GDPR

1 Definitioner

”Dataansvarlig”: Kunden
”Databehandler”: Eazyproject A/S, Stændertorvet 4 1. sal, 4000 Roskilde, CVR-nr. 27660606
”Databehandleraftalen”: Denne aftale med evt. bilag og evt. senere ændringer eller tillæg
”Underdatabehandler”: Enhver Databehandler som Databehandleren efter samtykke fra den Dataansvarlige lader behandle personoplysninger tilhørende den Dataansvarligt
”Underdatabehandleraftale”: En aftale mellem Databehandleren og Underdatabehandler om behandling af data tilhørende den Dataansvarlige.

 

2 Baggrund

Databehandleraftalen er en integreret del af parternes aftaleforhold i øvrigt, der omhandler opbevaring af data til brug for projektstyring og tidsregistrering i systemet EazyProject. Data opbevares på servere placeret i datacenter med primær lokation i Glostrup, Ballerup og Taastrup.

 

3 Lovgivning

3.1 Databehandleren indestår for, at Databeskyttelsesloven (lov nr. 502 af 23. maj 2018), der gennemfører Persondataforordningen (Europa- Parlamentets og Rådets forordning 2016/679 af 27. april 2016), og – hvor relevant – at bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, vil blive overholdt.

3.2 Databehandleren indestår endvidere for, at evt. senere ændringer af Databeskyttelsesloven, Persondataforordningen og/eller bekendtgørelse nr. 528 af 15. juni 2000 vil blive overholdt.

 

4 Databehandlerens beføjelser

4.1 Databehandleren handler alene efter instruks fra den Dataansvarlige, Bilag A, og er således ikke ansvarlig for, at de data som den Dataansvarlige indtaster i systemet er lovligt indhentet i henhold til persondataloven, lov der erstatter denne eller Persondataforordningen eller, at reglerne for behandling af oplysninger, herunder videregivelse, i persondataloven, lov der erstatter denne eller Persondataforordningen er overholdt.

4.2 Databehandleren må ikke tage beslutninger, der vedrører de personoplysninger, som den Dataansvarlige har overladt til Databehandleren, og Databehandler kan fx ikke uden forudgående accept fra den Dataansvarlige slette, videregive eller overlade personoplysninger til en tredjemand.

4.3 Databehandleren er dog berettiget til uden samtykke fra den Dataansvarlige, at videregive oplysninger i følgende tilfælde:

• at det er påkrævet i henhold til lovgivningen eller følger af en endelig dom.
• at det med bindende virkning er påkrævet af en fondsbørs, autoriseret markedsplads eller administrativ myndighed eller,
• at, informationen er almindeligt kendt eller offentligt tilgængelig,

 

5 Databehandlerens erklæringer

5.1 Databehandleren afgiver følgende erklæringer i forhold til behandling af personoplysninger for den Dataansvarlige:

• Databehandleren vil sikre, at Databehandleren har opstillet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at de personoplysninger som den Dataansvarlige videregiver til Databehandleren hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

 

• Databehandleren vil sikre, at sikkerheden gennem log-in- og adgangskodeprocedurer, firewalls og antivirus I aftales løbetid vil afspejle det aktuelle tekniske niveau, samt være proportionale i forhold til gennemførelsesomkostninger i betragtning af behandlingens karakter, omfang, kontekst og formål samt risikoen for fysiske personers rettigheder og frihedsrettigheder.

 

• Databehandleren vil sikre, at kun medarbejdere med et arbejdsrelateret formål vil have adgang til de oplysninger den Dataansvarlige videregiver til Databehandleren samt, at alle medarbejdere der arbejder med personoplysninger eller kan få adgang til personoplysninger er underlagt tavshedspligt, og har forpligtet sig til fortrolighed.

 

• Databehandleren vil sikre, at Databehandlerens medarbejdere løbende modtager undervisning og instruktioner i overholdelse af de sikkerhedskrav der er nødvendigt for at sikre overholdelsen af de nødvendige sikkerhedskrav.

 

6 Databehandlerens forpligtelser

6.1 Databehandleren vil på den Dataansvarliges anmodning give tilstrækkelige oplysninger til, at den Dataansvarlige kan påse, om de ovennævnte tekniske og organisatoriske sikkerheds-foranstaltninger er truffet eller ej.

6.2 Databehandleren vil hvert år fremsende erklæring til den Dataansvarlige, der dokumenterer, at Databehandleren og evt. underdatabehandlere opfylder Databehandleraftalens krav til sikkerhedsforanstaltninger. Erklæringen vil blive udarbejdet for Databehandlerens regning af en uafhængig tredjepart.

6.3 Såfremt den Dataansvarlige måtte ønske, at besigtige de dele af Databehandlerens eller en evt. underdatabehandlers systemer og faciliteter, der vedrører den Dataansvarliges data skal Databehandleren give den Dataansvarlige adgang til at foretage denne besigtigelse. Det er dog en forudsætning for denne besigtigelse, at den Dataansvarlige 14 dage inden besigtigelsen skal finde sted til Databehandleren fremsender en beskrivelse af de systemer og data som den Dataansvarlige ønsker at besigtige. Det er en forudsætning, at den ønskede besigtigelse kan foregå på en sådan måde, at Databehandleren evt. underdatabehandler kan opretholde normal drift, og såfremt dette ikke kan lade gøre kan ønsket om besigtigelse afvises.

Den Dataansvarlige afholder selv alle omkostninger til den ønskede besigtigelse.

6.4 I det omfang Databehandlerens eventuelle underdatabehandler, som fx Google, Microsoft eller andre tilsvarende verdensomspændende koncerner ikke giver adgang til en besigtigelse skal dette accepteres af den Dataansvarlige.

6.5 Databehandleren vil hurtigst muligt videregive enhver begæring vedrørende de registreredes rettigheder til den Dataansvarlige, Databehandleren vil herudover bistå Den Dataansvarlige med besvarelse af enhver anmodning vedrørende den registreredes rettigheder.

6.6 I det tilfælde Databehandleren bliver mødt med krav fra tredjemand i anledning af Databehandlerens behandling af personoplysninger i medfør af Databehandleraftalen vil Databehandleren uden unødigt ophold fremsende dette krav til Den Dataansvarlige..

6.7 Databehandleren vil straks efter at være blevet bekendt med driftsforstyrrelser, mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne skriftlig orientere den Dataansvarlige herom. Ved datasikkerhedsbrud skal orienteringen som minimum indeholde oplysninger om arten af det konstaterede sikkerhedsbrud, hvilke kategorier af personer (registrerede) som er omfattet samt antal, samt hvilke foranstaltninger Databehandleren har truffet i anledning af det konstaterede sikkerhedsbrud. Databehandleren er forpligtet til i rimeligt omfang at bistå den Dataansvarlige i forbindelse med meddelelser om sikkerhedsbrud til Datatilsynet og de registrerede.

 

7 Underdatabehandleraftaler

7.1 Den Dataansvarlige giver Databehandleren samtykke til anvendelse af underdatabehandlere forudsat, at de i Aftalen stillede betingelser for dette er opfyldt.

7.2 Af bilag B fremgår den/de underdatabehandlere Databehandleren anvender ved aftalens indgåelse. Såfremt Databehandleren planlægger at skifte underdatabehandler/underdatabehandlere, vil Databehandleren meddele dette til den Dataansvarlige med 5 ugers varsel. Såfremt den Dataansvarlige ikke gør indsigelse betragtes den/de nye underdatabehandler som godkendt af den Dataansvarlige.

7.3 Såfremt Databehandleren med den Dataansvarliges samtykke videregiver personoplysninger omfattet af Databehandleraftalen til tredjemand med henblik på, at tredjemand skal behandle oplysningerne på vegne af Databehandleren skal Databehandleren indgå en aftale mellem Databehandleren og tredjemand – en underdatabehandleraftale – der sikrer, at underdatabehandleren overholder samtlige forpligtelser i Databehandleraftalen.

7.4 I tilfælde af, at Databehandleren indgår en underdatabehandleraftale med en udenlandske underdatabehandler vil Databehandleren sikre, at det i denne underdatabehandleraftale anføres, at det er den Dataansvarliges lands databeskyttelseslovgivning, der gælder for den udenlandske underdatabehandler. Hvis den modtagende underdatabehandler er etableret inden for EU sikrer Databehandleren, at det i nævnte underdatabehandleraftale anføres, at det modtagende EU-lands særlige lovgivningsmæssige krav vedrørende Databehandlere skal overholdes.

7.5 Databehandleren vil ikke uden udtrykkeligt samtykke anvende underdatabehandlere der er etableret uden for EU.

 

8 Ikrafttræden og ophør

8.1 Aftalen træder i kraft når begge parter har underskrevet aftalen

8.2 I tilfælde af ophør af aftalen vedr. projektstyring og tidsregistrering i systemet EazyProject ophører denne aftale samtidig hermed. Databehandleren er dog forpligtet af Databehandleraftalen så længe
Databehandleren behandler persondata på vegne af den Dataansvarlige.

8.3 Ved aftalens ophør vil Databehandleren straks tilbageleverer alle personoplysninger, der behandles på den Dataansvarliges vegne eller såfremt den Dataansvarlige giver skriftlig instruks herom slette oplysningerne.

 

9 Lovvalg og værneting

9.1 Databehandleraftalen er undergivet dansk ret, og enhver konflikt, der udspringer af aftalen skal behandles ved Retten i Roskilde.