Vikingegaarden A/S

Databehandleraftale

 

Databehandleraftale

Databehandleraftalen "Aftalen" er et tillæg og indgår som en integreret del af Serviceaftalen "Servicen" for det web-baserede VMS system ”Systemet”.

Databehandleraftalen har til formål at styre og regulere Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.

Følgende Databehandleraftale indgås hermed mellem Vikingegaarden A/S "Leverandøren", Tinnetvej 70, DK-7173 Vonge, CVR DK30089375 og den juridiske enhed ”Kunden” som har tegnet en Serviceaftale på Systemet. Leverandøren og Kunden benævnes samlet som "Parterne" og separat en "Part”.

Databehandleraftale pr 25. maj 2018, senest opdateret 1. maj 2019. 

Definitioner

I henhold til denne Aftale er Kunden og dennes medarbejdere at betegne som Dataansvarlig, jf. artikel 4.7 i Forordning (EU) 2016/679 af 27. april 2016 Databeskyttelsesforordningen.

Leverandøren og dennes medarbejdere agerer som Databehandler overfor den Dataansvarlige i forbindelse med udbydelsen af Systemet, jf. artikel 4.8 i Databeskyttelsesforordningen.

Ved personoplysning forstås enhver form for information om en identificeret eller identificerbar fysisk person, jf. artikel 4.1 i Databeskyttelsesforordningen.   

Baggrund

Denne Aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Databehandleren foretager behandling af personoplysninger på vegne af den Dataansvarlige.

Aftalen er udformet med henblik på Parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en Databehandleraftale.

Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af Parternes aftalte Serviceaftale.

Databehandleraftalen og Serviceaftalen er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige Serviceaftalen – erstattes af en anden gyldig Databehandleraftale.

Denne Databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem Parterne, herunder i Serviceaftalen.

Til denne aftale er der bilag, som fungerer som en integreret del af Databehandleraftalen.

Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.

Databehandleraftalens Bilag A indeholder den Dataansvarliges betingelser for, at Databehandleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere, som den Dataansvarlige har godkendt.

Databehandleraftalens Bilag A indeholder en nærmere instruks om, hvilken behandling Databehandleren skal foretage på vegne af den Dataansvarlige, hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med Databehandleren og eventuelle underdatabehandlere.

Denne Databehandleraftale frigør ikke Databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt Databehandleren.

Den dataansvarliges forpligtelser og rettigheder

Den Dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.

Den Dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.

Den Dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som Databehandleren instrueres i at foretage.

Personoplysninger

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

Den Dataansvarlige garanterer over for Databehandleren for, at Databehandleren har fornøden ret til at behandle personoplysninger omfattet af Databehandleraftalen og til at lade Databehandleren behandle disse personoplysninger på vegne af sig, herunder og ikke begrænset til ved indsamling af relevante samtykker.

Fortrolighed

Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.

Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Databehandlerens forpligtelser overfor den Dataansvarlige.

Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.

Databehandleren holder personoplysningerne fortrolige.

Behandlingssikkerhed      

Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Databehandleren garanterer at levere den nødvendige ekspertise, pålidelighed og ressourcer til at implementere disse passende tekniske og organisatoriske foranstaltninger.

Ovenstående forpligtelse indebærer, at Databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der er herunder følgende foranstaltninger:

Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed.

Evne til at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse, rettidigt

Evne til at udøve procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed

Underdatabehandlere

Databehandleren må gøre brug af underdatabehandlere. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden Databehandler. Databehandleraftalen anvender de i Bilag B anførte underdatabehandlere. Den dataansvarliges betingelser for Databehandlerens brug af underdatabehandlere fremgår ligeledes af Bilag B.

Databehandleren sørger for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne Databehandleraftale og omhandlet i databeskyttelsesforordningens artikel 28, stk. 4.

Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den Dataansvarliges anmodning herom. Kommercielle vilkår og individuelle aftaler, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftale sendes ikke til den Dataansvarlige.

Opfylder underdatabehandleren ikke sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

Overførsel af oplysninger

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

Den dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, vil fremgå af denne aftales Bilag A.

Bistand til den dataansvarlige

Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

Databehandleren bistår den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. art 28, stk. 3, litra f.

Underretning om brud på persondatasikkerheden

Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel underdatabehandler. Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 24 timer efter at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.

Databehandleren skal under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne bistå den Dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden.

Sletning og tilbagelevering

Ved ophør af tjenesterne vedrørende behandling forpligtes Databehandleren til, efter den Dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne. Databehandleren sikrer, at underdatabehandlere efterlever Databehandlerens forpligtelser vedrørende sletning af personoplysninger.

Såfremt den Dataansvarlige ikke instruerer Databehandleren, så slettes data/databasen 60 dage efter Serviceaftalens ophør. Den Dataansvarliges data opbevares i denne periode for at kunne sikre muligheden for genåbning af Serviceaftalen.

Databehandleren fremsender – efter den Dataansvarliges anmodning herom – dokumentation for at den påkrævede sletning jf. pkt. 11.1 og 11.2 er foretaget.

Tilsyn og revision

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne databehandleraftale, til rådighed for den Dataansvarlige.

Databehandleren giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.

Den nærmere procedure for den Dataansvarliges tilsyn med Databehandleren fremgår evt. af denne aftales Bilag A.

Den Dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem Databehandleren.

Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den Dataansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation.

Databehandleren kan én gang årligt på anmodning fra den Dataansvarlige foranledige, at en alment anerkendt og uafhængig tredjepart afgiver en sikkerhedsrevisionsrapport, som er udarbejdet i overensstemmelse med en anerkendt revisionsstandard (fx ISAE 3000), til den Dataansvarlige om overholdelse af kravene til sikkerhedsforanstaltninger, jf. punkt 6  og Databehandleraftalens Bilag A. Ved Databehandlerens fremsendelse af en kopi af den opdaterede ISAE 3000-erklæring, opfylder Databehandleren kravet i denne bestemmelse. Udarbejdelse af revisionsrapport til den Dataansvarlige sker mod betaling.

Såfremt Databehandleren får udarbejdet en sikkerhedsrevisionsrapport, som beskriver sikkerhedsforholdene hos underdatabehandleren i overensstemmelse med pkt. 12.6, er den Dataansvarlige berettiget til at få udleveret en kopi heraf. Kopi af sådan sikkerhedsrevisionsrapport fremsendes på anmodning til den Dataansvarlige, såfremt Databehandleren får udarbejdet en sådan. Udarbejdelse af sikkerhedsrapport til Dataansvarlig sker mod betaling.

Den Dataansvarlige honorerer Databehandleren samt evt. underdatabehandlere særskilt og efter medgået tid og materiale for at håndtere forespørgsler og opgaver i henhold til Aftalens pkt. 9.1, 9.2, 10.2, 12.2, 12.4, 12.6 og 12.7. Databehandlerens bistand afregnes til Databehandlerens til enhver tid gældende satser for sådant arbejde.

Den Dataansvarlige afholder alle omkostninger i forbindelse med tilsyn af sikkerhedsforhold hos Databehandleren samt i forhold til underdatabehandleren, herunder er Databehandleren berettiget til at fakturer den Dataansvarlige med sine sædvanlige satser for al Databehandlerens arbejdstid, som sådant tilsyn måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.

Ændringer og aftaler om andre forhold

Databehandleren og den Dataansvarlige kan til enhver tid, med et forudgående varsel på mindst 35 kalenderdage, foretage ændringer i Databehandleraftalen og tilhørende bilag. Ændringsprocessen og omkostningerne aftales skriftligt mellem Partnerne.

Databehandleren kan overdrage sine rettigheder og forpligtelser uden den Dataansvarliges samtykke, forudsat at den, hvem rettigheder og/eller pligter overdrages til, forpligtes til at behandle personoplysninger i overensstemmelse med de krav, der gælder for Databehandleren, i henhold til Databehandleraftalen.

Regulering af andre forhold mellem Parterne vil fremgå af Serviceaftalen.

Ikrafttræden og ophør

Denne Databehandleraftale træder i kraft ved begge parters underskrift og accept af Serviceaftalen.

Databehandleraftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Databehandleraftalen giver anledning hertil.

Opsigelse af Databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af Serviceaftalen.

Aftalen er gældende, så længe databehandlingen består. Uanset Serviceaftalens og/eller Databehandleraftalens opsigelse, vil Databehandleraftalen forblive i kraft frem til databehandlingens ophør og oplysningernes sletning hos Databehandleren og eventuelle Underdatabehandlere.

Kontaktpersoner

Kontaktperson hos Databehandleren:

Ulrik Østergaard
+45 75 803 960
ulo@vikingegaarden.com

Bilag A - Behandlingen

 Formål og instruks

Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er at:

den Dataansvarlige kan anvende Systemet som ejes, drives og administreres af Databehandleren.

den Dataansvarlige kan behandle personoplysninger herunder administration af den Dataansvarliges kunder.

den Dataansvarlige kan indsamle og behandle oplysninger om den Dataansvarliges kunder.

den Dataansvarlige kan indsamle og behandle data herunder forbrugsdata fra den Dataansvarliges kunder.

Databehandlerens behandling på vegne af den Dataansvarlige

Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige drejer sig primært om at:

Databehandleren stiller Systemet til rådighed for den Dataansvarlige og herigennem opbevarer personoplysninger om den Dataansvarliges kunder på Databehandlerens infrastruktur.

Databehandleren har adgang til den Dataansvarliges Kunder og data i forbindelse med support af Systemet og optimering af systemperformance.

Personoplysninger

Behandlingen omfatter følgende typer af personoplysninger som den Dataansvarlige har oprettet i Systemet:

Relation til virksomhed eller organisation.

Fornavn, evt. mellemnavne og efternavn.

Adresse (vejnavn, by/postnummer og land).

E-mail adresse.

Telefonnummer.

Billede.

Kontaktperson.

ID fra Identifikationskort eller anden form for elektroniske adgangskort/brikker.

Kundetype fx Virksomhed, Offentligt eller privatpersoner.

Tildelte rettigheder Systemet. Fx hvilke rettigheder er tildelt for en given periode.

Kategorier

Behandlingen kan omfatte følgende kategorier af personoplysninger som den Dataansvarlige har oprettet i Systemet:

Personer kan kategoriseres som eksempelvis privatpersoner, virksomhed eller offentlige organisationer.

Nuværende og fratrådte medarbejdere.

Nuværende og tidligere Kunder og kontaktpersoner.

Særlige kategorier

Databehandleren understøtter ikke registrering af særlige kategorier af personoplysninger, herunder helbredsoplysninger, oplysninger om race og etnicitet samt strafferetlige oplysninger.

Behandlingssikkerhed

Der er tale om en begrænset mængde personoplysninger, som ikke er omfattet af databeskyttelsesforordningens artikel 9 om "særlige kategorier af personoplysninger".

Databehandleren er forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige sikkerhedsniveau omkring personoplysningerne.

Databehandleren anvender gængse metoder i forhold til sikkerhed, infrastruktur, backup og forebyggende beskyttelse af den Dataansvarliges data og personoplysninger:

Kommunikation mellem Web Klient "Login"  og Systemet er krypteret og anvender SLL certifikat med 2048 bits kryptering.

Kommunikation mellem Udstyr og Systemet er krypteret og anvender Rijndael med 128 bit kryptering.

IT-infrastruktur er beskyttet med beskyttelsessoftware som er centralstyret, automatisk opdateret og overvåget.

Backup udføres dagligt.

Opbevaringsperiode

Personoplysningerne og data opbevares hos Databehandleren indtil:

Den Dataansvarlige anmoder om at få personoplysningerne og data slettet.

Efter opsigelse af Serviceaftalen slettes alle data efter 30 dage.

Fra sletningstidspunktet kan det gå optil 180 dage inden data slettes fra backupsystemerne.

Lokaliteter

Behandling af de i Databehandleraftalen omfattede personoplysninger foregår på Databehandlerens angivne adresse, samt hos de Underdatabehandlere og tilknyttede selskaber som er beskrevet i Bilag B.

Fjernopkobling

Behandling af de i Databehandleraftalen omfattede personoplysninger kan foregå fra fjernopkoblinger og hjemmearbejdspladser under følgende retningslinjer:

Kommunikation mellem fjernopkoblingspunktet og Systemet er krypteret og anvender SLL certifikat.

Der udføres EPC kontrol (end point control) der kun tillader fjernadgang hvis minimum følgende sikkerhedskriterier er opfyldte:

At fjernkontrol er tilladt for bruger.

At minimumskrav til operativsystem og dets opdateringer er opfyldte.

At minimumskrav til sikkerhedssystemer og dets opdateringer er opfyldte.

At sikkerhedssystemer har udført sikkerhedskontrol og scanninger inden for tilladt minimumsperiode.

Godkendelse vedrørende overførsel af personoplysninger til tredjelande

Som angivet i Bilag B er enkelte leverandører uden for EU. Disse Underdatabehandlere er baseret i USA og har tilsluttet sig EU-U.S. Privacy Shield (www.privacyshield.gov), hvilket betyder at underbehandleren kan garantere et tilstrækkeligt sikkerheds- og beskyttelsesniveau.

Bilag B - Underdatabehandlere og selskaber

Betingelser for Databehandlerens brug af Underdatabehandlere

Databehandleren har den Dataansvarliges generelle godkendelse til at gøre brug af underdatabehandlere. Databehandleren skal dog underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre Databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være den Dataansvarlige i hænde minimum 1 måned før anvendelsen eller ændringen skal træde i kraft. Såfremt den Dataansvarlige har indsigelser mod ændringerne, skal den Dataansvarlige give meddelelse herom til Databehandleren inden 14 dage efter modtagelsen af underretningen. Den Dataansvarlige kan alene gøre indsigelse, såfremt den Dataansvarlige har rimelige og konkrete årsager hertil.

Godkendte underdatabehandlere

Den Dataansvarlige har ved Databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:

UnderdatabehandlerDatalokationBeskrivelse af behandlingLovligt grundlag for databehandling uden for EU
Cortex Consult A/SDanmarkHosting center for servere samt konsulent bistand 
Microsoft Office 365 inkl. OneDrive for BusinessUSAKontorprogrammer, fildeling og backupGDPR Compliant
Ubivox-E-mail forsendelse 
Mailchimp-E-mail forsendelse 

Atlassian Jira Confluence

DanmarkSupport 
Atlassian Jira Service DeskDanmarkSupport 
HubSpot Inc.USACMS, CRM, E-mail forsendelse 
Yoast SEO-Målrettet markedsføring via nøglesøgeord 
Unit-TelDanmarkOprettelse og håndtering af SIM-kort 
TDCDanmarkOprettelse og håndtering af SIM-kort 
DropboxUSAFildeling og backupPrivacy Shield
Google DocsUSAKontorprogrammerPrivacy Shield
NemHandelDanmarkE-dokumentnetværk 
GoogleUSAGoogle Cloud PlatformPrivacy Shield

Godkendte selskaber

Den Dataansvarlige har ved Databehandleraftalens ikrafttræden godkendt anvendelsen af Vikingegaarden underafdeling:

NavnNummerAdresseBeskrivelse af behandling
Vikingegaarden A/S – Lietuvos atstovybė302675953Liepų g.5, 92138 Klaipėda, LithuaniaUnderafdeling for udviklingsaktiviteter