Velg en side
Mellom

Kunden (forretningsdrivende, fond eller foreninger)

(heretter den ”Dataansvarlige”)

eMailplatform ApS
Nørregade 12A
6600 Vejen
CVR-nr. 34 21 74 83
(heretter ”Databehandleren”)

(Den Dataansvarlige og Databehandleren vil heretter omtales som ”Part” og tilsammen som ”Parterne”)

er der i dag inngått følgende databehandleravtale.

1. BAKGRUNN OG FORMÅL

1.1 Parterne har avtalt levering av definerte ytelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Databehandlerens Vilkår, som er akseptert av Kunden, og følger her vedlagt som bilag 1 til denne avtale (heretter ”Hovedytelsene”).

1.2 I den forbindelse behandler Databehandleren personoplysninger på vegne av den Dataansvarlige. Det er bakgrunnen for hvorfor Parterne har inngått denne databehandleravtale med underliggende bilag (heretter ”Databehandleravtalen”)

1.3 Databehandleravtalen har til formål å sikre, at Databehandleren overholder den til enhver tid gjeldende persondatarettslige lovgivning, herunder:

  • Persondataloven (lov 2000-05-31 nr. 429 med senere endringer).
  • Lov om behandling av personopplysninger (personopplysningsloven LOV-2018-06-15-38 med senere endringer)
  • Persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016), når denne trer i kraft.
2. OMFANG

2.1 Databehandleren bemyndiges til å foreta behandling av personopplysninger på den Dataansvarliges vegne på de vilkår som er fastsatt i Databehandleravtalen.

2.2 Databehandleren må alene behandle personoplysninger etter dokumenteret instruks fra den Dataansvarlige (heretter ”Instruks”). Databehandleravtalen inkl. bilag udgjør Instruksen på underskriftstidspunktet.

2.3 Instruksen kan til enhver tid endres eller konkretiseres nærmere av den Dataansvarlige.

2.4 Databehandleren må, så lenge ikke noe annet følger av Databehandleravtalen, benytte alle relevante hjelpemidler, herunder IT-systemer.

3. VARIGHET

3.1 Databehandleravtalen gjelder inntil enten:
a) avtale(r)n(e) om levering av Hovedydelsene opphører eller
b) Databehandleraftalen sies opp eller oppheves.

4. DATABEHANDLERENS FORPLIKTELSER

4.1 Tekniske og organisatoriske sikkerhetsforordninger

4.1.1 Databehandleren har ansvaret for at gjennomføre nødvendige tekniske og organisatoriske foranstaltninger/forordninger for å sikre et riktig sikkerhetsnivå. Foranstaltningene skal gjennomføres med hensyn til det aktuelle tekniske nivå, implementeringskostnader og den gjeldende behandlingens karakter, omfang, sammensetning og formål samt risiki av varierende sannsynlighet og alvor for fysiske personers rettigheter, personvern og frihetsrettigheter. Databehandleren skal bl.a. ta kategorien av personopplysninger beskrevet i bilag 1.1 i betraktning ved fastleggelsen av disse foranstaltningene.

4.1.2 Databehandleren gjennomfører de passende tekniske og organisatoriske foranstaltninger på en slik måte, at Databehandlerens behandling av personopplysninger oppfyller kravene i den til enhver tid gjeldende personvernrettslige regulering.

4.2 Medarbeiderforhold

4.2.1 Databehandleren skal sikre, at medarbeidere som behandler personopplysninger for Databehandleren, har forpliktet seg til fortrolighet eller er underlagt en passende lovbestemt taushetsplikt.

4.2.2 Databehandleren skal sikre, at adgangen til personopplysninger begrenses til de medarbeidere, for hvem det er nødvendig å behandle personopplysninger for å kunne oppfylle Databehandlerens forpliktelser over for den Dataansvarlige.

4.2.3 Databehandleren skal sikre at medarbeidere som behandler personopplysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.

4.3 Dokumentasjon for overholdelse av forpliktelser

4.3.1 Databehandleren skal på skriftlig anmodning dokumentere ovenfor den Dataansvarlige, at Databehandleren:
a) overholder sine forpliktelser etter Databehandleravtalen og Instruksen, og
b) overholder bestemmelsene i den til enhver tid gjeldende persondatarettslige regulering, for så vidt angår de personopplysninger, som behandles på den Dataansvarliges vegne.

4.3.2 Databehandlerens standarddokumentasjon fremgår av de aksepterete Vilkår (bilag 1). Ønsker Kunden å motta ytterligere dokumentasjon etter pkt.

4.3.1 skal Kunden konkretisere og spesifisere hvilken dokumentasjon som ønskes.

4.4 Sikkerhetsbrudd

4.4.1 Databehandleren skal underrette den Dataansvarlige om brudd på persondatasikkerheten, som potensielt kan føre til hendelig eller ulovlig tilintetgjørelse, tap, endring, uautoriseret videreformidling av eller adgang til personopplysningene behandlet for den Dataansvarlige (heretter ”Sikkerhetsbrudd”).

4.4.2 Sikkerhetsbrudd skal meddeles til den Dataansvarlige uten unødig forsinkelse.

4.4.3 Databehandleren skal vedlikeholde en oversikt/fortegnelse over alle Sikkerhetsbrudd. Fortegnelsen skal minimum dokumentere følgende:
a) De faktiske omstendigheter rundt Sikkerhetsbruddet,
b) Sikkerhetsbruddets virkninger, og
c) de etablerte tiltak og vurderinger gjort for å avhjelpe Sikkerhetsbruddet.

4.4.4. Fortegnelsen skal etter skriftlig anmodning stilles til rådighet for den Dataansvarlige eller tilsynsmyndigheter.

4.5 Bistand

4.5.1 Databehandleren skal i nødvendig og rimelig omfang bistå ved den Dataansvarliges oppfyllelse av sine forpliktelser ved behandling av personopplysningene, som omfattet av Databehandleravtalen, herunder ved:

a) besvarelser til registrerte ved utøvelse av de sine rettigheter,

b) Sikkerhetsbrudd,

c) konsekvensanalyser, og

d) forutgående høringer fra tilsynsmyndighetene.

4.5.2 Databehandleren skal herunder fremskaffe de opplysninger, som skal inngå i en anmeldelse/melding til tilsynsmyndighetene, i det omfang Databehandleren er den nærmeste til å gjøre nettopp det.

4.5.3 Databehandleren har krav på betaling etter medgått tid og materialforbruk for bistand i henhold til dette punkt 4.5.

5. DEN DATAANSVARLIGES FORPLIKTELSER

5.1 Den Dataansvarlige har de forpliktelser, som fremgår av bilag 2.

6. UNDERDATABEHANDLERE

6.1 Databehandleren må gjøre bruk av en tredjepart til behandling av personopplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang dette fremgår av:

a) bilag 3 til denne Databehandleravtale, eller

b) Instruks fra den Dataansvarlige.

6.2 Databehandleren og Underdatabehandleren skal inngå en skriftlig avtale, som pålægger Underdatabehandleren de samme databeskyttelsesforpliktelser, som påhviler Databehandleren (herunder i henhold til Databehandleravtalen).

6.3 Den Dataansvarlige skal på skriftlig anmodning utlevere alle avtaler omfattet av pkt. 3 inngått med eventuelle Underdatabehandlere.

6.4 Underdatabehandleren handler utover dette likeledes alene på Instruks fra den Dataansvarlige. All kommunikasjon med Underdatabehandleren ivaretas av Databehandleren, med mindre annet særskilt avtales. Enhver endret eller konkretiseret Instruks fra den Dataansvarlige skal straks videreformidles av Databehandleren til Underdatabehandleren.

6.5 Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling av personoplysninger på samme vis, som om behandlingen var foretatt av Databehandleren selv.

7. TREDJELAND OG INTERNASJONALE ORGANISASJONER

7.1 Databehandleren må kun overføre personoplysninger til tredjeland eller internasjonale organisasjoner i det omfang dette fremgår av Instruks fra den Dataansvarlige.

7.2 Overførsel av personopplysninger må i alle tilfelle kun skje i det omfang, det er tillatt ifølge den til enhver tid gjeldende persondatarettslige regulering.

8. DATABEHANDLING UTENFOR INSTRUKSEN

8.1 Databehandleren kan behandle personopplysninger utenfor Instruksen i tilfelle, hvor det kreves av EU-retten eller nasjonal rett, som Databehandleren er underlagt.

8.2 Ved behandling av personopplysninger utenfor Instruksen skal Databehandleren underrette den Dataansvarlige om årsaken til dette. Underretningen skal skje, innen behandlingen foretas og skal inneholde en henvisning til de rettslige krav, som ligger til grunn for behandlingen.

8.3 Underretning skal ikke skje, hvis underretning vil være i strid med EU retten eller nasjonal rett.

9. MISLIGHOLD

9.1 Regulering av mislighold i avtale(r)n(e) om levering av Hovedytelsene gjelder også for denne Databehandleravtale, som om denne Databehandleravtale var en integreret del herom. Der hvor avtale(r)n(e) om levering av Hovedytelsene ikke tar stilling, skal gjeldende retts allminnelige misligholdelsbestemmelser få sin anvendelse på denne Databehandleravtale.

10. ANSVAR OG ANSVARSBEGRENSNING

10.1 Reguleringen av ansvar og ansvarsbegrensninger i de vedtatte Vilkår (bilag 1) anvendes også for denne Databehandleravtale, som om denne Databehandleravtale var en integrert del herom.

11. FORCE MAJEURE

11.1 Reguleringen av force majeure i de vedtatte Vilkår (bilag 1) finner anvendelse også for denne Databehandleravtale, som om denne Databehandleravtale var en integreret del herom.

12. OPPSIGELSE OG AVSLUTNING

12.1 Databehandleravtalen kan alene sies opp eller avsluttes i overensstemmelse med bestemmelsene om oppsigelse og avslutning i de vedtatte Vilkår (bilag 1)

13. OPPHØRSVIRKNING

13.1 Databehandlerens myndighet til å behandle personopplysninger på vegne av den Dataansvarlige bortfaller ved Databehandleravtalens opphør, uansett årsak. Opphør reguleres av oppsigelsesvarslet og effektuering, reguleret i Vilkårene (bilag 1).

13.2 Databehandleren skal tilbakelevere, hvilket i praksis foregår som reguleret i Vilkårene (bilag 1), alle personopplysninger (unntatt opplysninger beriket i Databehandlerens plattform, samt statistikk- og adferdsdata), som Databehandleren har behandlet under denne Databehandleravtale, til den Dataansvarlige ved Databehandleravtalens opphør, i det omfang den Dataansvarlige ikke allerede er i besittelse av personopplysningene. Databehandleren er heretter forpliktet til, innenfor tidsfristene defineret i Vilkårene (bilag 1), å slette alle personopplysninger fra den Dataansvarlige. Den Dataansvarlige kan anmode om tilstrekkelig dokumentasjon for, at slik sletting er utført. I praksis foregår denne sletting ved en sletting av den Dataansvarliges adgang til Databehandlerens plattform.
Unntaket her er den løpende 90-120 dagers backup-prosedyre som Databehandleren og Underdatabehandlere løpende foretar.

14. FORRANG

14.1 Såfremt det er motstrid mellem denne Databehandleravtale og Vilkårene (bilag 1) om levering av Hovedytelsene, har Vilkårene (bilag 1) forrang, med mindre annet følger direkte av Databehandleravtalen.

BILAG 1 – HOVEDYTELSEN

Link til eMailPlatforms Vilkår.

BILAG 2 – DEN DATAANSVARLIGES FORPLIKTELSER

1. Forpliktelser

1.1 Den Dataansvarlige har følgende forpliktelser:

a) Å sikre at behandlingen av personopplysninger er lovlig i henhold til den Personvernrettslige regulering, og at de vedtatte Vilkår (bilag 1) til enhver tid er overholdt.

BILAG 3 – UNDERDATABEHANDLERE

1. Generelt

1.1 Den Dataansvarlige gir herved sin godkjennelse til, at Databehandleren anvender følgende Underdatabehandlere:

a) Sentia Solutions A/S, Smedeland 32 2600 Glostrup, CVR.nr. 25464737 (leverer den fysiske infrastruktur, hosting, herunder servere og sikkerhet).

1.2 Den Dataansvarlige meddeler med Databehandleravtalen sin forutgående generelle skriftlige godkjennelse til, at Databehandleren kan gjøre bruk av en Underdatabehandler. Databehandleren skal skriftlig underrette den Dataansvarlige om anvendelse av en Underdatabehandler forut for anvendelsens påbegynnelse. Tilsvarende skal Databehandleren underrette den Dataansvarlige om opphør av bruk av en Underdatabehandler.

1.3 Den Dataansvarlige har mulighet til å gjøre innsigelser gjeldende mot en slik Underdatabehandler, så lenge det er saklig grunnlag for dette.

2. Særlige vilkår

2.1 Den Dataansvarlige aksepterer, at Databehandleren anvender standard applikasjoner, løsninger og hardware fra f.eks. Apple, Google og Microsoft.