Denne databehandleraftale ("Aftale") indgås af og mellem dig, som
og
iubenda s.r.l
Via San Raffaele, 1
20121 Milano
Italien
juridisk repræsentant, Andrea Giannangelo
Genstanden for Kontrakten følger af den hovedaftale, som parterne har underskrevet om levering af iubendas tjenester ("Kontrakten"). Databehandleren skal udføre de behandlingsaktiviteter, der er beskrevet deri,
for så vidt angår følgende kategorier af Personoplysninger:
og henviser til følgende kategorier af Registrerede:
Uanset hvor den Dataansvarlige befinder sig, og medmindre andet er anført heri – især for så vidt angår Underdatabehandlere i henhold til pkt. 7 nedenfor – skal alle databehandlingsaktiviteter, der udføres af Databehandleren, udføres inden for Den Europæiske Union/Det Europæiske Økonomiske Samarbejdsområde (EU/EØS).
I denne Aftale skal disse udtryk have følgende betydninger, medmindre konteksten angiver andet:
a. "Aftale" henviser til denne Databehandleraftale og alle dens tilhørende Bilag og eventuelle ændringer hertil.
b. "Gældende databeskyttelseslovgivning" henviser til – alt efter omstændighederne – alle gældende love og bestemmelser om databeskyttelse, såsom for eksempel: (i) EU's generelle databeskyttelsesforordning (forordning 2016/679) ("GDPR"); (ii) Federal Act on Data Protection of Switzerland ("FADP"); (iii) Lei Geral de Proteção de Dados of Brazil No. 13.709/2018 ("LGPD"); (iv) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Storbritanniens generelle databeskyttelsesforordning) ("UK GDPR").
c. "Dataansvarlig" betyder den enhed, som alene eller sammen med andre, fastsætter formålene med og metoden til Behandling af Personoplysninger.
d. "Registreret" betyder den person, som Personoplysningerne vedrører.
e. "ISO 27001-certificering" henviser til en bredt anerkendt international standard for forvaltning af informationssikkerhed. Den fastlægger kravene til etablering, implementering, vedligeholdelse og løbende forbedring af en organisations system til forvaltning af informationssikkerhed (ISMS). ISO 27001-certificering viser, at Databehandleren har implementeret en omfattende række sikkerhedskontroller og -foranstaltninger for at sikre fortroligheden, integriteten og tilgængeligheden af informationsaktiver og har gennemgået en uafhængig vurdering og revision foretaget af et certificeringsorgan med henblik på at verificere overholdelse af ISO 27001-standarden.
f. "Personoplysninger" betyder enhver oplysning om en identificeret eller identificerbar fysisk person; en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.
g. "Behandling" betyder enhver operation eller række af operationer – med eller uden brug af automatiseret databehandling – som Personoplysninger eller en samling af Personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt sletning eller tilintetgørelse.
h. "Databehandler" betyder en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler Personoplysninger på den Dataansvarliges vegne
i. "Underdatabehandler" betyder en Databehandler, der er antaget af Databehandleren, og som accepterer at modtage Personoplysninger fra Databehandleren udelukkende med henblik på Behandlingsaktiviteter, der skal udføres på vegne af den Dataansvarlige, efter at denne har godkendt en sådan underentreprise.
l. "Tekniske og organisatoriske foranstaltninger" betyder de foranstaltninger, der har til formål at beskytte Personoplysninger mod hændelig eller ulovlig tilintetgørelse eller hændeligt tab, ændring, uautoriseret videregivelse eller adgang og mod alle andre ulovlige former for behandling.
Alle ord med stort begyndelsesbogstav, der ikke er defineret heri, skal have den betydning, der er angivet i GDPR, FADP, LGPD, UK GDPR og enhver Gældende Databeskyttelseslovgivning.
Databehandleren accepterer kun at behandle Personoplysningerne efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel af Personoplysninger til et tredjeland eller en international organisation, medmindre andet er fastlagt i henhold til Gældende Databeskyttelseslovgivning, som Databehandleren er underlagt.
Databehandleren forpligter sig til at implementere passende tekniske og organisatoriske foranstaltninger, der giver et sikkerhedsniveau, der passer til den risiko, der er forbundet med Behandlingen og typen af de Personoplysninger, der skal beskyttes. Disse foranstaltninger skal bl.a. beskytte Personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysninger, der sendes, lagres eller på anden måde behandles.
Specifikke detaljer om disse foranstaltninger er beskrevet i Bilag I.
Databehandleren er forpligtet til at hjælpe den Dataansvarlige med at sikre overholdelse af de Registreredes rettigheder i henhold til Gældende Databeskyttelseslovgivning.
Den Dataansvarliges rettigheder i henhold til denne aftale, herunder, men ikke begrænset til, retten til berigtigelse, begrænsning og sletning eller returnering af data, kan udøves via ticketsystemet eller ved at kontakte Databehandleren pr. e-mail på info@iubenda.com.
Databehandleren vil sikre kvaliteten af sine databehandlingsaktiviteter og overholde sine forpligtelser i henhold til Gældende Databeskyttelseslovgivning. Databehandleren vil:
a. Dokumentere og implementere procedurer: Databehandleren vil føre en fortegnelse over alle kategorier af behandlingsaktiviteter, der udføres på vegne af den Dataansvarlige, som indeholder de oplysninger, der kræves i henhold til Gældende Databeskyttelseslovgivning.
b. Dataminimering: Databehandleren vil sikre, at Personoplysningerne er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.
c. Datanøjagtighed: Databehandleren vil tage ethvert rimeligt skridt til at sikre, at Personoplysninger, der er unøjagtige i forhold til de formål, hvortil de behandles, slettes eller berigtiges uden forsinkelse.
d. Datatilgængelighed, integritet og fortrolighed: Databehandleren behandler Personoplysninger på en måde, der sikrer passende beskyttelse af Personoplysningerne, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse, beskadigelse eller afbrydelse, ved hjælp af passende tekniske eller organisatoriske foranstaltninger.
e. Samarbejde med den Dataansvarlige: Databehandleren vil bistå den Dataansvarlige med at opfylde forpligtelserne vedrørende Personoplysningers sikkerhed, indberetning af brud på Persondatasikkerheden til tilsynsmyndigheden, meddelelse af brud på Persondatasikkerheden til den Registrerede, konsekvensanalyser vedrørende databeskyttelse og forudgående høring i forbindelse med højrisikoprocesser.
f. Fortrolighed blandt medarbejdere: Databehandleren vil sikre, at dennes medarbejdere, der er involveret i Behandlingen af Personoplysninger, er informeret om Personoplysningernes fortrolige karakter, har modtaget passende uddannelse i deres ansvar og er omfattet af forpligtelser vedrørende fortrolighed og begrænsninger vedrørende brug, for så vidt angår Personoplysningerne.
g. Svar til Registrerede: Hvis Databehandleren modtager en anmodning fra en Registreret vedrørende Personoplysninger i henhold til en Gældende Databeskyttelseslov, vil Databehandleren henvise den Registrerede til at sende anmodningen til den Dataansvarlige, og Databehandleren vil underrette den Dataansvarlige om anmodningen så hurtigt, det er praktisk muligt.
h. Konsekvensanalyse vedrørende databeskyttelse (DPIA): På den Dataansvarliges anmodning vil Databehandleren give den Dataansvarlige de nødvendige oplysninger til at udføre en DPIA som krævet i henhold til Gældende Databeskyttelseslovgivning.
Den Dataansvarlige anerkender og accepterer, at Databehandleren kan bruge Underdatabehandlere til at udføre behandlingsaktiviteter i henhold til denne Aftale. De Underdatabehandlere, der p.t. anvendes, anses hermed for at være accepteret af den Dataansvarlige.
En oversigt over Underbehandlere kan rekvireres ved brug af ticketsystemet eller e-mailadressen info@iubenda.com.
Databehandleren forpligter sig til på forhånd at underrette den Dataansvarlige om enhver planlagt udskiftning af Underdatabehandlere og til at indhente den Dataansvarliges godkendelse, før en sådan udskiftning foretages. Databehandleren skal under alle omstændigheder pålægge Underdatabehandlere de samme databeskyttelsesforpligtelser som dem, der er fastlagt i denne Aftale.
Databehandleren skal ved anmodning derom stille alle de oplysninger til rådighed for den Dataansvarlige, der er nødvendige for at dokumentere overholdelse af de forpligtelser, der er fastlagt i denne Aftale, og tillade og bidrage til revisioner, herunder inspektioner, der udføres af den Dataansvarlige eller en anden revisor, der er bemyndiget af den Dataansvarlige.
Inspektioner og revisioner skal aftales på forhånd med Databehandleren og foretages uden at forstyrre Databehandlerens sædvanlige forretningsaktiviteter. Databehandleren kan pålægge den Dataansvarlige at betale omkostningerne til sådanne revisioner eller inspektioner.
Databehandleren vil sørge for egnede procedurer og teknologier til at opdage, forhindre og reagere på brud på datasikkerheden.
I tilfælde af et brud på Persondatasikkerheden vil Databehandleren straks og uden unødig forsinkelse underrette den Dataansvarlige derom. Denne meddelelse vil indeholde:
Databehandleren dokumenterer alle brud på Persondatasikkerheden, herunder fakta vedrørende bruddet på Persondatasikkerheden, dets virkninger og de afhjælpende foranstaltninger, der er truffet. Databehandleren vil også bistå den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende databeskyttelseslovgivning vedrørende underretninger om sikkerhedsbrud til myndighederne og berørte personer.
Databehandleren vil ikke formidle oplysninger om bruddet på Persondatasikkerheden til nogen tredjepart eller til den berørte Registrerede uden forudgående skriftligt samtykke fra den Dataansvarlige, medmindre en sådan kommunikation er påkrævet i henhold til Gældende Databeskyttelseslovgivning. Databehandleren forstår og accepterer, at enhver undladelse af at hjælpe den Dataansvarlige som beskrevet i denne Artikel kan føre til sanktioner og bøder, som Databehandleren vil blive holdt ansvarlig for.
Denne Artikel berører ikke nogen rettigheder eller retsmidler, som den Dataansvarlige måtte have i henhold til denne Aftale eller Gældende Databeskyttelseslovgivning.
Når leveringen af tjenesterne er afsluttet, eller tidligere, hvis den Dataansvarlige beder om det, skal Databehandleren efter den Dataansvarliges skøn slette eller returnere alle personoplysninger, der er indsamlet og behandlet i henhold til denne aftale, medmindre Databehandleren er forpligtet til at opbevare sådanne personoplysninger i henhold til gældende lovbestemmelser.
Medmindre andet er anført af den Dataansvarlige, vil Databehandleren opbevare personoplysningerne i en periode på seks måneder efter kontraktens ophør og leveringen af tjenesterne, og alene med det formål at gøre det muligt for den Dataansvarlige at eksportere dem. Efter udløbet af denne seks måneders opbevaringsperiode skal Databehandleren slette alle personoplysninger.
Uanset ovenstående har Databehandleren ret til at gemme alle oplysninger, der er nødvendige for at påvise systematisk og overensstemmende behandling, i overensstemmelse med lovbestemte opbevaringsperioder, selv efter at leveringen af tjenesterne er afsluttet og kontrakten er ophørt.
I overensstemmelse med Databehandlerens UNI CEI EN ISO/IEC ISO 27001:2017-certificering er følgende centrale elementer implementeret som tekniske og organisatoriske foranstaltninger:
a. Informationssikkerhedspolitikker: Databehandleren har etableret og gennemgår regelmæssigt en informationssikkerhedspolitik, der giver retning og hjælp til informationssikkerhed i overensstemmelse med forretningsmæssige krav og relevante love og regler.
b. Organisering af informationssikkerhed: Databehandleren uddelegerer ansvar for specifikke opgaver for at sikre effektiv styring af informationssikkerhed.
c. Sikkerhed for menneskelige ressourcer: Databehandleren har implementeret sikkerhedspraksisser for medarbejdere og kontraktsparter i deres ansættelses- og projektperiode.
d. Forvaltning af aktiver: Databehandleren fører en fortegnelse over aktiver og har defineret passende beskyttelsesansvar.
e. Adgangskontrol: Databehandleren sikrer, at medarbejdere og kontraktsparter kun har adgang til de oplysninger og aktiver, der er forbundet med deres jobfunktion.
f. Kryptografi: Databehandleren bruger kryptering og nøgle til beskyttelse af oplysninger.
g. Fysisk og miljømæssig sikkerhed: Databehandleren sikrer kontorer, lokaler og faciliteter for at forhindre uautoriseret fysisk adgang, skade og forstyrrelse af Databehandlerens lokaler og oplysninger.
h. Driftssikkerhed: Databehandleren sikrer korrekt og sikker drift af informationsbehandlingsfaciliteter.
i. Kommunikationssikkerhed: Databehandleren implementerer netværk og informationsoverførsler på en sikker måde.
l. Anskaffelse, udvikling og vedligeholdelse af systemer: Databehandleren sikrer, at informationssikkerhed er en integreret del af systemerne i hele deres livscyklus.
m. Leverandørforhold: Databehandleren beskytter Databehandlerens aktiver, som er tilgængelige for leverandører.
n. Håndtering af hændelser: Databehandleren håndterer informationssikkerhedshændelser og varetager forbedringer.
o. Kontinuitetsstyring: Databehandleren sikrer kontinuiteten i informationssikkerhedsstyringen i tilfælde af driftsforstyrrelser.
p. Overholdelse: Databehandleren overholder juridiske bestemmelser, lovbestemmelser og kontraktkrav samt Databehandlerens politikker og procedurer.
q. Sikkerhed i skyen: Databehandleren har implementeret yderligere cloud-sikkerhedsforanstaltninger til beskyttelse af dataintegritet, tilgængelighed og fortrolighed. Disse foranstaltninger omfatter, men er ikke begrænset til, sikker dataoverførsel, sikre softwaregrænseflader, sikker datalagring, brugeridentitet og adgangsstyring samt infrastruktursikkerhed. Databehandleren gennemfører også regelmæssige sikkerhedsrevisioner af sit cloud-miljø for at identificere og håndtere potentielle sårbarheder.
Yderligere oplysninger om Databehandlerens ISO 27001-certificering, herunder en kopi af selve certifikatet, kan fås ved henvendelse via Databehandlerens ticketsystem eller via e-mail.