Persondataforordning.
Gdpr - Vikar og Gastronomi IVS V2,0
Opsigelse/fratrædelse
Retten til at blive glemt
Vi gemmer ikke personfølsomme oplysninger mere end 6 mdr. efter fratrædelse.
Udskrifter
Vi håndterer udskrifter med personfølsomme oplysninger ved personlig ombæring.
Og sørger efter brug af disse for professionel makulering.
Kunder og medarbejdere
Dialoger med personfølsomme oplysninger på skrift/elektronisk
gemmes i op til et år efter sidste anvendelsesdato for hele dialogen.
Tidsregistrering i Intempus
I Vikar og Gastronomi IVS benytter vi Intempus til registrering af arbejdstid. Se Stykke A
Fremtidig Kontakt
Vi henvender os på tlf. til kunder og beder mundtligt om samtykke på, at vi (i Vikar og Gastronomi) må kontakte skriftligt (pr. mail).
I Vikar og Gastronomi IVS benytter vi E-conomic til at sende fakturaer til vores kunder. Se Stykke B
I Vikar og Gastronomi IVS benytter vi Danløn til håndtering af alle medarbejderes personfølsomme oplysninger. Se Stykke C
Mvh
Carsten Emborg
Vikar & Gastronomi IVS
Stykke A
Databehandleraftale
Imellem:
Dataansvarlig:
Vikar og gastronomi IVS
37494437
Kontaktperson:
Carsten
22332808
carsten@vikaroggastronomi.dk
og
Databehandler:
Intempus ApS,
Staunings Plads 3, 1607 København V,
CVR-nr: 34696977
Kontakt:
kontakt@intempus.dk
Parterne kaldes i det følgende henholdsvis den "Dataansvarlige" og "Databehandleren", og "Part" eller tilsammen "Parterne".
Introduktion
Ved brug af indberetningssystemet Intempus Timeregistrering og ethvert modul eller funktion i forbindelse med applikationen (i det hele benævnt "Applikationen"), vil den Dataansvarlige være ansvarlig for sin Behandling af Personoplysninger i Applikationen. Databehandleren vil behandle personoplysninger på vegne af den Dataansvarlige. For at sikre, at Parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/279 ("GDPR"), har Parterne indgået denne databehandleraftale ("Aftalen"), som udgør instruksen fra den Dataansvarlige til Databehandleren og dermed regulerer Databehandlerens Behandling af personoplysninger på vegne af den Dataansvarlige.
Begge Parter bekræfter, at de har fuldmagt til at underskrive Aftalen.
Det gælder for hele Aftalen og i forholdet mellem den Dataansvarlige og Databehandleren, at krav, der følger af GDPR, som er beskrevet i denne aftale og som ikke følger af nugældende lovgivning, først er gældende fra 25. maj 2018, hvor GDPR finder anvendelse fra.
Definitioner
Definitionen af Personoplysninger, Særlige Kategorier af Data (Følsomme Oplysninger), Behandling, den Registrerede, Dataansvarlig og Databehandler er den samme som den relevante persondatalovgivning, herunder GDPR.
Aftalen regulerer Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige, og beskriver, hvordan Databehandleren skal medvirke til at beskytte privatliv på vegne af den Dataansvarlige og dennes Registrerede gennem tekniske og organisatoriske foranstaltninger som er krævet under den gældende databeskyttelseslovgivning, herunder GDPR fra den 25. maj 2018.
Formålet med Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige er at sikre, den Dataansvarliges brug af Applikationen og opfyldelsen af denne Aftale.
Aftalen har forrang for andre modstridende bestemmelser vedrørende Behandling af Personoplysninger for så vidt angår vilkår for brugen af Applikationen eller i andre aftaler gældende Parterne imellem. Aftalen er gyldig, så længe den Dataansvarlige abonnerer på Applikationen, og Databehandleren derfor skal behandle Personoplysninger på vegne af den Dataansvarlige. Aftalen har dog ikke forrang, såfremt Parterne har indgået en anden databehandleraftale, hvoraf fremgår, at den databehandleraftale har forrang frem for denne Aftale.
Databehandlerens forpligtelser
Databehandleren skal udelukkende behandle Personoplysninger på vegne af og som følge af den Dataansvarliges instruktioner. Ved at indgå denne Aftale, instruerer den Dataansvarlige Databehandleren i at behandle Personoplysninger på følgende måder:
i) i overensstemmelse med gældende lovgivning
ii) for at opfylde sine forpligtelser i henhold til abonnementsvilkår for Applikationen
iii) som yderligere specificeret ved den Dataansvarliges normale brug af Applikationen
iv) som beskrevet i denne Aftale
Som en del af at kunne levere Applikationen er Databehandleren forpligtet til enhver tid at give den Dataansvarlige gode og konkurrencedygtige løsninger der følger med udviklingen. Databehandleren kan tilbyde bedre løsninger, som er tilpasset den enkelte Dataansvarliges behov, ved at registrere hvordan Dataansvarlig og dennes repræsentanter bruger Applikationen. Dette gør Databehandler for at kunne lave en bedre version af Applikationen, og generelt yde bedre tjenester og give mere relevant kommunikation til den Dataansvarlige og dennes repræsentanter. Målet er at Dataansvarlig skal løse så mange udfordringer som muligt på et sted. I den grad at personoplysninger fra Applikationen indgår i dette arbejde, behandles disse i henhold til denne Aftale og gældende lovgivning.
Databehandleren har ikke nogen grund til at tro, at gældende lovgivning forhindrer Databehandleren i at efterleve instruktionerne gengivet ovenfor. Databehandleren skal, hvis denne bliver opmærksom på det, give den Dataansvarlige besked om instruktioner eller andre Behandlingsaktiviteter udført af den Dataansvarlige, som efter Databehandlerens opfattelse strider imod den gældende databeskyttelseslovgivning. Kategorierne af Registrerede og Personoplysninger som behandles i henhold til denne Aftale er beskrevet i Bilag A.
Under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, samt omfanget, konteksten og formålet med Behandlingen, er Databehandleren forpligtet til at foretage alle rimelige foranstaltninger, herunder tekniske og organisatoriske, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til den risiko og kategorien af Personoplysninger, der skal beskyttes.
Databehandleren skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, som dette er muligt og under hensyntagen til Behandlingens art og kategorien af oplysninger, der er tilgængelige for Databehandleren, for at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder for så vidt angår bistand i forhold til opfyldelse af anmodninger fra Registrerede samt generel overholdelse af bestemmelserne under GDPR artikel 32-36.
Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse via kontaktperson oplyst i Databehandleraftalen, hvis Databehandleren bliver bekendt med sikkerhedsbrist. Endvidere skal Databehandleren så vidt muligt og lovligt underrette den Dataansvarlige, hvis;
i) En anmodning om indsigt i Personoplysninger modtages direkte fra den Registrerede
ii) En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder, herunder politiet.
Databehandleren må ikke besvare sådanne anmodninger fra Registrerede, medmindre denne er autoriseret af den Dataansvarlige til at gøre det. Databehandleren vil endvidere ikke videregive information om denne Aftale til statslige myndigheder såsom politiet, herunder Personoplysninger, medmindre Databehandleren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.
Hvis den Dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Databehandleren behandler Personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services. Databehandleren og dennes ansatte skal sikre fortrolighed i forhold til Personoplysninger, som behandles i henhold til Aftalen. Denne bestemmelse skal ligeledes gælde efter ophør af Aftalen.
Den dataansvarliges forpligtelser
Den Dataansvarlige bekræfter ved indgåelse af denne aftale, at:
> Den Dataansvarlige skal ved brug af Applikationen stillet til rådighed af Databehandleren, udelukkende behandle Personoplysninger i overensstemmelse med kravene i den gældende Databeskyttelseslovgivning.
> Den Dataansvarlige har et lovligt grundlag for at behandle og videregive Personoplysninger til Databehandleren (herunder til underdatabehandlere som Databehandleren anvender).
> Den Dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de Personoplysninger som behandles af Databehandleren.
> Den Dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår Behandlingen af Personoplysninger.
> Den Dataansvarlige har opfyldt sin oplysningsforpligtelser over for de Registrerede vedrørende behandlingen af Personoplysninger i henhold til gældende databeskyttelseslovgivning.
> Den Dataansvarlige er enig i, at Databehandleren har givet de relevante garantier for så vidt angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de Registreredes rettigheder og deres Personoplysninger.
> Den Dataansvarlige skal ved brug af Applikationen ikke behandle Følsomme oplysninger, medmindre dette er specificeret i Bilag A til denne Aftale.
> Den Dataansvarlige skal have en opdateret liste over de kategorier af Personoplysninger, som denne behandler, dette gælder særligt i det omfang sådan Behandling afviger fra de kategorier af Oplysninger, som fremgår af Bilag A.
Brug af underdatabehandlere og videregivelse af data
Som en del af driften af Applikationen anvender Databehandleren underleverandører ("Underdatabehandlere"). Sådanne Underdatabehandlere kan være tredjepartsleverandører i og uden for EU/EØS. Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere. Databehandleren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen.
Denne Aftale udgør den Dataansvarliges forudgående generelle og specifikke skriftlige godkendelse af Databehandlerens brug af Underdatabehandlere.
Hvis en Underdatabehandler er etableret uden for eller Personoplysninger opbevares uden for EU/EØS giver den Dataansvarlige Databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af den Dataansvarlige, herunder ved anvendelse af EU Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield.
Den Dataansvarlige skal orienteres, inden Databehandlere udskifter sine Underdatabehandlere. Den Dataansvarlige har dog kun ret til at protestere imod en ny Underdatabehandler, som behandler Personoplysninger på vegne af den Dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal Databehandleren demonstrere overensstemmelse ved at give den Dataansvarlige adgang til Databehandlerens databeskyttelsesvurdering af Underdatabehandleren. Hvis der stadig er uenighed om anvendelsen af Underdatabehandleren kan den Dataansvarlige opsige sit abonnement på Applikationen, herunder med et kortere varsel end normalt for at sikre, at den Dataansvarliges Personoplysninger ikke behandles af den pågældende Underdatabehandler.
Sikkerhed
Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og services, hvilket sikres ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger, som er påkrævede i henhold til information om sikkerhedsforanstaltninger som beskrevet i GDPR artikel 32. De følgende foranstaltninger er særligt væsentlige:
> Klassificering af Personoplysninger for at sikre implementering af sikkerhedsforanstaltninger relevante i forhold til risikovurderinger.
> Vurdering af kryptering og pseudonymisering som risikoreducerende faktorer
> Begrænse adgangen til Personoplysninger til de relevante personer, der skal til for at overholde krav og forpligtelser i Aftalen eller i henhold til Parternes aftale om anvendelse af Applikationen.
> Drift og implementering af systemer der kan opdage, genoprette, imødegå og rapportere hændelser i forhold til Personoplysninger.
> Kortlægge sikkerhedsstrukturen samt hvordan Personoplysninger overføres imellem Parterne.
> Foretage vurdering af eget sikkerhedsniveau for at sikre, at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af Personoplysninger, herunder i henhold til GDPR artikel 32 om behandlingssikkerhed samt artikel 25 om privacy by design og default.
Adgang til revision
Den Dataansvarlige er berettiget til at igangsætte en revision af Databehandlerens forpligtelser i henhold til Aftalen én gang årligt. Hvis den Dataansvarlige er forpligtet hertil efter gældende lovgivning, kan der foretages revision oftere en én gang årligt. Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato. Det skal besluttes i fællesskab mellem Parterne, hvis en tredjepart skal foretage revisionen. Imidlertid kan den Dataansvarlige lade Databehandleren bestemme, at revisionen af sikkerhedsårsager skal foretages af en neutral tredjepart efter Databehandlerens valg, såfremt der er tale om et behandlingsmiljø hvor flere dataansvarliges data er anvendt.
Hvis det foreslåede omfang for revisionen følger en ISAE, ISO eller lignende certificeringsrapport udført af en kvalificeret tredjepartsrevisor inden for de forudgående tolv måneder, og Databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den Dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket.
Under alle omstændigheder skal revision finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter
Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens assistance i forbindelse hermed, som overskrider den almindelige service som Databehandleren skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes særskilt.
Varighed og ophør
Aftalen er gældende, så længe Databehandleren behandler Personoplysninger på vegne af den Dataansvarlige i forbindelse med den Dataansvarliges brug af Applikationen.
Denne Aftale vil automatisk ophøre ved udgangen af den Dataansvarliges opsigelsesperiode i forhold til abonnement på Applikationen. Ved ophør af abonnementet vil Databehandleren slette eller returnere alle Personoplysninger i det relevante format, som Databehandleren har behandlet på vegne af den Dataansvarlige under Aftalen. Såfremt den Dataansvarlige ønsker bistand til returnering af data, fastsættes omkostninger forbundet hermed i fællesskab af Parterne og skal baseres på:
i) timetakster for Databehandlerens anvendte tid
ii) kompleksiteten af den anmodede proces og
iii) det valgte format.
Databehandleren er berettiget til at beholde Personoplysninger efter ophør af Aftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i Aftalen.
Ændringer
Ændringer til Aftalen skal vedlægges i et særskilt bilag til Aftalen.
Hvis nogen af bestemmelserne i Aftalen er ugyldige, får dette ikke indvirkning på de resterende bestemmelser. Parterne skal erstatte ugyldige bestemmelser med en lovlig bestemmelse, som afspejler formålet med den ugyldige bestemmelse.
Ansvar
Ansvar for handlinger i strid med bestemmelserne i denne Aftale reguleres af ansvars- og erstatningsbestemmelser i Abonnementsvilkårene for Applikationen. Dette gælder ligeledes for enhver overtrædelse, som foretages af Databehandlerens Underdatabehandlere.
Lovvalg og værneting
Aftalen er underlagt dansk ret, og enhver tvist skal forelægges en dansk domstol.
****
Bilag A – Kategorier af Personoplysninger og Registrerede
1. Kategorier af Registrerede og Personoplysninger som behandles i henhold til Aftalen
a. Kategorier af Registrerede
i) Den Dataansvarliges slutbrugere
ii) Den Dataansvarliges medarbejdere
iii) Den Dataansvarliges kontaktpersoner
iv) Den Dataansvarliges kunder og kunders slutbrugere
v) Den Dataansvarliges kunders medarbejdere
vi) Den Dataansvarliges kunders kontaktpersoner
vii) Evt.
b. Kategorier af Personoplysninger
i) Navn
ii) Titel
iii) Telefonnummer
iv) E-mail
v) Adresse
vi) CPR nummer
vii) Evt.
Accepteret: 01-11-2018 12:20
Stykke B
Når du arbejder med følsomme personoplysninger i e-conomic.
Hos e-conomic værner vi om dine data. Derfor er de e-mails, som du sender fra e-conomic regnskabsprogram, når du sender fakturaer og rykkere til dine kunder, som udgangspunkt krypterede på vejen til modtageren.
Datatilsynet har udformet en vejledning til, hvordan man sender persondata sikkert over e-mail. Dette sikkerhedsniveau lever vi naturligvis op til i e-conomic.
Danløns databehandling af vores oplysninger i Vikar og Gastronomi IVS
Stykke C
1 Aftalens omfang
1.1 Leverandøren er i den forstand databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.
1.2 De personoplysninger, der behandles af Leverandøren, formålene med behandlingen, kategorierne af personoplysninger og kategorierne af registrerede personer, er anført i Appendiks 1.
1.3 Aftalen regulerer alene den behandling af personoplysninger, som Leverandøren foretager for Kunden.
1.4 Ved "personoplysning" forstås enhver form for information om en identificeret eller identificerbar fysisk person, jf. artikel 4(1) i Forordning (EU) 2016/679 af 27. april 2016 ("Persondataforordningen").
2 Behandling af personoplysninger
2.1 Leverandøren behandler alene personoplysninger efter instruks fra Kunden.
2.2 Instruks: Leverandøren er instrueret i alene at behandle personoplysningerne med det formål at varetage de i Appendiks 1 fastsatte databehandlingsopgaver. Leverandøren må ikke behandle eller anvende personoplysningerne til andre formål end angivet i instruksen, herunder overføre personoplysningerne til et tredjeland eller en international organisation, medmindre Leverandøren er forpligtet hertil efter EU-retten eller lovgivningen i en medlemsstat, som Leverandøren er underlagt. I givet fald skal Leverandøren skriftligt underrette Kunden om denne juridiske forpligtelse, forinden behandlingen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.
2.3 Hvis Leverandøren skønner, at en instruktion fra Kunden er i strid med Persondataforordningen, databeskyttelseslovgivningen i anden EU-ret eller i lovgivningen i en medlemsstat, skal Leverandøren skriftligt orientere Kunden herom.
2.4 Kunden garanterer over for Leverandøren for, at denne har fornøden ret til at behandle personoplysninger omfattet af Aftalen og til at lade Leverandøren behandle disse personoplysninger på vegne af sig, herunder men ikke begrænset til ved indsamling af relevante samtykker.
3 Krav til Leverandøren
3.1 Leverandøren skal behandle personoplysninger i overensstemmelse med gældende dansk persondatalovgivning, herunder Persondataforordningen, når denne træder i kraft.
3.2 Leverandøren skal sikre, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
3.3 Leverandøren skal gennemføre de passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at de behandlede personoplysninger
(i) hændeligt eller ulovligt tilintetgøres, fortabes eller ændres,
(ii) videregives eller gøres tilgængelige uden autorisation, eller
(iii) i øvrigt behandles i strid med lovgivningen, herunder Persondataforordningen.
3.4 Leverandøren skal endvidere overholde de lovgivningsmæssige krav til sikkerhedsforanstaltninger, som direkte forpligter Leverandøren, herunder kravene til sikkerhedsforanstaltninger i det land, hvor Leverandøren er etableret, eller i det land, hvor databehandlingen finder sted.
3.5 Fastsættelsen af de passende tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under hensyntagen til
(i) det aktuelle tekniske niveau
(ii) omkostningerne ved implementeringen, samt
(iii) behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
3.6 Leverandøren skal på Kundens anmodning give Kunden alle nødvendige oplysninger til, at denne kan påse, at Leverandørens forpligtelser i henhold til Aftalen overholdes, herunder at de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.
3.7 Leverandøren skal hvert år, for egen regning, indhente en erklæring fra en uafhængig ekspert angående Leverandørens overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Aftalen. Erklæringen uploades på Leverandørens hjemmeside www.danlon.dk en gang hvert år. Leverandøren kan ved skriftlig meddelelse til Kunden ændre den hjemmeside, hvorpå erklæringen skal uploades.
3.8 Derudover har Kunden ret til for egen regning at udpege en uafhængig ekspert, som skal have adgang til de dele af Leverandørens fysiske faciliteter, hvor behandling af personoplysninger finder sted, samt modtage de nødvendige informationer til udførelsen af undersøgelsen af, hvorvidt Leverandøren har gennemført de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger. Kundens uafhængige ekspert kan ikke opnå adgang til oplysninger om Leverandørens generelle omkostningsstruktur eller til oplysninger, der vedrører andre af Leverandørens kunder. Eksperten skal på Leverandørens anmodning underskrive en sædvanlig fortrolighedserklæring og skal under alle omstændigheder behandle enhver information indhentet hos eller modtaget fra Leverandøren fortroligt, og må alene dele informationen med Kunden. Kunden må ikke viderebringe informationen eller benytte informationen til andre formål end at vurdere hvor vidt, Leverandøren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.
3.9 Leverandøren skal uden unødig forsinkelse efter at være blevet opmærksom herpå, skriftligt orientere Kunden om
(i) enhver anmodning fra en myndighed om videregivelse af personoplysninger omfattet af Aftalen, medmindre orientering af Kunden er forbudt i henhold til EU-retten eller lovgivningen i en stat, som Leverandøren er underlagt,
(ii) enhver mistanke om, eller konstatering af, (a) brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet af Leverandøren i henhold til Aftalen, eller (b) enhver anden manglende overholdelse af Leverandørens forpligtelser efter punkt 3.3 og 3.4, eller
(iii) enhver anmodning om indsigt i personoplysningerne modtaget direkte fra den registrerede eller fra tredjemand.
3.10 Leverandøren skal assistere Kunden med håndteringen af enhver anmodning fra en registreret i henhold til kapitel III i Persondataforordningen, herunder anmodning om indsigt, berigtigelse, blokering eller sletning.
3.11 Leverandøren skal assistere Kunden med at sikre overholdelse af Kundens forpligtelser i medfør af artikel 32-36 i Persondataforordningen, samt øvrige forpligtelser, der måtte påhvile Kunden efter EU-retten eller lovgivningen i en medlemsstat, hvor Leverandørens assistance er forudsat, dog alene i det omfang Leverandørens assistance er nødvendig for, at Kunden kan overholde sine forpligtelser. Dette omfatter blandt andet, på anmodning at give Kunden alle nødvendige oplysninger om en hændelse omfattet af punkt 3.9 (ii), samt alle nødvendige oplysninger til brug for en konsekvensanalyse i medfør af artikel 35-36 i Persondataforordningen i det omfang, Leverandøren har adgang til sådan information.
3.12 I Appendiks 1 har Leverandøren oplyst den fysiske placering af servere, servicecentre mv. som indgår i udførelsen af databehandlingen. Leverandøren forpligter sig til at give skriftligt varsel til Kunden forud for ændringer af den fysiske placering. Dette kræver ikke en formel ændring af Appendiks 1, forudgående skriftlig meddelelse er tilstrækkelig.
3.13 Kunden honorerer Leverandøren særskilt og efter medgået tid og materiale for at håndtere forespørgsler og opgaver i henhold til Aftalens pkt. 3.6, 3.8, 3.9 (i) og (iii), 3.10, 3.11, 7.4 og 7.5. Honoreringen fastsættes efter Leverandørens til enhver tid gældende prisliste, der er tilgængelig på www.danlon.dk eller en anden hjemmeside valgt af Leverandøren.
4 Underdatabehandlere
4.1 Leverandøren må gøre brug af underdatabehandlere. På tidspunktet for indgåelsen af Aftalen anvender Leverandøren de i Appendiks 2 anførte underdatabehandlere. Leverandøren skal skriftligt underrette Kunden om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere senest 2 måneder inden ændringen træder i kraft, hvorefter Kunden inden 2 uger fra afgivelsen af meddelelsen om ændringen uden begrundelse kan nægte brugen af den nye underdatabehandler, i hvilket tilfælde Leverandøren er berettiget til at opsige alle aftaler med Kunden, i henhold til hvilke Leverandøren behandler personoplysninger for Kunden, med 1 måneds varsel. Ved ophør af brugen af en underdatabehandler, skal Leverandøren give Kunden skriftlig meddelelse herom.
4.2 Leverandøren skal forinden brug af en underdatabehandler indgå en skriftlig aftale med underdatabehandleren, hvori underdatabehandleren som minimum pålægges forpligtelser svarende til de som Leverandøren har påtaget sig ved Aftalen, herunder pligten til at gennemføre passende tekniske og organisatoriske foranstaltninger til sikring af, at behandlingen opfylder kravene i Persondataforordningen.
4.3 Kunden har ret til at få udleveret en kopi af de dele af Leverandørens aftale med en underdatabehandler, som vedrører databeskyttelsesforpligtelser, som er obligatoriske i henhold til punkt 4.2. Leverandøren hæfter over for Kunden for underdatabehandlerens opfyldelse af sine databeskyttelsesforpligtelser. Det forhold, at Kunden har meddelt samtykke til Leverandørens aftaleindgåelse med en underdatabehandler er uden præjudice for Leverandørens pligt til at efterleve Aftalen.
5 Fortrolighed
5.1 Leverandøren skal holde personoplysningerne fortrolige.
5.2 Leverandøren må ikke formidle personoplysningerne til tredjemand eller tage kopi af personoplysningerne, medmindre dette er nødvendigt til varetagelse af Leverandørens forpligtelser over for Kunden, forudsat at den, til hvem personoplysningerne overlades, er bekendt med oplysningernes fortrolige karakter og har indvilget i at holde personoplysningerne fortrolige i overensstemmelse med Aftalen, eller dette følger af en lovbestemt pligt for Leverandøren.
5.3 Leverandøren skal begrænse adgangen til personoplysningerne til de medarbejdere, for hvem det er nødvendigt at have adgang til personoplysninger for at kunne opfylde Leverandørens forpligtelser over for Kunden.
5.4 Leverandørens forpligtelser efter nærværende punkt 5 består uden tidsbegrænsning, og uanset om Parternes samarbejde i øvrigt måtte være ophørt.
5.5 Kunden skal behandle fortrolige oplysninger, som modtages fra Leverandøren, fortroligt, og må ikke uberettiget udnytte eller videregive de fortrolige oplysninger.
6 Ændringer og overdragelser
6.1 Aftalen kan ændres i henhold til Aftalen om Danløns bestemmelser om ændringer.
6.2 Leverandøren kan overdrage sine rettigheder og forpligtelser i henhold til Aftalen uden Kundens samtykke, forudsat at den, til hvem rettigheder og/eller pligter overdrages, forpligtes til at behandle personoplysninger i overensstemmelse med de krav, der gælder for Leverandøren, i henhold til Aftalen.
7 Varighed og ophør af Aftalen
7.1 Aftalen træder i kraft på samme tidspunkt, som Aftalen om Danløn og er gældende indtil Aftalen om Danløn ophører.
7.2 Hver Part kan opsige Aftalen efter samme vilkår, som er gældende Aftalen om Danløn.
7.3 Uanset Aftalens formelle aftaleperiode skal Aftalen vedblive at gælde, så længe Leverandøren behandler personoplysninger for Kunden, som Kunden er dataansvarlig for, dog alene for de personoplysninger som til enhver tid behandles for Kunden af Leverandøren.
7.4 I tilfælde af ophør af Aftalen er Leverandøren forpligtet til efter anmodning loyalt at medvirke til, at databehandlingen overgår til en anden leverandør eller tilbageføres til Kunden.
7.5 Leverandøren skal efter anmodning fra Kunden og ved ophør af aftalen overføre personoplysninger, som Leverandøren behandler og/eller har behandlet for Kunden, til kunden eller slette disse, medmindre EU-retten eller lovgivningen i en medlemsstat foreskriver opbevaring af personoplysningerne.
8 Meddelelser
8.1 I det tilfælde en Part i henhold til Aftalen skal afgive skriftlig meddelelse til den anden Part, kan denne pligt opfyldes ved at afsende en e-mail til den anden Parts senest oplyste e-mailadresse. Leverandøren kan ligeledes opfylde sin pligt til at afgive skriftlig meddelelse ved at udsende nyheder direkte i systemet, som kunden har fået tildelt en licens til at benytte i henhold til Aftalen om Danløn.
9 Forrang
9.1 I tilfælde af uoverensstemmelse mellem bestemmelserne i Aftalen og bestemmelserne i andre skriftlige eller mundtlige aftaler indgået mellem Parterne, skal bestemmelserne i Aftalen have forrang
APPENDIKS 1
Dette Appendiks indeholder blandt andet Kundens instruks til Leverandøren i forbindelse med Leverandørens databehandling for Kunden og er en integreret del af Aftalen.
Instruks og beskrivelse af behandlingen af personoplysninger i Danløn
Formål og karakteren af databehandlingen
Formålet med at lade Leverandøren foretage databehandlingen er at lade Kunden anvende Danløn, der er et IT-system, som Kunden tilgår via internettet, og som er hostet og drevet af Leverandøren. Danløn hjælper med at håndtere Kundens lønafregning, skatte- og pensionsforhold for Kundens medarbejdere, administration af medarbejdernes ferieopsparing og udbetaling m.v. Dette indebærer også videregivelse af oplysninger på vegne af Kunden, fx til SKAT, Nets, pensionsselskaber, Danmarks Statistik m.fl. på vegne af Kunden.
Kategorier af registrerede personer
I. Kundens potentielle medarbejdere hvis kunden indtaster information om disse i Danløn.
II. Kundens nuværende medarbejdere hvis kunden indtaster information om disse i Danløn.
III. Kundens fratrådte medarbejdere hvis kunden indtaster information om disse i Danløn.
Kategorier af personoplysninger
For de ovenfor nævnte personkategorier, behandles navn, adresse, CPR-nummer og ansættelsesdato. Derudover behandles oplysninger vedrørende de registreredes lønforhold, såsom løn, skat, pension, ferie, udlæg, kørselspenge mv, herunder de oplysninger som Kunden registrerer om de registrerede i Danløn. For optimal udnyttelse af Danløn registreres også e-mailadresse, mobiltelefonnummer og bankkontooplysninger.
For personerne i kategori III registreres tillige fratrædelsesdato.
Særlige kategorier af personoplysninger
Afhængigt af hvilken feriepengemodtager den registrerede persons feriepenge skal afregnes til, kan det udledes hvilken fagforeningstilknytning personen har.
Lokation(er), inklusive angivelse af land for behandlingen
Engholm Parkvej 8
3450 Allerød
Danmark
Skomagervej 10
7100 Vejle
Danmark
Videregivelse af data
Leverandøren kan videregive persondata på vegne af Kunden som led i Leverandørens services til kunden, herunder eksempelvis til SKAT, pensionsselskaber, NETS, Danmarks Statistik m.fl.
Gdpr - Vikar og Gastronomi IVS V2,0
Opsigelse/fratrædelse
Retten til at blive glemt
Vi gemmer ikke personfølsomme oplysninger mere end 6 mdr. efter fratrædelse.
Udskrifter
Vi håndterer udskrifter med personfølsomme oplysninger ved personlig ombæring.
Og sørger efter brug af disse for professionel makulering.
Kunder og medarbejdere
Dialoger med personfølsomme oplysninger på skrift/elektronisk
gemmes i op til et år efter sidste anvendelsesdato for hele dialogen.
Tidsregistrering i Intempus
I Vikar og Gastronomi IVS benytter vi Intempus til registrering af arbejdstid. Se Stykke A
Fremtidig Kontakt
Vi henvender os på tlf. til kunder og beder mundtligt om samtykke på, at vi (i Vikar og Gastronomi) må kontakte skriftligt (pr. mail).
I Vikar og Gastronomi IVS benytter vi E-conomic til at sende fakturaer til vores kunder. Se Stykke B
I Vikar og Gastronomi IVS benytter vi Danløn til håndtering af alle medarbejderes personfølsomme oplysninger. Se Stykke C
Mvh
Carsten Emborg
Vikar & Gastronomi IVS
Stykke A
Databehandleraftale
Imellem:
Dataansvarlig:
Vikar og gastronomi IVS
37494437
Kontaktperson:
Carsten
22332808
carsten@vikaroggastronomi.dk
og
Databehandler:
Intempus ApS,
Staunings Plads 3, 1607 København V,
CVR-nr: 34696977
Kontakt:
kontakt@intempus.dk
Parterne kaldes i det følgende henholdsvis den "Dataansvarlige" og "Databehandleren", og "Part" eller tilsammen "Parterne".
Introduktion
Ved brug af indberetningssystemet Intempus Timeregistrering og ethvert modul eller funktion i forbindelse med applikationen (i det hele benævnt "Applikationen"), vil den Dataansvarlige være ansvarlig for sin Behandling af Personoplysninger i Applikationen. Databehandleren vil behandle personoplysninger på vegne af den Dataansvarlige. For at sikre, at Parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/279 ("GDPR"), har Parterne indgået denne databehandleraftale ("Aftalen"), som udgør instruksen fra den Dataansvarlige til Databehandleren og dermed regulerer Databehandlerens Behandling af personoplysninger på vegne af den Dataansvarlige.
Begge Parter bekræfter, at de har fuldmagt til at underskrive Aftalen.
Det gælder for hele Aftalen og i forholdet mellem den Dataansvarlige og Databehandleren, at krav, der følger af GDPR, som er beskrevet i denne aftale og som ikke følger af nugældende lovgivning, først er gældende fra 25. maj 2018, hvor GDPR finder anvendelse fra.
Definitioner
Definitionen af Personoplysninger, Særlige Kategorier af Data (Følsomme Oplysninger), Behandling, den Registrerede, Dataansvarlig og Databehandler er den samme som den relevante persondatalovgivning, herunder GDPR.
Aftalen regulerer Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige, og beskriver, hvordan Databehandleren skal medvirke til at beskytte privatliv på vegne af den Dataansvarlige og dennes Registrerede gennem tekniske og organisatoriske foranstaltninger som er krævet under den gældende databeskyttelseslovgivning, herunder GDPR fra den 25. maj 2018.
Formålet med Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige er at sikre, den Dataansvarliges brug af Applikationen og opfyldelsen af denne Aftale.
Aftalen har forrang for andre modstridende bestemmelser vedrørende Behandling af Personoplysninger for så vidt angår vilkår for brugen af Applikationen eller i andre aftaler gældende Parterne imellem. Aftalen er gyldig, så længe den Dataansvarlige abonnerer på Applikationen, og Databehandleren derfor skal behandle Personoplysninger på vegne af den Dataansvarlige. Aftalen har dog ikke forrang, såfremt Parterne har indgået en anden databehandleraftale, hvoraf fremgår, at den databehandleraftale har forrang frem for denne Aftale.
Databehandlerens forpligtelser
Databehandleren skal udelukkende behandle Personoplysninger på vegne af og som følge af den Dataansvarliges instruktioner. Ved at indgå denne Aftale, instruerer den Dataansvarlige Databehandleren i at behandle Personoplysninger på følgende måder:
i) i overensstemmelse med gældende lovgivning
ii) for at opfylde sine forpligtelser i henhold til abonnementsvilkår for Applikationen
iii) som yderligere specificeret ved den Dataansvarliges normale brug af Applikationen
iv) som beskrevet i denne Aftale
Som en del af at kunne levere Applikationen er Databehandleren forpligtet til enhver tid at give den Dataansvarlige gode og konkurrencedygtige løsninger der følger med udviklingen. Databehandleren kan tilbyde bedre løsninger, som er tilpasset den enkelte Dataansvarliges behov, ved at registrere hvordan Dataansvarlig og dennes repræsentanter bruger Applikationen. Dette gør Databehandler for at kunne lave en bedre version af Applikationen, og generelt yde bedre tjenester og give mere relevant kommunikation til den Dataansvarlige og dennes repræsentanter. Målet er at Dataansvarlig skal løse så mange udfordringer som muligt på et sted. I den grad at personoplysninger fra Applikationen indgår i dette arbejde, behandles disse i henhold til denne Aftale og gældende lovgivning.
Databehandleren har ikke nogen grund til at tro, at gældende lovgivning forhindrer Databehandleren i at efterleve instruktionerne gengivet ovenfor. Databehandleren skal, hvis denne bliver opmærksom på det, give den Dataansvarlige besked om instruktioner eller andre Behandlingsaktiviteter udført af den Dataansvarlige, som efter Databehandlerens opfattelse strider imod den gældende databeskyttelseslovgivning. Kategorierne af Registrerede og Personoplysninger som behandles i henhold til denne Aftale er beskrevet i Bilag A.
Under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, samt omfanget, konteksten og formålet med Behandlingen, er Databehandleren forpligtet til at foretage alle rimelige foranstaltninger, herunder tekniske og organisatoriske, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til den risiko og kategorien af Personoplysninger, der skal beskyttes.
Databehandleren skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, som dette er muligt og under hensyntagen til Behandlingens art og kategorien af oplysninger, der er tilgængelige for Databehandleren, for at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder for så vidt angår bistand i forhold til opfyldelse af anmodninger fra Registrerede samt generel overholdelse af bestemmelserne under GDPR artikel 32-36.
Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse via kontaktperson oplyst i Databehandleraftalen, hvis Databehandleren bliver bekendt med sikkerhedsbrist. Endvidere skal Databehandleren så vidt muligt og lovligt underrette den Dataansvarlige, hvis;
i) En anmodning om indsigt i Personoplysninger modtages direkte fra den Registrerede
ii) En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder, herunder politiet.
Databehandleren må ikke besvare sådanne anmodninger fra Registrerede, medmindre denne er autoriseret af den Dataansvarlige til at gøre det. Databehandleren vil endvidere ikke videregive information om denne Aftale til statslige myndigheder såsom politiet, herunder Personoplysninger, medmindre Databehandleren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.
Hvis den Dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Databehandleren behandler Personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services. Databehandleren og dennes ansatte skal sikre fortrolighed i forhold til Personoplysninger, som behandles i henhold til Aftalen. Denne bestemmelse skal ligeledes gælde efter ophør af Aftalen.
Den dataansvarliges forpligtelser
Den Dataansvarlige bekræfter ved indgåelse af denne aftale, at:
> Den Dataansvarlige skal ved brug af Applikationen stillet til rådighed af Databehandleren, udelukkende behandle Personoplysninger i overensstemmelse med kravene i den gældende Databeskyttelseslovgivning.
> Den Dataansvarlige har et lovligt grundlag for at behandle og videregive Personoplysninger til Databehandleren (herunder til underdatabehandlere som Databehandleren anvender).
> Den Dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de Personoplysninger som behandles af Databehandleren.
> Den Dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår Behandlingen af Personoplysninger.
> Den Dataansvarlige har opfyldt sin oplysningsforpligtelser over for de Registrerede vedrørende behandlingen af Personoplysninger i henhold til gældende databeskyttelseslovgivning.
> Den Dataansvarlige er enig i, at Databehandleren har givet de relevante garantier for så vidt angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de Registreredes rettigheder og deres Personoplysninger.
> Den Dataansvarlige skal ved brug af Applikationen ikke behandle Følsomme oplysninger, medmindre dette er specificeret i Bilag A til denne Aftale.
> Den Dataansvarlige skal have en opdateret liste over de kategorier af Personoplysninger, som denne behandler, dette gælder særligt i det omfang sådan Behandling afviger fra de kategorier af Oplysninger, som fremgår af Bilag A.
Brug af underdatabehandlere og videregivelse af data
Som en del af driften af Applikationen anvender Databehandleren underleverandører ("Underdatabehandlere"). Sådanne Underdatabehandlere kan være tredjepartsleverandører i og uden for EU/EØS. Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere. Databehandleren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen.
Denne Aftale udgør den Dataansvarliges forudgående generelle og specifikke skriftlige godkendelse af Databehandlerens brug af Underdatabehandlere.
Hvis en Underdatabehandler er etableret uden for eller Personoplysninger opbevares uden for EU/EØS giver den Dataansvarlige Databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af den Dataansvarlige, herunder ved anvendelse af EU Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield.
Den Dataansvarlige skal orienteres, inden Databehandlere udskifter sine Underdatabehandlere. Den Dataansvarlige har dog kun ret til at protestere imod en ny Underdatabehandler, som behandler Personoplysninger på vegne af den Dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal Databehandleren demonstrere overensstemmelse ved at give den Dataansvarlige adgang til Databehandlerens databeskyttelsesvurdering af Underdatabehandleren. Hvis der stadig er uenighed om anvendelsen af Underdatabehandleren kan den Dataansvarlige opsige sit abonnement på Applikationen, herunder med et kortere varsel end normalt for at sikre, at den Dataansvarliges Personoplysninger ikke behandles af den pågældende Underdatabehandler.
Sikkerhed
Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og services, hvilket sikres ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger, som er påkrævede i henhold til information om sikkerhedsforanstaltninger som beskrevet i GDPR artikel 32. De følgende foranstaltninger er særligt væsentlige:
> Klassificering af Personoplysninger for at sikre implementering af sikkerhedsforanstaltninger relevante i forhold til risikovurderinger.
> Vurdering af kryptering og pseudonymisering som risikoreducerende faktorer
> Begrænse adgangen til Personoplysninger til de relevante personer, der skal til for at overholde krav og forpligtelser i Aftalen eller i henhold til Parternes aftale om anvendelse af Applikationen.
> Drift og implementering af systemer der kan opdage, genoprette, imødegå og rapportere hændelser i forhold til Personoplysninger.
> Kortlægge sikkerhedsstrukturen samt hvordan Personoplysninger overføres imellem Parterne.
> Foretage vurdering af eget sikkerhedsniveau for at sikre, at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af Personoplysninger, herunder i henhold til GDPR artikel 32 om behandlingssikkerhed samt artikel 25 om privacy by design og default.
Adgang til revision
Den Dataansvarlige er berettiget til at igangsætte en revision af Databehandlerens forpligtelser i henhold til Aftalen én gang årligt. Hvis den Dataansvarlige er forpligtet hertil efter gældende lovgivning, kan der foretages revision oftere en én gang årligt. Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato. Det skal besluttes i fællesskab mellem Parterne, hvis en tredjepart skal foretage revisionen. Imidlertid kan den Dataansvarlige lade Databehandleren bestemme, at revisionen af sikkerhedsårsager skal foretages af en neutral tredjepart efter Databehandlerens valg, såfremt der er tale om et behandlingsmiljø hvor flere dataansvarliges data er anvendt.
Hvis det foreslåede omfang for revisionen følger en ISAE, ISO eller lignende certificeringsrapport udført af en kvalificeret tredjepartsrevisor inden for de forudgående tolv måneder, og Databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den Dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket.
Under alle omstændigheder skal revision finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter
Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens assistance i forbindelse hermed, som overskrider den almindelige service som Databehandleren skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes særskilt.
Varighed og ophør
Aftalen er gældende, så længe Databehandleren behandler Personoplysninger på vegne af den Dataansvarlige i forbindelse med den Dataansvarliges brug af Applikationen.
Denne Aftale vil automatisk ophøre ved udgangen af den Dataansvarliges opsigelsesperiode i forhold til abonnement på Applikationen. Ved ophør af abonnementet vil Databehandleren slette eller returnere alle Personoplysninger i det relevante format, som Databehandleren har behandlet på vegne af den Dataansvarlige under Aftalen. Såfremt den Dataansvarlige ønsker bistand til returnering af data, fastsættes omkostninger forbundet hermed i fællesskab af Parterne og skal baseres på:
i) timetakster for Databehandlerens anvendte tid
ii) kompleksiteten af den anmodede proces og
iii) det valgte format.
Databehandleren er berettiget til at beholde Personoplysninger efter ophør af Aftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i Aftalen.
Ændringer
Ændringer til Aftalen skal vedlægges i et særskilt bilag til Aftalen.
Hvis nogen af bestemmelserne i Aftalen er ugyldige, får dette ikke indvirkning på de resterende bestemmelser. Parterne skal erstatte ugyldige bestemmelser med en lovlig bestemmelse, som afspejler formålet med den ugyldige bestemmelse.
Ansvar
Ansvar for handlinger i strid med bestemmelserne i denne Aftale reguleres af ansvars- og erstatningsbestemmelser i Abonnementsvilkårene for Applikationen. Dette gælder ligeledes for enhver overtrædelse, som foretages af Databehandlerens Underdatabehandlere.
Lovvalg og værneting
Aftalen er underlagt dansk ret, og enhver tvist skal forelægges en dansk domstol.
****
Bilag A – Kategorier af Personoplysninger og Registrerede
1. Kategorier af Registrerede og Personoplysninger som behandles i henhold til Aftalen
a. Kategorier af Registrerede
i) Den Dataansvarliges slutbrugere
ii) Den Dataansvarliges medarbejdere
iii) Den Dataansvarliges kontaktpersoner
iv) Den Dataansvarliges kunder og kunders slutbrugere
v) Den Dataansvarliges kunders medarbejdere
vi) Den Dataansvarliges kunders kontaktpersoner
vii) Evt.
b. Kategorier af Personoplysninger
i) Navn
ii) Titel
iii) Telefonnummer
iv) E-mail
v) Adresse
vi) CPR nummer
vii) Evt.
Accepteret: 01-11-2018 12:20
Stykke B
Når du arbejder med følsomme personoplysninger i e-conomic.
Hos e-conomic værner vi om dine data. Derfor er de e-mails, som du sender fra e-conomic regnskabsprogram, når du sender fakturaer og rykkere til dine kunder, som udgangspunkt krypterede på vejen til modtageren.
Datatilsynet har udformet en vejledning til, hvordan man sender persondata sikkert over e-mail. Dette sikkerhedsniveau lever vi naturligvis op til i e-conomic.
Danløns databehandling af vores oplysninger i Vikar og Gastronomi IVS
Stykke C
1 Aftalens omfang
1.1 Leverandøren er i den forstand databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.
1.2 De personoplysninger, der behandles af Leverandøren, formålene med behandlingen, kategorierne af personoplysninger og kategorierne af registrerede personer, er anført i Appendiks 1.
1.3 Aftalen regulerer alene den behandling af personoplysninger, som Leverandøren foretager for Kunden.
1.4 Ved "personoplysning" forstås enhver form for information om en identificeret eller identificerbar fysisk person, jf. artikel 4(1) i Forordning (EU) 2016/679 af 27. april 2016 ("Persondataforordningen").
2 Behandling af personoplysninger
2.1 Leverandøren behandler alene personoplysninger efter instruks fra Kunden.
2.2 Instruks: Leverandøren er instrueret i alene at behandle personoplysningerne med det formål at varetage de i Appendiks 1 fastsatte databehandlingsopgaver. Leverandøren må ikke behandle eller anvende personoplysningerne til andre formål end angivet i instruksen, herunder overføre personoplysningerne til et tredjeland eller en international organisation, medmindre Leverandøren er forpligtet hertil efter EU-retten eller lovgivningen i en medlemsstat, som Leverandøren er underlagt. I givet fald skal Leverandøren skriftligt underrette Kunden om denne juridiske forpligtelse, forinden behandlingen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.
2.3 Hvis Leverandøren skønner, at en instruktion fra Kunden er i strid med Persondataforordningen, databeskyttelseslovgivningen i anden EU-ret eller i lovgivningen i en medlemsstat, skal Leverandøren skriftligt orientere Kunden herom.
2.4 Kunden garanterer over for Leverandøren for, at denne har fornøden ret til at behandle personoplysninger omfattet af Aftalen og til at lade Leverandøren behandle disse personoplysninger på vegne af sig, herunder men ikke begrænset til ved indsamling af relevante samtykker.
3 Krav til Leverandøren
3.1 Leverandøren skal behandle personoplysninger i overensstemmelse med gældende dansk persondatalovgivning, herunder Persondataforordningen, når denne træder i kraft.
3.2 Leverandøren skal sikre, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
3.3 Leverandøren skal gennemføre de passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at de behandlede personoplysninger
(i) hændeligt eller ulovligt tilintetgøres, fortabes eller ændres,
(ii) videregives eller gøres tilgængelige uden autorisation, eller
(iii) i øvrigt behandles i strid med lovgivningen, herunder Persondataforordningen.
3.4 Leverandøren skal endvidere overholde de lovgivningsmæssige krav til sikkerhedsforanstaltninger, som direkte forpligter Leverandøren, herunder kravene til sikkerhedsforanstaltninger i det land, hvor Leverandøren er etableret, eller i det land, hvor databehandlingen finder sted.
3.5 Fastsættelsen af de passende tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under hensyntagen til
(i) det aktuelle tekniske niveau
(ii) omkostningerne ved implementeringen, samt
(iii) behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
3.6 Leverandøren skal på Kundens anmodning give Kunden alle nødvendige oplysninger til, at denne kan påse, at Leverandørens forpligtelser i henhold til Aftalen overholdes, herunder at de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.
3.7 Leverandøren skal hvert år, for egen regning, indhente en erklæring fra en uafhængig ekspert angående Leverandørens overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Aftalen. Erklæringen uploades på Leverandørens hjemmeside www.danlon.dk en gang hvert år. Leverandøren kan ved skriftlig meddelelse til Kunden ændre den hjemmeside, hvorpå erklæringen skal uploades.
3.8 Derudover har Kunden ret til for egen regning at udpege en uafhængig ekspert, som skal have adgang til de dele af Leverandørens fysiske faciliteter, hvor behandling af personoplysninger finder sted, samt modtage de nødvendige informationer til udførelsen af undersøgelsen af, hvorvidt Leverandøren har gennemført de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger. Kundens uafhængige ekspert kan ikke opnå adgang til oplysninger om Leverandørens generelle omkostningsstruktur eller til oplysninger, der vedrører andre af Leverandørens kunder. Eksperten skal på Leverandørens anmodning underskrive en sædvanlig fortrolighedserklæring og skal under alle omstændigheder behandle enhver information indhentet hos eller modtaget fra Leverandøren fortroligt, og må alene dele informationen med Kunden. Kunden må ikke viderebringe informationen eller benytte informationen til andre formål end at vurdere hvor vidt, Leverandøren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.
3.9 Leverandøren skal uden unødig forsinkelse efter at være blevet opmærksom herpå, skriftligt orientere Kunden om
(i) enhver anmodning fra en myndighed om videregivelse af personoplysninger omfattet af Aftalen, medmindre orientering af Kunden er forbudt i henhold til EU-retten eller lovgivningen i en stat, som Leverandøren er underlagt,
(ii) enhver mistanke om, eller konstatering af, (a) brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet af Leverandøren i henhold til Aftalen, eller (b) enhver anden manglende overholdelse af Leverandørens forpligtelser efter punkt 3.3 og 3.4, eller
(iii) enhver anmodning om indsigt i personoplysningerne modtaget direkte fra den registrerede eller fra tredjemand.
3.10 Leverandøren skal assistere Kunden med håndteringen af enhver anmodning fra en registreret i henhold til kapitel III i Persondataforordningen, herunder anmodning om indsigt, berigtigelse, blokering eller sletning.
3.11 Leverandøren skal assistere Kunden med at sikre overholdelse af Kundens forpligtelser i medfør af artikel 32-36 i Persondataforordningen, samt øvrige forpligtelser, der måtte påhvile Kunden efter EU-retten eller lovgivningen i en medlemsstat, hvor Leverandørens assistance er forudsat, dog alene i det omfang Leverandørens assistance er nødvendig for, at Kunden kan overholde sine forpligtelser. Dette omfatter blandt andet, på anmodning at give Kunden alle nødvendige oplysninger om en hændelse omfattet af punkt 3.9 (ii), samt alle nødvendige oplysninger til brug for en konsekvensanalyse i medfør af artikel 35-36 i Persondataforordningen i det omfang, Leverandøren har adgang til sådan information.
3.12 I Appendiks 1 har Leverandøren oplyst den fysiske placering af servere, servicecentre mv. som indgår i udførelsen af databehandlingen. Leverandøren forpligter sig til at give skriftligt varsel til Kunden forud for ændringer af den fysiske placering. Dette kræver ikke en formel ændring af Appendiks 1, forudgående skriftlig meddelelse er tilstrækkelig.
3.13 Kunden honorerer Leverandøren særskilt og efter medgået tid og materiale for at håndtere forespørgsler og opgaver i henhold til Aftalens pkt. 3.6, 3.8, 3.9 (i) og (iii), 3.10, 3.11, 7.4 og 7.5. Honoreringen fastsættes efter Leverandørens til enhver tid gældende prisliste, der er tilgængelig på www.danlon.dk eller en anden hjemmeside valgt af Leverandøren.
4 Underdatabehandlere
4.1 Leverandøren må gøre brug af underdatabehandlere. På tidspunktet for indgåelsen af Aftalen anvender Leverandøren de i Appendiks 2 anførte underdatabehandlere. Leverandøren skal skriftligt underrette Kunden om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere senest 2 måneder inden ændringen træder i kraft, hvorefter Kunden inden 2 uger fra afgivelsen af meddelelsen om ændringen uden begrundelse kan nægte brugen af den nye underdatabehandler, i hvilket tilfælde Leverandøren er berettiget til at opsige alle aftaler med Kunden, i henhold til hvilke Leverandøren behandler personoplysninger for Kunden, med 1 måneds varsel. Ved ophør af brugen af en underdatabehandler, skal Leverandøren give Kunden skriftlig meddelelse herom.
4.2 Leverandøren skal forinden brug af en underdatabehandler indgå en skriftlig aftale med underdatabehandleren, hvori underdatabehandleren som minimum pålægges forpligtelser svarende til de som Leverandøren har påtaget sig ved Aftalen, herunder pligten til at gennemføre passende tekniske og organisatoriske foranstaltninger til sikring af, at behandlingen opfylder kravene i Persondataforordningen.
4.3 Kunden har ret til at få udleveret en kopi af de dele af Leverandørens aftale med en underdatabehandler, som vedrører databeskyttelsesforpligtelser, som er obligatoriske i henhold til punkt 4.2. Leverandøren hæfter over for Kunden for underdatabehandlerens opfyldelse af sine databeskyttelsesforpligtelser. Det forhold, at Kunden har meddelt samtykke til Leverandørens aftaleindgåelse med en underdatabehandler er uden præjudice for Leverandørens pligt til at efterleve Aftalen.
5 Fortrolighed
5.1 Leverandøren skal holde personoplysningerne fortrolige.
5.2 Leverandøren må ikke formidle personoplysningerne til tredjemand eller tage kopi af personoplysningerne, medmindre dette er nødvendigt til varetagelse af Leverandørens forpligtelser over for Kunden, forudsat at den, til hvem personoplysningerne overlades, er bekendt med oplysningernes fortrolige karakter og har indvilget i at holde personoplysningerne fortrolige i overensstemmelse med Aftalen, eller dette følger af en lovbestemt pligt for Leverandøren.
5.3 Leverandøren skal begrænse adgangen til personoplysningerne til de medarbejdere, for hvem det er nødvendigt at have adgang til personoplysninger for at kunne opfylde Leverandørens forpligtelser over for Kunden.
5.4 Leverandørens forpligtelser efter nærværende punkt 5 består uden tidsbegrænsning, og uanset om Parternes samarbejde i øvrigt måtte være ophørt.
5.5 Kunden skal behandle fortrolige oplysninger, som modtages fra Leverandøren, fortroligt, og må ikke uberettiget udnytte eller videregive de fortrolige oplysninger.
6 Ændringer og overdragelser
6.1 Aftalen kan ændres i henhold til Aftalen om Danløns bestemmelser om ændringer.
6.2 Leverandøren kan overdrage sine rettigheder og forpligtelser i henhold til Aftalen uden Kundens samtykke, forudsat at den, til hvem rettigheder og/eller pligter overdrages, forpligtes til at behandle personoplysninger i overensstemmelse med de krav, der gælder for Leverandøren, i henhold til Aftalen.
7 Varighed og ophør af Aftalen
7.1 Aftalen træder i kraft på samme tidspunkt, som Aftalen om Danløn og er gældende indtil Aftalen om Danløn ophører.
7.2 Hver Part kan opsige Aftalen efter samme vilkår, som er gældende Aftalen om Danløn.
7.3 Uanset Aftalens formelle aftaleperiode skal Aftalen vedblive at gælde, så længe Leverandøren behandler personoplysninger for Kunden, som Kunden er dataansvarlig for, dog alene for de personoplysninger som til enhver tid behandles for Kunden af Leverandøren.
7.4 I tilfælde af ophør af Aftalen er Leverandøren forpligtet til efter anmodning loyalt at medvirke til, at databehandlingen overgår til en anden leverandør eller tilbageføres til Kunden.
7.5 Leverandøren skal efter anmodning fra Kunden og ved ophør af aftalen overføre personoplysninger, som Leverandøren behandler og/eller har behandlet for Kunden, til kunden eller slette disse, medmindre EU-retten eller lovgivningen i en medlemsstat foreskriver opbevaring af personoplysningerne.
8 Meddelelser
8.1 I det tilfælde en Part i henhold til Aftalen skal afgive skriftlig meddelelse til den anden Part, kan denne pligt opfyldes ved at afsende en e-mail til den anden Parts senest oplyste e-mailadresse. Leverandøren kan ligeledes opfylde sin pligt til at afgive skriftlig meddelelse ved at udsende nyheder direkte i systemet, som kunden har fået tildelt en licens til at benytte i henhold til Aftalen om Danløn.
9 Forrang
9.1 I tilfælde af uoverensstemmelse mellem bestemmelserne i Aftalen og bestemmelserne i andre skriftlige eller mundtlige aftaler indgået mellem Parterne, skal bestemmelserne i Aftalen have forrang
APPENDIKS 1
Dette Appendiks indeholder blandt andet Kundens instruks til Leverandøren i forbindelse med Leverandørens databehandling for Kunden og er en integreret del af Aftalen.
Instruks og beskrivelse af behandlingen af personoplysninger i Danløn
Formål og karakteren af databehandlingen
Formålet med at lade Leverandøren foretage databehandlingen er at lade Kunden anvende Danløn, der er et IT-system, som Kunden tilgår via internettet, og som er hostet og drevet af Leverandøren. Danløn hjælper med at håndtere Kundens lønafregning, skatte- og pensionsforhold for Kundens medarbejdere, administration af medarbejdernes ferieopsparing og udbetaling m.v. Dette indebærer også videregivelse af oplysninger på vegne af Kunden, fx til SKAT, Nets, pensionsselskaber, Danmarks Statistik m.fl. på vegne af Kunden.
Kategorier af registrerede personer
I. Kundens potentielle medarbejdere hvis kunden indtaster information om disse i Danløn.
II. Kundens nuværende medarbejdere hvis kunden indtaster information om disse i Danløn.
III. Kundens fratrådte medarbejdere hvis kunden indtaster information om disse i Danløn.
Kategorier af personoplysninger
For de ovenfor nævnte personkategorier, behandles navn, adresse, CPR-nummer og ansættelsesdato. Derudover behandles oplysninger vedrørende de registreredes lønforhold, såsom løn, skat, pension, ferie, udlæg, kørselspenge mv, herunder de oplysninger som Kunden registrerer om de registrerede i Danløn. For optimal udnyttelse af Danløn registreres også e-mailadresse, mobiltelefonnummer og bankkontooplysninger.
For personerne i kategori III registreres tillige fratrædelsesdato.
Særlige kategorier af personoplysninger
Afhængigt af hvilken feriepengemodtager den registrerede persons feriepenge skal afregnes til, kan det udledes hvilken fagforeningstilknytning personen har.
Lokation(er), inklusive angivelse af land for behandlingen
Engholm Parkvej 8
3450 Allerød
Danmark
Skomagervej 10
7100 Vejle
Danmark
Videregivelse af data
Leverandøren kan videregive persondata på vegne af Kunden som led i Leverandørens services til kunden, herunder eksempelvis til SKAT, pensionsselskaber, NETS, Danmarks Statistik m.fl.
