Databehandleraftale
Databehandleraftale om behandling af persondata
Denne databehandleraftale (Aftalen) er et tillæg til den indgåede kontrakt på ydelser og/eller service mellem kunden (Dataansvarlig) og Uptime ApS (Databehandler).
Mellem
Den dataansvarlige
Databehandleren
Uptime ApS
CVR: 30527461
Vestergade 165C, 2. sal
5700 Svendborg
Danmark
1. Baggrund for databehandleraftalen
1 Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets
og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling
af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen),
som stiller specifikke krav til indholdet af en databehandleraftale.
1.2 Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes ”hovedaftale”
som er listet op i appendiks 1.
1.3 Databehandleraftalen og ”hovedaftalen” er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen
kan dog – uden at opsige ”hovedaftalen” – erstattes af en anden gyldig databehandleraftale.
1.4 Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre
aftaler mellem parterne, herunder i ”hovedaftalen”.
1.5 Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.
2. Krav til databehandleren
2.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige,
medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt;
i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den
pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk.
3, litra a.
2.2 Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens
mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes
nationale ret.
2.3 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens
artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne
og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed
og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske
foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
2.4 Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter
gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der
er relevant, være tale om følgende foranstaltninger:
- Pseudonymisering og kryptering af personoplysninger.
- Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og
– tjenester.
- Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk
eller teknisk hændelse.
- En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske
foranstaltninger til sikring af behandlingssikkerhed.
2.5 Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse
af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed
for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor,
som er bemyndiget af den dataansvarlige.
2.6 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige
ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse
til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens
kapitel 3.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige
skal sikre overholdelsen af:
- oplysningspligten ved indsamling af personoplysninger hos den registrerede
- oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
- den registreredes indsigtsret
- retten til berigtigelse
- retten til sletning (»retten til at blive glemt«)
- retten til begrænsning af behandling
- underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
- retten til dataportabilitet
- retten til indsigelse
- retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering
2.7 Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser
i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger,
der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.
2.8 Databehandleren forpligter sig til, uden unødig forsinkelse, at underrette den dataansvarlige efter
at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. I forbindelse med et persondatabrud,
skal databehandleren i det omfang det er muligt, skriftligt orientere den dataansvarlige om følgende:
- En beskrivelse af databruddet, herunder antal berørte personer, samt mængden af data.
- En beskrivelse af mulige konsekvenser ved databruddet.
- Navn og kontaktoplysninger på den medarbejder, som hos databehandleren fungerer som databeskyttelsesansvarlig - eller rådgiver.
Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 24 timer efter at denne er blevet
bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til
at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.
2.9 Databehandleren skal orientere den dataansvarlige, hvis der ændres i de fysiske placeringer af servere, servicecentre mv.
3. Krav til den dataansvarlige
3.1 Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret
for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
3.2 Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om,
til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
3.3 Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling,
som databehandleren instrueres i at foretage.
3.4 Den dataansvarlige honorer databehandleren for håndtering af forespørgsler samt opgaver forbundet
med Aftalens pkt. 2.1, 2.5, 2.6, 2.7, 2.8, 3.5 og 8.3.
Honoreringen fastsættes efter databehandlerens til en hver tid gældende timetakst og prisliste.
3.5 Den dataansvarlige har ret til at foretage tilsyn, af de tekniske og organisatoriske sikkerhedsforanstaltninger
udført af databehandleren, jf. Pkt. 2.3, dette skal dog varsles databehandleren med minimum 30 dage.
3.6 Den dataansvarlige skal følge de krav som Persondataforordningen (Europa-Parlamentets og Rådets
forordning 2016/679 af 27. April 2016) stiller til dataansvarlige, samt følge datatilsynets instrukser i tilfælde
af et persondatabrud.
4. Underdatabehandlere
4.1 Ved underdatabehandler forstås en underleverandør, for hvem databehandleren har overladt hele eller
dele af den behandling, som databehandleren foretager på vegne af den dataansvarlige.
4.2 Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel
28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
4.3 Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse
af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
4.4 I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om
eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give
den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
4.5 Når databehandleren har den dataansvarliges godkendelse til at gøre brug af en underdatabehandler,
sørger databehandleren for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der
er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten
eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren
vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder
kravene i databeskyttelsesforordningen.
4.6 Al kommunikation imellem den dataansvarlige og underdatabehandleren skal ske via databehandleren.
4.7 Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren
fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
5. Personoplysninger
5.1 Denne aftale og tilhørende instruks omfatter alle typer personoplysninger, der overlades af den
dataansvarlige til databehandleren i henhold til de af databehandleren leverede services. Der kan være tale om
følgende typer:
Almindelige personoplysninger:
Personnavn, adresse, e-mail, oplysninger om strafbare forhold, sociale problemer og andre rent private forhold
på nær følsomme personoplysninger
Følsomme personoplysninger:
Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold,
oplysninger om helbredsmæssige eller seksuelle forhold, behandling af generiske eller biometriske data med henblik
på unik identifikation.
5.2 De registrerede personoplysninger kan f.eks. ligge inden for følgende kategorier: brugere, ansatte,
ansøgere, kandidater, kunder, forbrugere, patienter eller lign.
6. Overførsel af oplysninger til tredjelande eller internationale organisationer
6.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige,
herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger
til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes
nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om
dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til
vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
7. Tavshedspligt og fortrolighed
7.1 Databehandleren skal sikre, at alle, der behandler oplysninger omfattet af Aftalen, og underdatabehandlere,
forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
8. Varighed og ophør
8.1 Denne aftale træder i kraft ved begge parters underskrift heraf.
8.2 Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i
aftalen giver anledning hertil.
8.3 Ved ophør af tjenesterne vedrørende behandling, forpligtes databehandleren til, efter den dataansvarliges
valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende
kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
8.4 Pkt. 8.2 skal informeres skrifteligt fra den dataansvarlige til databehandleren, og skal være databehandleren
i hænde minimum 30 dage før Aftalens ophør.
8.5 Databehandleren forbeholder sig retten til at slette alle personoplysninger 60 dage efter Aftalens
ophør, medmindre EU-retten eller national ret foreskriver andet.
9. Underskrift
Dataansvarlig
Skriv under her
Appendiks 1
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er baseret på et eller
flere af de af Uptime udbudte produkter. Ønsker dataansvarlige yderligere databehandling end angivne, skal den
dataansvarlige give databehandleren dokumenteret instruks herom, jf. Stk. 6.1.
Uptime udbyder følgende produkter:
Hosting produkter:
- E-mail
- Mailfiltrering
- Webhotel
- Webhotel med database
- Statistik
- CMS systemer
- Webshop/eCommerce Løsninger
- Systemer til udsendelse af nyhedsbreve.
Server og øvrige løsninger:
- Virtuel server
- FTP server
- Hosted server
- Stelleje/serverparkering
- Online backup
- Hosted Fjernskrivebordsløsninger
- Hosted Exchange
- Cloud service
- E-mail scanning
- Internet fiber
Online markedsføring:
- Facebook annoncering
- LinkedIn annoncering
- Google Analytics
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om:
- Data opbevaring
- Backup
- Kundesupport
- Vedligeholdelse af Uptime produkter og services
Instruks vedrørende behandling af personoplysninger
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører
følgende:
- Sikker opbevaring af data i henhold til gældende regler
- Backup til distribueret datalagringssystem
- Kundesupport i forbindelse med kundehenvendelse.
Appendiks 2: Fysisk placering af data
Uptimes data og infrastruktur er udelukkende placeret i Danmark på distribuerede datasystemer fordelt over flere
lokationer i landet og inden for EU.
Fysisk adgang til systemer i drift er kun tildelt medarbejdere med arbejdsbetinget behov.
De fysiske rammer omkring datacentrene er konstrueret efter gældende sikkerhedsregler og inkluderer bl.a. forsyning,
køling, adgangskontrol og brandsikring.
Appendiks 3 - Organisatoriske og tekniske sikkerhedsforanstaltninger
Restriktioner
Alle medarbejdere har rettigheder tildelt efter arbejdsbetinget behov, der jævnligt kontrolleres for at sikre korrekt
tildeling.
Netværk
Der anvendes høj grad af segmentering i netværket, hvorved risiko for udbredelse af et angreb minimeres. Firewalls,
BGP-routing og ASN migrering begrænser påvirkning fra evt. serverangreb. Sofistikeret netværksovervågning i form
af DPi og dynamiske begivenhedsanalyser, registrerer uhensigtsmæssige mønstre og angrebsforsøg og begrænser automatisk
disse samtidig med automatisk alarmering og registrering i driftsorganisationen.
Systemovervågning
Infrastruktur, relevante services og systemer i drift overvåges, opdateres og opgraderes løbende for at sikre forebyggelse
og afhjælpning af sårbarhed og sikkerhedsrisici. Der overvåges automatisk efter påståede samt bekræftede CVE
(Common Vulnerabilities and Exposures) registreringer, formidlet via NIST NVD (https://nvd.nist.gov/), på komponenter
og software som er underlagt driftsorganisationen ansvarsområde.
Backup
Backup udføres løbende af alle systemer.
På Webhotel og e-mail udføres daglig differentiel backup og der lagres snapshot af dette en gang pr. uge.
Backups lagres på Uptime distribueret datalager.
Kryptering
For anvendelse af krypteret e-mail transport mellem klienter og Uptimes servere, anvendes oppotunistisk krypteret
transportlag, hvor klient og server aftaler om der ønskes at skifte til krypteret datatransport (STARTTLS). Typisk
er dette standard i de fleste klient programmer, men bør altid kontrolleres under opsætningen.
Hvis data skal opbevares krypteret (filer, databaser, m.v.), skal dettes udføres af den dataansvarlige via applikationen,
medmindre der er indgået specifik aftale herom.
Uptime online backup service er som standard krypteret.
Appendiks 4 - Kundens ansvar
Uptime håndterer sikkerheden for de it-systemer der står bag de udbudte ydelser. Du har som kunde selv ansvar for,
hvordan du opsætter disse systemer, samt den software og kode du anvender.
Hvis data der transmitteres kræver fortrolighed, bør du som kunde sikre dig at anvende de til formålet sikrede transport
og krypteringsmetoder.
Håndteres personhenførbare data via e-mail, bør det som minimum sikres, at der anvendes en krypteret forbindelse
imellem de kommunikerende parter. Ved personfølsomme data, i samme situation, bør disse kun sendes ved anvendelse
af S/MIME, også kendt som ”sikker e-mail”, hvor indholdet krypteres med modtagerens offentlige krypteringsnøgle,
hvorved derefter at kun modtageren vil være i stand til at dekryptere det fremsendte.
–
Denne databehandleraftale er gældende jf. GDPR af 25. maj 2018.