Dataansvarlig:
[Indsættes: Virksomhed, adresse, CVR-nr.]
Kontaktperson:
[Kontaktperson og kontaktinformationer]
og
Databehandler:
Jump4it/APVpartner
Stendyssevej 8
4400 Kalundborg,
CVR-nr: 39391732
Kontakt:
din@apvpartner.dk
Parterne kaldes i det følgende henholdsvis den “Dataansvarlige” og “Databehandleren”, og “Part” eller tilsammen “Parterne”.
Introduktion
Ved brug af WebApplikationen/Servicen/APV-system/Servicen og ethvert modul eller funktion i forbindelse med Applikationen/Servicen (i det hele benævnt “Applikationen/Servicen”), vil den Dataansvarlige være ansvarlig for sin behandling af personoplysninger i Applikationen/Servicen. Databehandleren vil behandle personoplysninger på vegne af den Dataansvarlige. For at sikre, at parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/279 (“GDPR”), har parterne indgået denne databehandleraftale (“aftalen”), som udgør instruksen fra den Dataansvarlige til Databehandleren og dermed regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.
Begge Parter bekræfter, at de har fuldmagt til at underskrive aftalen.
Databehandleren behandler desuden udelukkende personoplysninger i overensstemmelse med APVpartners Privatlivspolitik.
Definitioner
Definitionen af personoplysninger, særlige kategorier af data (følsomme oplysninger), behandling, den registrerede, dataansvarlig og databehandler er den samme som den relevante persondatalovgivning, herunder GDPR.
Aftalen regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige, og beskriver, hvordan Databehandleren skal medvirke til at beskytte privatliv på vegne af den Dataansvarlige og dennes registrerede gennem tekniske og organisatoriske foranstaltninger som er krævet under den gældende databeskyttelseslovgivning, herunder GDPR fra den 25. maj 2018.
Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er at sikre, den Dataansvarliges brug af Applikationen/Servicen og opfyldelsen af denne aftale.
Aftalen har forrang for andre modstridende bestemmelser vedrørende behandling af personoplysninger for så vidt angår vilkår for brugen af Applikationen/Servicen eller i andre aftaler gældende parterne imellem. Aftalen er gyldig, så længe den Dataansvarlige har en konto i Applikationen/Servicen, og Databehandleren derfor skal behandle personoplysninger på vegne af den Dataansvarlige. Aftalen har dog ikke forrang, såfremt parterne har indgået en anden databehandleraftale, hvoraf fremgår, at den databehandleraftale har forrang frem for denne aftale.
Databehandlerens forpligtelser
Databehandleren skal udelukkende behandle personoplysninger på vegne af og som følge af den Dataansvarliges instruktioner. Ved at indgå denne aftale, instruerer den Dataansvarlige Databehandleren i at behandle personoplysninger på følgende måder:
Kategorierne af registrerede og personoplysninger som behandles i henhold til denne aftale er beskrevet i bilag A og B.
Som en del af at kunne levere Applikationen/Servicen er Databehandleren forpligtet til enhver tid at give den Dataansvarlige gode og konkurrencedygtige løsninger, der følger med udviklingen. Databehandleren kan tilbyde bedre løsninger, som er tilpasset den enkelte Dataansvarliges behov, ved at registrere hvordan Dataansvarlig og dennes repræsentanter bruger Applikationen/Servicen. Dette gør Databehandler for at kunne lave en bedre version af Applikationen/Servicen, og generelt yde bedre tjenester og give mere relevant kommunikation til den Dataansvarlige og dennes repræsentanter. Målet er at Dataansvarlig skal løse så mange udfordringer som muligt på et sted. I den grad at personoplysninger fra Applikationen/Servicen indgår i dette arbejde, behandles disse i henhold til denne aftale og gældende lovgivning.
Databehandleren har ikke nogen grund til at tro, at gældende lovgivning forhindrer Databehandleren i at efterleve instruktionerne gengivet ovenfor. Databehandleren skal, hvis denne bliver opmærksom på det, give den Dataansvarlige besked om instruktioner eller andre behandlingsaktiviteter udført af den Dataansvarlige, som efter Databehandlerens opfattelse strider imod den gældende databeskyttelseslovgivning.
Under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, samt omfanget, konteksten og formålet med behandlingen, er Databehandleren forpligtet til at foretage alle rimelige foranstaltninger, herunder tekniske og organisatoriske, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til den risiko og kategorien af personoplysninger, der skal beskyttes.
Databehandleren skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, som dette er muligt og under hensyntagen til behandlingens art og kategorien af oplysninger, der er tilgængelige for Databehandleren, for at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende databeskyttelseslovgivning, herunder for så vidt angår bistand i forhold til opfyldelse af anmodninger fra registrerede samt generel overholdelse af bestemmelserne under GDPR artikel 32-36.
Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse via kontaktperson oplyst i Databehandleraftalen, hvis Databehandleren bliver bekendt med sikkerhedsbrist.
Endvidere skal Databehandleren så vidt muligt og lovligt underrette den Dataansvarlige, hvis;
Databehandleren må ikke besvare sådanne anmodninger fra registrerede, medmindre denne er autoriseret af den Dataansvarlige til at gøre det. Databehandleren vil endvidere ikke videregive information om denne aftale til statslige myndigheder såsom politiet, herunder personoplysninger, medmindre Databehandleren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.
Hvis den Dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Databehandleren behandler personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services.
Databehandleren og dennes ansatte skal sikre fortrolighed i forhold til personoplysninger, som behandles i henhold til aftalen. Denne bestemmelse skal ligeledes gælde efter ophør af aftalen.
Den Dataansvarliges forpligtelser
Den Dataansvarlige bekræfter ved indgåelse af denne aftale, at:
Brug af underdatabehandlere og videregivelse af data
Som en del af driften af Applikationen/Servicen anvender Databehandleren underleverandører (“Underdatabehandlere”). Sådanne Underdatabehandlere kan være andre tredjepartsleverandører i og uden for EU/EØS. Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere, som kan ses her: https://apvpartner.dk/om/persondatapolitik-hos-apvpartner/samarbejdspartnere. Databehandleren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i aftalen. Al brug af Underdatabehandlere er endvidere underlagt APVpartner’ Persondatapolitik.
Denne aftale udgør den Dataansvarliges forudgående generelle og specifikke skriftlige godkendelse af Databehandlerens brug af Underdatabehandlere.
Hvis en Underdatabehandler er etableret uden for eller personoplysninger opbevares uden for EU/EØS giver den Dataansvarlige Databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af personoplysninger til tredjeland på vegne af den Dataansvarlige, herunder ved anvendelse af EU Kommissionens standardkontrakter eller i overensstemmelse med Privacy Shield.
Den Dataansvarlige skal orienteres, inden Databehandlere udskifter sine Underdatabehandlere. Den Dataansvarlige har dog kun ret til at protestere imod en ny Underdatabehandler, som behandler personoplysninger på vegne af den Dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal Databehandleren demonstrere overensstemmelse ved at give den Dataansvarlige adgang til Databehandlerens databeskyttelsesvurdering af Underdatabehandleren. Hvis der stadig er uenighed om anvendelsen af Underdatabehandleren kan den Dataansvarlige anmode om sletning af sin konto i Applikationen/Servicen, at den Dataansvarliges personoplysninger ikke behandles af den pågældende Underdatabehandler.
Sikkerhed
Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og services, hvilket sikres ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger, som er påkrævede i henhold til information om sikkerhedsforanstaltninger som beskrevet i GDPR artikel 32.
Endvidere har APVpartners interne databeskyttelses politikker til formål at sikre fortrolighed, integritet, modstandsdygtigheden og adgangen til personoplysninger. De følgende foranstaltninger er særligt væsentlige:
Tilsyn og revision
Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens assistance i forbindelse hermed, som overskrider den almindelige service som Databehandleren skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes særskilt.
Varighed og ophør
Aftalen er gældende, så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige i forbindelse med den Dataansvarliges brug af Applikationen/Servicen.
Denne aftale vil automatisk ophøre ved sletning af den Dataansvarliges konto i Applikationen/Servicen. Ved ophør af kontoen vil Databehandleren slette alle personoplysninger, som Databehandleren har behandlet på vegne af den Dataansvarlige under aftalen.
Databehandleren er berettiget til at beholde personoplysninger efter ophør af aftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i aftalen.
Ændringer
Ændringer til Aftalen skal vedlægges i et særskilt bilag til aftalen.
Hvis nogen af bestemmelserne i aftalen er ugyldige, får dette ikke indvirkning på de resterende bestemmelser. Parterne skal erstatte ugyldige bestemmelser med en lovlig bestemmelse, som afspejler formålet med den ugyldige bestemmelse.
Bilag A – Kategorier af Personoplysninger og Registrerede
Kategorier af Registrerede og Personoplysninger som behandles i henhold til aftalen,i forbindelse med Standard-APV/Trivselsundersøgelser (ej brug af APVdrift-applikationen)
a. Kategorier af registrerede
b. Kategorier af personoplysninger
Bilag B – Kategorier af Personoplysninger og Registrerede
Kategorier af Registrerede og Personoplysninger som behandles i henhold til aftalen, i forbindelse med APVdrift applikation
a. Kategorier af Registrerede
b. Kategorier af Personoplysninger
APVpartner ApS - telefon: +45 36 96 07 24 - web: www.apvpartner.dk - email: din@apvpartner.dk - cvr-/se-nr. 39391732