Databehandleraftale OnlineProfil ApS – 2020
Databehandleraftale
Imellem:
Dataansvarlig:
og
Databehandler: OnlineProfil, Karupvej 6, 1., 8000 Aarhus C, CVR-nr: 39071525 CVR-nr: 34731543
Kontakt: kontakt@OnlineProfil.dk
Parterne kaldes i det følgende henholdsvis den “Dataansvarlige” og “Databehandleren”, og “Part” eller tilsammen “Parterne”.
Introduktion
Ved brug af OnlineProfil’s services og ydelser og ethvert modul eller funktion i forbindelse med servicen herved forstås også tredjeparts services (i det hele benævnt “Servicen”), vil den Dataansvarlige være ansvarlig for sin Behandling af Personoplysninger i Servicen. Databehandleren vil behandle personoplysninger på vegne af den Dataansvarlige. For at sikre, at Parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/279 (“GDPR”), har Parterne indgået denne databehandleraftale (“Aftalen”), som udgør instruksen fra den Dataansvarlige til Databehandleren og dermed regulerer Databehandlerens Behandling af personoplysninger på vegne af den Dataansvarlige.
Begge Parter bekræfter, at de har fuldmagt til at underskrive Aftalen. Dataansvarlige acceptere Databehandleraftalen i forbindelse med indgået kundeforhold i form af gyldig ordrebekræftelse.
Databehandleren behandler desuden udelukkende Personoplysninger i overensstemmelse med OnlineProfil’s Privatlivspolitik.
Definitioner
Definitionen af Personoplysninger, Særlige Kategorier af Data (Følsomme Oplysninger), Behandling, den Registrerede, Dataansvarlig og Databehandler er den samme som den relevante persondatalovgivning, herunder GDPR.
Aftalen regulerer Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige, og beskriver, hvordan Databehandleren skal medvirke til at beskytte privatliv på vegne af den Dataansvarlige og dennes Registrerede gennem tekniske og organisatoriske foranstaltninger som er krævet under den gældende databeskyttelseslovgivning, herunder GDPR fra den 25. maj 2018. Formålet med Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige er at sikre, den Dataansvarliges brug af servicen og opfyldelsen af denne Aftale.
Aftalen har forrang for andre modstridende bestemmelser vedrørende Behandling af Personoplysninger for så vidt angår vilkår for brugen af servicen eller i andre aftaler gældende Parterne imellem. Aftalen er gyldig, så længe den Dataansvarlige benytter sig af en af OnlineProfil ́s services, og Databehandleren derfor skal behandle Personoplysninger på vegne af den Dataansvarlige. Aftalen har dog ikke forrang, såfremt Parterne har indgået en anden databehandleraftale, hvoraf fremgår, at den databehandleraftale har forrang frem for denne Aftale.
Databehandlerens forpligtelser
Databehandleren skal udelukkende behandle Personoplysninger på vegne af og som følge af den Dataansvarliges instruktioner. Ved at indgå denne Aftale, instruerer den Dataansvarlige Databehandleren i at behandle Personoplysninger på følgende måder: i) i overensstemmelse med gældende lovgivning, ii) for at opfylde sine forpligtelser i henhold til abonnementsvilkår for servicen, iii) som yderligere specificeret ved den Dataansvarliges normale brug af servicen, og iv) som beskrevet i denne Aftale. Kategorierne af Registrerede og Personoplysninger som behandles i henhold til denne Aftale er beskrevet i Den Dataansvarliges forpligtelser.
Som en del af at kunne levere servicen er Databehandleren forpligtet til enhver tid at give den Dataansvarlige gode og konkurrencedygtige løsninger der følger med udviklingen. Databehandleren kan tilbyde bedre løsninger, som er tilpasset den enkelte Dataansvarliges behov, ved at registrere hvordan Dataansvarlig og dennes repræsentanter bruger servicen. Dette gør Databehandler for at kunne leverer en bedre service, og generelt yde bedre tjenester og give mere relevant kommunikation til den Dataansvarlige og dennes repræsentanter. Målet er at Dataansvarlig skal få mest mulig ud af servicen. I den grad at personoplysninger fra servicen indgår i dette arbejde, behandles disse i henhold til denne Aftale og gældende lovgivning, og kan deles med tredjepart.
Databehandleren har ikke nogen grund til at tro, at gældende lovgivning forhindrer Databehandleren i at efterleve instruktionerne gengivet ovenfor. Databehandleren skal, hvis denne bliver opmærksom på det, give den Dataansvarlige besked om instruktioner eller andre Behandlingsaktiviteter udført af den Dataansvarlige, som efter Databehandlerens opfattelse strider imod den gældende databeskyttelseslovgivning.
Under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, samt omfanget, konteksten og formålet med Behandlingen, er Databehandleren forpligtet til at foretage alle rimelige foranstaltninger, herunder tekniske og organisatoriske, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til den risiko og kategorien af Personoplysninger, der skal beskyttes.
Databehandleren skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, som dette er muligt og under hensyntagen til Behandlingens art og kategorien af oplysninger, der er tilgængelige for Databehandleren, for at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder for så vidt angår bistand i forhold til opfyldelse af anmodninger fra Registrerede samt generel overholdelse af bestemmelserne under GDPR artikel 32-36.
Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse via kontaktperson oplyst i Databehandleraftalen, hvis Databehandleren bliver bekendt med sikkerhedsbrist.
Endvidere skal Databehandleren så vidt muligt og lovligt underrette den Dataansvarlige, hvis;
1.
En anmodning om indsigt i Personoplysninger modtages direkte fra den Registrerede 2. En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder, herunder politiet.
Databehandleren må ikke besvare sådanne anmodninger fra Registrerede, medmindre denne er autoriseret af den Dataansvarlige til at gøre det. Databehandleren vil endvidere ikke videregive information om denne Aftale til statslige
myndigheder såsom politiet, herunder Personoplysninger, medmindre Databehandleren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.
Hvis den Dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Databehandleren behandler Personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services.
Databehandleren og dennes ansatte skal sikre fortrolighed i forhold til Personoplysninger, som behandles i henhold til Aftalen. Denne bestemmelse skal ligeledes gælde efter ophør af Aftalen.
Den Dataansvarliges forpligtelser
Den Dataansvarlige bekræfter ved indgåelse af denne aftale, at:
• Den Dataansvarlige skal ved brug af servicen stillet til rådighed af Databehandleren, udelukkende behandle Personoplysninger i overensstemmelse med kravene i den gældende Databeskyttelseslovgivning.
• Den Dataansvarlige har et lovligt grundlag for at behandle og videregive Personoplysninger til Databehandleren (herunder til underdatabehandlere som Databehandleren anvender).
• Den Dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de Personoplysninger som behandles af Databehandleren.
• Den Dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår Behandlingen af Personoplysninger.
• Den Dataansvarlige har opfyldt sin oplysningsforpligtelser over for de Registrerede vedrørende behandlingen af Personoplysninger i henhold til gældende databeskyttelseslovgivning.
• Den Dataansvarlige er enig i, at Databehandleren har givet de relevante garantier for så vidt angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de Registreredes rettigheder og deres Personoplysninger.
• Den Dataansvarlige skal have en opdateret liste over de kategorier af Personoplysninger, som denne behandler, dette gælder særligt i det omfang sådan Behandling indeholder personfølsomme oplysninger.
Kategorier af Personoplysninger
1. Navn
2. Titel
3. Telefonnummer
4. E-mail
5. Adresse
6. Evt.
Brug af underdatabehandlere og videregivelse af data Som en del af driften af servicen anvender Databehandleren underleverandører (“Underdatabehandlere”). Sådanne Underdatabehandlere kan være andre selskaber som OnlineProfil’s tredjepartsleverandører i og uden for EU/EØS.
Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere. Databehandleren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen.
Denne Aftale udgør den Dataansvarliges forudgående generelle og specifikke skriftlige godkendelse af Databehandlerens brug af Underdatabehandlere.
Hvis en Underdatabehandler er etableret uden for eller Personoplysninger opbevares uden for EU/EØS giver den Dataansvarlige Databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af den
Dataansvarlige, herunder ved anvendelse af EU Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield.
Den Dataansvarlige skal orienteres, inden Databehandlere udskifter sine Underdatabehandlere. Den Dataansvarlige har dog kun ret til at protestere imod en ny Underdatabehandler, som behandler Personoplysninger på vegne af den
Dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal Databehandleren demonstrere overensstemmelse ved at give den Dataansvarlige adgang til Databehandlerens databeskyttelsesvurdering af Underdatabehandleren.
Sikkerhed
Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og services, hvilket sikres ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger, som er påkrævede i henhold til information om sikkerhedsforanstaltninger som beskrevet i GDPR artikel 32.
Endvidere har OnlineProfil’s interne databeskyttelses politikker til formål at sikre fortrolighed, integritet, modstandsdygtigheden og adgangen til Personoplysninger. De følgende foranstaltninger er særligt væsentlige:
• Klassificering af Personoplysninger for at sikre implementering af sikkerhedsforanstaltninger relevante i forhold til risikovurderinger.
• Vurdering af kryptering og pseudonymisering som risikoreducerende faktorer ‘
• Begrænse adgangen til Personoplysninger til de relevante personer, der skal til for at overholde krav og forpligtelser i Aftalen eller i henhold til Parternes aftale om anvendelse af servicen.
• Kortlægge sikkerheds strukturen samt hvordan Personoplysninger overføres imellem Parterne.
• Foretage vurdering af eget sikkerhedsniveau for at sikre, at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af Personoplysninger, herunder i henhold til GDPR artikel 32 om behandlingssikkerhed samt artikel 25 om privacy by design og default.
Varighed og ophør
Aftalen er gældende, så længe Databehandleren behandler Personoplysninger på vegne af den Dataansvarlige i forbindelse med den Dataansvarliges brug af servicen.
Denne Aftale vil automatisk ophøre ved sletning af den Dataansvarliges kundeforhold. Ved ophør af servicen vil Databehandleren slette alle Personoplysninger, som Databehandleren har behandlet på vegne af den Dataansvarlige under Aftalen.
Databehandleren er berettiget til at beholde Personoplysninger efter ophør af Aftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i Aftalen.
Ændringer
Ændringer til Aftalen skal vedlægges i et særskilt bilag til Aftalen.
Hvis nogen af bestemmelserne i Aftalen er ugyldige, får dette ikke indvirkning på de resterende bestemmelser. Parterne skal erstatte ugyldige bestemmelser med en lovlig bestemmelse, som afspejler formålet med den ugyldige bestemmelse.
Ansvar
Ansvar for handlinger i strid med bestemmelserne i denne Aftale reguleres af ansvars- og erstatningsbestemmelser i betingelserne for brug af OnlineProfil ́s services. Dette gælder ligeledes for enhver overtrædelse, som foretages af Databehandlerens Underdatabehandlere.
Lovvalg og værneting
Aftalen er underlagt dansk ret og enhver tvist skal forelægges en danske domstol.
Persondatapolitik
1.0 Dataansvarlig
OnlineProfil ApS
Karupvej 6
8000 Aarhus C
Kontakt e-mail: kontakt@OnlineProfil.dk Cvr-nr. 39071525
2.0 Hvilke personoplysninger vi indsamler til brug for opfyldelse af vores aftale med dig om din brug/din virksomheds brug af OnlineProfil.
Vi indsamler personoplysninger om dig og dine ansatte for at kunne opfylde vores aftale med dig.
NB: Du kan ikke være kunde hos os, hvis du ikke giver os de mindste- oplysninger, vi beder om.
Hvis du har en personligt ejet virksomhed, indsamler vi følgende personoplysninger om dig og din virksomhed:
Vi indsamler din virksomheds navn, adresse, e-mail, mobilnummer og andre nødvendige kontaktinformationer, samt dit navn og din virksomheds cvr.nr og betalingsoplysninger, hvis din virksomhed anvender en betaltløsning.
Vi indsamler kun de personoplysninger, som du selv giver os ved aftalens indgåelse eller løbende i aftalens løbetid.
Hvis din virksomhed er et selskab, indsamler vi alene din e-mail og eventuelle kontaktinformationer på personer ansat i selskabet.
Vi indsamler også de personoplysninger du giver os om dine ansatte, som skal have adgang til OnlineProfil’s service. Det gør vi alene for at gøre det muligt for din virksomhed, at anvende OnlineProfil’s services.
Vi indsamler ikke personoplysninger om dig som person fra tredjemand. Dog indsamler vi informationer via vores cookies. Se mere herom i vores cookiepolitik, som du finder på www.OnlineProfil.dk
De personoplysninger vi indsamler via vores brug af cookies, indsamler vi for at forfølge vores legitime interesse i at markedsføre os overfor dig, for at kunne tilpasse vores indhold af Servicen specifikt til dig og for at kunne optimere vores service.
Deltager du i de undersøgelser vi gennemfører, indsamler vi de oplysninger som indgår i undersøgelsen, herunder, køn, alder, interesser, holdninger og kendskab til forskellige emner. Deltagelse i undersøgelser er altid frivillig.
Vi bruger undersøgelserne til dels at forbedre vores tjenester, men også for at kunne tilbyde dig og din virksomhed andre ydelser, herunder at målrette vores tilbud bedre til dig og din virksomhed.
Behandlingsgrundlaget for indsamlingen af personoplysninger via vores undersøgelser er dit samtykke.
Du kan til enhver tid trække dit samtykke tilbage.
Trækker du dit samtykke tilbage, sletter vi de oplysninger, som vi alene har
indsamlet som følge af din deltagelse i vores undersøgelser.
Er du endnu ikke kunde hos os, indsamler vi oplysninger om dig/din virksomhed til brug for vores markedsføring over for dig.
Det gør vi for at kunne forfølge vores legitime interesse i at markedsføre os over for dig.
Vi anvender kun din e-mail etc. til markedsføring, hvis vi har fået dit udtrykkelige forudgående samtykke hertil.
Brug af personoplysninger
Vi bruger dine personoplysninger til at afvikle vores kundeforhold med dig/din virksomhed.
Vi bruger dem også til at forbedre vores tjenesteydelser og til at kunne målrette vores budskaber til dig og din virksomhed, herunder målrette reklamer og indhold til dig/din virksomhed.
Dine personoplysninger videregives ikke til tredjemand medmindre, at du selv udtrykkeligt har samtykket hertil.
Vi bruger de underleverandører der fremgår af Underleverandør til behandling af dine personoplysninger.
3.1 Indsigt i personoplysninger m.v.
Hvis du ønsker adgang til de oplysninger, som er registreret om dig hos OnlineProfil, skal du rette henvendelse på kontakt@O nlineProfil.dk
Er der registreret forkerte oplysninger om dig, og kan du ikke selv rette dem, eller hvis du har andre indsigelser mod vores behandling af dine personoplysninger, så skriv til os på kontakt@OnlineProfil.dk.
Du har mulighed for at få indsigt i hvilke informationer, der er registreret om dig, og du er berettiget til at komme med indsigelser mod vores behandling af dine personoplysninger.
Såfremt det viser sig, at personoplysninger om dig er urigtige eller vildledende, så har du ret til at få dem rettet.
Du kan til enhver tid gøre indsigelse mod, at oplysninger om dig gøres til genstand for behandling. Blot skriv til os på kontakt@OnlineProfil.dk
Du kan også til enhver tid tilbagekalde dit samtykke til de behandlinger, vi foretager med dit samtykke.
Du har mulighed for at klage over vores behandling af dine personoplysninger, hvis vi ikke giver dig ret I dine indsigelser. Klagen skal sendes til Datatilsynet. Se mere påwww.Datatilsynet.dk
3.2 Sletning af personoplysninger
Personoplysninger slettes eller anonymiseres løbende efterhånden som det formål, de blev indsamlet til, afsluttes.
Vi gemmer dine personoplysninger så længe vi har et aktivt kundeforhold med dig/din virksomhed.
Når kundeforholdet er ophørt, gemmer vi dine personoplysninger så længe vi er forpligtet hertil efter lovgivning, herunder regnskabslovgivningen.
3.3 Ændring af vores persondatapolitik
I tilfælde af væsentlige ændringer af denne persondatapolitik, giver vi dig besked i form af en synlig meddelelse på vores websites.
Underleverandører
Opdateret oversigt over underleverandører i OnlineProfil
Nedenstående underleverandører af vores IT-systemer kan få adgang til vores brugeres persondata idet man indgår en aftale med OnlineProfil. De leverer services, vi vurderer er nødvendige for, at vi kan leve op til den aftale, du som bruger laver med OnlineProfil ved at blive kunde hos os.
Listen vil løbende blive opdateret ved eventuelle ændringer. Hvis der bliver tilføjet en underleverandør, vil alle brugere ligeledes blive varslet.
OnlineProfil ApS
Karupvej 6, 8000, Aarhus C
CVR: 39071525
Mail: Kontakt@OnlineProfil.dk
www.OnlineProfil.dk