Mellem SuperOffice AS (“Databehandleren”) og Kunden (den “Dataansvarlige”)
Dette dokument er gældende fra 01.05.2023. Du kan se den tidligere version her.
Se en sammenligning mellem den gamle og den nye aftale med et overblik over ændringer her (Kun på engelsk)
1. Formål og definitioner
Denne Databehandleraftale regulerer Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige, når SuperOffice CRM Online Service (”Tjenesten”) stilles til rådighed som beskrevet i Hovedaftale vedrørende abonnement for SuperOffice CRM Online (“Aftalen”).
Denne Databehandleraftale regulerer Databehandlerens rettigheder og forpligtelser med henblik på at sikre, at al Behandling af Personoplysninger foregår i overensstemmelse med gældende datalovgivning.
Behandling af Personoplysninger (som defineret herunder) er underlagt krav og forpligtelser i henhold til gældende lovgivning. Når den Dataansvarlige er en juridisk enhed etableret i Det Europæiske Økonomiske Samarbejdsområde ("EØS"), vil relevant lovgivning om databeskyttelse omfatte dansk lovgivning om databeskyttelse og EU-forordning 2016/679 af 27. april 2016. Parterne er enige om at ændre nærværende Databehandleraftale i nødvendig udstrækning, hvis der kommer nye ufravigelige krav som følge af EU-forordning 2016/679 og den reviderede forordning om databeskyttelse inden for elektronisk kommunikation, som den implementeres i Danmark.
“Personoplysninger” skal forstås som enhver form for information om en identificeret eller identificerbar fysisk person som defineret i gældende lovgivning og EU-forordning 2016/679.
“Behandling” af Personoplysninger skal forstås som enhver form for brug, aktivitet eller række af aktiviteter - med eller uden brug af automatisk behandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, videregivelse, opbevaring, tilpasning eller ændring, formidling som defineret i gældende lovgivning og EU- forordning 2016/679.
“Tredjelande” skal forstås som lande uden for EU/EØS, som ikke er anerkendt som lande, der yder tilstrækkelig beskyttelse af Personoplysninger.
2. Den Dataansvarliges ansvar
For at kunne tilgå Tjenesten leverer den Dataansvarlige visse oplysninger til Databehandleren, herunder brugernes korrekte navn, kontaktdata og e-mailadresse. Samtidig tillader brugerne af denne Tjenesten Databehandleren at opbevare og udtrække data om adfærd via “cookies”, som er nødvendige for at få de login-/logout-procedurer, der anvendes i Tjenesten, til at fungere og for at sikre, at uberettigede personer ikke får adgang til Tjenesten.
Den Dataansvarlige bekræfter og accepterer, at de Personoplysninger, som den Dataansvarlige lægger ind i Tjenesten, som f.eks. Personoplysninger, der refererer til den Dataansvarliges egne kunder, kan overlades til tredjemand (underleverandør), der er hjemmehørende i Det Europæiske Økonomiske Samarbejdsområde (EØS) og vil hoste denne Tjeneste, herunder vil stille al hardware, infrastruktur, dataopbevaring og alle kommunikationslinjer til rådighed. Tredjemands forpligtelser i forbindelse med Personoplysninger fastlægges i en separat aftale om databehandling mellem Databehandleren og tredjemand inden for rammerne af nærværende Databehandleraftale. Alle data i Tjenesten opbevares på servere, der er placeret i Europa.
Den Dataansvarlige bekræfter, at den Dataansvarlige:
- har tilstrækkelig retsgrundlag til Behandling af Personoplysninger
- har ret til at bruge Databehandleren til Behandling af Personoplysninger
- har ansvaret for korrektheden, integriteten, indholdet, pålideligheden og lovligheden af Personoplysningerne
- overholder gældende lovgivning om underretning til og tilladelser fra de relevante tilsynsmyndigheder
- har underrettet den registrerede i henhold til gældende lovgivning
Den Dataansvarlige skal:
- svare på forespørgsler fra registrerede vedrørende Behandling af Personoplysninger i henhold til nærværende Databehandleraftale
- vurdere nødvendigheden af specielle forholdsregler som anført i punkt 3.3.2.og punkt 3.3.4 i nærværende Databehandleraftale og anmode Databehandleren om at indføre sådanne forholdsregler
Den Dataansvarlige skal gennemføre tilstrækkelige tekniske og organisatoriske foranstaltninger til at sikre og bevise overensstemmelse med EU-forordning 2016/679 fra den dato, hvor den træder i kraft i Denmark.
Den Dataansvarlige har pligt til at underrette de relevante tilsynsmyndigheder og, om nødvendigt, de registrerede om brud på persondatasikkerheden uden unødigt ophold i henhold til gældende lovgivning.
3. Databehandlerens ansvar
3.1 Overholdelse
Databehandleren overholder alle bestemmelser om beskyttelse af Personoplysninger som beskrevet i nærværende Databehandleraftale og i gældende lovgivning om databeskyttelse, der er relevant for Behandling af Personoplysninger. Databehandler yder den Dataansvarlige assistance til at sikre og dokumentere, at Databehandleren overholder kravene i gældende lovgivning om databeskyttelse.
Databehandleren overholder den Dataansvarliges instrukser og rutiner vedrørende Behandling af Personoplysninger.
3.2 Begrænsninger i anvendelse
Databehandleren behandler kun Personoplysninger i henhold til og i overensstemmelse med instrukser fra den Dataansvarlige. Uden først at have indgået skriftlig aftale med eller have modtaget skriftlig instruktion fra den Dataansvarlige behandler Databehandleren ikke Personoplysninger ud over, hvad der er nødvendigt for at opfylde forpligtelserne over for den Dataansvarlige i henhold til Aftalen, medmindre Databehandleren er forpligtet hertil efter EU-retten eller lovgivningen i en medlemsstat, som Databehandleren er underlagt. I givet fald skal Databehandleren underrette den Dataansvarlige om denne juridiske forpligtelse, forinden behandlingen påbegyndes, medmindre pågældende lovgivning på baggrund af vigtige samfundsinteresser forbyder en sådan underretning.
3.3 Informationssikkerhed
3.3.1 Forpligtelse til at sikre informationssikkerhed
Databehandleren sikrer ved anvendelse af planlagte, systematiske, organisatoriske og tekniske foranstaltninger tilstrækkelig informationssikkerhed i relation til fortrolighed, integritet og tilgængelighed i forbindelse med Behandling af Personoplysninger i overensstemmelse med bestemmelserne om informationssikkerhed i gældende lovgivning om databeskyttelse.
Foranstaltninger og dokumentation af intern kontrol skal stilles til rådighed, når den Dataansvarlige anmoder om det.
3.3.2 Analyse af foranstaltninger
Når det skal besluttes, hvilke tekniske og organisatoriske foranstaltninger der skal indføres, lægger Databehandleren sammen med den Dataansvarlige følgende til grund:
- aktuelt teknisk niveau
- implementeringsomkostninger
- behandlingens karakter og omfang
- behandlingens sammenhæng og formål
- risiciene ved behandlingen af Personoplysninger for fysiske personers rettigheder og frihedsrettigheder
Databehandleren skal i samråd med den Dataansvarlige overveje:
- gennemførelse af pseudonymisering og kryptering af Personoplysninger
- evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
- evnen til rettidigt at genoprette tilgængeligheden af og adgangen til Personoplysninger i tilfælde af en fysisk eller teknisk hændelse
- en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til at sikre sikker Behandling
3.3.3 Anmodninger fra registrerede
Under hensyntagen til behandlingens karakter indfører Databehandleren passende tekniske og organisatoriske foranstaltninger til at bistå med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger vedrørende udøvelse af de registreredes rettigheder.
3.3.4 Bistand til den Dataansvarlige
Databehandleren bistår den Dataansvarlige med at sikre overholdelse af forpligtelserne i gældende lovgivning, herunder bistår den Dataansvarlige med:
- at iværksætte tekniske og organisatoriske foranstaltninger som nævnt ovenfor
- at overholde forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheder og de registrerede
- at gennemføre konsekvensanalyser vedrørende datasikkerhed
- at gennemføre forudgående høring af tilsynsmyndighederne, når en konsekvensanalyse af datasikkerheden gør det nødvendigt
- omgående at underrette den Dataansvarlige, hvis en instruks fra den Dataansvarlige efter Databehandlerens mening er i strid med databeskyttelsesbestemmelserne
Ovenstående bistand skal i nødvendigt omfang under hensyntagen til den Dataansvarliges behov, behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren.
Databehandleren stiller desuden alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i nærværende Databehandleraftale til rådighed for den Dataansvarlige.
3.3.5 Betaling
Bistand fra Databehandleren som beskrevet i nærværende Databehandleraftale samt bistand i forhold til specielle rutiner eller instrukser, der er indført af den Dataansvarlige, betales af den Dataansvarlige i overensstemmelse med Databehandlerens generelle betingelser og priser.
3.4 Afvigelser og anmeldelse af brud på datasikkerheden
Anvendelse af informationssystemerne og Personoplysninger, der ikke afviger fra oprettede rutiner, instrukser fra den Dataansvarlige eller gældende lovgivning om databeskyttelse, samt overtrædelse af sikkerhedsbestemmelser betragtes som en afvigelse.
Databehandleren skal have rutiner og systematiske processer for at følge op på afvigelser, og disse skal omfatte genoprettelse af normale tilstande og eliminering af årsagen til afvigelsen samt forhindre gentagelse.
Databehandleren informerer straks den Dataansvarlige om misligholdelse af nærværende Databehandleraftale og informerer den Dataansvarlige om hændelig, ulovlig eller uautoriseret adgang til Personoplysninger, om at Personoplysningerne er kompromitteret eller datasikkerheden ikke er blevet overholdt. Databehandleren bistår den Dataansvarlige med alle de oplysninger, der er nødvendige for at sætte den Dataansvarlige i stand til at overholde gældende lovgivning om datasikkerhed og besvare forespørgsler fra tilsynsmyndigheder. Det er den Dataansvarliges ansvar at underrette den relevante tilsynsmyndighed om brud på gældende lovgivning.
3.5 Fortrolighed
Databehandleren skal sørge for, at alle Personoplysninger og andre fortrolige oplysning holdes fortrolige. Databehandleren sikrer, at alt Databehandlerens personale (ansatte såvel som freelance-ansatte), der har adgang til eller er beskæftigede med Behandling af Personoplysninger i henhold til MSA (i) har forpligtet sig til fortrolighed og (ii) er oplyst om og overholder forpligtelserne i nærværende Databehandleraftale. Fortrolighedsforpligtelsen er også gældende efter ophøret af MSA eller af nærværende Databehandleraftale.
3.6 Sikkerhedsrevision
Databehandleren skal regelmæssigt udføre sikkerhedsrevisioner for systemer og lignende, der er relevante for Behandlingen af Personoplysninger, som er omfattet af nærværende Databehandleraftale. Rapporter, der dokumenterer sikkerhedsrevisionerne, stilles til rådighed for den Dataansvarlige.
Den Dataansvarlige har ret til at kræve, at der udføres sikkerhedsrevisioner af en uafhængig tredjemand valgt af Databehandleren. Tredjemand udfærdiger en rapport, der kan afleveres til den Dataansvarlige på anmodning. Den Dataansvarlige accepterer, at Databehandleren kan kræve betaling for revisionens udførelse.
3.7 Anvendelse af underleverandører (under-databehandlere)
Databehandleren har ret til at anvende underleverandører, og den Dataansvarlige accepterer, at der anvendes underleverandører. En oversigt over allerede godkendte underleverandører kan findes i SuperOffice Trust Center. Databehandleren sikrer ved indgåelse af skriftlige aftaler med alle underleverandører, at enhver Behandling af Personoplysninger udført af underleverandører er underlagt samme forpligtelser og begrænsninger som dem, der er gældende for Databehandleren i henhold til nærværende Databehandleraftale. Hvis en underleverandør ikke opfylder sine forpligtelser og begrænsninger, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underleverandørens forpligtelser og begrænsninger.
Hvis Databehandleren ønsker at udskifte underleverandører eller anvende en ny underleverandør, meddeler Databehandleren den Dataansvarlige dette fire måneder, før den nye underleverandør begynder Behandling, og den Dataansvarlige kan inden for en måned fra meddelelsen gøre indsigelse mod udskiftningen af underleverandører. Hvis den Dataansvarlige gør indsigelse mod ændringen, kan den Dataansvarlige opsige Aftalen med tre måneders varsel. Hvis den Dataansvarlige ikke opsiger Aftalen, anses ændringen af underleverandører for godkendt.
3.8 Overførsel af Personoplysninger til Tredjelande
Hvis Databehandleren anvender underleverandører uden for EU/EØS til at behandle Personoplysninger, udføres denne Behandling i overensstemmelse med EU’s standardkontraktbestemmelser for overførsel til tredjelande eller andet specifikt angivet lovmæssigt grundlag for overførslen af Personoplysninger til Tredjelande. For at undgå tvivl gælder dette også, hvis data opbevares i EU/EØS, men kan tilgås fra steder uden for EU/EØS.
Hvis den Dataansvarlige godkender en sådan overførsel af Personoplysninger, er Databehandleren forpligtet til at samarbejde med den Dataansvarlige for at sikre, at overførslen udføres i overensstemmelse hermed. Hvis grundlaget for overførslen er EU Standard contractual clauses (“SCC”) for Databehandlere, bemyndiger den Dataansvarlige hermed Databehandleren til at indgå sådanne SCCs med underdatabehandleren på vegne af den Dataansvarlige.
4. Ansvar, misligholdelse
I tilfælde af misligholdelse af nærværende Databehandleraftale eller af forpligtelser i henhold til gældende lovgivning om Behandling af Personoplysninger, skal de relevante bestemmelser om misligholdelse i Aftalen gælde.
Krav fra en part, der er baseret på den anden parts misligholdelse af Databehandleraftalen, er underlagt de samme begrænsninger som i Aftalen. Når det vurderes, om grænsen i Aftalen er nået, betragtes krav i henhold til nærværende Databehandleraftale og Aftalen samlet, og begrænsningerne i Aftalen betragtes som en samlet begrænsning af ansvaret.
Databehandleren meddeler uden ugrundet ophold den Dataansvarlige, hvis Databehandleren ikke er eller forventer ikke at være i stand til overholde sine forpligtelser i henhold til nærværende Databehandleraftale.
5. Løbetid og ophør af Databehandleraftalen, ændringer
Denne Databehandleraftale træder i kraft på den dag, den underskrives af begge parter, og er gældende, indtil Databehandlerens forpligtelser om at udføre tjenesterne i overensstemmelse med Aftalen ophører, dog undtaget de bestemmelser i Aftalen og Databehandleraftalen, der fortsat vil være gældende efter opsigelsen.
Når nærværende Databehandleraftale ophører, returneres Personoplysningerne/data i et standardformat og på et standardmedie med instrukser, der er nødvendige for at lette den Dataansvarliges anvendelse af Personoplysningerne/data fremover. Databehandleren returnerer først og sletter dernæst alle Personoplysninger og andre data. Databehandleren (og underleverandører) ophører omgående med at behandle Personoplysninger fra den dato, der er angivet af den Dataansvarlige.
Som et alternativ til at returnere Personoplysningerne (eller andre data) kan den Dataansvarlige efter eget skøn skriftligt meddele Databehandleren, at alle eller dele af Personoplysningerne (eller andre data) skal slettes af Databehandleren, medmindre Databehandleren i henhold til ufravigelig lovgivning ikke må slette Personoplysningerne.
Databehandler har ikke ret til at beholde en kopi af data, der er leveret af den Dataansvarlige i henhold til Aftalen eller nærværende Databehandleraftale i noget format, og al fysisk eller logisk adgang til sådanne Personoplysninger eller andre data skal slettes.
Databehandleren afgiver til den Dataansvarlige en skriftlig erklæring, i hvilken Databehandleren garanterer, at alle ovenstående Personoplysninger og andre data er blevet returneret eller slettet i henhold til den Dataansvarliges instrukser, og at Databehandleren ikke har beholdt en kopi eller udskrift og heller ikke opbevarer data på et medie.
De forpligtelser, der nævnes i punkt 3.5 og punkt 4 er stadig gældende efter ophør. Samtidig er bestemmelserne i Databehandleraftalen fuldt ud gældende for Personoplysninger, der beholdes af Databehandleren i strid med punkt 5.
Parterne ændrer nærværende Databehandleraftale i henhold til relevante ændringer i gældende lovgivning.
6. Tvister og værneting
Nærværende Databehandleraftale er underlagt de love, der gælder for den SuperOffice-enhed, som Kunden indgår en aftale med:
Hvis kunden bor i: | Kunden indgår aftale med: | Meddelelse sendes til: | Lovvalg: | Værneting er: |
Danmark | SuperOffice Danmark A/S | Islands Brygge 41, 3.sal, 2300 København, Danmark | Dansk | København, Damark |
Finland og Sverige | SuperOffice Sweden AB | Sveavägen 159, 113 46 Stockholm, Sverige | Svensk | Stockholm, Sverige |
Norge | SuperOffice Norge AS | Wergelandsveien 27, 0167 Oslo, Norge | Norsk | Oslo, Norge |
Tyskland | SuperOffice GmbH | Phoenixseestrasse 17, 44263 Dortmund, Tyskland | Tysk | Dortmund, Tyskland |
Storbritannien og Irland | SuperOffice Norge AS | Wergelandsveien 27, 0167 Oslo, Norge | Engelsk | Milton Keynes, Storbritannien |
Schweiz | SuperOffice AG | Uferstrasse 90, 4057 Basel, Schweiz | Schweizisk | Basel, Schweiz |
Holland, Belgien og Luxembourg | SuperOffice Benelux B.V. | Emmasingel 29.41, 5611 AZ, Holland | Hollandsk | Oost-Brabant, locatie Eindhoven, Holland |
Det lovvalg, der er angivet i ovenstående skema, udgør ikke og er ikke påtænkt at skulle udgøre undtagelser fra reglerne om territorialt anvendelsesområde i artikel 3 af GDPR eller anden gældende lovgivning.
Liste over allerede godkendte underleverandører
I henhold til punkt 3.7 i denne aftale vil SuperOffice vedligeholde en liste over allerede godkendte underleverandører. Listen kan findes i SuperOffice Sikkerhedscenter