren vederlag efter medgået tid til opfyldelse af opgaven. Ved beregning af vederlaget anvendes Databehandlerens gældende timepriser.

Instruks

Databehandleren må kun behandle personoplysninger efter instruks fra den Dataansvarlige. Ved at indgå denne aftale, instruerer den Dataansvarlige Databehandleren i at behandle Personoplysninger på følgende måder:

  • i ovensstemmelse med gældende lovgivning
  • for at opfylde sine kontraktuelle forpligtelse i henhold til Salgs- og leveringsbetingelser for Ydelsen
  • som yderligere specificeret af Dataansvarliges i forbindelse med selve Ydelsen
  • som beskrevet i denne aftale

Dataansvarlige garanterer, at personoplysningerne som overlades til Databehandleren, behandles og overlades i overensstemmelse med den til enhver tid gældende lovgivning af den Dataansvarlige – herunder Databeskyttelseslovgivningens regler om behandlingshjemmel og oplysningspligt over for de registrerede.

Databehandleren skal underrette den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelsesforordningen eller anden relevant lovgivning.

Databehandlerens forpligtelser

Databehandleren sikrer, at kun de personer der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige.

Personoplysninger må ikke behandles uden for instruksen fra den Dataansvarlige, medmindre den Dataansvarlige giver en specifik og forudgående tilladelse.

Databehandleren sikrer, at de personer der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.

Sikkerhed

Databehandleren gennemfører de nødvendige tekniske og organisatoriske foranstaltninger for at sikre databeskyttelse i overensstemmelse med Databeskyttelseslovgivningen artikel 32.

Databehandleren sikrer, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

Databehandleren udleverer efter skriftlig anmodning fra den Dataansvarlige dokumentation på Databehandlerens sikkerhedsforanstaltninger. Hvis en sådan anmodning går ud over, hvad der er nødvendigt ifølge den gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services.

Hvis Databehandlerens bistand er nødvendig og relevant, skal Databehandleren bistå den Dataansvarlige med udarbejdelsen af eventuelle lovpligtige konsekvensanalyser i overensstemmelse med GDPR, artikel 35, samt eventuelle forudgående høringer i overensstemmelse med GDPR, artikel 36. Hvis sådan bistand går ud over hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services.

Hvis den Dataansvarlige modtager en anmodning fra en person om udøvelsen af personens rettigheder efter Databeskyttelseslovgivningen, og korrekt besvarelse af anmodningen kræver bistand fra Databehandleren, skal Databehandleren bistå den Dataansvarlige med nødvendige og relevante oplysninger og dokumentation. Databehandleren skal gives rimelig tid til at levere denne bistand i overensstemmelse med fristerne herfor i Databeskyttelseslovgivningen. Hvis sådan bistand går ud over hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services.

Hvis Databehandleren modtager en anmodning fra en person om udøvelsen af personens rettigheder efter Databeskyttelseslovgivningen, og anmodningen vedrører den Dataansvarliges personoplysninger, skal Databehandleren uden unødvendig forsinkelse videresende anmodningen til den Dataansvarlige.

Sikkerhedsbrud

Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden.

Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.

Databehandleren skal vedligeholde en fortegnelse over alle sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende:

  • De faktiske omstændigheder omkring sikkerhedsbruddet
  • Sikkerhedsbruddets virkninger
  • De trufne afhjælpningsforanstaltninger

Fortegnelsen over Sikkerhedsbrud skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne. Omkostninger forbundet med forberedelse af dokumentationen (fortegnelsen over sikkerhedsbrud) skal dækkes af den Dataansvarlige.

Den dataansvarliges forpligtelser

Den Dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.

Den Dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som Databehandleren instrueres i at foretage.

Udover det har den Dataansvarlige ansvar for nøjagtigheden og integriteten af de personoplysninger som behandles af Databehandleren.

Den Dataansvarlige skal kun behandle oplysninger som er nævnt i bilag A i denne Aftale.

Anvendelse af underdatabehandlere

Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).

Databehandleren skal sikre sig, at dennes underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i aftalen. Databehandlerens underdatabehandlere er oplistet i ”Liste over underbehandlere”, som er tilgængelig offentligt på Databehandlerens webside. Listen er til enhver tid opdaterede.

Databehandleren er direkte ansvarlig for underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren.

Hvis en Underdatabehandler er etableret uden for eller Personoplysninger opbevares uden for EU/EØS giver den Dataansvarlige Databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af den Dataansvarlige, herunder ved anvendelse af EU Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield.

Hvis den Dataansvarlige er uenig om anvendelsen af underdatabehandlere, så kan den Dataansvarlige opsige sit abonnement på Ydelsen med en kortere varsel end normalt for at sikre, at den Dataansvarliges personoplysninger ikke behandles af den pågældende underdatabehandler.

Omkostninger ifm. databeskyttelseslovgivningen

Hvis ændringer i Databeskyttelseslovgivningen, herunder fortolkningerne heraf og vejledninger hertil, resulterer i væsentlige forøgede omkostninger for Databehandleren, skal den Dataansvarlige holde Databehandleren skadesløs for dokumenterede meromkostninger som følge deraf.

Tilsyn og revision

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.

Den Dataansvarlige skal skriftlig informere Databehandleren om en revision. Anmodning skal indeholde revisionsplan, varighed – og startdato skal være minimum 30 dage forud for den foreslåede dato.

Revision skal finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens kommercielle aktiviteter.

Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Overskrider Databehandlerens assistance i forbindelse hermed den almindelige service som Databehandleren skal stille til rådighed i følge databeskyttelseslovgivning afregnes det separat.

Varighed og ophør

Aftalen er gældende så længe den Dataansvarlige abonnerer på Ydelsen.

Aftalen ophører automatisk, når den Dataansvarliges abonnement ophører.

Ved ophør af abonnementet vil Databehandleren slette eller returnere alle personoplysninger i standardformatter, dvs. komprimeret filer samt tekst dump af databasen i SQL format. Evt. yderligere bistand til returnering af data afregnes separat efter de til enhver tid gældende timepriser.

Databehandleren er berettiget til at beholde personoplysninger efter ophør af aftalen i det omfang, det er nødvendigt i henhold til den gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i aftalen.

Ændringer

Ændringer til aftalen skal vedlægges i et særskilt bilag til aftalen.

Evt. ugyldige bestemmelser i aftalen har ikke indvirkning på de resterende bestemmelser. Parterne skal erstatte ugyldige bestemmelser med en lovlig bestemmelse, som afspejler formålet med den ugyldige bestemmelse.

Ansvar/Erstatning

Ansvar for handlinger i strid med bestemmelserne i denne Aftale reguleres af ansvars- og erstatningsbestemmelser i Salgs- og leveringsbetingelser for Ydelsen. Dette gælder ligeledes for enhver overtrædelse, som foretages af Databehandlerens Underdatabehandlere.

Databehandleren er erstatningsansvarlig over for den registrerede, såfremt den registrerede påføres skade, som skyldes fejl hos Databehandleren, jf. forordningens artikel 82.

Den Dataansvarlige skal friholde Databehandleren for alle bøder og øvrige omkostninger, som Databehandleren påføres som en direkte følge af, at den Dataansvarlige ikke har overholdt gældende persondatalovgivning.

Lovvalg og værneting

Eventuelle tvister mellem parterne skal afgøres ved Retten i Glostrup som rette værneting i første instans.

Bilag A – Kategorier af personoplysninger der er behandlet af Databehandleren på vegne af den Dataansvarlige

Databehandleren vil behandle data på vegne af den Dataansvarlige. Det kan indeholde information om Dataansvarliges kunder, leverandører, ansatte, partnere og andre.

Databehandleren stiller sine systemer til rådighed for den Dataansvarlige og er ikke i stand til at kortlægge alle kategorier af data som skal behandles. Hvis den Dataansvarlige behandler ydereligere oplysninger, samt oplysninger der kræver tilmelding hos myndigheder, er det den Dataansvarliges pligt at foretage alle de nødvendige registreringer m.m.

Udover det Databehandleren vil behandle følgende oplysninger:

  • Kontaktinformation i form af navner, adresser, telefonnumre samt emails
  • IP adresser
  • domænenavne
  • oplysninger om abonnementet til Ydelsen
  • Analytics samt information om forbruget
  • Ordrehistorik

Databehandleren må behandle alle ovennævnte oplysninger ifm. leverance af Ydelsen, yderligere udvikling og kvalitetssikring samt forbedring af selve Ydelsen.

Bilag B – Oplysninger om sikkerhedsforanstaltninger og tilsyn over underdatabehandlere

Vi anvender alment anerkendte sikkerhedsforanstaltninger kendt indenfor branchen for at sikre data.

Forbindelser mellem alle systemer er krypterede. Alle passwords gemt i vores systemer er hashed med et random salt, dvs. reverse engineering af originale passwords er væsentlig sværere (også ved brug af rainbow tables).

Alle systemer har installeret firewalls. Administrativ adgang til servere og andre systemer sker gennem krypterede forbindelser og ved anvendelse af kryptografiske nøgler. Kun udvalgte personer har adgang til maskiner, og deres kryptografiske nøgler er beskyttet med passphrase (dvs. selve nøglen er krypteret).

Data transfer ifm. backup er krypteret, og adgang til alle systemer sker uden passwords ved anvendelse af kryptografiske nøgler. Adgang til backup maskiner og services er stærkt kontrolleret.

Maskiner anvendt til service, vedligeholdelse og udvikling har alle sammen installeret antivirus software (hvor det er nødvendigt).

Alle systemer overvåges for nedbrud og afvigelser fra normalt ressourceforbrug.

Tilsyn over underdatabehandlere

Vi vælger kun underdatabehandlere der enten erbaseret indenfor EU/EØS – eller som er godkendt ifm. andre programmer der tillader samarbejde under GDPR (f.eks. ”Privacy Shield”).

I vores valg af underdatabehandlere tager vi altid udgangspunkt i:

  • om de er ”GDPR godkendt”
  • deres troværdighed
  • den grad de kan hjælpe os med at realisere vores kontraktuelle forpligtelse i henhold til abonnementetsvilkår