I forbindelse med de nationale databeskyttelses regler for personoplysninger, samt Europa-Parlamentes og Europa Rådets forordning (EU) 2016/279 (GDPR), har Vitec Datamann A/S fastlagt sine aktiviteter som Databehandler på sine kunders vegne, som nedenfor beskrevet. Vitec Datamanns medarbejdere kan blive Databehandlere overfor vores kunder på given foranledning. I den forbindelse skelner vi mellem vores behandling af kundens samlede data – og behandling af personoplysninger på vegne af vore kunder.Nærværende er udarbejdet med afsæt i Datatilsynets vejledninger og træder i kraft fra 25. maj 2018. Vitec Datamanns generelle betingelser for service og support er hovedaftale for nærværende databehandler aftale.
1 Generel Databehandling
Vitec Datamann bliver Databehandler når vi tilgår vore kunders samlede data på ASP server (for Vitec Datamann løsningerne Auto ASP og WeDo ASP) eller når vi tilgår vores kunders samlede data på vore kunders egen server. For beskrivelse vedrørende ASP løsninger se bilag 1
Vitec Datamann bliver Databehandler hvis vi i en support situation overtager betjeningen af en brugers terminal.
Ovenstående er omfattet af nærværende generelle aftale.
2 Behandling af personoplysninger
Vitec Datamanns medarbejdere må kun behandle personoplysninger på vegne af vore kunder efter nærmere skriftlige anvisninger fra kunden. (typisk er e-mail anvisning tilstrækkelige)
Datatilsynet understreger at Databehandleren skal instrueres:
- Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retslige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
- Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
Generelle forhold og forhold ved direkte behandling af persondata.
3 Fortrolighed og tavshedspligt
- Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.
- Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.
- Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4 Behandlingssikkerhed
- Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med databehandlerens tilpasning af behandlingssikkerhed vil fremgå af parternes "hovedaftale". Som hovedregel vil Vitec Datamann yde den ønskede bistand og fakturere vores kunde efter forbrugt tid.
5 Eventuel anvendelse af underdatabehandlere
- Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
- Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
- I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
- Når databehandleren har den dataansvarliges godkendelse til at gøre brug af en underdatabehandler, sørger databehandleren for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.
Databehandleren er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som databehandleren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag. - Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom - i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem databehandleren og underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
- Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandleren, f.eks. så den dataansvarlige kan instruere underdatabehandleren om at foretage sletning eller tilbagelevering af oplysninger.
- Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
- Vitec Datamann anvender freelance tilknyttede medarbejdere, som for nærværende aftale er at betragte på lige fod med Vitec Datamanns øvrige medarbejdere.
6 Eventuel overførsel af oplysninger til tredjelande eller internationale organisationer
- Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; I så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
- Uden den dataansvarliges instruks eller godkendelse kan databehandleren – indenfor rammerne af databehandleraftalen - derfor bl.a. ikke;
- videregive personoplysningerne til en dataansvarlig i et tredjeland eller i en international organisation,
- overlade behandlingen af personoplysninger til en underdatabehandler i et tredjeland,
- lade oplysningerne behandle i en anden af databehandlerens afdelinger, som er placeret i et tredjeland.
7 Databehandleren skal bistå den dataansvarlige
- Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:- oplysningspligten ved indsamling af personoplysninger hos den registrerede
- oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
- den registreredes indsigtsret
- retten til berigtigelse
- retten til sletning (»retten til at blive glemt«)
- retten til begrænsning af behandling
- underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
- retten til dataportabilitet
- retten til indsigelse
- retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering
- Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.
Dette indebærer, at databehandleren under hensyntagen til behandlingens karakter skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:- forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen
- forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
- forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
- forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder
- forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen
- Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med databehandlerens bistand til den dataansvarlige vil fremgå af parternes "hovedaftale". Som hovedregel vil Vitec Datamann yde den ønskede bistand og fakturere vores kunde efter forbrugt tid.
8 Underretning om brud på persondatasikkerheden
Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.
9 Sletning og tilbagelevering af oplysninger
Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
10 Tilsyn og revision
Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med databehandlerens bistand omkring tilsyn og revision, vil fremgå af parternes "hovedaftale". Som hovedregel vil Vitec Datamann yde den ønskede bistand og fakturere vores kunde efter forbrugt tid.
Bilag 1 til databehandler aftale
Beskrivelse vedrørende hosting hos Vitec Datamann (ASP)
I relation til GDPR (persondata forordning) er for kunder som anvender Vitec Datamanns ASP løsning gældende at:
- Kunden er dataejer
- Vitec Datamann er databehandler
For den løbende håndtering af kunders data (f.eks. den daglige backup) vil Vitec Datamanns databehandler aftale være gældende medmindre andet er skriftligt aftalt.
Data opbevares i Vitec datacenter Oslo eller Vitec Datamann datacenter Søborg.
For Vitec datacenter Oslo gælder:
- Bemanding 06 til 24 og uden for tidsrummet teknisk alarm og remote overvågning.
- Adgang til lokalerne er kun for godkendt personale. Sikret med alarm og 24 timer videoovervågning.
Alt udstyr er redundant. Dobbelt køleanlæg og UPS samt diesel El- backup.
- Der tages backup Dagligt. Backup opbevares internt samt eksternt.
- Adgang via opdelt fiber (internet).
- Der anvendes IDS/IPS firewall.
For Vitec Datamann datacenter Søborg gælder:
- Bemanding 07 til 16 og uden for tidsrummet teknisk alarm og remote overvågning.
- Adgang til lokalerne er uden for arbejdstid udover sædvanlige dørlåse sikret med faldgitter og alarmer.
- Data opbevares på IBM SAN Store
- Der tages backup Dagligt. Backup opbevares på NAS.
- Adgang via WWW (internet) er etableret af TDC. Der er aftale omkring drift, overvågning og firewall med TDC.
01.11.2021