Databehandleraftale
I forbindelse med EU's persondataforordning, som træder i kraft den 25. maj, har vi udarbejdet denne databehandleraftale.
Aftalen indeholder en række præciseringer af, hvordan vi som databehandler må og skal behandle personoplysninger fra vores kunder og kunders kunder.
For at indgå aftalen med os skal du indtaste følgende oplysninger om din virksomhed
NB. Mail sendes til E-mail adresse angivet i feltet E-mail.
Databehandleraftale
indgået mellem
| Firmanavn: | Bliver udfyldt med dine oplysninger |
| CVR-nr.: | Bliver udfyldt med dine oplysninger |
| Adresse: | Bliver udfyldt med dine oplysninger |
| Postnr. og by: | Bliver udfyldt med dine oplysninger |
| Dataansvarlig: | Bliver udfyldt med dine oplysninger |
| Dataansvarlig e-mail: | Bliver udfyldt med dine oplysninger |
| Dataansvarlig telefon: | Bliver udfyldt med dine oplysninger |
og
Seek4Cars A/S
CVR-nr.: 32 47 39 89
Østergade 23, 2. sal
9800 Hjørring
(”Seek4Cars”)
(Den Dataansvarlige og Seek4Cars kaldes tilsammen ”Parterne” og hver for sig en ”Part”)
BILAG TIL DATABEHANDLERAFTALEN
Bilag 1 Personoplysninger og kategorier
Bilag 2 Tekniske og organisatoriske sikkerhedskrav og garantier
Bilag 3 Underdatabehandlere
1. BAGGRUND OG FORMÅL
1.1 Denne databehandleraftale inkl. bilag (”Databehandleraftalen”) er indgået som en del af Parternes til enhver tid gældende Samhandelsaftale/Kontrakt/Leveranceaftale og senere indgåede tillægsaftaler (herefter samlet benævnt ”Hovedaftalen”). I den forbindelse behandler Seek4Cars personoplysninger (som beskrevet i bilag 1) på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne Databehandleraftale.
1.2 I tilfælde af konflikt mellem Hovedaftalen og Databehandleraftalen, har bestemmelserne i Databehandleraftalen forrang.
1.3 Databehandleraftalen har til formål at sikre, at Seek4Cars overholder den til enhver tid gældende persondataretlige regulering.
2. OMFANG
2.1 Seek4Cars bemyndiges til at fortage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
2.2 Seek4Cars må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”). Denne Databehandleraftale udgør Instruksen på underskriftstidspunktet.
2.3 Seek4Cars må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.
3. SEEK4CARS’ FORPLIGTELSER
3.1 Tekniske og organisatoriske sikkerhedsforanstaltninger
3.1.1 Seek4Cars har ansvaret for at gennemføre fornødne tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Seek4Cars skal bl.a. tage kategorien af personoplysninger beskrevet i bilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.
3.1.2 Seek4Cars skal uanset punkt 3.1.1 gennemføre de tekniske og organisatoriske sikkerhedsforanstaltninger som fremgår af bilag 2 til denne Databehandleraftale samt Hovedaftalen.
3.1.3 Seek4Cars vil så vidt muligt gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Seek4Cars’ behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.
3.2 Medarbejderforhold
3.2.1 Seek4Cars skal sikre, at medarbejdere, der behandler personoplysninger for Seek4Cars, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
3.2.2 Seek4Cars skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Seek4Cars’ forpligtelser over for den Dataansvarlige.
3.2.3 Seek4Cars skal sikre, at medarbejdere, der behandler personoplysninger for Seek4Cars, kun behandler disse i overensstemmelse med Instruksen.
3.3 Dokumentation for overholdelse af forpligtelser
3.3.1 Seek4Cars stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne Databehandleraftale til rådighed for den Dataansvarlige.
3.3.2 Seek4Cars giver mulighed for, og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige. Revisoren skal være generelt egnet til at udføre inspektioner og revisioner, og den Dataansvarliges valg af revisor skal forelægges Seek4Cars til godkendelse. Revision og inspektion kan kun finde sted efter forudgående varsel på minimum 4 uger og skal udføres så det sker til mindst mulig gene for Seek4Cars’ øvrige virksomhed.
3.3.3 Benyttes der en anden revisor end den Dataansvarlige selv, skal denne revisor være uafhængig og ikke-konkurrerende i forhold til Seek4Cars, og i øvrigt være underlagt fortroligheds- og tavshedspligt enten som følge af lov eller som følge af en fortrolighedsaftale, hvorpå Seek4Cars kan støtte ret direkte overfor den pågældende anden revisor.
3.3.4 Seek4Cars kan endvidere forlange, at den udpegede revisor underskriver en erklæring om at ville overholde Seek4Cars’ sikkerhedsforskrifter inden revision iværksættes.
3.3.5 Seek4Cars har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 3.3.
3.4 Sikkerhedsbrud
3.4.1 Seek4Cars skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
3.4.2 Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse og senest 72 timer efter, at Seek4Cars er blevet opmærksom på Sikkerhedsbruddet.
3.4.3 Seek4Cars skal vedligeholde en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende:
a) De faktiske omstændigheder omkring Sikkerhedsbruddet,
b) Sikkerhedsbruddets virkninger, og
c) De trufne afhjælpningsforanstaltninger.
3.4.4 Fortegnelsen skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne.
3.5 Bistand
3.5.1 Seek4Cars skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandleraftale, herunder ved:
a) besvarelser til registrerede ved udøvelse af disses rettigheder,
b) Sikkerhedsbrud,
c) konsekvensanalyser, og
d) forudgående høringer fra tilsynsmyndighederne.
3.5.2 Seek4Cars skal herunder fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang Seek4Cars er den nærmeste hertil.
3.5.3 Seek4Cars har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 3.5.
4. DEN DATAANSVARLIGES FORPLIGTELSER
4.1 Den Dataansvarlige har ansvaret for, at formålet med behandlingen af personoplysninger er lovligt og sagligt, og at der ikke overlades flere personoplysninger til Seek4Cars end nøvendigt til opnåelse af den Dataansvarliges formål med personoplysningerne.
4.2 Den Dataansvarlige er ansvarlig for, at der på tidspunktet for personoplysningernes overladelse til Seek4Cars eksisterer et gyldigt behandlingsgrundlag, herunder at et eventuelt samtykke er udtrykkeligt, frivilligt, utvetydigt og informeret. På Seek4Cars’ anmodning skal den Dataansvarlige skiftligt redegøre for/dokumentere behandlingsgrundlaget.
4.3 Den Dataansvarlige er forpligtet til at sikre sig at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering.
5. UNDERDATABEHANDLERE
5.1 Ved underskrivelsen af Databehandleraftalen godkender den Dataansvarlige, at Seek4Cars kan gøre brug af andre databehandlere (Underdatabehandlere) i forbindelse med Seek4Cars’ opfyldelse af sine forpligtelser efter Databehandleraftalen. Ved Databehandleraftalens indgåelse anvender Seek4Cars de i bilag 3 oplistede Underdatabehandlere. Inden tilføjelse eller erstatning af de i bilag 3 oplistede Underdatabehandlere underretter Seek4Cars den Dataansvarlige herom. Den Dataansvarlige skal inden for 5 (fem) dage meddele Seek4Cars, hvis den Dataansvarlige ønsker at gøre indsigelse mod tilføjelsen eller erstatning af Underdatabehandlere.
5.2 Udover det i pkt. 5.1 anførte er Seek4Cars ikke berettiget til at videregive personoplysninger til tredjeparter eller databehandlere uden den Dataansvarliges forudgående skriftlige instruks, medmindre sådan videregivelse eller overladelse følger af lovgivningen.
5.3 Seek4Cars skal, inden overførsel af personoplysninger til en Underdatabehandler, indgå en skriftlig databehandleraftale med Underdatabehandleren.
6. OVERFØRSEL TIL TREDJELANDE OG INTERNATIONALE ORGANISATIONER
6.1 Hvis personoplysningerne overføres til tredjelande, herunder Underdatabehandlere placeret udenfor EU/EØS, og/eller internationale organisationer skal det i nævnte databehandleraftale anføres, at det er den Dataansvarliges lands databeskyttelseslovgivning, der gælder for disse Underdatabehandlere og/eller internationale organisationer.
6.2 Seek4Cars skal i eget navn indgå skriftlige databehandleraftaler med Underdatabehandlere indenfor EU/EØS. For så vidt angår Underdatabehandlere udenfor EU/EØS skal Seek4Cars indgå standardaftaler i overensstemmelse med Kommissionens beslutning 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for overførsel af Personoplysninger til databehandlere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF ("Standardaftale"), senere versioner eller Kommissionsbeslutninger, som erstatter denne.
6.3 Den Dataansvarlige giver hermed Seek4Cars fuldmagt til at indgå Standardaftaler med Underdatabehandlere udenfor EU/EØS på den Dataansvarliges vegne og i den Dataansvarliges navn.
7. FORCE MAJEURE
7.1 Seek4Cars kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, hackerangreb, ransomware, virus, netnedbrud samt indtrædelse af force majeure hos underleverandører.
7.2 Ved force majeure er Parterne berettiget til at forlænge den aftalte levering eller ydelse. Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure-situationen varer, og det forudsættes, at den Part der påberåber sig force majeure skal gøre den anden Part opmærksom herpå uden ugrundet ophold.
7.3 Så snart hindringen er ophørt, er hver af Parterne forpligtet ifølge Databehandleraftalen.
8. FORTROLIGHED
8.1 Information vedrørende indholdet af denne Databehandleraftale, den anden Parts forretning, der enten i forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og diskretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige informationer.
8.2 Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentlig tilgængelig, uden dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende Parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller information, som selvstændigt er udviklet af den modtagende Part.
9. OPHØR
9.1 Opsigelse og ophævelse
9.1.1 Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i Hovedaftalen. Såfremt Hovedaftalen ikke angiver nærmere vilkår for opsigelse, kan Databehandleraftalen opsiges med 6 måneders varsel til udgangen af en måned.
9.1.2 Opsigelse eller ophævelse af denne Databehandleraftale kan alene ske ved – og berettiger til - samtidig opsigelse eller ophævelse af dele af Hovedaftalen, der vedrører behandling af personoplysninger i medfør af Databehandleraftalen.
9.2 Virkning af ophør
9.2.1 Seek4Cars’ bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens ophør, uanset årsag.
9.2.2 Seek4Cars må fortsat behandle personoplysningerne i op til seks måneder efter Databehandleraftalens ophør. I samme periode er Seek4Cars berettiget til at lade personoplysningerne indgå i Seek4Cars’ sædvanlige backupprocedure. Seek4Cars’ behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
9.2.3 Seek4Cars og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Seek4Cars har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Seek4Cars er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.
9.3 Uanset Databehandleraftalens ophør skal punkt 8 og 10 fortsat have virkning efter Databehandleraftalens ophør.
10. TVISTLØSNING
10.1 Reguleringen af tvistløsning, inkl. lovvalg og værneting, i Hovedaftalen finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.
10.2 I tilfælde af, at Hovedaftalen ikke tager stilling hertil, skal bestemmelserne i dette punkt 10 finde anvendelse på denne Databehandleraftale.
10.3 Databehandleraftalen er underlagt dansk ret med undtagelse af (a) regler, der fører til anvendelse af anden lov end dansk lov samt (b) FN konventionen om internationale løsørekøb (CISG).
10.4 Opstår der uoverensstemmelser i forbindelse med Databehandleraftalen eller dens gennemførelse, skal Parterne med en positiv, samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten. Om nødvendigt skal forhandlingerne søges løftet op på direktionsniveau i Parternes organisationer.
10.5 Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole med Retten i Hjørring som værneting.
BILAG 1
1. Personoplysninger
1.1 Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen:
a) Almindelige personoplysninger, herunder navn, adresse, telefonnummer, e-mail adresse, personfoto, arbejdsgiver, kørekortsnummer, stillingsbetegnelse, løn før og efter skat, rådighedsbeløb, boligform, voksne og børn i husstanden.
1.2 Kategorien af registrerede identificerede eller identificerbare fysiske personer omfattet af Databehandleraftalen:
b) Kunder
BILAG 2
TEKNISKE OG ORGANISATORISKE SIKKERHEDSKRAV
Dette bilag beskriver de sikkerhedsforanstaltninger, som Databehandleren har foretaget organisatorisk og teknisk i forbindelse med leveringen af tjenesteydelser til den Dataansvarlige:
Fysiske forhold:
Brand, strømafbrydelse, oversvømmelse m.v: Kontorserver forsynet med Uninterruptible Power Supply herefter UPS, således at data bliver gemt persistent ved strømafbrydelser. Kontorfaciliteter er forsynet med brandslukningsudstyr.
Adgangskontrol: Kontorfaciliteter er aflåst, kun mulig adgang med kode eller kodebrik i åbningstid. Udenfor åbningstid skal både kode og kodebrik benyttes.
Teknisk sikkerhed:
Firewalls og antivirus: Servere beskytter via firewall. IT-udstyr, hvor det er relevant, er beskyttet af antivirus funktionalitet.
Kryptering: Adgangskoder til logins krypteres med hashfunktioner, og er ikke muligt genskabe det originale kodeord.
Backup og genetablering: Der foretages daglige backups af alle data. Backupdata gennes i 14 kalenderdage. Data gemmes via Amazon services.
Dupleret drift: Driften er ikke dubleret.
Organisatorisk sikkerhed:
Adgangsrettigheder: Alle systemer er beskyttet af personlige brugerlogin og kodeord. Systemerne har en opdeling af brugeradgang, så enkelte brugere har begrænset adgang til funktionalitet og data.
Fortrolighed: Alle medarbejdere er underlagt tavshedspligt.
Logning: Fejl og serverbelastning logges. Alle opslag til hjemmesider/portal. Logbeskeder gemmes i 14 dage.
Fjernarbejdspladser: Der er fjernadgang til servere. Adgang til server ved Amazon er begrænset via IP-adresser, samt adgangskoder og brugernavn, og kun på specifikke porte. Adgang til kontorserver, er begrænset via brugerniveau, brugernavn og adgangskode.
BILAG 3
UNDERDATABEHANDLERE
| Underdatabehandler | Formål med behandling |
|
Amazon Web Services Ireland Limited Company number: 566018 One Burlington Plaza Burlington Road Dublin 4 Irland |
Hosting af servere og cloudlager. |
|
Curanet A/S Højvangen 4 8660 Skanderborg Danmark CVR: DK-29412006 |
E-mail-udbyder |