Databehandlerpolitik
Nedenstående er 9altitudes Danmarks databehandlerpolitik. Ønskes en underskrevet databehandlerpolitik, bedes du tage kontakt til 9altitudes Danmark.
1. Baggrund og formål
Parterne har aftalt levering af konsulent- og udviklingsydelser fra 9altitudes (herunder 'Databehandleren') til den dataansvarlige kunde (herefter 'Dataansvarlige'), som nærmere beskrevet i Parternes særskilte aftale herom (Leverancevilkår) beskrevet i bilag 1 til denne aftale (”Primær ydelser”).I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Databehandler har udformet denne databehandlerpolitik med underliggende bilag.
-
Databehandlerpolitikken har til formål at sikre, at Databehandleren overholder den ved Leveranceaftalens indgåelse gældende persondataretlige regulering, dvs.:
- Persondataloven (lov 2000-05-31 nr. 429 med senere ændringer)
- Persondataforordningen (Europaparlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne får virkning 25. maj 2018.
2. Omfang
1. Databehandleren bemyndiges til at fortage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandlerpolitikken.2. Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”). Denne Databehandlerpolitik inkl. bilag udgør Instruksen.
3. Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige. Sådanne ændringer foretages i henhold til den mellem Parterne aftalte ændringshåndteringsproces, bestemmelserne i Leverancevilkår samt dertilhørende salgs- & leveringsbetingelser for Konsulent- og udviklingsydelser.
4. Databehandleren må, i det omfang andet ikke følger af Databehandlerpolitikken, benytte alle relevante hjælpemidler, herunder IT-systemer.
5. Databehandleren handler alene efter dokumenteret instruks fra den dataansvarlige. Databehandleren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af den dataansvarliges instruks.
3. Varighed
1. Databehandlerpolitikken gælder indtil enten (a) samarbejdsforhold ophører eller (b) Dataansvarlige indgår en individuel databehandlerpolitik.
4. Databehandlerens forpligtelser
4.1. Tekniske og organisatoriske sikkerhedsforanstaltninger
1. Databehandleren har ansvaret for at gennemføre fornødne (a) tekniske og (b) organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i Bilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.
2. Databehandleren skal uanset punkt 4.1.1 gennemføre de tekniske og organisatoriske sikkerhedsforanstaltninger som fremgår af (a) bilag 2 til denne Databehandlerpolitik samt (b) Hovedkontrakten.
3. Databehandleren garanterer over for den Dataansvarlige, at Databehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den ved indgåelsen gældende persondataretlige regulering.
4. Parterne er enige om, at de afgivne garantier anført i Bilag 2 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandlerpolitik.
4.2. Medarbejderforhold
1. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.4.3. Dokumentation for overholdelse af forpligtelser
1. Databehandleren skal på skriftlig anmodning dokumentere over for den Dataansvarlige, at Databehandleren:Overholder sine forpligtelser efter denne Databehandlerpoltik og Instruksen.
- Overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne
- Databehandlerens dokumentation heraf skal ske inden rimelig tid.
3. Det nærmere indhold af forpligtelserne under punkt 4.3.1 er beskrevet i Bilag 3 til denne Databehandlerpolitik.
4.4. Fortegnelse over behandlingsaktiviteter
1. Såfremt Databehandleren i henhold til Persondataforordningen er forpligtet til løbende at føre en fortegnelse over behandlingen af personoplysningerne udarbejdes denne på baggrund af den Dataansvarliges tilsvarende fortegnelse. Hvorvidt en fortegnelse lovpligtigt skal udarbejdes, fremgår af Bilag 1.
4.5. Sikkerhedsbrud
1. Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.
4.6. Bistand
1. Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandlerpoltik, herunder ved:
-
besvarelser til registrerede ved udøvelse af disses rettigheder,
-
sikkerhedsbrud,
-
konsekvensanalyser, og
-
forudgående høringer fra tilsynsmyndighederne.
2. Databehandleren har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 4.6. Vederlag afregnes i henhold til Databehandlerens standard timepriser, medmindre andre timepriser er aftalt i Leverancevilkår.
5. Den dataansvarliges forpligtelser
1. Den Dataansvarliges forpligtelser er oplistet i Bilag 4.
6. Underdatabehandlere
1. Databehandleren må kun gøre brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang dette fremgår af:
Bilag 5 til denne Databehandlerpolitik, eller
Instruks fra den Dataansvarlige.
2. Databehandleren og Underdatabehandleren skal indgå en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler Databehandleren (herunder i medfør af denne Databehandlerpolitik).
3. Underdatabehandleren handler herudover ligeledes alene i henhold til Instruks fra den Dataansvarlige.
4. Databehandleren er ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme måde, som var behandling foretaget af Databehandleren selv.
7. Overførsel til tredjelande og internationale organisationer
1. Databehandleren må kun overføre personoplysninger til tredjelande eller internationale organisationer i det omfang dette fremgår af:
-
Bilag 6 til denne Databehandlerpolitik, eller
-
Instruks fra den Dataansvarlige.
8. Misligholdelse
1. Reguleringen af misligholdelse i Hovedkontrakten finder anvendelse også for denne Databehandlerpolitik, som om denne Databehandlerpolitik var en integreret del heraf.9. Ansvar og ansvarsbegrænsning
1. Reguleringen af ansvar og ansvarsbegrænsninger i Hovedkontrakten finder anvendelse også for denne Databehandlerpolitik, som om denne Databehandlerpolitik var en integreret del heraf.10. Force Majeure
1. Databehandleren kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, virus samt indtrædelse af force majeure hos underleverandører.2. Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure-situationen varer.
11. Fortrolighed
1. Reguleringen af fortrolighed i Hovedkontrakten finder anvendelse også for denne Databehandlerpolitik, som om denne Databehandlerpolitik var en integreret del heraf.12. Ophør
12.1. Opsigelse og ophævelse
1. Databehandlerpolitikken kan alene opsiges eller ophæves ved opsigelse af samarbejde.2. Opsigelse eller ophævelse af denne Databehandlerpolitik kan alene ske ved – og berettiger til - samtidig opsigelse eller ophævelse af samarbejde og dermed gældende Leverancevilkår, der vedrører behandling af personoplysninger i medfør af Databehandlerpolitik.
12.2. Virkning af ophør
1. Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarlige bortfalder ved Databehandlerpolitikkens ophør, uanset årsag.2. Databehandleren må dog fortsat behandle personoplysningerne i op til tre måneder efter Databehandlerpolitikkens ophør, i det omfang dette er nødvendigt for at fortage nødvendige lovpligtige foranstaltninger. Inden for denne periode skal den Dataansvarlige træffe beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne. I samme periode er Databehandleren berettiget til at lade personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure. Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
3. Databehandleren og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som Databehandleren har behandlet under denne Databehandlerpolitik, til den Dataansvarlige ved Databehandlerpolitikkens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket. I tilfælde af tilbagelevering honoreres Databehandleren i henhold til medgået tid og materiale i overensstemmelse med Databehandlerens standard timepriser.
13. Lovvalg og værneting
1. Reguleringen af tvistløsning, inkl. lovvalg og værneting, iht. Salgs- & Leveringsbetingelser for Konsulent & Udviklingsydelser finder anvendelse for denne Databehandlerpolitik, som om denne Databehandlerpolitik var en integreret del heraf.Bilag 1 primær ydelse
1. Primær ydelse
1. Den primære ydelse består af konsulent- og udviklingsydelser samt koordingering af ydelsere leveret til kundens ERP systemer og øvrige IT systermer som supporteres af Optimate. Parterne har indgået en Hovedaftale benævnt ”Leverancevilkår”, samt dertilhørende leverancevilkår som regulerer vilkårene for leverancer mellem parterne.
2. Personoplysninger
1. Typer af personoplysninger, der behandles i sammenhæng med levering af den primære ydelse fra Databehandleren:
- Almindelige personoplysninger, herunder Ansatte, Bestyrelsesmedlemmer.
- Følsomme personoplysninger, registreres ikke.
- Andre personlige oplysninger, registreres ikke.
- Cpr-numre.
- Ansatte
- Bestyrelsesmedlemmer
Bilag 2 Tekniske og organisatoriske sikkerhedskrav og garantier
1. Specifikke tekniske og organisatoriske sikkerhedskrav:
1. Der stilles følgende specifikke krav til Databehandlerens fysiske sikkerhed:- Alle Dynamics AX servere er placeret hos den Dataansvarlige eller hos den Dataansvarliges hosting partner.
- Miljøer tilgås via sikre devices, der er sikret ved tyveri og tab.
- Ved adgang anvendes adgangsbeskyttet pc’er.
- Der logges på via Remote Desktop Manager eller på anvisning fra den dataansvarlige, med brug af adgangskoder og kryptering (leveret af den datanasvarlige).
- Der bruges personspecifik logon (leveret af den dataansvarlige)
- Brug af Adgang og Brugeradministration med løbende opdatering og auditering
- Det er kun Databehandlerens autoriserede personer, der udelukkende på den dataansvar-liges foranledning korrigere og sletter i personoplysninger.
2. Afgivne garantier for den fornødne behandlingssikkerhed
1. Databehandleren har stillet følgende specifikke garantier:- Databehandleren kan leve op til de krav, som den Dataansvarlige stiller vedrørende sikkerhed, adgange. Overholder GDPR ved at det kun er autoriserede Optimate personale der får adgang til systemet.
Bilag 3 Dokumentation for overholdelse af forpligtelser
Som led i Databehandlerens demonstrering over for den Dataansvarlige af overholdelse af sine forpligtelser efter punkt 4.2.1. i Databehandlerpolitikken skal nedenstående punkter udføres og overholdes.
1. Generel dokumentation til den dataansvarlige
1. Databehandleren er på skriftlig anmodning forpligtet til at fremsende følgende generelle dokumentation til den Dataansvarlige:- En beskrivelse af de praktiske tiltag, herunder såvel tekniske som organisatoriske, som Databehandleren har gennemført for at sikre overholdelse af sine forpligtelser efter Databehandlerpolitikken. Beskrivelsen kan bl.a. omfatte en fremstilling af etablerede og implementerede ledelsessystemer for informationssikkerhed og for behandling af personoplysninger samt beskrivelsen af andre iværksatte tiltag. Databehandleren er som led heri også forpligtet til at deltage i opfølgende møder med den Dataansvarlige herom.
2. Revisionserklæring
1. Databehandleren kan foranledige udarbejdelse af en revisionserklæring omhandlende Databehandlerens informationssikkerhedsniveau, og hvilke foranstaltninger Databehandleren har truffet, på opfordring fra den Dataansvarlige og mod betaling af de faktiske omkostninger til udarbejdelse.3. Audit
1. Databehandleren skal på skriftlig anmodning bidrage til og give adgang til audit.4. Øvrigt
1. Overstående punkter skal ikke anses for udtømmende, og Databehandleren er derfor forpligtet til at foretage sådanne yderligere handlinger og tiltag, som er nødvendige for demonstration af Databehandlerens forpligtelse efter punkt 4 i Databehandlerpolitikken.2. Databehandleren er ikke forpligtet til at følge en anmodning fra den Dataansvarlige i henhold til dette bilag 3, hvis anmodningen strider mod den persondataretlige regulering. Databehandleren skal underrette den Dataansvarlige i det omfang, det er Databehandlerens vurdering, at dette er tilfældet.
Bilag 4 Den dataansvarliges forpligtelser
1. Forpligtelser
1. Den Dataansvarlige har følgende forpligtelser:- Den dataansvarlige sikre, at personoplysningerne er ajourførte
- Den dataansvarlige sikre, at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering
- Den dataansvarlige sikre Instruksen er hensigtsmæssig set i forhold til denne Databehandlerpolitik og Primær ydelse.
Bilag 5 Underdatabehandlere
1. Generelt
1. Den Dataansvarlige giver hermed sin godkendelse af, at Databehandleren anvender følgende Underdatabehandlere:- (Dette punkt er udelukkende relevant i de tilfælde hvor en underdatabehandler udfører arbejde for databehandleren).
Bilag 6 Overførsel til tredjeland og international organisation
1. Generelt
1. Personoplysninger kan ikke underkastes behandling af Databehandleren eller en Underdatabehandler i et land uden for den Europæiske Union eller EØS (et ”Tredjeland”), eller en international organisation, medmindre den Dataansvarlige giver konkret tilladelse hertil.2. Databehandleren skal underrette den Dataansvarlige om overførslen, inden den finder sted.
Bilag 7 Dataansvarlig instruks til databehandler om behandling af personfølsomme data
Dataansvarlig beskriver følgende |
Overdraget af følgende medarbejder fra den Dataansvarlige |
Formålet med databehandlerens behandling af personoplysninger? | |
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om? | |
Behandlingen omfatter følgende typer af personoplysninger? | |
Behandlingen omfatter følgende kategorier af registrerede? | |
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende? | |
Databehandler udfører følgende |
Udført af følgende medarbejder fra Databehandleren |
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende.:
|