1. Indledning
1.1. ITJ Consults databehandleraftale (“Databehandleraftalen”) regulerer behandlingen af personoplysninger foretaget af ITJ Consult, CVR nr. 38120689 (“Databehandleren”) på vegne af kunden (den “Dataansvarlige”).
2. Baggrund
2.1. Den Dataansvarlige har indgået en abonnementsaftale med Databehandleren i forbindelse med levering af en driftsydelse (“Tjenesten”), som er nærmere beskrevet i de relevante servicebetingelser (“Hovedaftalen”).
2.2. Databehandleren foretager, i den forbindelse, behandling af personoplysninger på vegne af den Dataansvarlige.
3. Formål
3.1. Databehandleraftalen har til formål at sikre, at Databehandleren til enhver tid overholder gældende dansk og europæisk persondatalovgivning i forbindelse med behandlingen af personoplysninger, herunder Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (“databeskyttelsesforordningen”).
4. Omfang
4.1. Databehandleraftalen omfatter alle aspekter af Tjenesten, samt alle typer personoplysninger, som i kraft af Tjenesten overlades til Databehandleren af den Dataansvarlige.
4.2. Personoplysninger fra den Dataansvarlige, som indsamles og behandles i forbindelse med den Dataansvarliges anvendelse af Databehandlerens webside eller supportportal, samt i forbindelse med aftaler om køb af varer, tjenester eller ydelser indgået med Databehandleren, reguleres ikke af Databehandlerenaftalen da Databehandleren er dataansvarlig for disse personoplysninger, og deres indsamling og behandling er derfor underlagt Databehandlerens persondatapolitik.
5. Databehandleren
5.1. Databehandlerens drift og leverance af Tjenesten indebærer behandling af personoplysninger som den Dataansvarlige er ansvarlig for, og Databehandleren bemyndiges hermed til at foretage denne behandling.
5.2. Databehandleren overholder til enhver tid databeskyttelsesforordningen samt dansk og europæisk persondatalovgivning i bredere forstand.
5.3. Databehandleren må på intet tidspunkt udlevere personoplysninger fra den Dataansvarlige til en tredjepart uden forudgående skriftlig samtykke fra den Dataansvarlige, medmindre der af dansk eller europæisk lovgivning, eller af en bindende domstols- eller myndighedsafgørelse fremgår et krav om udlevering af personoplysninger fra den Dataansvarlige.
5.4. Såfremt dansk eller europæisk lovgivning, eller en bindende domstols- eller myndighedsafgørelse pålægger Databehandleren at udlevere personoplysninger fra den Dataansvarlige til en tredjepart, underretter Databehandleren den Dataansvarlige om dette retlige krav inden udleveringen af personoplysningerne finder sted, medmindre det pågældende retlige krav forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. databeskyttelsesforordningens artikel 28, stk. 3, litra a.
5.5. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige med overholdelse af dennes forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III. Databehandleren er berettiget til kompensation fra den Dataansvarlige for udgifter, det værende anvendte timer, midler og evt. gebyrer eller honorarer betalt til underdatabehandlere, som bistanden til den Dataansvarlige måtte indebære.
5.6. Ved anmodning om indsigt i de behandlede personoplysninger fra en registreret skal Databehandleren, uden unødig forsinkelse, videregive anmodningen til den Dataansvarlige.
6. Den Dataansvarlige
6.1. Den Dataansvarlige har overfor omverden (herunder de registrerede) ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen samt dansk og europæisk persondatalovgivning i bredere forstand.
6.2. Ydermere er den Dataansvarlige forpligtet til at sikre, at der foreligger hjemmel til den behandling af personoplysninger som Databehandleren instrueres i at foretage, samt at vilkårene i Hovedaftalen overholdes.
7. Geografisk afgrænsning
7.1. Personoplysninger der behandles af Databehandleren eller dennes underdatabehandlere i relation til Tjenesten, jf. pkt. 9.1, må alene foretages indenfor den Europæiske Union (EU) og det Europæiske Økonomiske Samarbejdsområde (EØS).
7.2. Databehandleren må på intet tidspunkt lade behandlingen af personoplysninger, der er overladt til Databehandleren af den Dataansvarlige via Tjenesten, foregå udenfor den Europæiske Union (EU) og det Europæiske Økonomiske Samarbejdsområde (EØS), medmindre det kræves i henhold til dansk eller europæisk lovgivning.
7.3. Såfremt dansk eller europæisk lovgivning pålægger Databehandleren at foretage behandling af personoplysningerne udenfor den Europæiske Union (EU) og det Europæiske Økonomiske Samarbejdsområde (EØS), underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandlingen foretages, medmindre det pågældende retlige krav forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. databeskyttelsesforordningens artikel 28, stk. 3, litra a.
8. Instruks
8.1. Den primære behandling af personoplysninger, som foretages af Databehandleren består af lagring af data som den Dataansvarlige overlader til Databehandleren via Tjenesten, samt facilitering af de af Tjenestens funktioner som den Dataansvarlige gør brug af.
8.2. De af Tjenestens funktioner, som ikke vedrører lagring og håndtering af data overladt af den Dataansvarlige via Tjenesten udgør en sekundær behandling af personoplysningerne, det værende, eksempelvis, DNS-records og fremsendelse notifikationer om diverse begivenheder eller hændelser.
8.3. Den Dataansvarliges primære instruks til Databehandleren udgøres derfor af den Dataansvarliges anvendelse af Tjenesten og dennes funktioner.
8.4. Tjenesten kan ikke ændres i et omfang, som medfører at den Dataansvarliges instruks til Databehandleren ændres uden den Dataansvarliges forudgående godkendelse.
8.5. Databehandleren må kun behandle personoplysningerne i det omfang, der er nødvendigt for at muliggøre Tjenestens drift, funktionalitet og levering, medmindre der foreligger anden dokumenteret instruks fra den Dataansvarlige, eller hvis dansk eller europæisk lovgivning pålægger Databehandleren at foretage yderligere eller anden behandling af personoplysningerne.
8.6. Såfremt dansk eller europæisk lovgivning pålægger Databehandleren at foretage yderligere eller anden behandling af personoplysningerne uden instruks fra den Dataansvarlige, underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandlingen foretages, medmindre det pågældende retlige krav forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. databeskyttelsesforordningens artikel 28, stk. 3, litra a.
8.7. Hvis den Dataansvarlige ønsker at anmode om en anden form for behandling af personoplysningerne, som ikke relaterer til Tjenestens drift, funktionalitet og levering, skal den Dataansvarlige give en skriftlig og tydeligt dokumenteret instruks til Databehandleren.
8.8. Databehandleren kan alene foretage behandling af personoplysningerne ud fra dokumenterede instrukser fra den Dataansvarlige. Ydermere skal Databehandleren sikre, at personoplysninger overladt af den Dataansvarlige via Tjenesten ikke benyttes til formål, eller behandles på måder som ikke fremgår af den Dataansvarliges instruks.
8.9. Databehandleren underetter omgående den Dataansvarlige, hvis en instruks, efter Databehandlerens opfattelse, er i strid med databeskyttelsesforordningen eller andre bestemmelser i dansk eller europæisk persondatalovgning.
9. Underdatabehandlere
9.1. Databehandleren må overlade dele af behandlingen af personoplysninger, som foretages på vegne af den Dataansvarlige til en tredjepart (”underdatabehandler”), forudsat det ikke vedrører den primære behandling, jf. pkt. 8.1 og pkt. 8.2, samt at betingelserne i Databehandleraftalen er opfyldt.
9.2. Databehandleren skal indgå skriftlige databehandleraftaler med underdatabehandlerne, hvori underdatabehandlerne pålægges de samme forpligtelser, som påhviler Databehandleren i medfør af databeskyttelsesforordningen og Databehandleraftalen.
9.3. Databehandleren er ansvarlig overfor den Dataansvarlige for den behandling af personoplysninger, som overlades til underdatabehandlere på samme vis som var behandlingen foretaget af Databehandleren selv.
9.4. Den Dataansvarlige giver hermed forudgående skriftlig godkendelse til at Databehandleren benytter følgende underdatabehandlere:
| Virksomhed | Land | Funktion |
|---|---|---|
| UnoEuro Danmark A/S | Danmark | DNS & SMTP |
9.5. Ydermere giver den Dataansvarlige forudgående skriftlig godkendelse til, at Databehandleren kan foretage udskiftninger af underdatabehandlere, forudsat at nye underdatabehandlere overholder tilsvarende betingelser, som stilles til eksisterende underdatabehandlere.
9.6. Ved skriftlig anmodning fra den Dataansvarlige fremsender Databehandleren en kopi af databehandleraftalerne, som er indgået med underdatabehandlerne.
9.7. Databehandleren orienterer løbende den Dataansvarlige om sin anvendelse af underdatabehandlere via en let tilgængelig ”Compliance”-sektion på Databehandlerens webside.
9.8. Foretager Databehandleren udskiftninger i blandt underdatabehandlerne retter Databehandleren direkte skriftlig henvendelse til den Dataansvarlige via e-mail.
9.9. Såfremt den Dataansvarlige ønsker at gøre indsigelse imod en varslet udskiftning af underdatabehandlere, jf. pkt. 9.8, skal den Dataansvarlige skriftligt fremsætte en sagligt begrundet indsigelse overfor Databehandleren senest 14 dage efter at være blevet orienteret.
9.10. Hvis Databehandleren ikke kan efterkomme den Dataansvarliges indsigelse meddeles dette til den Dataansvarlige ved førstkommende lejlighed, hvorefter den Dataansvarlige har ret til at opsige den til Tjenesten relaterede abonnementsaftale med 30 dages varsel.
10. Datasikkerhed
10.1. Databehandleren implementerer de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32 med henblik på at sikre, at personoplysninger ikke, på hændelig eller ulovlig vis, tilintetgøres, fortabes, ændres, misbruges, kommer til uvedkommendes kendskab eller på anden vis behandles i strid med dansk og europæisk persondatalovgivning.
10.2. Implementeringen af sikkerhedsforanstaltninger sker under hensyn til det aktuelle sikkerhedsniveau, implementeringsomkostningerne, den aktuelle behandlings karakter, omfang, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
10.3. Ved skriftlig anmodning fra den Dataansvarlige fremsender Databehandleren dokumentation for de implementerede sikkerhedsforanstaltninger.
10.4. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige med overholdelse af dennes forpligtelser i henhold til databeskyttelsesforordningens artikel 32 – 36.
10.5. Såfremt den Dataansvarlige kræver yderligere bistand end, hvad der er indbefattet af Databehandlerens almindelige praksis for at sikre overholdelse af databeskyttelsesforordningens artikel 32 – 36, er Databehandleren berettiget til kompensation fra den Dataansvarlige for udgifter, det værende anvendte timer, midler og evt. gebyrer eller honorarer betalt til underdatabehandlere, som bistanden til den Dataansvarlige måtte indebære.
11. Sikkerhedsbrud
11.1. Såfremt Databehandleren bliver bekendt med et brud på datasikkerheden, hvorved forstås et brud på sikkerheden, som kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, er Databehandleren forpligtet til at identificere sikkerhedsbruddet, begrænse potentielle skader, og om muligt forsøge at gendanne evt. mistede eller beskadigede data.
11.2. Databehandleren er ydermere forpligtet til, uden unødig forsinkelse, at underrette den Dataansvarlige om bruddet på datasikkerheden, og, i det omfang det er muligt, give en skriftlig orientering til den Dataansvarlige indeholdende:
- En beskrivelse af karakteren af sikkerhedsbruddet, herunder kategorierne og det omtrentlige antal berørte registrerede og registreringer af personoplysninger.
- En beskrivelse af de sandsynlige konsekvenser af sikkerhedsbruddet.
- En beskrivelse af de foranstaltninger, som Databehandleren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere sikkerhedsbruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger.
11.3. Såfremt Databehandleren ikke har mulighed for at give den Dataansvarlige en samlet orientering, jf. pkt. 11.2, kan Databehandleren give en trinvis orientering, såfremt dette sker uden yderligere unødig forsinkelse.
11.4. Underdatabehandlere pålægges, ligeledes, at underrette Databehandleren om brud på datasikkerheden uden unødig forsinkelse.
12. Fortrolighed
12.1. Databehandleren skal sikre, at behandlingen af personoplysninger, som foretages på vegne af den Dataansvarlige foregår i fortrolighed, og er således alene berettiget til at anvende personoplysningerne i forbindelse opfyldelsen af sine forpligtelser overfor den Dataansvarlige.
12.2. Databehandleren skal tilse, at adgangen til personoplysningerne afgrænses til de personer, der er nødvendige for at Databehandleren kan opfylde sine forpligtelser overfor den Dataansvarlige.
12.3. Ydermere skal Databehandleren sikre, at de personer, der behandler personoplysningerne alene handler ud fra den Dataansvarliges instruks, i overensstemmelse med dansk og europæisk persondatalovgivning, samt at disse personer er underlagt en passende lovbestemt tavshedspligt.
12.4. Ved skriftlig anmodning fra den Dataansvarlige fremsender Databehandleren dokumentation for at de personer, der har adgang til personoplysningerne er underlagt en passende lovbestemt tavshedspligt.
13. Tilsyn
13.1. Databehandleren skal, ved skriftlig anmodning fra den Dataansvarlige eller en uafhængig tilsynsmyndighed, fremsende tilstrækkelig dokumentation for at den Dataansvarlige kan påvise Databehandlerens overholdelse af databeskyttelsesforordningens artikel 28, Databehandleraftalen, samt gældende dansk og europæisk persondatalovgivning.
13.2. Såfremt en anmodning fra den Dataansvarlige, jf. pkt. 13.1, vedrører den sekundære behandling foretaget af en eller flere underdatabehandlere, jf. pkt. 8.1 og 8.2, indhenter Databehandleren tilstrækkelig dokumentation fra de pågældende underdatabehandlere.
13.3. Den Dataansvarliges tilsyn med underdatabehandlerne sker gennem Databehandleren, og en anmodning om tilstrækkelig dokumentation fra en underdatabehandler fremsættes således overfor Databehandleren.
13.4. Databehandleren skal imødekomme den Dataansvarliges anmodning om tilstrækkelig dokumentation, jf. pkt. 13.1, indenfor rimelig tid, og senest efter 10 arbejdsdage.
13.5. Databehandleren skal, efter skriftlig anmodning fra den Dataansvarlige, tillade fysiske inspektioner foretaget af den Dataansvarlige eller en tredjepart udpeget af den Dataansvarlige, forudsat at parterne er forpligtet til at iagttage fortrolighed, og ikke har modsatrettede interesser.
13.6. Såfremt den Dataansvarlige ønsker at foretage fysiske inspektioner, jf. pkt. 13.5, skal den Dataansvarlige give Databehandleren et varsel herom på mindst 30 dage. Ydermere skal den Dataansvarlige skriftligt fremsætte en detaljeret beskrivelse af inspektionens omfang, varighed og startdato overfor Databehandleren.
13.7. Enhver omkostning relateret til tilsyn eller inspektioner afholdes af den Dataansvarlige. Databehandleren er berettiget til kompensation fra den Dataansvarlige for udgifter, det værende anvendte timer, midler og evt. gebyrer eller honorarer betalt til underdatabehandlere, som tilsyn eller inspektioner foretaget af Dataansvarlige måtte indebære.
14. Tilbagelevering
14.1. I det omfang at den Dataansvarlige ikke allerede er i besiddelse af de behandlede personoplysninger ved Databehandleraftalens ophør er Databehandleren forpligtet til, så vidt muligt, at tilbagelevere alle personoplysninger, der er behandlet i medfør af Databehandleraftalen.
14.2. Tilbageleveringen foregår efter Databehandlerens almindelige praksis, forudsat at denne er i overensstemmelse med Databehandleraftalens bestemmelser om datasikkerhed, det værende pkt. 10.1 – 10.5.
14.3. Såfremt den Dataansvarlige ikke ønsker de behandlede personoplysninger tilbageleveret skal den Dataansvarlige give en skriftlig og tydeligt dokumenteret instruks til Databehandleren om sletning af personoplysningerne.
15. Sletning
15.1. Databehandleren er forpligtet til at slette alle personoplysninger fra den Dataansvarlige, samt kopier heraf, ved Databehandleraftalens ophør, medmindre der af dansk eller europæisk lovgivning fremgår et krav om yderligere opbevaring af personoplysningerne.
15.2. Nærmere bestemmelser om sletning af personoplysningerne, samt kopier heraf, fastsættes i Hovedaftalen, og sker, som udgangspunkt, uden varsel eller advisering, dog senest 30 dage efter Databehandleraftalens ophør.
16. Varighed
16.1. Databehandleraftalen træder i kraft ved indgåelse af Hovedaftalen.
16.2. Databehandleraftalen kan ikke opsiges eller ophæves særskilt fra Hovedaftalen.
16.3. Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarlige, jf. pkt. 5.1, bortfalder ved Databehandlerens ophør.
16.4. Databehandleraftalens bestemmelser om fortrolighed, det værende pkt. 12.1 – 12.4, forbliver gyldige efter Databehandleraftalens ophør.
17. Forrang
17.1. Nærmere bestemmelser om opsigelse af abonnementsaftalen, ophør af Databehandleraftalen, ansvar, force majeure, værneting m.m. fastsættes i Hovedaftalen.
17.2. Såfremt der er modstrid mellem Hovedaftalen og Databehandleraftalen har bestemmelserne i Databehandleraftalen forrang, medmindre andet fremgår af Databehandleraftalen.