WebHouse®

 

 

 

 

DATABEHANDLERAFTALE

Aftale omkring behandling af persondata

 

 


Udarbejdet af: WebHouse ApS

Version 1.0.2 – opdateret: 30. maj 2018

Databehandleraftale (”Aftalen”)

 

Imellem:


Dataansvarlig:

Firmanavn:

Adresse:

Postnummer:

By:

CVR-nr.:

Kontaktperson:

E-mail:

Telefon:


og


Databehandler:

WebHouse ApS
Alexander Foss Gade, 13, 3, th
DK-9000 Aalborg, Danmark
CVR-nr.: 21221198
Kontaktperson: Christian Broberg
E-mail:
privacy@webhouse.dk
Telefon: +45 22 68 08 80


Parterne kaldes i det følgende henholdsvis den "Dataansvarlige" og "Databehandleren", og "Part" eller tilsammen "Parterne".
 

Introduktion

Ved brug af ODEUM og ethvert modul, plug-in, mobil app eller funktion i forbindelse med ODEUM applikationen (i det hele benævnt "Applikationen"), vil den Dataansvarlige være ansvarlig for sin Behandling af Personoplysninger i Applikationen. Databehandleren vil behandle personoplysninger på vegne af den Dataansvarlige.


For at sikre, at Parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/679 af 27. april 2016 ("Personoplysninger")), har Parterne indgået denne databehandleraftale ("Aftalen"), som udgør instruksen fra den Dataansvarlige til Databehandleren og dermed regulerer Databehandlerens Behandling af personoplysninger på vegne af den Dataansvarlige.


Begge Parter bekræfter, at de har fuldmagt til at underskrive Aftalen. Aftalen opbevares digitalt af begge parter indtil ophør af Aftalen, og ved indgåelse af Aftalen bekræfter den Dataansvarlige at WebHouse ApS må opbevare Aftalen indtil ophør.

Databehandleren behandler desuden udelukkende Personoplysninger i overensstemmelse med WebHouse ApS Privatlivspolitik og Databeskyttelsespolitik.

 

Definitioner

Definitionen af Personoplysninger, Særlige Kategorier af Data (Følsomme Oplysninger), Behandling, den Registrerede, Dataansvarlig og Databehandler er den samme som den relevante persondatalovgivning, herunder GDPR.


Aftalen regulerer Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige, og beskriver, hvordan Databehandleren skal medvirke til at beskytte privatliv på vegne af den Dataansvarlige og dennes Registrerede gennem tekniske og organisatoriske foranstaltninger som er krævet under den gældende databeskyttelseslovgivning, herunder GDPR fra den 25. maj 2018.


Formålet med Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige er at sikre, den Dataansvarliges brug af Applikationen og opfyldelsen af denne Aftale.


Aftalen har forrang for andre modstridende bestemmelser vedrørende Behandling af Personoplysninger for så vidt angår vilkår for brugen af Applikationen eller i andre aftaler gældende Parterne imellem.


Aftalen er gyldig, så længe den Dataansvarlige har en konto i Applikationen, og har et gyldigt og betalt abonnement og ikke er i restance til Databehandleren, og Databehandleren skal derfor behandle Personoplysninger på vegne af den Dataansvarlige. Aftalen har dog ikke forrang, såfremt Parterne har indgået en anden databehandleraftale, hvoraf det fremgår, at den databehandleraftale har forrang frem for denne Aftale.
 

Databehandlerens forpligtelser

Databehandleren skal udelukkende behandle Personoplysninger på vegne af, og som følge af den Dataansvarliges instruktioner.


Ved at indgå denne Aftale, instruerer den Dataansvarlige Databehandleren i at behandle Personoplysninger på følgende måder:

  1. i overensstemmelse med gældende lovgivning
  2. for at opfylde sine forpligtelser i henhold til abonnementsvilkår for Applikationen
  3. som yderligere specificeret ved den Dataansvarliges normale brug af Applikationen
  4. som beskrevet i denne Aftale.

 

Kategorierne af Registrerede og Personoplysninger som behandles i henhold til denne Aftale er beskrevet i Bilag A.


Databehandleren har ikke nogen grund til at tro, at gældende lovgivning forhindrer Databehandleren i at efterleve instruktionerne gengivet ovenfor. Databehandleren skal, hvis denne bliver opmærksom på det, give den Dataansvarlige besked om instruktioner eller andre Behandlingsaktiviteter udført af den Dataansvarlige, som efter Databehandlerens opfattelse strider imod den gældende databeskyttelseslovgivning.


Under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, samt omfanget, konteksten og formålet med Behandlingen, er Databehandleren forpligtet til at foretage alle rimelige foranstaltninger, herunder tekniske og organisatoriske, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til den risiko og kategorien af Personoplysninger, der skal beskyttes.


Databehandleren skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, hvor dette er muligt og under hensyntagen til Behandlingens art og kategorien af oplysninger, der er tilgængelige for Databehandleren, for at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder for så vidt angår bistand i forhold til opfyldelse af anmodninger fra Registrerede samt generel overholdelse af bestemmelserne under GDPR artikel 32-36.


Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse via kontaktperson oplyst i Databehandleraftalen, hvis Databehandleren bliver bekendt med sikkerhedsbrist.


Endvidere skal Databehandleren så vidt muligt og lovligt underrette den Dataansvarlige, hvis:

  1. En anmodning om indsigt i Personoplysninger modtages direkte fra den Registrerede
  2. En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder, herunder politiet.

 
Databehandleren må ikke besvare sådanne anmodninger fra Registrerede, medmindre denne er autoriseret af den Dataansvarlige til at gøre det. Databehandleren vil endvidere ikke videregive information om denne Aftale til statslige myndigheder såsom politiet, herunder Personoplysninger, medmindre Databehandleren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.


Hvis den Dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Databehandleren behandler Personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services.


Databehandleren og dennes ansatte skal sikre fortrolighed i forhold til Personoplysninger, som behandles i henhold til Aftalen. Denne bestemmelse skal ligeledes gælde efter ophør af Aftalen.
 

Den Dataansvarliges forpligtelser

Den Dataansvarlige bekræfter ved indgåelse af denne aftale, at:

 

  1. Den Dataansvarlige skal ved brug af Applikationen stillet til rådighed af Databehandleren, udelukkende behandle Personoplysninger i overensstemmelse med kravene i den gældende Databeskyttelseslovgivning
  2. Den Dataansvarlige har et lovligt grundlag for at behandle og videregive Personoplysninger til Databehandleren (herunder til underdatabehandlere som Databehandleren anvender)
  3. Den Dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de Personoplysninger som behandles af Databehandleren
  4. Den Dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår Behandlingen af Personoplysninger
  5. Den Dataansvarlige har opfyldt sin oplysningsforpligtelser overfor de Registrerede vedrørende behandlingen af Personoplysninger i henhold til gældende databeskyttelseslovgivning
  6. Den Dataansvarlige er enig i, at Databehandleren har givet de relevante garantier for så vidt, angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de Registreredes rettigheder og deres Personoplysninger
  7. Den Dataansvarlige skal ved brug af Applikationen ikke behandle Følsomme oplysninger, ud over de som er specificeret i bilag A
  8. Den Dataansvarlige skal have en opdateret liste over de kategorier af Personoplysninger, som denne behandler, dette gælder særligt i det omfang sådan Behandling indeholder personfølsomme oplysninger



Brug af underdatabehandlere og videregivelse af data

Som en del af driften af Applikationen anvender Databehandleren underleverandører ("Underdatabehandlere"). Sådanne Underdatabehandlere kan være andre selskaber inden for WebHouse ApS, som ODEUM er en del af, eller tredjepartsleverandører i og uden for EU/EØS.


Databehandlerens underdatabehandlere er oplistet i den til enhver tid opdaterede liste over underdatabehandlere, som kan ses her: https://dpa.webhouse.dk/dk/underdatabehandlere.htm 


Databehandleren skal sikre sig, at dennes Underdatabehandlere overholder tilsvarende forpligtelser og krav, som er beskrevet i Aftalen. Al brug af Underdatabehandlere er endvidere underlagt WebHouse ApS Databeskyttelsespolitik.


Denne Aftale udgør den Dataansvarliges forudgående generelle og specifikke skriftlige godkendelse af 
Databehandlerens brug af Underdatabehandlere.

 
Hvis en Underdatabehandler er etableret uden for eller Personoplysninger opbevares uden for EU/EØS giver den Dataansvarlige Databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af den Dataansvarlige, herunder ved anvendelse af EU Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield.


Den Dataansvarlige skal orienteres, inden Databehandlere udskifter sine Underdatabehandlere. Den Dataansvarlige har dog kun ret til at protestere imod en ny Underdatabehandler, som behandler Personoplysninger på vegne af den Dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal Databehandleren demonstrere overensstemmelse ved at give den Dataansvarlige adgang til Databehandlerens databeskyttelsesvurdering af underdatabehandleren.


Hvis der stadig er uenighed om anvendelsen af underdatabehandleren kan den Dataansvarlige anmode om sletning af sin konto i Applikationen, og at den Dataansvarliges Personoplysninger ikke behandles af den pågældende Underdatabehandler.

Sikkerhed

Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og services, hvilket sikres ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger, som er påkrævede i henhold til information om sikkerhedsforanstaltninger som beskrevet i GDPR artikel 32.


Endvidere har WebHouse ApS interne databeskyttelses politikker til formål at sikre fortrolighed, integritet, modstandsdygtigheden og adgangen til Personoplysninger. De følgende foranstaltninger er særligt væsentlige:

 

Adgang til revision

Den Dataansvarlige er berettiget til at igangsætte en revision af Databehandlerens forpligtelser i henhold til Aftalen én gang årligt. Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato. Det skal besluttes i fællesskab mellem Parterne, hvis en tredjepart skal foretage revisionen.

Imidlertid kan den Dataansvarlige lade Databehandleren bestemme, at revisionen af sikkerhedsårsager skal foretages af en neutral tredjepart efter Databehandlerens valg, såfremt der er tale om et behandlingsmiljø hvor flere dataansvarliges data er anvendt.


Hvis det foreslåede omfang for revisionen følger en ISAE, ISO eller lignende certificeringsrapport udført af en kvalificeret tredjepartsrevisor inden for de forudgående tolv måneder, og Databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den Dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket.


Under alle omstændigheder skal revision finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter.


Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision.

Herunder er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådan revision eller tilsyn måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til Underdatabehandleren.

Databehandleren vil én gang årligt fremsende egen erklæring om overholdelse af denne Aftale. Aftalen skal omfatte både Databehandlerens og eventuelle Underdatabehandleres databehandling. Databehandleren udfylder og leverer denne til dataansvarlig. Vederlag for udarbejdelse af erklæring kan eventuelt afregnes som konsulentydelse defineret i abonnementet for Applikationen eller en Hovedaftale der ratificerer ydelser for lignende bistand.

Varighed og ophør

Aftalen er gældende, så længe Databehandleren behandler Personoplysninger på vegne af den Dataansvarlige i forbindelse med den Dataansvarliges brug af Applikationen.

Denne Aftale vil automatisk ophøre ved sletning af den Dataansvarliges konto i Applikationen. Ved ophør af kontoen vil Databehandleren slette alle Personoplysninger, som Databehandleren har behandlet på vegne af den Dataansvarlige under Aftalen. 

Databehandleren er berettiget til at beholde Personoplysninger efter ophør af Aftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i Aftalen.
 

Ændringer

Ændringer til Aftalen skal vedlægges i et særskilt bilag til Aftalen.


Hvis nogen af bestemmelserne i Aftalen er ugyldige, får dette ikke indvirkning på de resterende bestemmelser. Parterne skal erstatte ugyldige bestemmelser med en lovlig bestemmelse, som afspejler formålet med den ugyldige bestemmelse.
 

Ansvar

Ansvar for handlinger i strid med bestemmelserne i denne Aftale reguleres af ansvars- og erstatningsbestemmelser i betingelserne for brug af ODEUM eller aftaler der er oprettes med henblik på anvendelse af ODEUM. Dette gælder ligeledes for enhver overtrædelse, som foretages af Databehandlerens Underdatabehandlere.
 

Lovvalg og værneting

Aftalen er underlagt dansk ret og ethvert krav og enhver tvist, der udspringer af eller på anden måde er forbundet med denne Aftale, skal afgøres ved Voldgiftsinstituttet efter de af Voldgiftsinstituttet vedtagne regler herom, som er gældende ved voldgiftssagens anlæg. Voldgiftssagen skal afholdes i Aalborg og sproget for voldgiftssagen skal være Dansk. 



Bilag A - Kategorier af Personoplysninger og Registrerede

 

Kategorier af Registrerede og Personoplysninger som såfremt nødvendigt kan behandles i henhold til Aftalen

De følgende kategorier af Registrerede og Personoplysninger er kategorier der understøttes af Applikationen. Det bør således fremgå af en persondatapolitik hos den Dataansvarlige hvilke former for oplysninger der reelt opbevares og behandles. 

Kategorier af Registrerede:

  1. Den Dataansvarliges slutbrugere
  2. Den Dataansvarliges medarbejdere
  3. Den Dataansvarliges kontaktpersoner
  4. Den Dataansvarliges kunder og kunders slutbrugere
  5. Den Dataansvarliges kunders medarbejdere
  6. Den Dataansvarliges kunders kontaktpersoner
  7. Databehandlerens medarbejdere

Kategorier af Personoplysninger:

  1. Navn
  2. Titel
  3. Telefonnummer
  4. E-mail
  5. Adresse
  6. Matrikel data
  7. GPS-lokation
  8. CPR-nummer (behandles som fortrolig oplysning)

 Oplysninger om strafbare forhold:

  1. Der behandles ikke oplysninger om strafbare forhold

 

Accepter cookies

By continuing to browse or by clicking “Accept All Cookies,” you agree to the storing of first- and third-party cookies on your device to enhance site navigation, analyze site usage, and assist in our marketing efforts.