Databehandleraftale for post-løsningen mit.dk til erhvervsdrivende
Som Erhvervsdrivende, har du (herefter den ”dataansvarlige”) og Netcompany A/S, cvr-nr.: 14814833, Strandgade 3, 1401 København K, Danmark (herefter ”databehandleren”) (hver især en ”Part” og sammen ”Parterne”) aftalt følgende standardkontraktsbestemmelser (”Bestemmelserne”). Den Dataansvarlige accepterer, at dennes brug af mit.dk er underlagt Bestemmelserne ved den Dataansvarliges accept af Brugervilkårene (herefter benævnt ”Hovedaftalen”) i forbindelse med oprettelsen af den Dataansvarliges profil på mit.dk.
1. Præambel
Disse Bestemmelser er baseret på Standardkontraktbestemmelserne udarbejdet af det danske Datatilsyn og godkendt af det Europæiske Databeskyttelsesråd i overensstemmelse med Databeskyttelsesforordningens artikel 28, stk. 8.
Disse Bestemmelser fastsætter den Dataansvarliges og Databehandlerens rettigheder og forpligtelser ved Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige.
Bestemmelserne er udformet med henblik på Parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (”Databeskyttelsesforordningen” eller ”Forordningen”).
Ved ”personoplysninger” forstås enhver oplysning, der relaterer sig til en identificérbar fysisk person, jf. artikel 4, stk. 1 i Databeskyttelsesforordningen.
I forbindelse med den Dataansvarliges accept af Brugervilkårene og Databehandlerens levering af mit.dk, behandler Databehandleren personoplysninger på vegne af den Dataansvarlige i overensstemmelse med Bestemmelserne.
Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem Parterne. Hvis Databehandleren er pålagt yderligere forpligtelser i henhold til andre aftaler mellem Parterne, f.eks. gennem EU-Kommissionens standardkontraktbestemmelser efter artikel 46, stk. 2, litra c og d i Databeskyttelsesforordningen, skal disse forpligtelser gælde i tilknytning til Bestemmelserne.
Der hører fem underbilag til Bestemmelserne, og underbilagene udgør en integreret del af Bestemmelserne.
Underbilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varigheden af behandlingen.
Underbilag B indeholder den Dataansvarliges betingelser for Databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den Dataansvarlige har godkendt brugen af.
Underbilag C indeholder den Dataansvarliges instruks for så vidt angår Databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som Databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med Databehandleren og eventuelle underdatabehandlere.
Underbilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke er omfattet af Bestemmelserne.
Underbilag E indeholder en oversigt over de tekniske og organisatoriske sikkerhedsforanstaltninger, der allerede er implementeret hos Databehandleren.
Bestemmelserne med tilhørende underbilag skal opbevares skriftligt, herunder elektronisk, af begge Parter.
Disse Bestemmelser frigør ikke Databehandleren fra forpligtelser, som Databehandleren er pålagt efter Databeskyttelsesforordningen eller enhver anden lovgivning.
2. Den Dataansvarliges rettigheder og forpligtelser
Den Dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med Databeskyttelsesforordningen (se Forordningens artikel 24) samt gældende databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Henvisninger til ”medlemsstat” i Bestemmelserne skal forstås som en henvisning til ”EU/EØS medlemsstater”.
Den Dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
Den Dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som Databehandleren instrueres i at foretage.
3. Databehandleren handler efter instruks
Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre andet kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som Databehandleren er underlagt. Den Dataansvarliges instruks skal være specificeret i underbilag A og C. Efterfølgende instruks der ligger udenfor omfanget af disse Bestemmelser kræver en forudgående skriftlig aftale mellem Parterne. Den Dataansvarlige er berettiget til at opsige Hovedaftalen mellem Parterne, hvis Databehandleren afviser at følge instrukser fra den Dataansvarlige, som ligger udenfor omfanget af og/eller ændrer i instruksen, som er givet og aftalt i disse Bestemmelser.
Databehandleren underretter omgående den Dataansvarlige skriftligt, hvis en instruks efter vedkommendes mening er i strid med Databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4. Fortrolighed
Databehandleren skal holde alle personoplysningerne fortrolige.
Databehandleren må kun give adgang til personoplysninger, som behandles på den Dataansvarliges vegne, til personer, som er underlagt Databehandlerens instruktionsbeføjelser, og som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang skal adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
Databehandleren skal efter anmodning fra den Dataansvarlige kunne påvise, at de pågældende personer, som er underlagt Databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
Den Dataansvarlige er tilsvarende forpligtet til at behandle al information modtaget fra Databehandleren fortroligt og må ikke videregive sådan information uden forudgående skriftlig godkendelse.
5. Behandlingssikkerhed
Databeskyttelsesforordningens artikel 32 fastslår, at den Dataansvarlige og Databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
Den Dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder, som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
- pseudonymisering og kryptering af personoplysninger
- evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
- evnen til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
- en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Efter Forordningens artikel 32 skal Databehandleren – uafhængigt af den Dataansvarlige – også vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder, som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den Dataansvarlige stille den nødvendige information til rådighed for Databehandleren, som gør vedkommende i stand til at identificere og vurdere sådanne risici.
Derudover skal Databehandleren bistå den Dataansvarlige med vedkommendes overholdelse af den Dataansvarliges forpligtelse efter Forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den Dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som Databehandleren allerede har gennemført i henhold til Forordningens artikel 32, jf. underbilag E, og al anden information, der er nødvendig for den Dataansvarliges overholdelse af sin forpligtelse efter Forordningens artikel 32.
6. Anvendelse af underdatabehandlere
Databehandleren skal opfylde de betingelser, der er omhandlet i Databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
Databehandleren har den Dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databehandleren skal skriftligt underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelser eller udskiftning af underdatabehandlere med mindst 30 dage varsel og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e). Den Dataansvarlige har alene ret til at gøre indsigelse mod brugen af en underdatabehandler, hvis der er konkrete databeskyttelsesretlige forhold relateret til brugen af den påtænkte underdatabehandler, som udgør en overtrædelse af den Dataansvarliges forpligtelser efter gældende EU-ret eller national ret i medlemsstaterne. Hvis den Dataansvarlige ønsker at modsætte sig brugen af en underdatabehandler, kan den Dataansvarlige gøre dette ved at opsige Hovedaftalen. Ved ophør af brugen af en underdatabehandler skal Databehandleren give den Dataansvarlige skriftlig meddelelse herom. Længere varsel for underretning i forbindelse med specifikke behandlingsaktiviteter kan angives i underbilag B. Listen over underdatabehandlere, som den Dataansvarlige allerede har godkendt, fremgår af underbilag B.
Når Databehandleren gør brug af en underdatabehandler i forbindelse med udførelsen af specifikke behandlingsaktiviteter på vegne af den Dataansvarlige, skal Databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og Databeskyttelsesforordningen. Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder Databehandlerens forpligtelser efter disse Bestemmelser og Databeskyttelsesforordningen. Databehandleren er i den forbindelse berettiget til at fremsende Bestemmelserne (undtagen eventuelle forretningsrelaterede bestemmelser) til de underdatabehandlere, der beskæftiges af Databehandleren.
Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den Dataansvarliges anmodning herom – i kopi til den Dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den Dataansvarlige.
Databehandleren skal i sin aftale med underdatabehandleren indføje den Dataansvarlige som begunstiget tredjemand i tilfælde af Databehandlerens konkurs, således at den Dataansvarlige kan indtræde i Databehandlerens rettigheder og gøre dem gældende over for underdatabehandlere som f.eks. gør den Dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
Hvis underdatabehandleren ikke opfylder sine databeskyttelsesretlige forpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af Databeskyttelsesforordningen, herunder særligt Forordningens artikel 79 og 82, over for den Dataansvarlige og Databehandleren, herunder underdatabehandleren.
7. Overførsel til tredjelande eller internationale organisationer
Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af Databehandleren på baggrund af dokumenteret instruks herom fra den Dataansvarlige og skal altid ske i overensstemmelse med Databeskyttelsesforordningens kapitel V. Hvis Databehandleren beder den Dataansvarlige om en instruks til at overføre personoplysninger til en ny modtager i et tredjeland, må den Dataansvarlige alene afvise at give en sådan instruks, hvis specifikke databeskyttelseshensyn relateret til den påtænkte overførsel udgør en overtrædelse af den Dataansvarliges forpligtelser efter gældende EU-ret eller national ret i medlemsstaterne vedrørende databeskyttelse. Hvis den Dataansvarlige afviser at give instruksen, skal dette ske ved opsigelse af Hovedaftalen.
Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som Databehandleren ikke er blevet instrueret i at foretage af den Dataansvarlige, kræves i henhold til EU-retten eller medlemsstaternes nationale ret, som Databehandleren er underlagt, skal Databehandleren underrette den Dataansvarlige om dette retlige krav inden behandlingen påbegyndes, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
Uden dokumenteret instruks fra den Dataansvarlige kan Databehandleren således ikke inden for rammerne af disse Bestemmelser:
- overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
- overlade behandlingen af personoplysninger til en underdatabehandler i et tredjeland
- behandle personoplysningerne i et tredjeland
Den Dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i Databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i underbilag C, afsnit C.6.
Disse Bestemmelser skal ikke forveksles med EU-kommissionens standardkontraktsbestemmelser som omhandlet i Databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan således ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i Databeskyttelsesforordningens kapitel V.
8. Bistand til den Dataansvarlige
Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel III.
Dette indebærer, at Databehandleren så vidt muligt skal bistå den Dataansvarlige i forbindelse med, at den Dataansvarlige skal sikre overholdelsen af:
- oplysningspligten ved indsamling af personoplysninger hos den registrerede
- oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
- indsigtsretten
- retten til berigtigelse
- retten til sletning (”retten til at blive glemt”)
- retten til begrænsning af behandling
- underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
- retten til dataportabilitet
- retten til indsigelse
- retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
I tillæg til Databehandlerens forpligtelse til at bistå den Dataansvarlige i henhold til sidste afsnit i Bestemmelse 5, bistår Databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, den Dataansvarlige med:
- den Dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
- den Dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder
- den Dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
- den Dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Datatilsynet, inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den Dataansvarlige for at begrænse risikoen.
Parterne skal i underbilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed Databehandleren skal bistå den Dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af denne Bestemmelse 8.
9. Underretning om brud på persondatasikkerheden
Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
Databehandlerens underretning til den Dataansvarlige skal om muligt ske senest 24 timer efter, at denne er blevet bekendt med bruddet, sådan at den Dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. Databeskyttelsesforordningens artikel 33.
I overensstemmelse med Bestemmelse 8 skal Databehandleren bistå den Dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at Databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den Dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
- karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
- de sandsynlige konsekvenser af bruddet på persondatasikkerheden
- de foranstaltninger, som den Dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
Parterne skal i underbilag C angive den information, som Databehandleren skal tilvejebringe i forbindelse med sin bistand til den Dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
10. Sletning og returnering af oplysninger
Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er Databehandleren forpligtet til at slette alle personoplysninger, der er blevet behandlet på vegne af den Dataansvarlige og bekræfte over for den Dataansvarlige, at oplysningerne er slettet, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
11. Revision, herunder inspektion
Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af Databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
Procedurerne for den Dataansvarliges revisioner, herunder inspektioner, med Databehandleren og underdatabehandlere er nærmere angivet i underbilag C, afsnit C.7 og C.8.
Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den Dataansvarliges eller Databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til Databehandlerens fysiske faciliteter mod behørig legitimation.
12. Parternes aftale om andre forhold
Parterne kan aftale andre bestemmelser om tjenesten vedrørende behandling af personoplysninger som f.eks. erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af Databeskyttelsesforordningen.
13. Ikrafttræden og ophør
Bestemmelserne træder i kraft på datoen for Hovedaftalens ikrafttræden.
Begge Parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil. Den Dataansvarlige er berettiget til at opsige Hovedaftalen mellem Parterne, hvis Parterne ikke kan blive enige om en aftale.
Databehandleren er derudover berettiget til at foretage ændringer i Bestemmelserne, hvis Databehandleren mener, at ændringerne er nødvendige f.eks. som følge af lovændringer eller afgørelser fra de kompetente myndigheder. Databehandleren skal skriftligt informere den Dataansvarlige om eventuelle ændringer som fastsat i Hovedaftalen. Den Dataansvarlige kan opsige Hovedaftalen, hvis den Dataansvarlige ikke kan acceptere ændringerne.
Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem Parterne.
Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den Dataansvarlige i overensstemmelse med Bestemmelse 10 og underbilag C, afsnit C.4, kan Bestemmelserne opsiges med skriftligt varsel af begge Parter.
Underbilag A – Oplysninger om behandlingen
Bemærk, at behandlingsaktiviteterne, der udføres på vegne af den Dataansvarlige, kun vedrører Databehandlerens faktiske behandlingsaktiviteter, hvilke er begrænsede til at sende og opbevare digitale beskeder, såvel som behandlingsaktiviteter relateret til de grundlæggende funktionaliteter på mit.dk, herunder eksport eller sletning af digitale beskeder.
Grundet mit.dks karakter som standardløsning er Bestemmelserne tiltænkt at omfatte behandlingsaktiviteter for flere forskellige Dataansvarlige. Af samme grund er det lagt til grund, at alle typer af personoplysninger behandles som en del af Databehandlerens behandlingsaktiviteter, selvom det måske kun er et begrænset antal af de personoplysninger, der er listet i afsnit A.1, der behandles for en specifik Dataansvarlig, og/eller behandlingsaktiviteterne omfatter behandlingen af andre typer personoplysninger end de oplistede.
A.1 – Behandlingsinstruksen
Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige foretages af Databehandleren ved udførelsen af følgende behandlingsaktiviteter:
Databehandlers aktiviteter
| Beskrivelse
(behandlingens karakter) |
Formålet med behandlingen | Kategorier af personoplysninger
(sæt X) |
Kategorier af registrerede | Behandlingens varighed
(sæt X) |
|
| Mit.dk
(Funktionaliteterne på mit.dk omfatter afsendelse, modtagelse, opbevaring, eksport, og sletning af digitale beskeder. Derudover kan der gives læseadgang til post til andre brugere, der er blevet tildelt læseadgang af den Dataansvarlige via mit.dk ) |
At levere en digital post løsning. | Almindelige personoplysninger |
|
Behandlingen er ikke tidsbegrænset og vil fortsætte under Hovedaftalens varighed mellem Dataansvarlig og Databehandler, hvortil bemærkes, at digitale beskeder som udgangspunkt alene slettes på den Dataansvarliges initiativ.
I tilfælde af, at en medarbejder fra den Dataansvarlige vælger at slette sin profil og/eller den Dataansvarliges profil, er Databehandleren pålagt at skulle stoppe sin behandling og slette de dertilknyttede personoplysninger. Uanset ovenstående skal Databehandleren løbende slette logoplysninger rullende (6 år). |
|
| Navn, adresse, telefonnr., e-mail | X | ||||
| Login information | X | ||||
| IP-adresser | X | ||||
| Fødselsdage | X | ||||
| Billeder | X | ||||
| Finansielle oplysninger | X | ||||
| Sociale relationer | X | ||||
| Andre personoplysninger
(angiv nedenfor): Alle informationer indeholdt i beskederne. |
X | ||||
| Særlige kategorier af personoplysninger | |||||
| CPR-nr. | X | ||||
| Oplysninger om strafbare forhold (f.eks. straffeattest) | X | ||||
| Følsomme personoplysninger | |||||
| Racemæssig eller etnisk baggrund | X | ||||
| Religiøs eller filosofisk overbevisning | X | ||||
| Politiske tilhørsforhold | X | ||||
| Fagforeningsmæssige tilhørsforhold | X | ||||
| Helbredsoplysninger | X | ||||
| Oplysninger af seksuel karakter | X | ||||
| Genetiske eller biometriske data | X | ||||
Underbilag B – Godkendte underdatabehandlere
B.1 – Godkendte underdatabehandlere
Ved Bestemmelsernes ikrafttræden har den Dataansvarlige godkendt brugen af følgende underdatabehandlere:
Dataansvarliges godkendte underdatabehandlere
| NAVN | CVR-nr. | ADRESSE | BESKRIVELSE AF BEHANDLING(er) | Lokation for behandling(er) | Overførelsesgrund-lag til lande udenfor EU/EEA
(Hvis relevant) |
| Netcompany Poland Sp. z.o.o | Tax. no. 586-21-55-720 | ul. Puławska 182, Pl-02-670 Warszawa, Poland | Netcompany Polen kan foretage de samme behandlingsaktiviteter som beskrevet i underbilag A. | ul. Puławska 182, Pl-02-670 Warszawa, Poland | N/A |
| Netcompany Norge AS | Org. no. 881 886 472 | Øvre Voll Gate 15, 0158 Oslo, Norway | Netcompany Norge kan foretage de samme behandlingsaktiviteter som beskrevet i underbilag A. | Øvre Voll Gate 15, 0158 Oslo, Norway | N/A |
| Netcompany Netherland B.V. | Company no. 000037295179 | Kanaalweg 3b, 2628 EB Delft, The Netherlands | Netcompany Holland kan foretage de samme behandlingsaktiviteter som beskrevet i underbilag A. | Kanaalweg 3b, 2628 EB Delft, The Netherlands | N/A |
Ved Bestemmelsernes ikrafttræden har den Dataansvarlige accepteret brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet. Ønsker Databehandleren efterfølgende at gøre brug af en ny underdatabehandler, skal dette ske i overensstemmelse med Bestemmelsernes punkt 6. Derudover må Databehandleren ikke – i henhold til Bestemmelse 6 – behandle personoplysninger på andre lokaliteter end de aftalte, jf. ovenfor samt underbilag C, afsnit C.5.
B.2 – Varsel for godkendelse af underdatabehandlere
Databehandleren skal skriftligt informere den Dataansvarlige om eventuelle påtænkte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere mindst 30 dage i forvejen.
Underbilag C - Instruks vedrørende behandling af personoplysninger
C.1 – Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige sker ved behandlingsaktiviteterne anført i underbilag A.
C.2 – Behandlingssikkerhed
Sikkerhedsniveauet skal fastsættes ud fra behandlingsaktiviteternes art, anvendelsesområde, kontekst og formålet med behandlingen samt risikoen for fysiske personers rettigheder og frihedsrettigheder.
Behandlingen kan – i forhold til visse Dataansvarlige – involvere en stor mængde personoplysninger, der er omfattet af Databeskyttelsesforordningens artikel 9 vedrørende ‘særlige kategorier af personoplysninger’. Af samme grund er der fastsat et ’højt’ sikkerhedsniveau. Databehandleren og Databehandlerens koncernselskaber er alle certificeret under ISO/IEC 27001, og sikkerhedsforanstaltningerne implementeret på mit.dk er alle baseret på antagelsen om, at al data der behandles i løsningen, vedrører både særlige og sensitive kategorier af personoplysninger. Dermed er det højeste niveau af både tekniske og organisatoriske sikkerhedsforanstaltninger sikret.
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om de tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes, for at sikre et tilstrækkeligt beskyttelsesniveau. I forbindelse hermed vil Databehandleren som minimum følge de sikkerhedsforanstaltninger, der fremgår af underbilag E.
Baseret på ovenstående kræver den Dataansvarlige ikke, at der implementeres yderligere sikkerhedsforanstaltninger.
C.3 - Bistand til den Dataansvarlige
I tilfælde af brud på persondatasikkerheden, som Databehandleren er skyld i, stiller Databehandleren som minimum følgende oplysninger til rådighed for den Dataansvarlige :
- Kategorier og antal af registrerede, der er berørt af databruddet
- Karakteren af personoplysningerne samt kategorier og antal af personoplysninger omfattet af databruddet
Eventuelle yderligere services som Databehandleren leverer til den Dataansvarlige i relation til sidste afsnit af Bestemmelse 5, Bestemmelse 8 samt i tilfælde af databrud (Bestemmelse 9), som Databehandleren ikke er skyld i, faktureres den Dataansvarlige i overensstemmelse med underbilag D, afsnit D.2.
C.4 - Opbevaringsperiode/sletterutine
Den Dataansvarlige kan til enhver tid slette eller hente sin Digitale Post i post-løsningen på mit.dk. Behandlingen af personoplysninger i form af Digital Post varer indtil Dataansvarlig sletter Digital Post i Dataansvarliges post-løsning på mit.dk, jf. Hovedaftalen.
C.5 – Behandlingslokationer
I tilknytning til Bestemmelse 6, kan behandling af personoplysninger i henhold til Bestemmelserne ikke udføres andre steder end følgende:
Danmark:
Netcompany A/S
Primær placering:
- Strandgade 3, 1401 København, Denmark
- Søndergade 66-68, 3. sal, DK-8000 Aarhus, Denmark
- Toldbod Plads 1, DK-9000 Aalborg, Denmark
- Dirch Passers Allé 76, DK-2000 Frederiksberg, Denmark
- Rued Langgaards Vej 4-8, DK-2300 København Syd, Denmark
Datacentersteder:
- Region Hovedstaden
Polen:
Netcompany Poland Sp. z.o.o
- ul. Puławska 180, Pl-02-670 Warszawa, Polen
Norge:
Netcompany Norge AS
- Øvre Voll Gate 15, 0158 Oslo, Norge
Holland:
- Netcompany Netherland B.V
Kanaalweg 3b, 2628 EB Delft, Holland
Der henvises herudover til listen i underbilag B, afsnit B.1.
C.6 - Instruktion om overførsel af personoplysninger til tredjelande og internationale organisationer
Databehandleren overfører ikke personoplysninger til lande udenfor EU/EØS. Ønsker Databehandleren på et senere tidspunkt at overføre personoplysninger til et land udenfor EU/EØS kan dette kun ske efter specifik instruks (godkendelse) fra den Dataansvarlige.
C.7 - Procedurer for den Dataansvarliges revisioner, herunder inspektioner, af den behandling af personoplysninger, der udføres af Databehandleren
Databehandleren skal hvert år for Databehandlernes egen regning indhente en revisionserklæring fra en uafhængig tredjepart om Databehandlerens overholdelse af gældende EU-ret eller medlemsstaternes nationale ret vedrørende databeskyttelse.
Parterne er enige om, at følgende revisionserklæringer kan anvendes i overensstemmelse med Bestemmelserne:
- Generel ISAE3000 type II (vedrørende overholdelse af GDPR)
- Generel ISAE3402 type II (vedrørende it-kontroller og relevant i forhold til drift- og hosting services på mit.dk)
Revisionserklæringerne sendes til den Dataansvarlige efter anmodning fra den Dataansvarlige. Den Dataansvarlige kan anmode om en kopi af revisionserklæringerne én gang årligt. Den Dataansvarlige kan anfægte erklæringernes omfang og/eller metode og i sådanne tilfælde anmode om udarbejdelsen af en ny revisionserklæring i henhold til et revideret anvendelsesområde og/eller anden metode. Den Dataansvarlige afholder alle omkostninger i forbindelse hermed, herunder de rimelige omkostninger, som Databehandleren måtte have i forbindelse med forberedelsen af og deltagelsen i en revideret revision.
Den Dataansvarlige har ret til at udpege en uafhængig ekspert, der kan inspicere de fysiske faciliteter på Databehandlerens lokaliteter, hvor behandlingen af personoplysninger finder sted. Dette for at modtage de nødvendige oplysninger til at foretage en vurdering af, om Databehandleren opfylder sine forpligtelser i henhold til Bestemmelserne. Efter anmodning fra Databehandleren skal eksperten underskrive en fortrolighedserklæring. Den Dataansvarlige bærer alle omkostninger i forbindelse med fysiske revisioner, herunder Databehandlerens rimelige omkostninger i forbindelse med forberedelsen af og deltagelsen i den fysiske revision.
På baggrund af resultaterne fra revisionen kan den Dataansvarlige anmode om, at der træffes yderligere foranstaltninger for at sikre overholdelsen af EU og/eller medlemsstaternes gældende databeskyttelsesregler. Parterne skal være enige om eventuelle yderligere foranstaltninger, der skal implementeres. Den Dataansvarlige er berettiget til at opsige Hovedaftalen, hvis Parterne ikke kan blive enige herom.
C.8 - Procedurer for revision, herunder inspektioner, af behandling af personoplysninger, der udføres af en underdatabehandler
Databehandleren vil, på den Dataansvarliges anmodning og regning, anmode underdatabehandleren om at fremsende alle relevante informationer vedrørende underdatabehandlerens overholdelse af gældende EU-ret eller medlemsstaternes nationale ret vedrørende databeskyttelse.
Informationen skal snarest muligt sendes til den Dataansvarlige på anmodning fra denne. Den Dataansvarlige kan anfægte informationens og oplysningernes omfang og i sådanne tilfælde anmode om en ny revision/inspektion i henhold til et revideret anvendelsesområde og/eller anden metode. Den Dataansvarlige afholder alle ekstraomkostninger i forbindelse hermed, herunder de rimelige omkostninger for Databehandleren og underbehandleren i forbindelse med forberedelsen af og deltagelsen i en revideret inspektion.
Databehandleren eller Databehandlerens repræsentant skal derudover have adgang til at inspicere, herunder fysisk inspicere, de steder, hvor behandlingen af personoplysninger udføres af underdatabehandleren, herunder fysiske faciliteter samt systemer, der anvendes til og i forbindelse med behandlingen. Inspektionerne gennemføres i det omfang Databehandleren (eller den Dataansvarlige) finder det påkrævet. Den Dataansvarlige afholder alle omkostninger i forbindelse med sådanne fysiske inspektioner.
Dokumentation for inspektionerne sendes til den Dataansvarlige snarest muligt efter inspektionerne er gennemført. Den Dataansvarlige kan anfægte inspektionernes omfang og/eller metode og kan i sådanne tilfælde anmode om en ny inspektion i henhold til et revideret anvendelsesområde og/eller anden metode. Den Dataansvarlige afholder alle ekstraomkostninger i forbindelse hermed, herunder de rimelige omkostninger for Databehandleren og underdatabehandleren i forbindelse med forberedelsen af og deltagelsen i en revideret inspektion.
På baggrund af resultaterne fra revisionen kan den Dataansvarlige anmode om, at der træffes yderligere foranstaltninger for at sikre overholdelsen af EU og/eller medlemsstaternes gældende databeskyttelsesregler. Parterne skal være enige om eventuelle yderligere foranstaltninger, der skal implementeres. Den Dataansvarlige er berettiget til at opsige Hovedaftalen, hvis Parterne ikke kan blive enige herom.
Underbilag D - Parternes regulering af andre forhold
D.1. Konsekvenser som følge af en potentiel ulovlig instruks
I tilfælde hvor Databehandleren har underrettet den Dataansvarlige om, at en instruks efter Databehandlerens mening er ulovlig, og den Dataansvarlige ikke er enig heri, skal den Dataansvarlige skriftligt redegøre for, hvorfor den Dataansvarlige mener instruksen er lovlig.
Hvis Parterne herefter fortsat er uenige, skal de hver især udarbejde et notat, hvoraf deres synspunkter fremgår samt underskrive og datere dette. Notaterne skal udveksles mellem Parterne og skal som minimum opbevares i behandlingens varighed, jf. underbilag A. Såfremt Databehandleren fortsat vurderer, at instruksen er ulovlig, kan Databehandleren opsige Hovedaftalen.
D.2. Databehandlerens ydelser
Alle ydelser fra Databehandleren, som ikke er særskilt prissat i Bestemmelserne, vil blive faktureret den Dataansvarlige i henhold til medgået tid og efter priserne oplyst til den Dataansvarlige.
I tilfælde hvor ændringer til gældende lovgivning og/eller praksis relateret til databeskyttelsesretten, giver anledning til nye og/eller ændrede forpligtelser for den Dataansvarlige og Databehandleren, bærer hver Part sine egne omkostninger relateret til overholdelsen af hver Parts respektive forpligtelser som henholdsvis dataansvarlig og databehandler.
D.3. Erstatningsansvar
Der henvises til bestemmelserne om erstatning i Hovedaftalen.
Underbilag E - Tekniske og organisatoriske sikkerhedsforanstaltninger implementeret hos databehandleren
Underbilag E - Tekniske og organisatoriske sikkerhedsforanstaltninger implementeret hos databehandleren
Tekniske og organisatoriske sikkerhedsforanstaltninger
| Område: | Foranstaltning: | Beskrivelse: |
| Adgangskontrol
|
Adgangskoder | Alle ansatte skal have en individuel adgangskode til alle påkrævede systemer og enheder f.eks. mobiltelefoner, computere osv. Derudover skal alle enheder låses, når de efterlades uden opsyn. |
| Adgang fra eksterne lokationer | For at få adgang til Databehandlerens interne systemer, er det påkrævet, at brugerne logger ind med en intern NCLAN konto og godkendes via VPN software | |
| Adgang til interne serverrum og hovednetværk | Eksterne parter må alene få adgang til interne serverrum, hvis de er i selskab med en af Databehandlerens medarbejdere. Kun udvalgte medarbejdere har adgang til rummene. | |
| Antivirus | Antivirusprogrammer er installerede på alle computere. Windows servere og Linux servere opdateres jævnligt. | |
| Anti-spam og anti-phishing | Anti-spam og anti-phishing software er installeret på det interne mailsystem. | |
| Adgangskontrol | Der er implementeret et autorisationssystem i organisationen, der sikrer, at kun relevante medarbejdere har adgang til de forskellige systemer. Autorisationssystemet er bygget på princippet om mindst adgang. | |
| Clean desk politik | Fysiske dokumenter bruges sjældent, og hvis de gør, gemmes de sikkert væk, når de ikke bruges. | |
| DDoS angreb | Databehandleren har DDoS beskyttelse integreret mod Databehandlerens ISP på internetlinjerne. | |
| Afskaffelse af fysisk materiale | Al fysisk og fortroligt materiale afskaffes ved brug af aflåste skraldespande og efterfølgende makulering. | |
| Kryptering | Alle computere, e-mails og back-ups er krypterede og retningslinjer er implementerede for at sikre, at data på mobile enheder også er krypteret. | |
| Endpoint sikkerhed | Endpoint sikkerhed er etableret gennem antivirusprogrammer, endpoint detektering og respons (EDR), jævnlige systemopdateringer, software alarmer m.m. | |
| Firewalls | Firewalls er installerede for at beskytte mod uautoriseret adgang. | |
| IAM | Identitet- og adgangskontrol er implementeret ved brug af individuelle brugerkonti. | |
| Informationsudveksling | I relation til data der hostes af Databehandleren, krypteres data, og krypteringsnøgler sendes separat eller på anden sikker måde med respekt for dataenes indhold. Udveksling af data vil altid ske gennem sikre forbindelser. | |
| Logging | Information om brugeridentitet og brugerhandlinger logges. | |
| Netværkssegmentering | Alle systemer er isolerede fra hinanden og alt netværksudstyr leveres af store leverandører, herunder Cisco, og kun leverandørsupporteret udstyr bruges. | |
| Fortrolighedsaftaler | Der indgås fortrolighedsaftaler med alle ansatte, eksterne konsulenter samt andre forretningspartnere, som behandler personoplysninger på vegne af Databehandleren. | |
| Beskyttelse mod malware | Antivirus software er installeret på alle computere og al downloadet software overvåges. | |
| Registrering af gæster | Alle gæster skal bære et synligt skilt, hvor der står, at de er gæster. | |
| Sikker afskaffelse af udstyr | Alt udstyr renses for alle informationer inden det bortskaffes. | |
| Adskillelse mellem udvikling-, test- og produktionsmiljøer | Udviklings-, test- og produktionsmiljøer holdes adskilt fra hinanden. | |
| Tilbagekaldelse af adgangsrettigheder | Adgangsrettigheder tilbagekaldes når et ansættelsesforhold eller forretningsforbindelse afsluttes, eller når en medarbejder flytter til et andet projekt. | |
| Data adgang | Back-up | Databehandleren arbejder med en komplet back-up løsning, hvori indgår en kombination af lokal og ekstern back-up. Data er derfor beskyttet i Databehandlerens primære datacenter samtidig med, at en fuld kopi altid er hos Databehandlerens sekundære datacenter. |
| Vedligeholdelse af udstyr | Alt Databehandlerens udstyr vedligeholdes løbende.
|
|
| Strømforsyningssikkerhed | Datacentrene har flere løsninger implementeret til beskyttelse af strømforsyningen, UPS'er og køling. Retningslinjer for strømforsyningen til udstyr sammen med den årlige test af A/B-feed sikrer korrekt funktion og opsætning. Ved køling anvendes det samme kølelement, men er redundant i begge ender af dette. | |
| Serverrum | Best practice benyttes, når IT-udstyr i serverrum og hos datacentrene tilses. | |
| Software updates og patching | Al computersoftware opdateres og patches regelmæssigt. | |
| Kode review | Al ny kode eller ændringer til eksisterende kode gennemses behørigt og godkendes af en anden medarbejder end koderen. | |
| Test af kode | Den udviklede kode testes først af koderen, så gennem peer review, så af testere og undervejs udføres statisk kode-analyse af SonarQube. | |
| Personale | Awareness | Alle medarbejdere har pligt til årligt at gennemlæse og bekræfte, at de har læst Databehandlerens sikkerhedspolitik, procedurer og privatlivspolitiker. |
| Straffeattester | Pletfri straffeattester kræves af Databehandlerens medarbejdere ved kritiske stillinger. | |
| Fysisk sikkerhed | Tyverialarmer | Alarmer er installerede på alle Databehandlerens kontorer for at undgå tyveri og/eller hærværk. |
| Ildebrand | Ildslukkere er placeret på alle Databehandlerens kontorer. | |
| Videoovervågning | Alle indgange til Databehandlerens kontorer videoovervåges. | |
| Politikker, procedure og sikkerhedsorganisation | Lovgivning | Der følges løbendes op på ny lovgivning og praksis. |
| Politikker for brug af elektroniske enheder | Der er implementeret retningslinjer for at sikre en sikker brug af elektroniske enheder, og det påkræves, at alle medarbejdere læser og følger retningslinjerne herfor. | |
| Privatlivspolitikker | Alle medarbejdere skal læse og følge Databehandlerens privatlivspolitikker, der indeholder retningslinjer for, hvordan man skal behandle personoplysninger i overensstemmelse med gældende databeskyttelsesret. | |
| Sikkerhedshændelser | Databehandleren har implementeret en strikt procedure for håndtering af sikkerhedshændelser, som alle medarbejdere har pligt til at læse og følge. | |
| Sikkerhedspolitik | Sikkerhedspolitikken revideres årligt og opdateres efter behov. | |
| Sikkerhedsorganisation | Databehandleren har en sikkerhedsorganisation bestående af en sikkerhedskomité, sikkerhedsofficerer og sikkerhedsmanagers, der mødes på regelmæssig basis for at diskutere den generelle sikkerhed. |