Databehandlingsavtal
Databehandlingsavtal
1 Databehandlingsavtal ingress
- Detta databehandlingsavtal anger vilka rättigheter och skyldigheter som gäller för Databehandlarens hantering av personuppgifter för den personuppgiftsansvariges räkning.
- Detta avtal har utformats för att säkerställa att parterna följer artikel 28, underavsnitt 3 i Europaparlamentets och rådets förordning 2016/679 av den 27 april 2016 om skydd av fysiska personer med avseende på behandling av personuppgifter och om fri rörlighet för sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) , som ställer upp specifika krav för innehållet i databehandlingsavtal.
- Databehandlarens behandling av personuppgifter ska ske i syfte att fullgöra Parternas ”Master Agreement”. Behandling av personuppgifter med början 01/04/18.
- Databehandlingsavtalet och "huvudavtalet" ska vara beroende av varandra och kan inte sägas upp separat. Databehandlingsavtalet kan dock – utan att ”huvudavtalet” sägs upp – ersättas med ett alternativt giltigt databehandlaravtal.
- Detta databehandlingsavtal ska ha företräde framför alla liknande bestämmelser som finns i andra avtal mellan parterna, inklusive "huvudavtalet".
- Fyra bilagor bifogas detta databehandlande avtal. Bilagorna utgör en integrerad del av detta databehandlingsavtal.
- Bilaga A till databehandlingsavtalet innehåller uppgifter om behandlingen samt behandlingens syfte och art, typ av personuppgifter, kategorier av registrerade och behandlingens varaktighet.
- Bilaga B till Databehandlingsavtalet innehåller den personuppgiftsansvariges villkor som gäller för databehandlarens användning av Underbehandlare och en lista över Underbehandlare som godkänts av den personuppgiftsansvarige.
- Bilaga C till Databehandlingsavtalet innehåller anvisningar om den behandling som Databehandlaren ska utföra på uppdrag av den personuppgiftsansvarige (föremålet för behandlingen), vilka minimisäkerhetsåtgärder som ska vidtas samt hur inspektion med Databehandlaren och eventuella underprocessorer ska utföras.
- Databehandlingsavtalets bilaga D innehåller Parternas bestämmelser för verksamhet som inte ingår i detta Databehandlingsavtal eller Parternas ”Masteravtal”.
- Databehandlingsavtalet och dess tillhörande bilagor ska sparas såväl skriftligt som elektroniskt av båda parter.
- Detta databehandlingsavtal ska inte befria databehandlaren från skyldigheter som databehandlaren är föremål för enligt den allmänna dataskyddsförordningen eller annan lagstiftning.
2 Den personuppgiftsansvariges rättigheter och skyldigheter
- Den personuppgiftsansvarige ska ansvara gentemot omvärlden (inklusive den registrerade) för att behandlingen av personuppgifter sker inom ramen för den allmänna dataskyddsförordningen och den danska dataskyddslagen.
- Den personuppgiftsansvarige ska därför ha både rätt och skyldighet att fatta beslut om ändamålen och medlen för behandlingen av personuppgifter.
- Den personuppgiftsansvarige ska ansvara för att den behandling som Databehandlaren har i uppdrag att utföra är tillåten i lag.
3 Databehandlaren agerar enligt instruktioner
- Databehandlaren ska endast ha rätt att behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige såvida inte behandling krävs enligt EU- eller medlemsstatslagstiftningen som databehandlaren lyder under; i detta fall ska Databehandlaren informera den personuppgiftsansvarige om detta lagkrav före behandling om inte den lagen förbjuder sådan information på grund av viktiga allmänintressen, jfr. Artikel 28, 3 mom.
- Databehandlaren ska omedelbart informera den personuppgiftsansvarige om instruktioner enligt databehandlaren strider mot den allmänna dataskyddsförordningen eller dataskyddsbestämmelser som finns i annan EU- eller medlemsstatslagstiftning.
4 Sekretess
- Databehandlaren ska säkerställa att endast de personer som för närvarande är behöriga att göra det har tillgång till de personuppgifter som behandlas på uppdrag av den personuppgiftsansvarige. Tillgång till uppgifterna ska därför utan dröjsmål nekas om ett sådant tillstånd tas bort eller upphör.
- Endast personer som behöver tillgång till personuppgifterna för att fullgöra Databehandlarens skyldigheter gentemot den personuppgiftsansvarige ska ges behörighet.
- Databehandlaren ska säkerställa att personer som är behöriga att behandla personuppgifter för den personuppgiftsansvariges räkning har åtagit sig att iaktta sekretess eller är föremål för lämplig lagstadgad tystnadsplikt.
- Databehandlaren ska på begäran av den personuppgiftsansvarige kunna visa att berörda anställda är föremål för ovanstående sekretess.
5 Säkerhet vid behandling
- Databehandlaren ska vidta alla åtgärder som krävs enligt artikel 32 i den allmänna dataskyddsförordningen som föreskriver att med hänsyn till nuvarande nivå, genomförandekostnader och behandlingens art, omfattning, sammanhang och syften samt risken för varierande sannolikhet och svårighetsgrad. för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och databehandlaren genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken.
- Ovanstående skyldighet innebär att Databehandlaren ska göra en riskbedömning och därefter vidta åtgärder för att motverka den identifierade risken. Beroende på deras relevans kan åtgärderna omfatta följande:
- Pseudonymisering och kryptering av personuppgifter
- Förmågan att säkerställa kontinuerlig konfidentialitet, integritet, tillgänglighet och motståndskraft för bearbetningssystem och tjänster.
- Möjligheten att återställa tillgängligheten och tillgången till personuppgifter i rätt tid i händelse av en fysisk eller teknisk incident.
- En process för att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten i behandlingen.
- Databehandlaren ska för att säkerställa ovanstående – i alla fall – åtminstone genomföra den säkerhetsnivå och de åtgärder som anges i bilaga C till detta databehandlingsavtal.
- Parternas eventuella reglering/överenskommelse om ersättning mm för den personuppgiftsansvariges eller databehandlarens efterföljande krav på upprättande av ytterligare säkerhetsåtgärder ska anges i Parternas ”Grundavtal” eller i bilaga D till detta databehandlingsavtal.
6 Användning av underprocessorer
- Databehandlaren ska uppfylla de krav som anges i artikel 28, stycke 2 och 4, i den allmänna dataskyddsförordningen för att anlita en annan processor (underbehandlare).
- Databehandlaren ska därför inte anlita en annan processor (underbehandlare) för fullgörandet av detta databehandlande avtal utan föregående specifikt eller generellt skriftligt medgivande från den personuppgiftsansvarige.
- Vid generellt skriftligt samtycke ska Databehandlaren informera den personuppgiftsansvarige om eventuella planerade ändringar avseende tillägg till eller ersättning av andra databehandlare och därigenom ge den personuppgiftsansvarige möjlighet att invända mot sådana ändringar.
- Den personuppgiftsansvariges krav på Databehandlarens engagemang av andra underdatabehandlare ska specificeras i bilaga B till detta databehandlingsavtal.
- Den personuppgiftsansvariges samtycke till anlitande av specifika underbehandlare, i förekommande fall, ska specificeras i bilaga B till detta databehandlande avtal.
- När Databehandlaren har den personuppgiftsansvariges behörighet att använda en underdatabehandlare ska Databehandlaren se till att Underbehandlaren omfattas av samma dataskyddsförpliktelser som de som anges i detta Databehandlare avtal på grundval av avtal eller annat. juridiskt dokument enligt EU-lagstiftningen eller medlemsstaternas nationella lagstiftning, i synnerhet tillhandahållande av nödvändiga garantier för att underbehandlaren kommer att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i den allmänna dataskyddsförordningen.
Databehandlaren ska därför ansvara – utifrån ett underdatabehandlaravtal – för att kräva att underdatabehandlaren åtminstone uppfyller de skyldigheter som Databehandlaren är föremål för enligt kraven i den allmänna dataskyddsförordningen och denna. Databehandlingsavtal och dess tillhörande bilagor.
- En kopia av ett sådant underdatabehandlaravtal och efterföljande ändringar ska – på den personuppgiftsansvariges begäran – lämnas till den personuppgiftsansvarige som därigenom får möjlighet att försäkra sig om att ett giltigt avtal har ingåtts mellan databehandlaren och den underordnade. Processor. Kommersiella villkor, såsom prissättning, som inte påverkar det juridiska dataskyddsinnehållet i underprocessoravtalet, ska inte kräva inlämnande till den personuppgiftsansvarige.
- Databehandlaren ska i sitt avtal med Underbehandlaren inkludera den personuppgiftsansvarige som tredje part i händelse av Databehandlaren i konkurs för att möjliggöra för den personuppgiftsansvarige att överta Databehandlarens rättigheter och åberopa dessa gentemot Underbehandlaren. t.ex. så att datakontrollanten kan instruera underbehandlaren att utföra radering eller retur av data.
- Om underbehandlaren inte fullgör sina skyldigheter om dataskydd, förblir databehandlaren fullt ansvarig gentemot den personuppgiftsansvarige när det gäller fullgörandet av underbehandlarens skyldigheter.
7 Överföring av uppgifter till tredjeländer eller internationella organisationer
- Databehandlaren ska endast ha rätt att behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inklusive när det gäller överföring (överlåtelse, utlämnande och intern användning) av personuppgifter till tredjeländer eller internationella organisationer, såvida inte behandling krävs enligt EU eller medlemsstat. lag som Databehandlaren lyder under; i ett sådant fall ska Databehandlaren informera den personuppgiftsansvarige om det lagkravet innan behandlingen sker om inte den lagen förbjuder sådan information av väsentliga skäl av allmänt intresse, jfr. Artikel 28, 3 mom.
- Utan instruktioner eller godkännande från den personuppgiftsansvarige kan databehandlaren därför inte – inom ramen för detta databehandlingsavtal:
- lämna ut personuppgifter till en personuppgiftsansvarig i ett tredjeland eller i en internationell organisation
- överlåta behandlingen av personuppgifter till en underordnare i ett tredjeland
- låta behandla uppgifterna i en annan av Databehandlarens avdelningar som är belägen i ett tredjeland
- Den personuppgiftsansvariges instruktioner eller godkännande av överföring av personuppgifter till ett tredjeland, i förekommande fall, ska anges i bilaga C till detta databehandlingsavtal.
8 Hjälp till den personuppgiftsansvarige
- Databehandlaren ska, med beaktande av behandlingens art, så långt det är möjligt bistå den personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder, vid fullgörandet av den personuppgiftsansvariges skyldigheter att svara på begäran om utövande av de registrerade. ' rättigheter enligt kapitel 3 i den allmänna dataskyddsförordningen.
Detta innebär att Databehandlaren så långt det är möjligt ska bistå den personuppgiftsansvarige i den personuppgiftsansvariges efterlevnad av:
- underrättelseskyldighet vid insamling av personuppgifter från den registrerade
- anmälningsskyldighet om personuppgifter inte har inhämtats från den registrerade
- rätt till tillgång för den registrerade
- rätten till rättelse
- rätten till radering ('rätten att bli glömd')
- rätten att begränsa behandlingen
- underrättelseskyldighet om rättelse eller radering av personuppgifter eller begränsning av behandling
- rätten till dataportabilitet
- rätten att göra invändningar
- rätten att invända mot resultatet av automatiserat individuellt beslutsfattande, inklusive profilering
- Databehandlaren ska bistå den personuppgiftsansvarige med att säkerställa efterlevnaden av den personuppgiftsansvariges skyldigheter enligt artiklarna 32-36 i den allmänna dataskyddsförordningen med beaktande av behandlingens art och de uppgifter som görs tillgängliga för databehandlaren, jfr. Artikel 28, 3 mom. f.
Detta innebär att Databehandlaren, med beaktande av behandlingens art, så långt det är möjligt ska bistå den personuppgiftsansvarige i den personuppgiftsansvariges efterlevnad av:
- skyldigheten att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för den risk som är förknippad med behandlingen
- skyldigheten att rapportera personuppgiftsintrång till tillsynsmyndigheten (Dataskyddsverket) utan onödigt dröjsmål och, om möjligt, inom 72 timmar från det att den personuppgiftsansvarige upptäckt ett sådant brott om inte personuppgiftsintrånget sannolikt inte kommer att medföra en risk för rättigheterna. och fysiska personers friheter
- skyldigheten att – utan onödigt dröjsmål – meddela den registrerade personuppgiftsintrånget när ett sådant brott sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter
- skyldigheten att genomföra en konsekvensbedömning av dataskyddet om en typ av behandling sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter
- skyldigheten att samråda med tillsynsmyndigheten (Dataskyddsverket) före behandling om en dataskyddskonsekvensbedömning visar att behandlingen kommer att leda till hög risk i avsaknad av åtgärder från den personuppgiftsansvarige för att begränsa risken
- Parternas eventuella reglering/överenskommelse om ersättning mm för Databehandlarens biträde till den personuppgiftsansvarige ska anges i Parternas ”Grundavtal” eller i bilaga D till detta databehandlande avtal.
9 Anmälan om personuppgiftsintrång
- Vid upptäckt av personuppgiftsintrång hos Databehandlarens anläggningar eller en underprocessors anläggningar ska Databehandlaren utan onödigt dröjsmål meddela den personuppgiftsansvarige.
Databehandlarens anmälan till den personuppgiftsansvarige ska om möjligt ske inom 24 timmar efter det att databehandlaren upptäckt överträdelsen för att den personuppgiftsansvarige ska kunna fullgöra sin skyldighet att i förekommande fall anmäla överträdelsen till tillsynsmyndigheten inom 72 timmar.
- Enligt punkt 9.2., punkt b, i detta databehandlande avtal ska Databehandlaren – med hänsyn till behandlingens art och tillgängliga uppgifter – bistå den personuppgiftsansvarige med att rapportera intrånget till tillsynsmyndigheten.
Det kan innebära att Databehandlaren är skyldig att bistå med att inhämta de uppgifter som anges nedan som enligt artikel 33 3 mom. i den allmänna dataskyddsförordningen ska anges i den personuppgiftsansvariges rapport till tillsynsmyndigheten:
- Typen av personuppgiftsintrång, inklusive, om möjligt, kategorierna och det ungefärliga antalet berörda registrerade och kategorierna och det ungefärliga antalet berörda personuppgiftsregister
- Troliga konsekvenser av ett personuppgiftsintrång
- Åtgärder som har vidtagits eller föreslås för att hantera personuppgiftsintrånget, inklusive, i förekommande fall, åtgärder för att begränsa dess eventuella skada
10 Radering och återlämnande av data
- Vid uppsägning av behandlingstjänsterna är databehandlaren skyldig att, efter den personuppgiftsansvariges gottfinnande, radera eller återsända alla personuppgifter till den personuppgiftsansvarige och att radera befintliga kopior såvida inte EU-lagar eller medlemsstatslagstiftning kräver lagring av personuppgifterna. data.
11 Inspektion och revision
- Databehandlaren ska göra tillgänglig för den personuppgiftsansvarige all information som är nödvändig för att visa efterlevnad av artikel 28 i den allmänna dataskyddsförordningen och detta databehandlande avtal, samt tillåta och bidra till revisioner, inklusive inspektioner som utförs av den personuppgiftsansvarige eller annan revisor med uppdrag av den personuppgiftsansvarige.
- De rutiner som gäller för den personuppgiftsansvariges inspektion av databehandlaren anges i bilaga C till detta databehandlingsavtal.
- Den personuppgiftsansvariges inspektion av underdatabehandlare, i förekommande fall, ska som regel utföras genom Databehandlaren. Rutinerna för sådan inspektion anges i bilaga C till detta databehandlande avtal.
- Databehandlaren ska vara skyldig att ge de tillsynsmyndigheter, som enligt tillämplig lagstiftning har tillgång till den personuppgiftsansvariges och databehandlarens faciliteter, eller företrädare som agerar på uppdrag av sådana tillsynsmyndigheter, tillgång till databehandlarens fysiska anläggningar mot uppvisande av lämplig Identifiering.
12 Parternas överenskommelse om andra villkor
- (Separata) villkor som hänför sig till konsekvenserna av Parternas brott mot detta Databehandlingsavtal, om tillämpligt, ska specificeras i Parternas "Grundavtal" eller i Bilaga D till detta Databehandlingsavtal.
- Reglering av övriga villkor mellan Parterna ska specificeras i Parternas ”Grundavtal” eller i Bilaga D till detta Databehandlande avtal.
13 Igångsättning och uppsägning
- Detta databehandlande avtal träder i kraft samma dag som båda parter undertecknar avtalet.
- Båda parter har rätt att kräva att detta databehandlande avtal omförhandlas om lagändringar eller olämplighet i bestämmelserna häri skulle ge upphov till sådan omförhandling.
- Parternas överenskommelse om ersättning, villkor etc. i samband med ändringar i detta Databehandlingsavtal, i förekommande fall, ska anges i Parternas ”Grundavtal” eller i Bilaga D till detta Databehandlingsavtal.
- Detta databehandlande avtal kan sägas upp enligt villkoren för uppsägning, inkl. meddelande om uppsägning, specificerat i 'huvudavtalet'.
- Detta databehandlingsavtal ska gälla så länge behandlingen utförs. Oavsett uppsägning av 'huvudavtalet' och/eller detta databehandlande avtal, ska databehandlaravtalet fortsätta att gälla tills behandlingen avslutas och databehandlaren och eventuella underbehandlare raderar uppgifterna.
- Signatur
På uppdrag av den personuppgiftsansvarige
Namn: |
Michael Stampe
|
Placera: |
vd
|
Datum:
|
01/04/18
|
14 Datakontrollant och databehandlare kontakter/kontaktpunkter
- Parterna kan kontakta varandra genom att använda följande kontakter/kontaktpunkter:
- Parterna är skyldiga att fortlöpande informera varandra om ändringar av kontakter/kontaktpunkter.
Namn: |
Mike Stampe
|
Placera: |
vd
|
Telefonnummer: |
+45 52137210
|
E-post: |
stampe@kv-stampe.dk |
Bilaga A Information om behandlingen
Syftet med Databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning är:
- Den personuppgiftsansvarige kan använda Google analytics som ägs och förvaltas av databehandlaren för att samla in och bearbeta data om den personuppgiftsansvariges medlemmar.
Databehandlarens behandling av personuppgifter för den personuppgiftsansvariges räkning ska i huvudsak avse (behandlingens art):
- Databehandlaren gör systemet Shopify tillgängligt för den personuppgiftsansvarige och lagrar härmed personuppgifter om den personuppgiftsansvariges medlemmar på företagets servrar.”
Behandlingen omfattar följande typer av personuppgifter om registrerade:
- Namn, e-postadress, telefonnummer, adress, betalningsuppgifter och länder
Behandlingen inkluderar följande kategorier av registrerade:
Personer som har köpt någon produkt på hemsidan eller har registrerat sig som medlem
Databehandlarens behandling av personuppgifter på uppdrag av den personuppgiftsansvarige kan komma att utföras när detta databehandlande avtal inleds. Bearbetningen har följande varaktighet:
- Behandlingen ska inte vara tidsbegränsad och ska utföras tills detta Databehandlingsavtal sägs upp eller avbryts av någon av Parterna.
Bilaga B Instruktion för användning av personuppgifter
B.1 Förvaringsperiod /raderingsprocedur
- Personuppgifter lagras i 3 år varefter de raderas av Databehandlaren.
B.2 Bearbetningsplats
Behandling av personuppgifterna enligt detta databehandlingsavtal kan inte utföras på andra platser än följande utan den personuppgiftsansvariges föregående skriftliga medgivande:
- Ange databehandlare eller underbehandlare med adressen Ringvejen 60, 7900 Nykøbing Mors