Databehandleraftale

Databehandleraftale om behandling af persondata

Denne databehandleraftale (Aftalen) er et tillæg til den indgåede kontrakt på ydelser og/eller service mellem kunden (Dataansvarlig) og Uptime-IT ApS (Databehandler).

Mellem

Den dataansvarlige

Databehandleren

Uptime-IT ApS
CVR: 30527461
Vestergade 165C, 2. sal
5700 Svendborg
Danmark

1. Baggrund for databehandleraftalen

1 Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

1.2 Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af partnernes ”hovedaftale” som er listet op i appendiks 1.

1.3 Databehandleraftalen og ”hovedaftalen” er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige ”hovedaftalen” – erstattes af en anden gyldig databehandleraftale.

1.4 Denne databehandleraftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i ”hovedaftalen”.

1.5 Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.

2. Krav til Databehandleren

2.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

2.2 Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

2.3 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

2.4 Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:

  1. Pseudonymisering og kryptering af personoplysninger.
  2. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester.
  3. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse.
  4. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

2.5 Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

2.6 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

  1. oplysningspligten ved indsamling af personoplysninger hos den registrerede
  2. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
  3. den registreredes indsigtsret
  4. retten til berigtigelse
  5. retten til sletning (»retten til at blive glemt«)
  6. retten til begrænsning af behandling
  7. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
  8. retten til dataportabilitet
  9. retten til indsigelse
  10. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering

2.7 Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.

2.8 Databehandleren forpligter sig til, uden unødig forsinkelse, at underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. I forbindelse med et persondatabrud, skal Databehandleren i det omfang det er muligt, skriftligt orientere den Dataansvarlige om følgende:

  1. En beskrivelse af databruddet, herunder antal berørte personer, samt mængden af data.
  2. En beskrivelse af mulige konsekvenser ved databruddet.
  3. Navn og kontaktoplysninger på den medarbejder, som hos Databehandleren fungerer som databeskyttelsesansvarlig - eller rådgiver.

Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 24 timer efter at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.

2.9 I appendiks 2 har Databehandleren oplyst den fysiske placering af servere, servicecentre mv. som indgår i udførelsen af databehandlingen. Databehandleren skal orientere den Dataansvarlige, hvis der ændres i disse placeringer.

3. Krav til den Dataansvarlige

3.1 Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.

3.2 Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.

3.3 Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.

3.4 Den Dataansvarlige honorer Databehandleren for håndtering af forespørgsler samt opgaver forbundet med Aftalens pkt. 2.1, 2.5, 2.6, 2.7, 2.8, 3.5 og 6.2.
Honoreringen fastsættes efter databehandlerens til en hver tid gældende timetakst og prisliste.

3.5 Den Dataansvarlige har ret til at foretage tilsyn, af de tekniske og organisatoriske sikkerhedsforanstaltninger udført af Databehandleren, jf. Pkt. 2.3, dette skal dog varsles Databehandleren med minimum 30 dage.

3.6 Den Dataansvarlige skal følge de krav som Persondataforordningen (Europa-Parlamentets og Rådets forordning 2016/679 af 27. April 2016) stiller til Dataansvarlige, samt følge datatilsynets instrukser i tilfælde af et persondatabrud.

4. Underdatabehandlere

4.1 Ved underdatabehandler forstås en underleverandør, for hvem Databehandleren har overladt hele eller dele af den behandling, som Databehandleren foretager på vegne af den Dataansvarlige.

4.2 Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).

4.3 Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.

4.4 I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

4.5 Når databehandleren har den dataansvarliges godkendelse til at gøre brug af en underdatabehandler, sørger databehandleren for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.

4.6 Al kommunikation imellem den Dataansvarlige og underdatabehandleren skal ske via Databehandleren.

4.7 Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

5. Personoplysninger

5.1 Denne aftale og tilhørende instruks omfatter alle typer personoplysninger, der overlades af den Dataansvarlige til Databehandleren i henhold til de af Databehandleren leverede services. Der kan være tale om følgende typer:

Almindelige personoplysninger:
Personnavn, Adresse, e-mail, oplysninger om strafbare forhold, sociale problemer og andre rent private forhold på nær følsomme personoplysninger

Følsomme personoplysninger:
Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, oplysninger om helbredsmæssige eller seksuelle forhold, behandling af generiske eller biometriske data med henblik på unik identifikation.

5.2 De registrerede personoplysninger kan f.eks. ligge inden for følgende kategorier: brugere, ansatte, ansøgere, kandidater, kunder, forbrugere, patienter eller lign.

6. Overførsel af oplysninger til tredjelande eller internationale organisationer

6.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

7. Tavshedspligt og fortrolighed

7.1 Databehandleren skal sikre, at alle, der behandler oplysninger omfattet af Aftalen, og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

8. Varighed og ophør

8.1 Denne aftale træder i kraft ved begge parters underskrift heraf.

8.2 Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.

8.3 Ved ophør af tjenesterne vedrørende behandling, forpligtes Databehandleren til, efter den Dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

8.4 Pkt. 8.2 skal informeres skrifteligt fra den Dataansvarlige til Databehandleren, og skal være Databehandleren i hænde minimum 30 dage før Aftalens ophør.

8.5 Databehandleren forbeholder sig retten til at slette alle personoplysninger 60 dage efter aftalens ophør, medmindre EU-retten eller national ret foreskriver andet.

9. Underskrift

Dataansvarlig
Skriv under her

Appendiks 1

Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er baseret på et eller flere af de af Uptime udbudte produkter. Ønsker Dataansvarlige yderligere databehandling end angivne, skal den Dataansvarlige give Databehandleren dokumenteret instruks herom, jf. Stk. 6.1.

Uptime udbyder følgende produkter:

Hosting produkter:

Server og øvrige løsninger:

Online markedsføring:

Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige drejer sig primært om:

Instruks vedrørende behandling af personoplysninger

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:

Appendiks 2: Fysisk placering af data

Uptimes data og infrastruktur er udelukkende placeret i Danmark på distribuerede datasystemer fordelt over flere lokationer i landet og inden for EU.

Fysisk adgang til systemer i drift er kun tildelt medarbejdere med arbejdsbetinget behov.

De fysiske rammer omkring datacentrene er konstrueret efter gældende sikkerhedsregler og inkluderer bl.a. forsyning, køling, adgangskontrol og brandsikring.

Appendiks 3 - Organisatoriske og tekniske sikkerhedsforanstaltninger

Restriktioner

Alle medarbejdere har rettigheder tildelt efter arbejdsbetinget behov, der jævnligt kontrolleres for at sikre korrekt tildeling.

Netværk

Der anvendes høj grad af segmentering i netværket, hvorved risiko for udbredelse af et angreb minimeres. Firewalls, BGP-routing og ASN migrering begrænser påvirkning fra evt. serverangreb. Sofistikeret netværksovervågning i form af DPi og dynamiske begivenhedsanalyser, registrerer uhensigtsmæssige mønstre og angrebsforsøg og begrænser automatisk disse samtidig med automatisk alarmering og registrering i driftsorganisationen.

Systemovervågning

Infrastruktur, relevante services og systemer i drift overvåges, opdateres og opgraderes løbende for at sikre forebyggelse og afhjælpning af sårbarhed og sikkerhedsrisici. Der overvåges automatisk efter påståede samt bekræftede CVE (Common Vulnerabilities and Exposures) registreringer, formidlet via NIST NVD (https://nvd.nist.gov/), på komponenter og software som er underlagt driftsorganisationen ansvarsområde.

Backup

Backup udføres løbende af alle systemer.

På Webhotel og e-mail udføres daglig differentiel backup og der lagres snapshot af dette en gang pr. uge.

Backups lagres på Uptime distribueret datalager.

Kryptering

For anvendelse af krypteret e-mail transport mellem klienter og Uptimes servere, anvendes oppotunistisk krypteret transportlag, hvor klient og server aftaler om der ønskes at skifte til krypteret datatransport (STARTTLS). Typisk er dette standard i de fleste klient programmer, men bør altid kontrolleres under opsætningen.

Hvis data skal opbevares krypteret (filer, databaser, m.v.), skal dettes udføres af Dataansvarlige via applikationen, men mindre der er indgået specifik aftale herom.

Uptime online backup service er som standard krypteret.

Appendiks 4 - Kundens Ansvar

Uptime håndterer sikkerheden for de it-systemer der står bag de udbudte ydelser. Du har som kunde selv ansvar for, hvordan du opsætter disse systemer, samt den software og kode du anvender.

Hvis data der transmitteres kræver fortrolighed, bør du som kunde sikre dig at anvende de til formålet sikrede transport og krypteringsmetoder.

Håndteres personhenførbare data via e-mail, bør det som minimum sikres, at der anvendes en krypteret forbindelse imellem de kommunikerende parter. Ved personfølsomme data, i samme situation, bør disse kun sendes ved anvendelse af S/MIME, også kendt som ”sikker e-mail”, hvor indholdet krypteres med modtagerens offentlige krypteringsnøgle, hvorved derefter at kun modtageren vil være i stand til at dekryptere det fremsendte.


Denne databehandleraftale er gældende jf. GDPR af 25. maj 2018.