Databehandleraftale
DATABEHANDLER AFTALE
1 Parterne
Undertegnede parter
<kunden>
Herefter betegnet den ”Dataansvarlige”
og
ZimaOne Danmark ApS
Olaf Ryes Gade 7K
6000 Kolding
Herefter betegnet ”Databehandleren”
Kunden og Leverandøren refereres desuden hver for sig til som Part og sammen som Parterne
2 BAGGRUND OG FORMÅL
2.1 Parterne har indgået nærværende Aftale med henblik på Parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/E F (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en Databehandleraftale.
2.2 Databehandleren tilbyder en Cloud-baseret applikation, der markedsføres under navnet ZIMAONE (i denne Databehandleraftale refereret til som “Applikationen”), som via selvbetjening giver den Dataansvarlige mulighed for at oprette projektwebs- udbuds portaler med tilhørende funktionaliteter til deling af information, filer, dokumenter og anden projekt og udbuds relateret data.
2.3 Databehandleraftalen er indgået som supplement til og som en konsekvens af den mellem Parterne indgåede abonnementsaftale (“Abonnementsaftalen”) om den Dataansvarliges brug af Applikationen.
2.4 Databehandleren fungerer som databehandler for den Dataansvarlige, idet Databehandleren behandler personlige oplysninger for den Dataansvarlige og dennes medarbejdere og brugere. Ved personlige oplysninger forstås oplysninger om en identificeret eller identificerbar fysisk person, jf. Artikel 4, stk. 1, i forordning (EU) 2016/679 af 27. april 2016 (Generaldirektoratet for Databeskyttelse “GDPR”).
2.5 Databehandleraftalen og Abonnementsaftalen er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige Abonnementsaftalen – erstattes af en anden gyldig Databehandleraftale.
2.6 Denne Databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre Aftaler mellem Parterne, herunder i Abonnementsaftalen.
3 BEHANDLING AF PERSONOPLYSNINGER
3.1 Databehandleren er instrueret til kun at behandle personoplysninger med det formål at levere de ydelser, der er angivet i Abonnementsaftalen. Databehandleren må ikke behandle eller anvende personlige data fra den Dataansvarlige til andre formål end fastsat i instruktionerne, herunder overførsel af personoplysninger til tredjelande eller til en international organisation, medmindre Databehandleren modtager skriftlig instruks om det fra den Dataansvarlige, eller er forpligtet til at gøre det i henhold til EU- eller medlemsstaternes lovgivning. I så fald skal Databehandleren skriftligt informere den Dataansvarlige om et sådant lovkrav inden behandlingen, medmindre den relevante lovgivning forbyder sådan oplysninger af hensyn til vigtige samfundsmæssig interesser, jf. GDP R, Artikel 28, stk. 3, litra a. Uanset foranstående bestemmelse kan Databehandleren behandle og/eller anvende personlige data om den enkelte registrerede person til sådanne andre formål, som er tilladt af den registrerede.
3.2 Uanset bestemmelsen i pkt. 3.1 bemærkes, at Applikationen er en Cloud-baseret Applikation, som bruges ved den Dataansvarliges selvbetjening. Databehandlerens ansvar er således begrænset til at sikre, at Applikationen ikke i sig selv medfører dataindsamling, behandling eller opbevaring, der er i strid med gældende lovgivning, bortset fra i det omfang andet fremgår af Abonnementsaftalen eller af denne Aftale, men er ikke ansvarlig for den Dataansvarliges eller dennes medarbejderes eller brugeres faktiske brug af Applikationen, herunder hvis sådan brug sker i strid med gældende ret eller i strid med Abonnementsaftalen eller denne Aftale. Behandlingen af persondata skal kun ske i et teknologisk miljø, som er under den Dataansvarliges, Databehandlerens og/eller underleverandørers kontrol.
3.3 Hvis den Dataansvarlige på anden måde har givet tilladelse til overførsel af personoplysninger til et tredjeland eller til internationale organisationer, skal Databehandleren sikre, at der er et retsgrundlag for overførslen.
3.4 Den Dataansvarliges instruks om, at der skal eller må foretages overførsel af personoplysninger til et tredjeland, skal fremgå af Bilag til Aftalen eller i en separate skriftlig instruks fra den Dataansvarlige til Databehandleren. Overførsel skal i sådanne tilfælde ske for den Dataansvarliges regning, risiko og ansvar.
3.5 Hvis Databehandleren anser en instruktion fra den Dataansvarlige for at være i strid med GDPR eller andre bestemmelser om databeskyttelse i EU eller i medlemsstaterne, skal Databehandleren omgående underrette den Dataansvarlige om dette.
4 DATABEHANDLERENS ALMINDELIGE FORPLIGTELSER
4.1 Databehandleren skal sikre, at personer, der er beføjet til at behandle personoplysningerne, har forpligtet sig til fortrolighed, eller er under en passende lovbestemt fortrolighedsforpligtelse.
4.2 Databehandleren skal iværksætte passende tekniske og organisatoriske foranstaltninger for at forhindre, at de behandlede personoplysninger
ved et uheld eller ulovligt ødelagt, tabes eller ændres
offentliggøres eller stilles til rådighed uden tilladelse, eller
på anden måde behandles i strid med gældende love, herunder GDPR.
4.3 Databehandleren skal også overholde de særlige datasikkerhedskrav, der gælder for Databehandleren og andre gældende datasikkerhedskrav, der direkte er pålagt Databehandleren; herunder datasikkerhedskravene i Databehandlerens hjemland eller i det land, hvor databehandlingen skal udføres.
4.4 De relevante tekniske og organisatoriske sikkerhedsforanstaltninger skal fastlægges under behørig hensyntagen til
(i) de aktuelle standarder
(ii) omkostningerne ved deres gennemførelse, og
(iii) arten, omfanget, sammenhænget og formålet med databehandlingen, samt risikoen for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder.
4.5 Databehandleren skal efter anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at den Dataansvarlige kan sikre, at Databehandlerens forpligtelser i henhold til Aftalen overholdes, herunder at de relevante tekniske og organisatoriske sikkerhedsforanstaltninger er gennemført.
4.6 Såfremt den Dataansvarlige stiller krav om, at Databehandleren skal fremsende en revisionsrapport fra en uafhængig ekspert om Databehandlerens overholdelse af datasikkerhedskravene i henhold til Aftalen, skal Databehandleren foranledige at dette sker senest med udgangen af februar hvert år for perioden til og med december det foregående år. Revisionsrapporten skal, efter Databehandlerens valg, udarbejdes på grundlag af en anerkendt standard for sådanne revisionsrapporter. Endvidere skal rapporten bekræfte, at Databehandleren har alle de nødvendige myndighedsgodkendelser, der er nødvendige for at udføre databehandlingsopgaverne.
Omkostningerne ved indhentelse af den af den Dataansvarlige krævede revisionsrapport skal afholdes af den Dataansvarlige.
4.7 Databehandleren skal give oplysninger vedrørende levering af ydelserne til myndigheder eller Databehandlerens eksterne rådgivere, herunder revisorer, hvis dette er nødvendigt for udførelsen af deres opgaver i overensstemmelse med EU- eller medlemsstatslovgivningen.
4.8 Databehandleren skal give myndigheder, som i henhold til EU- eller medlemsstatslovgivning har ret til at få adgang til Databehandlerens eller Databehandlerens underleverandørers faciliteter, eller repræsentanter for myndighederne, adgang til Databehandlerens fysiske faciliteter mod forevisning af behørig legitimation.
4.9 Databehandleren skal uden unødig forsinkelse, efter at have fået kendskab til de faktiske oplysninger, skriftligt underrette den Dataansvarlige om:
(i) enhver anmodning fra myndigheder om offentliggørelse af personoplysninger behandlet i henhold til Aftalen, medmindre det udtrykkeligt er forbudt i henhold til EU- eller medlemsstaternes lovgivning at give sådan underretning,
(ii) enhver form for mistanke om eller konstatering af (a) brud på sikkerheden, der resulterer i utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret offentliggørelse eller adgang til personlige data, der overføres, opbevares eller på anden måde behandles af Databehandleren i henhold til Aftalen eller (b) anden manglende overholdelse af Databehandlerens forpligtelser i henhold til pkt. 4.4 og pkt. 4.5 eller
(iii) enhver anmodning om adgang til personoplysningerne, modtaget direkte fra de registrerede eller fra tredjemand.
4.10 Under hensyntagen til databehandlingens art skal Databehandleren straks bistå den Dataansvarlige med håndtering af anmodninger fra registrerede ifølge kapitel III i GDPR, herunder anmodninger om adgang, rettelse, blokering eller sletning. Databehandleren skal også bistå den Dataansvarlige ved at gennemføre passende tekniske og organisatoriske foranstaltninger til opfyldelse af den Dataansvarliges forpligtelse til at reagere på sådanne anmodninger.
4.11 Databehandleren skal bistå den Dataansvarlige med at opfylde de øvrige forpligtelser, der måtte påhvile den Dataansvarlige i henhold til EU- eller medlemsstatslovgivning, hvor bistanden fra Databehandleren er underforstået, og hvor bistand fra Databehandleren er nødvendig for den Dataansvarlige for at denne kan overholde sine forpligtelser. Dette omfatter, men er ikke begrænset til, på anmodning at give den Dataansvarlige alle nødvendige oplysninger om en hændelse i henhold til pkt. 4.9 (ii) og alle nødvendige oplysninger til en konsekvensanalyse i overensstemmelse med artikel 35 og 36 i GDPR.
4.12 Databehandleren har i eller via Tillæg 1 i denne Aftale, angivet anvendte underleverandører, og den fysiske placering af servere, der anvendes til at levere databehandlingsydelserne. Databehandleren forpligter sig til at holde oplysningerne om den fysiske placering opdateret med en (1) måneds forudgående skriftlig meddelelse til den Dataansvarlige i tilfælde af ændringer. Ændring af fysisk placering kræver ikke formel ændring af Tillæg 1 forudgående skriftlig meddelelse via mail eller e-mail er tilstrækkelig.
4.13 Såfremt den Dataansvarlige eller en eller flere af dennes medarbejdere fremsætter krav derom, skal Databehandleren slette alle personoplysninger om de enkelte medarbejdere eller brugere. Databehandleren er dog, trods krav om sletning, berettiget til fortsat at opbevare og behandle sådanne personoplysninger ifølge bestemmelserne i pkt. 10.9, ligesom sletning ikke vil omfatte oplysninger, der er gemt på backup lagre som del af Databehandlerens sædvanlige backup procedurer, forudsat at sådanne backup lagre ikke er umiddelbart tilgængelige for Databehandlerens personale og underleverandører.
5 DEN DATAANSVARELIGES ALMINDELIGE FORPLIGTELSER
5.1 Den Dataansvarlige er dataansvarlig og Databehandleren er databehandler i henhold til GDPR i forhold til de oplysninger som den Dataansvarlige og/eller dennes medarbejdere/brugere indlæser/overfører til Databehandleren ved brug af Applikationen, jf. pkt. 3.2.
5.2 Den Dataansvarlige har overfor omverdenen (herunder de registrerede) ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af GDPR, medmindre andet er fastsat i GDPR, medlemsstatslovgivning eller i denne Aftale.
5.3 Den Dataansvarlige er ansvarlig for, at der foreligger hjemmel til den persondatabehandling, som Databehandleren instrueres i at foretage på vegne den Dataansvarlige. Det er den Dataansvarlige ansvar til enhver tid at sikre, at den Dataansvarliges medarbejdere har givet det fornødne samtykke til Databehandlerens modtagelse, behandling og opbevaring af personoplysninger, samt at sikre, at de til Databehandleren overførte oplysninger er korrekte og til enhver tid opdaterede.
5.4 Den Dataansvarliges medarbejdere eller brugere må – for så vidt angår oplysninger om dem selv – både via Databehandlerens hjemmeside og via den af Databehandleren tilbudte App, egenhændigt træffe beslutning om Databehandlerens behandling af personoplysninger til andre formål og på anden måde end det, som følger af denne Aftale.
5.5 Den Dataansvarlige er bekendt med – og er forpligtet til at gøre sine medarbejdere og brugere bekendt med – at Applikationen er en Cloud-baseret løsning, hvor Databehandleren gør brug af IT-systemer, herunder servere, der stilles til rådighed overfor databehandleren af tredjemand, og accepterer, at der i forbindelse med dataindsamling, databehandling og dataopbevaring ved brug af Applikationen sker overførsel af persondata til sådanne tredjemænd. De af Databehandleren p.t. anvendte tredjeparts-løsninger, hvortil der kan ske udveksling og behandling af persondata, fremgår af Tillæg 1.
5.6 Den Dataansvarlige er bekendt med og accepterer, at Applikationen tilbyder et åbent API (“Application Programming Interface”), som gør det muligt for andre at udvikle Apps (software-løsninger), der kan “tale” med Applikationen, herunder udveksle data på tværs af programmerne, således at den Dataansvarlige og dennes medarbejdere og brugere, udover de funktionaliteter, der er til rådighed i Applikationen, kan vælge også at gøre brug af funktionaliteter i sådanne andre Apps, der tilbydes af tredjemand.
Databehandleren udveksler ikke egenhændigt personoplysninger med sådanne tredjeparters Apps, men hvis den Dataansvarlige eller dennes medarbejdere- eller brugere vælger at installere og gøre brug af sådanne Apps fra tredjeparter, accepterer de samtidig, at de data, som Databehandleren har modtaget i forbindelse med brugen af Applikationen, helt eller delvist kan blive overført til databehandleren for de tilvalgte Apps.
Databehandleren er uden nogen form for ansvar for den pågældende App-leverandørs behandling og opbevaring af sådanne personoplysninger, idet der ved den Dataansvarliges eller dennes medarbejders accept af en tredjeparts App opstår et selvstændigt retsforhold mellem den Dataansvarlige og/eller den pågældende medarbejder på den ene side samt databehandleren af den pågældende App på den anden side.
5.7 Databehandleren er forpligtet til at udlevere alle data (filer og dokumenter) til dataansvarlig, hvis denne ønsker at rekvirere data-kopi. Databehandleren tager et gebyr for denne service på 1450 DKK ex. moms. Ved databehandlers eventuelt konkurs eller på anden måde databehandler ikke længere har adgang til dataansvarliges data, er konkursboet eller nye ejere ansvarlig for denne udlevering og kan afkræve gebyr herfor.
6 ANVENDELSE AF UNDERDATABEHANDLERE
6.1 Den Dataansvarlige accepterer, at Databehandleren er berettiget til at gøre brug af underleverandører til indhentelse, behandling og opbevaring af personoplysninger. Databehandleren er forpligtet til at sikre, at underdatabehandlernes behandling af personoplysninger opfylder kravene i denne Aftale. Dette inkluderer Databehandlerens verifikation af, at de sikkerhedsforanstaltninger, som er indført af underdatabehandleren som minimum sikrer samme grad af beskyttelse som den, der kræves af Databehandleren ifølge denne Aftale.
Såfremt den Dataansvarlige ønsker at modsætte sig brugen af de underleverandører, som Databehandleren har indgået Aftale med, er Databehandleren berettiget til at opsige Abonnementsaftalen med den Dataansvarlige, og denne Databehandleraftale.
6.2 Inden Databehandlerens antagelse af en underleverandør, skal Databehandleren indgå en skriftlig Aftale med underleverandøren, hvor mindst de samme databeskyttelsesforpligtelser som fastsat i Aftalen skal pålægges underleverandøren.
6.3 Databehandleren forbliver fuldt ansvarlig overfor den Dataansvarlige for underleverandørens opfyldelse af sine forpligtelser. At den Dataansvarlige har givet samtykke til Databehandlerens brug af underleverandører, berører ikke Databehandlerens forpligtelse til at overholde Aftalen.
7 FORTROLIGHED
7.1 Databehandleren skal opbevare personlige oplysninger fortroligt.
7.2 Databehandleren må ikke videregive personoplysningerne til tredjeparter eller tage kopier af personoplysninger, medmindre det er strengt nødvendigt for udførelsen af Databehandlerens forpligtelser over for den Dataansvarlige i henhold til Aftalen, og på betingelse af, at den som personoplysningerne videregives til, er fortrolig med oplysningernes fortrolige karakter og har accepteret at holde personoplysningerne fortrolige i overensstemmelse med denne Aftale.
7.3 Databehandleren skal begrænse adgangen til personoplysninger til medarbejdere og underleverandører, for hvem adgang til disse data er nødvendig for at opfylde Databehandlerens forpligtelser over for den Dataansvarlige.
Leverandøren er dog berettiget til fortsat at opbevare oplysningerne så længe og i det om fang det er nødvendigt for at kunne opfylde en kontrakt eller for at kunne opfylde en juridisk forpligtelse, samt for Leverandørens varetagelse af egne interesser, eksempelvis som dokumentation for opfyldelse af Leverandørens forpligtelser ifølge Abonnementsaftalen og/eller Databehandleraftalen.
7.4 Den Dataansvarlige skal holde de fortrolige oplysninger, der er modtaget af Databehandleren fortrolige, og må ikke på ulovlig måde anvende eller videregive fortrolige oplysninger.
8 ÆNDRINGER OG OVERDRAGELSE
8.1 Parterne kan til enhver tid aftale at ændre denne Aftale. Ændringer skal være skriftlige.
8.2 Databehandleren må ikke overdrage eller på anden måde overføre nogen af sine rettigheder eller forpligtelser i henhold til denne Aftale uden den Dataansvarliges forudgående skriftlige samtykke.
9 UNDERRETNING OM BRUD PÅ PERSONDATASIKKERHEDEN
9.1 Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige efter at være blevet bekendt med, at der er sket brud på persondatasikkerheden hos Databehandleren eller eventuelle underdatabehandlere. Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 48 timer efter at denne er blevet bekendt med sikkerhedsbruddet, således at den Dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.
9.2 Databehandleren skal – under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå den Dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden. Det kan betyde, at Databehandleren bl.a. skal hjælpe med at tilvejebringe nedenstående oplysninger, ifølge GDPR Artikel 33, stk. 3, til det ansvarlige datatilsyn:
(i) Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det om trentlige antal berørte registrerede samt kategorierne og det om trentlige antal berørte registreringer af personoplysninger.
(ii) Sandsynlige konsekvenser af bruddet på persondatasikkerheden.
(iii) Foranstaltninger, som er truffet eller foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
10 VARIGHED OG OPSIGELSE AF AFTALEN
10.1 Aftalen træder i kraft, når den er underskrevet af begge parter, og forbliver i kraft, indtil den opsiges af en af parterne.
Ved en Parts opsigelse eller ophævelse af Abonnementsaftalen, anses dette som en samtidig opsigelse, henholdsvis ophævelse, af denne Databehandleraftale, og ved opsigelse eller ophævelse af denne Databehandleraftale, anses dette som en samtidig opsigelse, henholdsvis ophævelse, af Abonnementsaftalen.
10.2 Hver part kan opsige Aftalen med 3 måneders skriftlig varsel.
10.3 Uanset Aftalens løbetid er Aftalen gældende, så længe Databehandleren behandler de personlige oplysninger, for hvilke den Dataansvarlige er dataansvarlig.
10.4 I tilfælde af Aftalens ophør skal Databehandleren, uanset årsag, levere de nødvendige overdragelsesydelser til den Dataansvarlige. Databehandleren er forpligtet til at hjælpe loyalt og så hurtigt som muligt med at overføre personoplysninger til en anden leverandør eller returnere dem til den Dataansvarlige, og er, uanset årsagen til Aftalens ophør, berettiget til vederlag for sådanne overdragelsesydelser.
10.5 På den Dataansvarliges anmodning skal Databehandleren straks overføre eller slette personlige data, som Databehandleren behandler for den Dataansvarlige, medmindre EU- eller medlemsstatslovgivningen kræver opbevaring af personoplysningerne.
10.6 Ved Databehandleraftalens ophør opbevarer Databehandleren de modtagne oplysninger, som er genereret via Applikationen på basis af de modtagne oplysninger i en periode på 6 måneder efter Databehandleraftalens ophør, hvorefter oplysningerne permanent slettes, jf. dog pkt. 10.9.
10.7 Ved Databehandleraftalens ophør er den Dataansvarlige berettiget til at modtage kopi af de til Databehandleren overførte personoplysninger. Oplysningerne skal leveres til den Dataansvarlige i det læsbare digitale format, som genereres af Applikationen.
10.8 Tilsvarende har den Dataansvarliges medarbejdere mulighed for til enhver tid at hente elektroniske kopier og/eller foretage fysiske download, som er genereret for hver af dem via brugen af Applikationen, dog således, at adgangen hertil ophører på det tidligste af følgende to tidspunkter: (i) 6 måneder efter Databehandleraftalens ophør, eller (ii) 6 måneder efter at den Dataansvarlige har meddelt Databehandleren, at den pågældende medarbejder er fratrådt sin stilling hos den Dataansvarlige.
10.9 Uanset bestemmelserne i pkt. 10.6 og/eller i pkt. 10.8 er Databehandleren berettiget til fortsat at opbevare personoplysningerne så længe og i det om fang det er nødvendigt for at kunne opfylde en kontrakt eller for at kunne opfylde en juridisk forpligtelse, samt for Databehandlerens varetagelse af egne interesser, eksempelvis som dokumentation for opfyldelse af databehandlerens forpligtelser ifølge Abonnementsaftalen og/eller Databehandleraftalen.
11 PRIORITET
11.1 Hvis nogen af bestemmelserne i Aftalen er i strid med bestemmelserne i nogen anden skriftlig eller mundtlig aftale indgået mellem Parterne, skal bestemmelserne i Aftalen have forrang. Kravene i Aftalens pkt. 4 gælder dog ikke i det omfang Parterne i en anden Aftale måtte have fastsat skærpede forpligtelser for Databehandleren. Endvidere finder Aftalen ikke anvendelse, hvis EU-Kommissionens Standard Kontraktbestemmelser for overførsel af personoplysninger til tredjelande er indgået, og sådanne bestemmelser indeholder strengere forpligtelser for Databehandleren og/eller dennes underleverandører.
11.2 Denne Aftale fastsætter ikke den Dataansvarliges vederlag til Databehandleren for Databehandlerens ydelser i henhold til Aftalen.
12 LOVVALG OG TVISTER
12.1 Denne Databehandleraftale og enhver tvist, der måtte udspringe heraf, er underlagt dansk ret, undtagen eventuel international privatretlig regulering.
12.2 Enhver tvist mellem Parterne, der udspringer af denne aftale, skal afgøres efter de tvistløsningsbestemmelser, som er fastsat i Abonnementsaftalen mellem Parterne.
Tillæg 1
Underleverandører- og tredjeparts systemer anvendt i Applikationen.
Datacenter og Hosting
Alle data er opbevaret i Danmark.
Navn
ManDrillApp.com: Levering af system mails/meddelelser
Gatewayapi.com: Levering af SMS meddelelser
Google.com: Kort Service
Google.com Analytics: Analyse og statistik
WorldWeatherOnline.com: Vejrudsigt
Timeanddate.com: Tid- og helligdage
Denne liste kan og vil udvides i takt med implementering af nye funktioner.
Den seneste liste kan altid ses på: www.zimaone.com/da/3-parts-apps