Databehandleraftale

__________________________________________________________________________________________________________

Nye regler for beskyttelse af persondata er trådt i kraft som følge af en ny EU-lovgivning.
Det betyder mere gennemsigtighed overfor kunderne. Læs her hele vores Databehandleraftale.

Databehandleraftale

Imellem:
Dataansvarlig:
Den kunde der har købt/erhvervet retten til at anvende app´s fra itn|vision aps

og

Databehandler:
Itn|vision aps, Lille Borgergade 19 1. tv. 9400 Nørresundby
Parterne kaldes i det følgende henholdsvis den “Dataansvarlige” og “Databehandleren”, og “Part” eller tilsammen “Parterne”.

1.: Indledning:

Ved brug af enhver af de app´s itn|vision leverer (i det efterfølgende benævnt “app, app´en eller apps”), vil den dataansvarlige være ansvarlig for behandlingen af alle personlige oplysninger af enhver art i app´en.

Databehandleren vil behandle personlige oplysninger på vegne af den dataansvarlige.

For at sikre, at parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/279 (“GDPR”), har parterne indgået denne databehandleraftale, som udgør instruksen fra den dataansvarlige til databehandleren og dermed regulerer databehandlerens behandling af personlige oplysninger på vegne af den dataansvarlige.

Begge parter bekræfter, at de har fuldmagt til at tiltræde databehandleraftalen.

Databehandleren behandler desuden udelukkende personlige oplysninger i overensstemmelse med itn|visions Privacy Polity Statement

2.: Definition:

Definitionen af personlige oplysninger, særlige Kategorier af Data (Følsomme Oplysninger), den Registrerede, Dataansvarlig og Databehandler er den samme som defineret i den relevante persondatalovgivning, herunder GDPR.

Aftalen regulerer databehandlerens behandling af personlige oplysninger på vegne af den dataansvarlige, og beskriver, hvordan databehandleren skal medvirke til at beskytte privatliv på vegne af den dataansvarlige.

Formålet med databehandlerens behandling af personlige oplysninger på vegne af den dataansvarlige er at sikre, den dataansvarliges brug af App´s fra itn|vision.

Aftalen er gyldig, så længe den dataansvarlige abonnerer på App´s fra itn|vision og databehandleren derfor skal behandle Personlige oplysninger på vegne af den dataansvarlige.

Databehandleraftalen dækker også databehandlerens underleverandører i forhold til hostning af de forskellige apps.

3.: Databehandlerens forpligtelser:

Databehandleren skal udelukkende behandle personlige oplysninger på vegne af og som følge af den dataansvarliges instruktioner.

Ved at indgå denne aftale, instruerer den dataansvarlige databehandleren i at behandle Personlige oplysninger på følgende måder:

3.1.: i overensstemmelse med gældende lovgivning

3.2.: for at opfylde sine forpligtelser i henhold til abonnementsvilkår for Apps

3.3.: som yderligere specificeret ved den dataansvarliges normale brug af Apps

 

Databehandleren kan tilbyde bedre løsninger, som er tilpasset den enkelte dataansvarliges behov, ved at registrere hvordan dataansvarlig og dennes repræsentanter bruger App´en.

Dette gør databehandleren for at kunne lave en bedre version af de forskellige app´s og generelt yde bedre tjenester og give mere relevant kommunikation til den dataansvarlige og dennes repræsentanter.

Målet er at den dataansvarlige skal løse så mange virksomhedsrelaterede opgaver som muligt på et sted.

Under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, samt omfanget af foranstaltningen, er databehandleren forpligtet til at foretage alle rimelige foranstaltninger, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til den risiko og kategorien af personlige oplysninger, der skal beskyttes.

Databehandleren skal bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, som dette er muligt og under hensyntagen til behandlingens art og kategorien af oplysninger, der er tilgængelige for databehandleren, for at sikre overholdelse af den dataansvarliges forpligtelser i henhold til gældende databeskyttelseslovgivning.

Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse via kontaktperson oplyst i databehandleraftalen, hvis databehandleren bliver bekendt med sikkerhedsbrist.

 

Endvidere skal databehandleren så vidt muligt og lovligt underrette den dataansvarlige, hvis;

3.4.: En anmodning om indsigt i Personoplysninger modtages fra tredje person

3.5.: En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder, herunder politiet.

 

Databehandleren må ikke besvare sådanne anmodninger fra tredje person, medmindre der foreligger en skriftlig accept fra den dataansvarlige.

Databehandleren vil endvidere ikke videregive information om denne aftale til statslige myndigheder såsom politiet, herunder Personoplysninger, medmindre databehandleren er forpligtet til det i medfør af lovgivningen, såsom dommerkendelse eller lignende.

Hvis den dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan databehandleren behandler personlige oplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må databehandleren kræve betaling for sådanne yderligere services. Databehandleren og dennes ansatte skal sikre fortrolighed i forhold til Personlige oplysninger, som behandles i henhold til aftalen. Denne bestemmelse skal ligeledes gælde efter ophør af Aftalen.

4.: Den dataansvarliges forpligtelser:

Den dataansvarlige bekræfter ved indgåelse af denne aftale, at:

4.1.: Den Dataansvarlige skal ved brug af Applikationen stillet til rådighed af databehandleren, udelukkende at behandle Personlige oplysninger i overensstemmelse med kravene i den gældende databeskyttelseslovgivning.

4.2.: Den dataansvarlige har et lovligt grundlag for at behandle og videregivepersonlige oplysninger til databehandleren (herunder til underdatabehandlere som databehandleren anvender).

4.3.: Den dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet, pålideligheden og lovligheden af de personlige oplysninger som behandles af databehandleren.

4.4.: Den dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår behandlingen af personlige oplysninger.

4.5.: Den dataansvarlige har opfyldt sin oplysningsforpligtelser over for de registrerede vedrørende behandlingen af Personlige oplysninger i henhold til gældende databeskyttelseslovgivning.

4.6.: Den dataansvarlige er enig i, at databehandleren har givet de relevante garantier for så vidt angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de registreredes rettigheder og deres personlige oplysninger.

4.7.: Den dataansvarlige skal ved brug af Applikationen ikke behandle følsomme oplysninger, udover det der er specificeret i bilag A, der er en del af denne aftale.

4.8.: Den dataansvarlige skal have en opdateret liste over de kategorier af personlige oplysninger, som denne behandler, dette gælder særligt i det omfang hvor behandling afviger fra de kategorier af oplysninger, der fremgår af bilag 1.

5.: Brug af underdatabehandlere og videregivelse af data:

Som en del af driften af de forskellige Apps anvender databehandleren underleverandører (“Underdatabehandlere“).

Sådanne underdatabehandlere kan enten være andre selskaber inden for itn|vision gruppen eller tredjepartsleverandører i og uden for EU/EØS. Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere. Link til

Databehandleren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen. Al brug af underdatabehandlere er endvidere underlagt itn|vision Private Policy. Link til

Denne aftale udgør den dataansvarliges forudgående generelle og specifikke skriftlige godkendelse af databehandlerens brug af underdatabehandlere.

Hvis en underdatabehandler er etableret uden for eller personlige oplysninger opbevares uden for EU/EØS giver den dataansvarlige databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af personlige oplysninger til tredjeland på vegne af den dataansvarlige.

 

Den dataansvarlige skal orienteres, inden databehandlere udskifter sine underdatabehandlere.

Den Dataansvarlige har dog kun ret til at protestere imod en ny underdatabehandler, som behandler personlige oplysninger på vegne af den dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning.

I en sådan situation skal databehandleren demonstrere overensstemmelse ved at give den dataansvarlige adgang til databehandlerens databeskyttelsesvurdering af underdatabehandleren. Hvis der stadig er uenighed om anvendelsen af underdatabehandleren kan den dataansvarlige opsige sit abonnement på App´en med det normale opsigelsesvarsel dog regnet fra den dato hvor uoverensstemmelsen konstateres.

6.: Sikkerhed

Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og services, hvilket sikres ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger.

Endvidere har itn|vision gruppen interne databeskyttelses regler til formål at sikre fortrolighed, sikkerhed og kvalitet i adgangen til Personlige oplysninger.

De følgende foranstaltninger er særligt væsentlige:
6.1.: Klassificering af personlige oplysninger for at sikre implementering af sikkerhedsforanstaltninger relevante i forhold til risikovurderinger.

6.2.: Vurdering af anvendelse af kryptering som risikoreducerende faktorer

6.3.: Begrænse adgangen til personlige oplysninger for de personer, der skal til for at overholde krav og forpligtelser i aftalen eller i henhold til parternes aftale om anvendelse af App´en.

6.4.: Udvikling, drift og implementering af systemer der kan opdage, genoprette, imødegå og rapportere hændelser i forhold til sikkerhed omkring personlige oplysninger.

6.5.: Kortlægge sikkerhedsstrukturen samt hvordan personlige oplysninger overføres imellem Parterne.

6.6.: Foretage vurdering af eget sikkerhedsniveau for at sikre, at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af personlige oplysninger.

7.: Adgang til revision

Den dataansvarlige er berettiget til at igangsætte en revision af databehandlerens forpligtelser i henhold til aftalen én gang årligt.

Den dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato, minimum fire uger forud for den foreslåede startdato.

Det skal besluttes i fællesskab mellem parterne, hvis en tredjepart skal foretage revisionen.

Imidlertid kan den dataansvarlige lade databehandleren bestemme, at revisionen af sikkerhedsårsager skal foretages af en neutral tredjepart efter databehandlerens valg, såfremt der er tale om et behandlingsmiljø hvor flere dataansvarliges data er anvendt.

 

Hvis det foreslåede omfang for revisionen følger en lignende revision foretaget af en anden dataansvarlig inden for de forudgående tolv måneder, regnet fra startsdatoen for revisionen og databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den dataansvarlige der begærer revisionen acceptere den tidligere  revision i stedet for at anmode om en ny revision.

Under alle omstændigheder skal revision finde sted i normal kontortid på den relevante facilitet i overensstemmelse med databehandlerens anvisning og må ikke på urimelig vis forstyrre databehandlerens sædvanlige daglige aktiviteter.

Den dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens assistance i forbindelse med revisionen som overskrider den almindelige service som databehandleren skal stille til rådighed, afregnes særskilt.

8.: Varighed og ophør

Aftalen er gældende, så længe databehandleren behandler personlige oplysninger på vegne af den dataansvarlige i forbindelse med den dataansvarliges brug af App´ene.

Aftale vil automatisk ophøre ved udgangen af den dataansvarliges opsigelsesperiode i forhold til abonnement på App´en.

Ved ophør af abonnementet vil databehandleren efter 60 måneder slette alle Personlige oplysninger, som databehandleren har behandlet på vegne af den dataansvarlige.

Såfremt den dataansvarlige ønsker data returneret på et tidspunkt i opbevaringsperioden og ønsker bistand til returnering af data, fastsættes omkostninger forbundet hermed i fællesskab af parterne og omkostningerne skal baseres på:

8.1.: timetakster for databehandlerens anvendte tid

8.2.: kompleksiteten af den anmodede proces og

8.3.: det valgte format.

Databehandleren er berettiget til at beholde personlige oplysninger efter ophør af aftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i aftalen.

9.: Ændringer

Ændringer til aftalen vil fremgå af aftalens versionsnummer.

Det sidste versionsnummer vil være den til en hver tid gældende aftale.

10.: Ansvar

Ansvar for handlinger i strid med bestemmelserne i denne aftale reguleres af ansvars- og erstatningsbestemmelser i Abonnementsvilkårene for App’en.

Dette gælder ligeledes for enhver overtrædelse, som foretages af databehandlerens underdatabehandlere.

11.: Lovvalg og værneting

Aftalen er underlagt dansk ret og enhver tvist skal forelægges en dansk domstol med hjemsted i Aalborg.

Bilag A – Kategorier af Personoplysninger og Registrerede

Kategorier af Registrerede og Personlige oplysninger som behandles i henhold til Aftale

a. Kategorier af Registrerede:

  1. Den Dataansvarliges slutbrugere
  2. Den Dataansvarliges medarbejdere
  3. Den Dataansvarliges kontaktpersoner
  4. Den Dataansvarliges kunder og kunders slutbrugere
  5. Den Dataansvarliges kunders medarbejdere
  6. Den Dataansvarliges kunders kontaktpersoner
  7. Evt.

b. Kategorier af Personoplysninger

  1. Navn
  2. Titel
  3. Telefonnummer
  4. E-mail
  5. Adresse
  6. CPR-nummer via EAN-fakturering (behandles som fortrolig oplysning)
  7. Evt.
Kategorier af følsomme personlige oplysninger 

Databehandleren kan på vegne af den dataansvarlige behandle én eller flere af nedenstående informationer om:
– Politisk, filosofisk eller religiøs overbevisning

– Fagforeningsmæssige tilhørsforhold

– Race eller etnisk oprindelse

– Helbredsoplysninger

– Oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering

– Genetiske eller biometriske data med det formål entydigt at identificere en fysisk person