GDPR
Baggrund for databehandleraftalen

  1. Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.
  2. Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.
  3. Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes ”hovedaftale”, ved betaling af faktura, accepterer du denne privatlivspolitik.
  4. Databehandleraftalen og ”hovedaftalen” er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige ”hovedaftalen” – erstattes af en anden gyldig databehandleraftale. Nyeste version vil altid være tilgængelig på kigindustrigulve.dk
  5. Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i ”hovedaftalen”.
  6. Til denne aftale hører fire bilag. Bilagene fungerer som en integreret del af databehandleraftalen.
  7. Databehandleraftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
  8. Databehandleraftalens Bilag B indeholder den dataansvarliges betingelser for, at databehandleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere, som den dataansvarlige har godkendt.
  9. Databehandleraftalens Bilag C indeholder en nærmere instruks om, hvilken behandling databehandleren skal foretage på vegne af den dataansvarlige (behandlingens genstand), hvilke sikkerhedsforanstaltninger, der som minimum skal iagttages, samt hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
  10. Databehandleraftalens Bilag D indeholder parternes eventuelle regulering af forhold, som ikke ellers fremgår af databehandleraftalen eller parternes ”hovedaftale”..
  11. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.
  12. Denne databehandleraftale frigør ikke databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.
  13. Den dataansvarliges forpligtelser og rettigheder
  14. Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
  15. Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
  16. Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.
  17. Databehandleren handler efter instruks
  18. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
  19. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
  20. Fortrolighed
  21. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
  22. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.
  23. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  24. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.
  25. Behandlingssikkerhed
  26. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
  27. Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
    a) Pseudonymisering og kryptering af personoplysninger
    b) Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester
    c) Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændels
    d) En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed
  28. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i denne aftales Bilag C.
  29. Parternes eventuelle regulering/aftale om vederlæggelse eller lign. i forbindelse med den dataansvarliges eller databehandlerens efterfølgende krav om etablering af yderligere sikkerhedsforanstaltninger vil fremgå af parternes ”hovedaftale” eller af denne aftales bilag D.
  30. Anvendelse af underdatabehandlere
  31. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
  32. Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
  33. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. Den dataansvarlige skal have underretning minimum 1 uge før ændringen træder i kraft.
  34. Overførsel af oplysninger til tredjelande eller internationale organisationer
  35. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling.
  36. Bistand til den dataansvarlige
  37. Databehandleren bistår den dataansvarlige med at opfylde den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
  38. Underretning om brud på persondatasikkerheden
  39. Databehandleren underretter den dataansvarlige uden unødig forsinkelse, hvis der sker brud på persondatasikkerheden.
  40. Sletning og tilbagelevering af oplysninger
    Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til at slette eller tilbagelevere alle personoplysninger til den dataansvarlige.
  41. Tilsyn og revision
  42. Databehandleren stiller alle nødvendige oplysninger til rådighed for den dataansvarlige, herunder mulighed for revisioner.
  43. Parternes aftaler om andre forhold
  44. En eventuel regulering af konsekvenserne af parternes misligholdelse vil fremgå af parternes hovedaftale.
  45. Ikrafttræden og ophør
  46. Aftalen træder i kraft ved kundens betaling af faktura.
  47. Aftalen kan af begge parter kræves genforhandlet.
  48. Aftalen er gældende, så længe behandlingen består.
  49. Kontaktpersoner/kontaktpunkter
    Parterne kan kontakte hinanden via:
    Navn: Anette Ronnby
    Stilling: Adm. direktør
    Tlf: 40 20 93 04
    Email: per-anders@newmail.dk

Bilag A. Oplysninger om behandlingen
Formålet med behandlingen er kontaktinformationer på kunde til brug ifølge regnskabsloven.
Behandlingen omfatter følgende typer af personoplysninger:

  • Virksomheds eller personnavn
  • Adresse
  • Telefonnummer
  • Email
  • CVR

Bilag B. Betingelser for databehandlerens brug af underdatabehandlere
Databehandleren har den dataansvarliges generelle godkendelse til at bruge underdatabehandlere.