Databehandleraftale

Databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med levering af tjenesten.

Denne databehandleraftale (“DPA”) mellem kunden (nedenfor den “dataansvarlige”) og Safespring AB (559075-0245) (nedenfor “databehandleren”) udgør en del af aftalen, hvor databehandleren behandler personoplysninger på vegne af den dataansvarlige ved levering af tjenesten. Den dataansvarlige er dataansvarlig for behandlingen af personoplysningerne. Databehandleren er databehandler.

1. Dokumenter

1.1 Denne DPA består af dette hoveddokument og bilag 1, Instruktioner og underdatabehandlere.

2. Definitioner og fortolkning

2.1 I denne DPA har termer med stort begyndelsesbogstav den betydning, der fremgår nedenfor, eller, hvis de ikke er defineret heri, den betydning, der følger af gældende lovgivning eller aftalen.

GÆLDENDE LOVGIVNING betyder

1. GDPR og
2. enhver gældende supplerende lovgivning til GDPR.

GDPR betyder Europa-Parlamentets og Rådets forordning (EU) 2016/679, som ændret, suppleret og/eller varieret fra tid til anden.

PERSONOPLYSNINGER betyder de personoplysninger, som defineret i gældende lovgivning, der er angivet i bilag 1 til denne aftale.

3. Instruktioner

3.1 Databehandleren skal behandle personoplysningerne i overensstemmelse med artikel 28, stk. 3, og den dataansvarliges skriftlige instruktioner i bilag 1.

3.2 Databehandleren må ikke behandle personoplysningerne til andre formål eller på anden måde end efter den dataansvarliges til enhver tid gældende instruktioner. Parterne skal opdatere bilag 1 ved nye eller ændrede instruktioner.

3.3 Uanset ovenstående kan databehandleren udføre rimelige daglige handlinger med personoplysningerne uden at have modtaget specifikke skriftlige instruktioner fra den dataansvarlige, forudsat at databehandleren handler for og inden for rammerne af de formål, der fremgår af bilag 1.

3.4 Hvis databehandleren vurderer, at en instruktion strider mod gældende lovgivning, skal databehandleren undlade at handle efter instruktionen og straks underrette den dataansvarlige og afvente ændrede instruktioner.

4. Den dataansvarliges pligt til lovlig behandling

4.1 Den dataansvarlige skal sikre, at der findes et retsgrundlag anerkendt efter gældende lovgivning for behandlingen af personoplysningerne. Den dataansvarlige skal desuden opfylde alle øvrige forpligtelser, der påhviler en dataansvarlig efter gældende lovgivning.

4.2 Den dataansvarliges instruktioner for behandlingen af personoplysningerne skal overholde gældende lovgivning. Den dataansvarlige har eneansvar for personoplysningernes nøjagtighed, kvalitet og lovlighed samt for den måde, hvorpå personoplysningerne er indsamlet.

5. Sikkerhedsforanstaltninger

5.1 Databehandleren skal opretholde passende tekniske og organisatoriske foranstaltninger i overensstemmelse med GDPR artikel 32 for at sikre, at personoplysningerne beskyttes mod tilintetgørelse, ændring og spredning. Databehandleren skal desuden sikre, at personoplysningerne er beskyttet mod uautoriseret adgang, og at adgangshændelser logges og kan spores.

5.2 Databehandleren skal sikre

1. at kun autoriserede medarbejdere har adgang til personoplysningerne,
2. at autoriserede medarbejdere kun behandler personoplysningerne i overensstemmelse med denne DPA og den dataansvarliges instruktioner, og
3. at hver autoriseret medarbejder er bundet af en fortrolighedsforpligtelse over for databehandleren vedrørende personoplysningerne.

5.3 Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse og, hvor det er muligt, inden for 48 timer efter at være blevet bekendt med et brud på persondatasikkerheden. Underretningen skal, hvor det er muligt, mindst indeholde de oplysninger, der beskrives i GDPR artikel 33, stk. 3.

5.4 Databehandleren skal opretholde et ledelsessystem for informationssikkerhed, der er tilpasset ISO 27001 eller en tilsvarende standard.

6. Databehandlerens bistandsforpligtelser

6.1 Databehandleren skal bistå den dataansvarlige med at opfylde den dataansvarliges forpligtelse til at sikre, at de registrerede kan udøve deres rettigheder efter gældende lovgivning, ved at sikre passende tekniske og organisatoriske foranstaltninger. Databehandleren skal uden unødig forsinkelse og under hensyntagen til behandlingens karakter desuden bistå den dataansvarlige i relation til den dataansvarliges forpligtelser efter GDPR artikel 32-36.

7. Underdatabehandlere

7.1 Databehandleren kan engagere tredjeparter til at behandle personoplysningerne eller dele heraf på sine vegne (“underdatabehandler”). Hvis databehandleren har til hensigt at engagere en ny underdatabehandler, skal den dataansvarlige informeres skriftligt. Den nye underdatabehandler kan behandle personoplysningerne, hvis den dataansvarlige ikke har gjort skriftlig indsigelse senest 30 dage efter, at oplysningerne blev givet. Underdatabehandlere fremgår af bilag 1, som skal opdateres ved ændringer i underdatabehandlere.

7.2 Databehandleren skal indgå en skriftlig aftale med hver underdatabehandler, hvor underdatabehandleren påtager sig forpligtelser, der mindst afspejler de forpligtelser, databehandleren har påtaget sig efter denne DPA. Databehandleren er ansvarlig over for den dataansvarlige for sine underdatabehandleres handlinger og undladelser som for sine egne.

7.3 Hvis den dataansvarlige gør indsigelse mod en ny underdatabehandler i overensstemmelse med punkt 7.1, skal databehandleren undlade at bruge denne underdatabehandler. Hvis dette efter databehandlerens vurdering ikke er praktisk eller kommercielt rimeligt, kan databehandleren efter eget valg enten

• efter forudgående godkendelse fra databehandleren modtage kompensation fra den dataansvarlige for eventuelle yderligere omkostninger som følge af indsigelsen, eller
• opsige DPA’en med 45 dages varsel.

8. Overførsler til tredjelande

8.1 Databehandleren er berettiget til at overføre personoplysninger uden for EU/EØS eller engagere en underdatabehandler til at behandle personoplysninger uden for EU/EØS, når passende garantier er etableret i overensstemmelse med gældende lovgivning, og databehandleren har et gældende retligt grundlag for overførslen. Databehandleren skal på den dataansvarliges anmodning fremlægge dokumentation for det retlige grundlag for overførslen.

8.2 Parterne anerkender, at love, praksis og andre relevante forhold i tredjelande, herunder anmodninger fra offentlige myndigheder, kan ændre sig i aftalens løbetid. Hvis sådanne ændringer sker, skal egnetheden af de tekniske og organisatoriske foranstaltninger revurderes for at sikre, at personoplysninger fortsat beskyttes i overensstemmelse med EU’s databeskyttelsesstandarder.

9. Revision

9.1 På den dataansvarliges anmodning skal databehandleren give den dataansvarlige de oplysninger, der er nødvendige for at dokumentere databehandlerens overholdelse af sine forpligtelser efter gældende lovgivning og denne DPA.

9.2 Hvis den dataansvarlige, trods modtagelse af oplysningerne i punkt 9.1, har en legitim grund til at mistænke, at databehandleren ikke opfylder sine forpligtelser efter gældende lovgivning og denne DPA, har den dataansvarlige ret til med 30 dages skriftligt varsel at gennemføre en revision af databehandlerens behandling af personoplysningerne og relevante oplysninger i den forbindelse. Revisioner er begrænset til én gang om året og må ikke forstyrre databehandlerens drift. Databehandleren skal bistå den dataansvarlige og fremlægge de nødvendige oplysninger for, at den dataansvarlige kan gennemføre revisionen. Den dataansvarlige bærer omkostningerne ved revisionen.

9.3 Hvis en databeskyttelsesmyndighed gennemfører en revision af databehandleren, som kan omfatte behandling af personoplysninger, skal databehandleren straks underrette den dataansvarlige.

10. Omkostninger

10.1 Databehandleren har ret til vederlag for tid brugt på at efterleve punkt 6 i overensstemmelse med servicegebyret for Professional Services som angivet i serviceordren eller, hvis andet ikke er angivet, i databehandlerens generelle prisliste for konsulentydelser. Den dataansvarlige skal desuden bære alle omkostninger, som databehandleren pådrager sig som følge af ændrede eller yderligere instruktioner fra den dataansvarlige vedrørende behandlingen af personoplysningerne.

11. Ansvarsbegrænsning

11.1 Databehandlerens ansvar, der udspringer af eller vedrører denne DPA, er underlagt bestemmelserne om ansvarsbegrænsning i aftalen.

12. Fortrolighed

12.1 Databehandleren forpligter sig til ikke at videregive eller stille personoplysninger, eller oplysninger relateret til personoplysningerne, til rådighed for nogen tredjepart. For at undgå tvivl anses en underdatabehandler ikke som tredjepart i henhold til dette punkt 12. Fortrolighedsforpligtelsen gælder også efter ophør af denne DPA uden tidsbegrænsning.

12.2 Uanset punkt 12.1 kan databehandleren videregive sådanne oplysninger, hvis databehandleren er forpligtet hertil ved lov, domstolsafgørelse eller afgørelse fra en kompetent myndighed. Når en sådan forpligtelse opstår, skal databehandleren straks skriftligt underrette den dataansvarlige før videregivelse, medmindre gældende lovgivning forhindrer dette.

12.3 Databehandleren skal stille et kontaktpunkt til rådighed for spørgsmål om databeskyttelse og sikkerhed.

gdpr@safespring.com

13. Tilbagelevering og sletning af data

13.1 Ved ophør af aftalen eller denne DPA skal den dataansvarlige skriftligt instruere databehandleren om, hvorvidt personoplysningerne skal overføres til den dataansvarlige. En sådan overførsel skal ske i et almindeligt maskinlæsbart format. Databehandleren sletter personoplysningerne fra sine systemer tidligst 30 dage og senest 40 dage efter aftalens effektive ophørsdato. Databehandleren skal efter anmodning skriftligt bekræfte sletningen.

14. Løbetid

14.1 Denne DPA træder, uanset aftalens løbetid, i kraft, når databehandleren begynder at behandle personoplysninger på vegne af den dataansvarlige, og ophører, når databehandleren har slettet personoplysningerne i overensstemmelse med punkt 13 ovenfor.