Databehandleraftale

Aftalens parter

Disse Standardkontraktbestemmelser indgås i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) mellem:

Den dataansvarlige

Navn: [Kundenavn]

CVR: [CVR-nr.]

Adresse: [Adresse, postnr. og by]

Databehandleren

2people A/S

CVR 30102281

Rudolfgårdsvej 15B, 8260 Viby, Danmark

Præambel

Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.

Bestemmelserne er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger (databeskyttelsesforordningen).

I forbindelse med leveringen af 2people-løsningen behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.

Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.

Der hører fire bilag til disse Bestemmelser: Bilag A (oplysninger om behandlingen), Bilag B (underdatabehandlere), Bilag C (instruks vedrørende behandling) og Bilag D (andre forhold). Bestemmelserne frigør ikke databehandleren fra forpligtelser pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.

Den dataansvarliges rettigheder og forpligtelser

§ 3.1

Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.

§ 3.2

Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.

§ 3.3

Den dataansvarlige er ansvarlig for at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.

Databehandleren handler efter instruks

§ 4.1

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret. Instruksen skal være specificeret i bilag A og C.

§ 4.2

Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

Fortrolighed

§ 5.1

Databehandleren må kun give adgang til personoplysninger til personer, som er underlagt fortrolighedspligt, og kun i det nødvendige omfang. Listen af personer med adgang skal løbende gennemgås.

§ 5.2

Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at relevante personer er underlagt tavshedspligt.

Behandlingssikkerhed

§ 6.1

Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren gennemfører passende tekniske og organisatoriske foranstaltninger. Dette kan omfatte:

Pseudonymisering og kryptering af personoplysninger
Sikring af vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer
Evne til rettidigt at genoprette tilgængelighed ved tekniske hændelser
Regelmæssig afprøvning og evaluering af effektiviteten af sikkerhedsforanstaltninger

§ 6.2

Databehandleren vurderer selvstændigt risiciene og gennemfører foranstaltninger for at imødegå disse. Den dataansvarlige stiller den nødvendige information til rådighed herfor.

§ 6.3

Databehandleren bistår den dataansvarlige med overholdelse af artikel 32 ved at stille information til rådighed om gennemførte sikkerhedsforanstaltninger.

Anvendelse af underdatabehandlere

§ 7.1–7.2

Databehandleren må ikke gøre brug af en underdatabehandler uden forudgående generel skriftlig godkendelse fra den dataansvarlige.

§ 7.3

Databehandleren skal skriftligt underrette den dataansvarlige om planlagte ændringer vedrørende underdatabehandlere med mindst 90 dages varsel, så den dataansvarlige har mulighed for at gøre indsigelse.

§ 7.4

Underdatabehandlere pålægges de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser.

§ 7.7

Hvis en underdatabehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige.

Overførsel til tredjelande eller internationale organisationer

§ 8.1

Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages på baggrund af dokumenteret instruks fra den dataansvarlige og skal ske i overensstemmelse med databeskyttelsesforordningens kapitel V.

§ 8.3

Uden dokumenteret instruks kan databehandleren ikke overføre personoplysninger til tredjelande, overlade behandling til en underdatabehandler i et tredjeland, eller behandle personoplysningerne i et tredjeland.

Bemærk: Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d.

Bistand til den dataansvarlige

§ 9.1

Databehandleren bistår den dataansvarlige med opfyldelse af forpligtelsen til at besvare anmodninger om de registreredes rettigheder, herunder:

Oplysningspligten ved indsamling af personoplysninger
Indsigtsretten og retten til berigtigelse
Retten til sletning ("retten til at blive glemt")
Retten til begrænsning af behandling og dataportabilitet
Retten til indsigelse og retten til ikke at være genstand for automatiske afgørelser

§ 9.2

Databehandleren bistår endvidere den dataansvarlige med anmeldelse af sikkerhedsbrud til Datatilsynet (senest 72 timer), underretning af registrerede, konsekvensanalyser (DPIA) samt forudgående høring af Datatilsynet.

Underretning om brud på persondatasikkerheden

§ 10.1–10.2

Databehandleren underretter uden unødig forsinkelse den dataansvarlige — og om muligt senest 48 timer — efter at være blevet opmærksom på et brud på persondatasikkerheden.

§ 10.3

Underretningen skal indeholde oplysninger om:

Karakteren af bruddet, herunder kategorier og omtrentligt antal berørte registrerede
De sandsynlige konsekvenser af bruddet
De foranstaltninger, der er truffet eller foreslås truffet for at håndtere bruddet

Sletning og returnering af oplysninger

§ 11.1

Ved ophør af tjenesterne er databehandleren forpligtet til at tilbagelevere alle personoplysninger og slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver fortsat opbevaring.

Revision, herunder inspektion

§ 12.1

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28, til rådighed for den dataansvarlige og giver mulighed for revisioner og inspektioner.

§ 12.3

Databehandleren er forpligtet til at give tilsynsmyndigheder adgang til fysiske faciliteter mod behørig legitimation.

Ikrafttræden og ophør

§ 14.1

Bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.

§ 14.2

Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder giver anledning hertil.

§ 14.3–14.4

Bestemmelserne er gældende, så længe tjenesten varer. Opsigelse kan ske skriftligt, når behandlingen er ophørt og data er slettet eller returneret jf. Bestemmelse 11.1 og Bilag C.4.

Underskrift

På vegne af den dataansvarlige

Navn: ___________________

Stilling: ___________________

Telefon: ___________________

E-mail: ___________________

På vegne af databehandleren

Navn: Daniel Sørensen

Stilling: Adm. direktør

Telefon: +45 50 99 69 44

E-mail: daniel@2people.com

Bilag A — Oplysninger om behandlingen

A.1 Formål

At understøtte den dataansvarliges behov for personaleadministration og personaleplanlægning, herunder registrering af ansættelsesforhold.
At indsamle, registrere, opbevare, videregive og slette personoplysninger efter instruks fra den dataansvarlige.
At ovenstående alene sker via funktioner tilgængelige på 2people-løsningen.
At 2people-løsningen alene gøres tilgængelig for de personer, som er identificeret af den dataansvarlige.

A.2 Behandlingens karakter

Indsamling, registrering, opbevaring, videregivelse og sletning af persondata i arbejdsrelateret sammenhæng.
Data omfatter medarbejdernes stamdata, juridiske og personlige dokumenter, jobbeskrivelser, kvalifikationsbeskrivelser, arbejdsprocesser samt udviklingsmål og planer.
Der foretages ikke selvstændig videregivelse eller anden behandling end det, der udføres efter instruks fra den dataansvarlige.

A.3 Typer af personoplysninger

✅ Almindelige personoplysninger, i det omfang den dataansvarlige angiver dem til 2people-løsningen
✅ Følsomme personoplysninger, i det omfang den dataansvarlige angiver dem til 2people-løsningen
✅ Andre oplysninger om rent private forhold, i det omfang den dataansvarlige angiver dem til 2people-løsningen

A.4 Kategorier af registrerede

Den dataansvarliges ansatte, bestyrelse, ejere, konsulenter og øvrige personer, som den dataansvarlige måtte angive oplysninger om i 2people-løsningen.

A.5 Varighed

Behandlingen er tidsbegrænset og varer indtil kontraktens ophør.

Bilag B — Underdatabehandlere

Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere:

Navn	CVR	Adresse	Data	Beskrivelse
Rackhosting ApS	15777176	Hørskætten 6C, 2630 Taastrup	DK	Hosting af 2people-løsningens servere.
Cloudflare Inc	N/A	101 Townsend St, San Francisco, CA	EU	Sikring mod angreb — behandler kun IP-adresser.
Mailgun Technologies, Inc.	N/A	112 E Pecan St, San Antonio, TX	EU	Udsendelse af e-mails fra 2people-løsningen.
HubSpot Inc.	N/A	25 First Street, Cambridge, MA	EU	Ticketsystem. Anbefalet ikke at oprette tickets med personoplysninger.
Penneo A/S	29973334	Enghavevej 40 4, 1674 København V	DK	Digital signatur i 2people-løsningen (valgfri).
Twoday A/S	29973334	Gærtorvet 1, 1799 København V	DK	Addo Sign — digital signatur i 2people-løsningen (valgfri).

Varsel: Databehandleren skal underrette den dataansvarlige om planlagte ændringer til underdatabehandlere minimum 90 dage før ændringen træder i kraft. Den dataansvarlige kan gøre indsigelse inden 60 dage efter modtagelse af underretningen.

Bilag C — Instruks vedrørende behandling

C.1 Behandlingens genstand

Databehandleren stiller 2people-løsningen til rådighed for den dataansvarlige, som får adgang til aftalte services.

C.2 Behandlingssikkerhed

C.2.1 Adgangsbegrænsning og autorisation

Adgangen til personoplysningerne er begrænset til medarbejdere med et arbejdsbetinget behov herfor.

C.2.2 Opretholdelse af sikkerhedsforanstaltninger

Databehandleren iværksætter og opretholder organisatoriske, administrative og IT-mæssige foranstaltninger for at beskytte personoplysninger mod utilsigtet eller ulovlig tilintetgørelse, tab, misbrug eller uautoriseret adgang.

C.2.2.1 Instruktion af medarbejdere

Medarbejdere er instrueret i databehandlingens formål og arbejdsgange, herunder tavshedspligt.

C.2.2.2 Adgangsstyring

Kun medarbejdere med behov har adgang til netværk og systemer. Adgang spærres hurtigst muligt ved ansættelsesophør.

C.2.2.3 Netværks- og kommunikationssikkerhed

Firewalls benyttes til beskyttelse af systemer og netværk. Al kommunikation over åbne netværk krypteres.

C.2.2.4 Driftsprocedurer

Der foretages regelmæssig sikkerhedskopiering og periodisk test af gendannelse. Der logges alle relevante hændelser i systemerne.

C.4 Opbevaringsperiode og sletterutine

30 dage før abonnementsophør skal den dataansvarlige give meddelelse om, hvorvidt data ønskes slettet eller tilbagetaget.
Hvis data tilbagetages, sletter databehandleren alle kopier herefter.
Gives ingen instruks, slettes data automatisk senest efter 12 måneder.

C.5 Lokalitet for behandling

Databehandlerens kontor i Aarhus, Åbogade 15, 8200 Aarhus N, samt via remote adgang.
Adresser på underdatabehandlere som angivet i Bilag B.

C.6 Overførsel til tredjelande

Databehandleren er ikke berettiget til at overføre personoplysninger til tredjelande uden dokumenteret instruks fra den dataansvarlige.

C.7 Tilsyn med databehandleren

Databehandleren stiller én gang årligt, ved forespørgsel, en selvevalueringsrapport til rådighed. Den dataansvarlige kan derudover foretage fysisk inspektion — egne udgifter hertil bæres af den dataansvarlige.

C.8 Tilsyn med underdatabehandlere

Koncept 1: Passivt tilsyn — agér kun ved indikation på problemer.
Koncept 2: Skriftlig bekræftelse fra underdatabehandler om efterlevelse.
Koncept 3: Årlig skriftlig statusrapport fra underdatabehandler.
Koncept 4: Relevant og opdateret certificering eller adfærdskodeks.
Koncept 5: Dokumenteret tilsyn udført af uafhængig tredjepart.
Koncept 6: Eget dokumenteret tilsyn, eventuelt sammen med andre.

Databehandleren anvender fortrinsvis Koncept 4 og 5, da disse repræsenterer det højeste sikkerhedsniveau via uafhængig tredjepart.

Bilag D — Parternes regulering af andre forhold

I det omfang databehandlerens bistandsforpligtelser medfører et ekstraordinært ressourceforbrug, har databehandleren krav på rimelig betaling herfor. Afregning sker som udgangspunkt ved opgørelse af medgået tid og vil fremgå af parternes Købsaftale.

Spørgsmål til databehandleraftalen?

Kontakt Finn Conradsen →