Databehandleraftalen

ToS / GDPR

Introduktion

Nærværende betingelser indgår i og regulerer bestemmelserne om behandling af persondata, som følger af de mellem parterne indgåede serviceaftaler (“Serviceaftaler”):

Databehandler er underlagt Web-Koncept’s Privacy Statement

Definitioner

Persondata, Særlige kategorier af persondata (Følsomme persondata), Behandling af persondata, den Registrerede, den Dataansvarlige og Databehandler skal have den betydning, som følger af gældende lovgivning om behandling af personoplysninger, herunder Databeskyttelsesforordningen (GDPR) som gælder for denne Aftale fra 25. maj 2018.

Baggrund

Betingelserne vedrører Databehandlers behandling af personoplysninger på vegne af den Dataansvarlige og beskriver, hvordan Databehandler skal bidrage til at sikre beskyttelse af personoplysninger på vegne af den Dataansvarlige ved hjælp af tekniske og organisatoriske foranstaltninger i henhold til gældende lovgivning om behandling af personoplysninger, herunder Databeskyttelsesforordningen.

Formålet med Databehandlers behandling af personoplysninger på vegne af den Dataansvarlige er at opfylde Serviceaftalerne og denne Aftale.

Disse betingelser har forrang for eventuelle modstridende bestemmelser om Behandling af personoplysninger i Serviceaftalerne eller andre mellem Parterne indgåede aftaler. Disse betingelser gælder, så længe Parterne har en gyldig Serviceaftale, der omfatter Behandling af personoplysninger.

Databehandlers forpligtelser

Databehandler forpligter sig til alene at behandle personoplysninger på vegne af og på baggrund af instrukser fra den Dataansvarlige. Disse betingelser giver den Dataansvarlige instrukser til Databehandler om, at behandling af personoplysninger skal ske på følgende måde: i) alene i overensstemmelse med gældende lovgivning, ii) for at opfylde alle forpligtelser i henhold til bestemmelserne i Serviceaftalen, iii) som nærmere angivet via den Dataansvarliges almindelige brug af Databehandlers tjenester.

Databehandler har ingen grund til at tro, at gældende lovgivning forhindrer Databehandler i at opfylde ovennævnte instrukser. Databehandler skal, hvis Databehandler bliver bekendt dermed, give den Dataansvarlige meddelelse om instrukser eller andre behandlingsrelaterede forhold fra den Dataansvarliges side, som efter Databehandlers mening er i strid med gældende lovgivning om behandling af personoplysninger.

Kategorier af Registreredes og personoplysninger, der er underlagt behandling i henhold til disse betingelser, fremgår af Afsnit Kategorier af persondata.

Databehandler skal sikre, at personoplysningerne er underlagt fortrolighed, integritet og tilgængelighed i henhold til den gældende lovgivning om behandling af personoplysninger. Databehandler skal indføre systematiske, organisatoriske og tekniske foranstaltninger til sikring af et passende sikkerhedsniveau under hensyntagen til teknologien og omkostningerne til indførelse i forhold til de risici, som behandlingen indebærer, samt arten af de personoplysninger der skal beskyttes.

Databehandler skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt og under hensyntagen til arten af behandlingen og de oplysninger, der er til rådighed for Databehandler for opfyldelse af den Dataansvarliges forpligtelser i henhold til gældende lovgivning om behandling af personoplysninger til at svare på anmodninger fra Registrerede og om generel udøvelse af Registreredes rettigheder i henhold til Databeskyttelsesforordningens Artikel 32 til 36.

Hvis den Dataansvarlige anmoder om oplysninger om sikkerhedsforanstaltninger, dokumentation eller andre former for oplysninger omkring, hvordan Databehandler behandler personoplysninger, og sådanne overskrider de standardoplysninger, som Databehandler har stillet til rådighed for opfyldelse af gældende lovgivning om behandling af personoplysninger som Databehandler, og dette medfører ekstra arbejde for Databehandler, er Databehandler berettiget til at opkræve den Dataansvarlige betaling for sådanne ekstra arbejder.

Databehandler og dennes medarbejdere skal sikre fortrolighed vedrørende de behandlede Personoplysninger i henhold til Aftalen. Denne bestemmelse gælder også efter Aftalens ophør.

Databehandler giver, uden unødig forsinkelse, meddelelse til den Dataansvarlige om hændelser, som den Dataansvarlige i henhold til lovgivningen er forpligtet til  at meddele til Datatilsynet eller Registrerede.

Desuden giver Databehandler, i det omfang det er hensigtsmæssigt og lovligt, den Dataansvarlige meddelelse om:

i) anmodninger om videregivelse af personoplysninger modtaget fra en Registreret.
ii) anmodninger om videregivelse af personoplysninger fra offentlige myndigheder, såsom politiet.
Databehandler besvarer ikke direkte henvendelser fra Registrerede, medmindre der foreligger samtykke fra den Dataansvarlige.  Databehandler videregiver ikke personoplysninger til offentlige myndigheder, såsom politiet, medmindre der foreligger lovligt grundlag.

Den Dataansvarliges forpligtelser

Den Dataansvarlige bekræfter ved samarbejde af aftale med Web-Koncept, at:

  • Den Dataansvarlige er ved brug af de tjenester, som Databehandler stiller til rådighed i henhold til Serviceaftalerne, forpligtet til at behandle personoplysninger i overensstemmelse med bestemmelserne i gældende lovgivning om behandling af personoplysninger.
  • Den Dataansvarlige har ret til at behandle og videregive de pågældende personoplysninger til Databehandler (herunder alle underdatabehandlere, som benyttes af Databehandler).
  • Den Dataansvarlige har alene ansvaret for at sikre nøjagtigheden, integriteten, indholdet, pålideligheden og lovligheden af de personoplysninger, der videregives til Databehandler.
  • Den Dataansvarlige har opfyldt alle obligatoriske krav og forpligtelser til at give meddelelse til eller indhente tilladelse fra de relevante tilsynsmyndigheder i forbindelse med behandling af Personoplysningerne.
  • Den Dataansvarlige har opfyldt sine forpligtelser om videregivelse af relevante oplysninger til Registrerede vedrørende behandling af personoplysninger i henhold til gældende databeskyttelseslovgivning.
  • Den Dataansvarlige er ved brug af de tjenester, som Databehandler stiller til rådighed i henhold til Serviceaftalen, forpligtet til ikke at videregive Følsomme persondata, medmindre dette udtrykkeligt er aftalt i afsnit Kategorier af persondata.

Brug af underdatabehandlere og overførsel af data

Som en del af leveringen af tjenester til den Dataansvarlige i henhold til Serviceaftalerne og disse betingelser har den Dataansvarlige ret til at gøre brug af underdatabehandlere. Disse underdatabehandlere kan være eksterne tredjepartsleverandører inden for eller uden for EU. Databehandler skal sikre, at underdatabehandlere pålægges de samme forpligtelser som fastsat i denne Aftale. Enhver brug af underdatabehandlere er underlagt Web-Koncept’s Privacy Statement.

Den Dataansvarlige har ret til at anmode om at få et overblik over underdatabehandlere, der aktuelt gøres brug af, med adgang til personoplysninger, som angivet i afsnit Underdatabehandlere. Desuden har den Dataansvarlige ret til at anmode om at få fuldt overblik og mere detaljerede oplysninger om disse underdatabehandlere, der til enhver tid måtte være involveret i Serviceaftalerne.

Hvis underdatabehandlerne befinder sig uden for EU, giver den Dataansvarlige samtykke til, at Databehandler sikrer korrekt juridisk grundlag for overførsel af personoplysninger uden for EU på vegne af den Dataansvarlige, herunder ved indgåelse af EU-kommisionens Standardkontrakter eller overførsel af personoplysninger i henhold til Privacy Shield.

Den Dataansvarlige skal på forhånd underrettes om eventuel udskiftning af underdatabehandlere, som behandler personoplysninger. Hvis det konstateres, at den nye underdatabehandler ikke overholder gældende lovgivning om behandling af personoplysninger, er den Dataansvarlige berettiget til at opsige nærværende Aftale. En sådan opsigelse kan give ret til opsigelse af Serviceaftalen, helt eller delvist, alt efter opsigelsesbestemmelserne i Serviceaftalen. En vigtig del af sådanne vurderinger er, i hvilket omfang underdatabehandlerens behandling af personoplysninger er en nødvendig del af de tjenester, der ydes i henhold til Serviceaftalen. Udskiftning af underdatabehandler vil ikke i sig selv betragtes som brud på Serviceaftalen.

Sikkerhed

Databehandler er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og tjenester. Databehandler yder dette sikkerhedsniveau gennem organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger i henhold til kravene til informationssikkerhedsforanstaltninger, som fremgår af Databeskyttelsesforordningens Artikel 32.

Desuden har de interne rammer for beskyttelse af personoplysninger, som er udarbejdet af Web-Koncept, til formål at sikre fortroligheden, integriteten, sikkerheden og tilgængeligheden af personoplysninger.

Følgende foranstaltninger har særlig betydning i denne forbindelse:

  • Klassificering af personoplysninger for at sikre iværksættelse af sikkerhedsforanstaltninger svarende til risikovurderinger.
  • Vurdering af brug af kryptering og anonymisering som risikobegrænsende foranstaltninger.
  • Begrænsning af tilgang til personoplysninger for dem, som har brug for adgang til opfyldelse af forpligtelser i henhold til nærværende Aftale eller Serviceaftalen.
  • Kontrolsystemer, der registrerer, genopretter, forebygger og rapporterer brud i forbindelse med behandling af personoplysninger.
  • Brug af sikkerheds selvevalueringer for at analysere, om aktuelle tekniske og organisatoriske foranstaltninger er tilstrækkelige til at beskytte personoplysninger under hensyntagen til de krav, der fremgår af gældende lovgivning om behandling af personoplysninger.

Kontrol

Den Dataansvarlige kan foretage kontrol for at påse, at Databehandler overholder disse betingelser op til 1 gang om året. Hvis det er et lovkrav gældende for den Dataansvarlige, kan den Dataansvarlige anmode om hyppigere kontrol. For at anmode om at foretage en kontrol skal den Dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til Databehandler med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen. Hvis tredjeparter skal foretage kontrollen, skal det aftales mellem Parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den Dataansvarlige Databehandler ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepartskontrollant efter Databehandlers valg.

Hvis det anmodede kontrolomfang er behandlet i ISAE, ISO eller lignende sikkerhedsrapport varetaget af en kvalificeret tredjepartskontrollant inden for de sidste 12 måneder, og Databehandler bekræfter, at der ikke er foretaget nogle væsentlige ændringer i de kontrollerede foranstaltninger, bekræfter den Dataansvarlige, at sådanne resultater accepteres i stedet for at anmode om en ny kontrol af de foranstaltninger, der er omfattet af rapporten.

I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i medfør af Databehandlers politikker, og må ikke på urimelig måde gribe forstyrrende ind i Databehandlers forretningsdrift.

Den Dataansvarlige afholder alle omkostninger i forbindelse med den Dataansvarliges anmodede kontroller. Bistand fra Databehandler, som overstiger den standardydelse, som Databehandler stiller til rådighed for opfyldelse af gældende lovgivning om behandling af personoplysninger, vil blive pålagt et gebyr.

Varighed og ophør

Disse betingerlser er gældende så længe Databehandler behandler personoplysninger på vegne af den Dataansvarlige i henhold til Serviceaftalerne. Dette forhold ophører automatisk ved opsigelse af Serviceaftalen. Ved forholdets ophør sletter eller returnerer Databehandler de på vegne af den Dataansvarlige behandlede personoplysninger i henhold til de gældende bestemmelser i Serviceaftalen. Medmindre andet er skriftligt aftalt, tager omkostninger til sådanne foranstaltninger udgangspunkt i: i) timetakst for den tid Databehandler har brugt, og ii) sværhedsgraden af den anmodede behandling.

Databehandler kan tilbageholde personoplysninger efter opsigelse af Aftalen, i det omfang det er påkrævet ved lov, som er underlagt samme tekniske og organisatoriske sikkerhedsforanstaltninger, som fremgår af denne Aftale.

Hvis nogen bestemmelse af disse betingelser bliver ugyldig, påvirker dette ikke gyldigheden af de øvrige bestemmelser. Parterne skal erstatte den ugyldige bestemmelse med en lovlig bestemmelse, der afspejler formålet med den ugyldige bestemmelse.

Ansvar

Begge Parter har et individuelt ansvar og skal holdes selvstændigt ansvarlig for at betale alle bøder som ilægges den respektive Part i henhold til GDPR. Ansvaret for øvrige brud på disse betingelser eller GDPR reguleres af Serviceaftalen, som foreligger mellem Parterne. Dette gælder også for afvigelser/ hændelser forårsaget af Databehandler eller dennes underleverandører.

Kategorier af Persondata og Registrerede

Kategorier af Registrerede og Persondata, der er underlagt behandling, i henhold til nærværende betingelser
Kategorier af registrerede
Kundens slutbrugere
Kundens medarbejdere
Kundens kontaktpersoner

Kategorier af personoplysninger

Kontaktinformation som navn, telefon, adresse, email etc.

Underdatabehandlere

Databehandlers aktuelle underdatabehandlere med adgang til den Dataansvarliges personoplysninger omfatter ved underskrivelse af denne Aftale:

Simply – Danmark – Lagring på servere, Support