DATABEHANDLERAFTALE

VEDRØRENDE DEN DATAANSVARLIGES ANVENDELSE AF DATABEHANDLEREN DIGITAL CABS SYSTEMER OG SERVICES

Indgås hermed dags dato [Dato] mellem

Den Dataansvarlige

[Firmanavn]

CVR [CVR-nummer]

[Adresse]

[Postnummer og by]

[Land]

[Kontaktperson og kontaktinformationer]

og

Databehandleren

DIGITAL CAB ApS

CVR: 27135781

Lundtoftegårdsvej 95

2800 Kgs. Lyngby

Danmark

Kontakt: GDPR@digitalcab.dk

Begge parter bekræfter samtidig at de har fuldmagt til at indgå aftalen

 

1      Indhold

2      Baggrund for Databehandleraftalen

3      Den Dataansvarliges forpligtelser og rettigheder

4      Databehandleren handler efter instruks

5      Instruks vedrørende behandling af personoplysninger

6      Adgang til tilsyn og revision

7      Fortrolighed

8      Behandlingssikkerhed

9      Anvendelse af Underdatabehandlere

10    Bistand til den Dataansvarlige

11    Underretning om brud på persondatasikkerheden

12    Sletning og tilbagelevering af oplysninger

13    Ikrafttræden og ophør

 

2     BAGGRUND FOR DATABEHANDLERAFTALEN

Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.

Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes aftale indgået elektronisk via digitalcab.dk, hvor den dataansvarlige har tiltrådt ”DIGITAL CABs Almindelige Forretningsbetingelser” samt denne Databehandleraftale.

Databehandleraftalen og ”DIGITAL CABs Almindelige Forretningsbetingelser” er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige forretningsbetingelserne – erstattes af en anden gyldig databehandleraftale.

Databehandleraftalen opbevares elektronisk af begge parter.

Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.

3     DEN DATAANSVARLIGESFORPLIGTELSER OG RETTIGHEDER

Den Dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.

Den Dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.

Den Dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som Databehandleren instrueres i at foretage.

4     DATABEHANDLEREN HANDLER EFTER INSTRUKS

Denne Databehandleraftale udgør hermed den generelle og specifikke instruks fra den Dataansvarlige til Databehandleren og regulerer dermed Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.

Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

5     INSTRUKS VEDRØRENDE BEHANDLING AF PERSONOPLYSNINGER

Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er at den Dataansvarlige kan anvende Databehandlerens systemer og services, som ejes og administreres af Databehandleren som beskrevet i ”DIGITAL CABs Almindelige Forretningsbetingelser”.

Databehandleren indsamler personlige data for at sikre effektiv drift og sørge for at give den bedste ydelse med vores produkter og services.

Databehandleren indsamler ikke data som er omfattet af databeskyttelsesforordningens artikel 9 om ”Særlige kategorier af personoplysninger”.

De personlige data Databehandleren indsamler er:

  • Adresse
  • E-mailadresse eller e-mailadresser
  • IP nummer eller IP numre
  • Navn
  • Telefonnummer eller telefonnumre
  • Titel

Behandlingen omfatter følgende typer af personoplysninger om de registrerede:

  • Adresse
  • E-mailadresse eller e-mailadresser
  • IP nummer eller IP numre
  • Navn
  • Telefonnummer eller telefonnumre
  • Titel

Behandlingen omfatter følgende kategorier af registrerede:

  • Den Dataansvarliges kunders kontaktpersoner
  • Den Dataansvarliges kunders medarbejdere
  • Den Dataansvarliges kunder og kunders slutbrugere
  • Den Dataansvarliges kontaktpersoner
  • Den Dataansvarliges medarbejdere
  • Den Dataansvarliges slutbrugere

6     ADGANG TIL TILSYN OG REVISION

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne Aftale, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner.

Den Dataansvarlige kan igangsætte en revision af Databehandlerens forpligtelser én gang årligt. Hvis gældende lovgivning forpligter Databehandleren til revision oftere end én gang årligt er Databehandleren forpligtet til at følge lovgivningen.

Den Dataansvarlige skal i forbindelse med en anmodning om revision medsende en detaljeret revisionsplan med beskrivelse af omfang, varighed og med et varsel til startdatoen på minimum fire uger forud for den foreslåede startdato.

Den Dataansvarlige og Databehandleren beslutter i fællesskab, hvis en tredjepart skal foretage revisionen. Den Dataansvarlige kan lade Databehandleren bestemme at revisionen foretages af en neutral tredjepart efter Databehandlerens valg, idet der optræder flere Dataansvarliges data i Databehandlerens system.

Der er mellem parterne enighed om, at der kan anvendes revisionserklæringer som overholder ISO, ISAE eller lignende certificeringsrapporter.

Revisionserklæringen sendes snarest muligt efter indhentelsen til den Dataansvarlige til orientering.

Revision skal finde sted i normal kontortid på Databehandlerens adresse og planlægges så Databehandlerens sædvanlige kommercielle aktiviteter forstyrres mindst muligt.

Den Dataansvarliges eventuelle udgifter i forbindelse med et tilsyn afholdes af den Dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsagligt den tid), der er nødvendig for, at den Dataansvarlige kan gennemføre sit tilsyn.

Databehandlerens assistance i forbindelse med tilsynet, som ligger ud over kravene som følge af gældende databeskyttelseslovgivning, afregnes særskilt over for den Dataansvarlige.

Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation.

7     FORTROLIGHED

Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.

Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Databehandlerens forpligtelser overfor den dataansvarlige.

Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.

8     BEHANDLINGSSIKKERHED

Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Sikkerhedsniveauet skal som minimum afspejle, at der er tale om behandling af personoplysninger omfattet af databeskyttelsesforordningen.

Personoplysningerne klassificeres for at sikre implementering af sikkerhedsforanstaltninger relevante i forhold til en risikovurdering.

Ovenstående forpligtelse indebærer, at Databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:

  • Pseudonymisering og kryptering af personoplysninger
  • Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester
  • Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
  • En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed
  • Krypteret beskyttelse af data når de transmitteres herunder at data kun kan tilgås over internettet med et login
  • Begrænsning af adgangen til Personoplysninger til relevante personer

Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige sikkerhedsniveau omkring oplysningerne.

9     ANVENDELSE AF UNDERDATABEHANDLERE

Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (Underdatabehandler).

Denne aftale udgør den Dataansvarliges generelle og specifikke godkendelse af at Databehandleren, som en del af Databehandlerens systemer og services, gør brug af Underdatabehandlere for at kunne opfylde den aftalte service eller ordre mellem den Dataansvarlige og Databehandleren.

Hvis en Underdatabehandler er etableret udenfor eller personoplysninger opbevares udenfor EU giver den Dataansvarlige hermed Databehandleren hjemmel til at sikre et tilstrækkeligt grundlag for overførsel af personoplysninger til tredjeland på vegne af den Dataansvarlige, herunder ved anvendelse af EU Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield.

Databehandlerens Underdatabehandlere er vist på den altid opdaterede liste over Underdatabehandlere.

Databehandleren sørger for at pålægge Underdatabehandlerne de samme forpligtelser som dem, der er fastsat i denne Databehandleraftale.

Databehandleren er således ansvarlig for – igennem indgåelsen af en Underdatabehandleraftale – at pålægge en eventuel Underdatabehandler mindst de forpligtelser, som Databehandleren selv er underlagt efter databeskyttelsesreglerne og denne Databehandleraftale.

Den Dataansvarlige orienteres, hvis Databehandleren ønsker at udskifte eller tilføje en Underdatabehandler. Den Dataansvarlige kan kun modsætte sig den nye Underdatabehandler, som behandler personoplysninger på vegne af den Dataansvarlige, hvis Underdatabehandleren ikke overholder de samme gældende databeskyttelsesforpligtelser som er fastsat mellem den Dataansvarlige og Databehandleren.

Hvis Underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige Databehandler fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af Underdatabehandlerens forpligtelser. Den Dataansvarlige har adgang til Databehandlerens databeskyttelsesvurdering af Underdatabehandleren.

10  BISTAND TIL DEN DATAANSVARLIGE

Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

Dette indebærer, at Databehandleren så vidt muligt skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:

  • Oplysningspligten ved indsamling af personoplysninger hos den registrerede
  • Oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
  • Den registreredes indsigtsret
  • Retten til berigtigelse
  • Retten til sletning (»retten til at blive glemt«)
  • Retten til begrænsning af behandling
  • Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
  • Retten til dataportabilitet
  • Retten til indsigelse
  • Retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering

Databehandleren bistår den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. art 28, stk. 3, litra f.

Dette indebærer, at Databehandleren under hensyntagen til behandlingens karakter skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:

  • Forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
  • Forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den Dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
  • Forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
  • Forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
  • Forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen

11  UNDERRETNING OM BRUD PÅ PERSONDATASIKKERHEDEN

Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel Underdatabehandler.

Databehandleren skal, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige, bistå den Dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden.

Det kan betyde, at Databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den Dataansvarliges anmeldelse til tilsynsmyndigheden:

  • Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
  • Sandsynlige konsekvenser af bruddet på persondatasikkerheden
  • Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger

12  SLETNING OG TILBAGELEVERING AF OPLYSNINGER

Personoplysningerne opbevares hos Databehandleren, indtil den Dataansvarlige anmoder om at få oplysningerne slettet eller tilbageleveret. Databehandleren forbeholder sig dog ret til at slette den Dataansvarliges personoplysninger 90 dage efter den Dataansvarliges ophør som kunde og er ikke forpligtet til at opbevare den Dataansvarliges persondata efter dette tidspunkt, med mindre det er krævet ved lov.

13  IKRAFTTRÆDEN OG OPHØR

Databehandleraftalen træder i kraft den 25. maj 2018. Databehandleraftaler indgået efter 25. maj 2018 træder i kraft på datoen for Databehandleraftalens indgåelse.

Databehandleraftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.

Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er ikke tidsbegrænset og varer indtil aftalen opsiges eller ophæves af en af parterne. Behandlingen fortsætter til opsigelsesperiodens udløb.

Opsigelse af Databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af ”DIGITAL CABs Almindelige Forretningsbetingelser”.