Databehandleraftalen

Sidst opdateret september 2018

Dette indhold fastlægger databehandlerens behandling af personoplysninger oplysninger på vegne af den Dataansvarlige Databehandlingsaftalen fastsætter de vilkår, der skal gælde for Databehandlerens behandling af Personoplysninger.

Når der oprettes en konto på Plango.dk accepteres nedenstående databehandleraftale mellem leverandøren (den Databehandleren) og kontoejeren (Dataansvarlige). Hver for sig kaldet en "Part" og samlet "Parterne".

Plango forbeholder sig retten til at ændre og opdatere nedenstående uden varsel.

1. Formål

1.1 Den Dataansvarlige har accepteret at udpege Databehandleren til at levere software og serviceydelser til den Dataansvarlige i henhold til aftalevilkårene.

1.2 Som en del af leveringen af software og serviceydelser skal Databehandleren behandle personoplysninger, som fremgår af Bilag A, på vegne af den Dataansvarlige.

1.3 Den Dataansvarlige er berettiget til at slette og/eller tilføje yderligere typer af personoplysninger og/eller datasubjekter til ovenstående liste (Bilag A) ved fremsendelse af en ny liste over personoplysninger og/eller datasubjekter til Databehandleren.

2. Databehandlerens forpligtelser

2.1 Databehandleren og personer, der arbejder for Databehandleren, må alene behandle de af den Dataansvarlige overførte personoplysninger i overensstemmelse med den Dataansvarliges dokumenterede instrukser og er i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning. Dette gælder blandt andet i forbindelse med overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. Hvis en sådan overførsel er påkrævet, underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

2.2 Databehandleren skal omgående underrette den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med EU’s Forordning 2016/679 om Generel Databeskyttelse (”GDPR”), eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

2.3 Databehandleren skal bistå med at sikre overholdelsen af forpligtelserne i medfør af artikel 32-36 i GDPR under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren.

2.4 Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder sådanne yderligere foranstaltninger, som måtte være nødvendige, mod at de i pkt. 1.2, anførte personlysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med databeskyttelseslovgivningen. Databehandleren er således blandt andet forpligtet til at

  • I. hvor muligt, pseudonymisere og kryptere personoplysninger;
  • II. sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester;
  • III. rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse;
  • IV. indføre log-in- og adgangskodeprocedurer samt opsætte og vedligeholde en firewall og antivirus-software;
  • V. sikre, at alene medarbejdere med arbejdsrelaterede formål hertil har adgang til personoplysningerne;
  • VI. sikre, at de medarbejdere, der er involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt lovbestemt tavshedspligt;
  • VII. opbevare datalagermedier på forsvarlig vis, således at disse ikke er tilgængelige for tredjemand;
  • VIII. sikre, at bygninger og systemer, der anvendes i forbindelse med databehandlingen, er sikre, samt at der alene anvendes hardware og software af høj kvalitet, som opdateres løbende;
  • IX. sikre, at prøver og affaldsmateriale tilintetgøres i overensstemmelse med kravene til databeskyttelse efter nærmere instrukser fra den Dataansvarlige. I særlige tilfælde, som afgøres af den Dataansvarlige, skal nævnte prøver og affaldsmateriale opbevares eller returneres;
  • X. sikre, at medarbejdere modtager passende uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne. Databehandleren er forpligtet til at sikre, at de medarbejdere, som er involveret i behandlingen af personoplysningerne, er bekendte med sikkerhedskravene;
  • XI. sikre, at procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed er på plads.

2.5 Databehandleren er forpligtet til straks at give den Dataansvarlige meddelelse om driftsforstyrrelser, mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Ved sikkerhedsbrud skal Databehandleren underrette den Dataansvarlige straks og senest 6 timer efter opdagelse af sikkerhedsbruddet. Databehandleren skal efter anmodning fra den Dataansvarlige bistå den Dataansvarlige i forhold til afklaring af sikkerhedsbruddet, herunder i forbindelse med eventuel anmeldelse til Datatilsynet og/eller datasubjekter. Meddelelsen skal som minimum indeholde;

  • I. Beskrivelse af karakteren af bruddet;
  • II. Antal og kategorier af berørte personer;
  • III. Information om kontaktperson;
  • IV. Beskrivelse af de sandsynlige og de faktiske konsekvenser;
  • V. En oversigt over hvilke tiltag Databehandleren påtænker og planlægger at iværksætte for at rette op på forholdet;
  • VI. En oversigt over, hvilke tiltag Databehandleren har iværksat.

2.6 Databehandleren skal assistere den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, i det omfang dette er muligt, til opfyldelse af den Dataansvarliges pligt til at svare på anmodninger om udøvelse af den Registreredes ikke-eksklusive rettigheder til adgang, korrektion, sletning og dataportabilitet, som disse er anført i Databeskyttelseslovgivningen.

2.7 Den Dataansvarlige fortolker og udvider løbende kravene til databeskyttelse, herunder sikkerhedsforanstaltninger, fastsat i gældende lovgivning, retspraksis, retningslinjer fra kompetente myndigheder og lignende. Databehandleren forpligter sig til at følge yderligere instrukser, som måtte følge heraf uden yderligere vederlag.

3. Den dataansvarliges forpligtelser

3.1 Den Dataansvarlige er alene ansvarlig for sin overholdelse af gældende lov som Dataansvarlig. Den Dataansvarlige sikrer, før anvendelse af softwaren og modtagelse af tjenester i henhold til Aftalen på en måde, der omfatter behandling af personoplysninger, om at man overholder al Databeskyttelseslovgivning, f.eks. vedrørende levering af krævede oplysninger/meddeleser til/eller godkendelser fra registrerede og/eller tilsynsmyndigheder i forbindelse med behandlingen.

3.2 Den Dataansvarlige skal straks meddele Databehandleren, hvis man bliver klar over, at behandlingen af den Dataansvarliges Personoplysninger kan være i strid med Databeskyttelseslovgivning.

3.3 Den Dataansvarlige garanterer, at Databehandlerens strenge overholdelse af instrukser fra den Dataansvarlige hvad angår behandling af personoplysninger, ikke medfører en overtrædelse af gældende Databeskyttelseslovgivning.

3.4 Den Dataansvarlige skadesløsholder Databehandleren for eventuelle tab som følge af den Dataansvarliges undladelse af at overholde sine forpligtelser i henhold til aftalen.

4. Overførelser til tredje lande eller tredjeparter

4.1 Databehandleren må kun behandle personoplysninger i lande uden for EØS under forudsætning af dokumenterede instrukser fra den Dataansvarlige som anført i Bilag A.

4.2 Hvis Databehandleren har til hensigt at behandle Personoplysninger i et andet tredjeland, skal Databehandleren informere den Dataansvarlige om denne tilsigtede overførsel forud, hvilket giver den Dataansvarlige mulighed for at gøre indsigelser.

5. Fortrolighed

5.1 Databehandleren anerkender, at de personer, der er bemyndige til at behandle Personoplysninger, er forpligtet til fortrolighed, herunder alle oplysninger i forbindelse med Aftalen og Parternes virksomhed.

5.2 Bestemmelserne om fortrolighed gælder stadig efter opsigelse af denne Databehandleraftale.

6. Skadesløsholdelse

6.1 Databehandleren skal skadesløsholde den Dataansvarlige for enhver form for sagsanlæg, krav, omkostninger (herunder rimelige udgifter til advokatbistand), tab, ansvar, bøder, udgifter eller skader, som er en følge af misligholdelse af denne Aftale, herunder ved manglende overholdelse af gældende databeskyttelseslovgivning.

7. Ikrafttrædelse og ophør

7.1 Aftalen træder i kraft når Kunden opretter en konto hos Plango.

7.2 I tilfælde af opsigelse Aftalen mellem den Dataansvarlige og Databehandleren, samt dertilhørende tillæg, skal denne Aftale også ophøre. Databehandleren er dog forpligtet af denne Aftale, så længe denne behandler personoplysninger på vegne af den Dataansvarlige.

7.3 I tilfælde af Aftalens ophør, er den Dataansvarlige berettiget til at forlange, at personoplysningerne tilbageleveres på et af den Dataansvarlige valgt medie, eller at de slettes, medmindre ufravigelig lovgivning foreskriver opbevaring af personoplysningerne.

7.4 Opstår der efter ophør af Aftalen tvivl om, hvorvidt Databehandleren har slettet alle personoplysninger, kan den Dataansvarlige anmode Databehandleren om, for egen regning, at indhente en uafhængig revisionserklæring, der påviser, hvorvidt personoplysningerne er effektivt slettet.

7.5 Efter ophør af Aftalen, skal Databehandleren straks efter anmodning fremskaffe dokumentation, underretninger, etc. til den Dataansvarlige i det omfang, det er nødvendigt for den Dataansvarliges overholdelse af kontraktmæssige og lovgivningsmæssige forpligtelser.

7.6 Med respekt for punkt 8.2, vil Plango opbevare et udpluk af den Dataansvarliges data. Her er der tale om den Dataansvarliges virksomhedsnavn, CVR. nummer, antal registrerede licenser, kontaktperson, kontaktoplysninger. Disse data vil benyttes til statistisk og strategisk arbejde, og evt. Udarbejdelse af målgrupper/arketyper til markedsføring.

8. Lovvalg og værneting

9.1 Denne Aftale reguleres af dansk ret.

8.2 Ethvert krav og enhver tvist, der udspringer eller på anden måde er forbundet med denne Aftale, skal afgøres ved Sø- og Handelsretten i København eller alternativt ved Københavns Byret, såfremt Sø- og Handelsretten ikke har jurisdiktion i medfør af retsplejelovens § 225.

Bilag A

1. Kategorier af registrerede (datasubjekter):

  • I. Medarbejdere
  • II. Potentielle medarbejdere
  • III. Tidligere medarbejdere

2. Kategorier af personoplysninger.

Beskrivelse af typerne af personoplysninger for hver kategori registrerede.

Fulde navn og initialer, adresse, land, sprog, e-mailadresse, telefonnummer, bankoplysninger, fødselsdato, stilling, lønoplysninger, foto, oplysninger om medarbejderens lønseddel.