DATABEHANDLERAFTALE


 

DATABEHANDLERAFTALE

 

MELLEM

 

 

OG

 

Nerd 911 ApS

Kronprinsessegade 44, kld.

1306 København K

CVR-nr. 29622345

1. PARTERNE

 

Der indgås hermed følgende databehandleraftale, som hver for sig benævnes som

“Part” og samlet som “Parter” mellem:

 

1.1 , med registreret adresse , ,

(“Kunden”), og

1.2  Nerd 911 ApS, med registreret adresse Kronprinsessegade 44, kld., 1306 København K,

CVR-nr. 29622345  (“Leverandøren”),


2. AFTALENS OMFANG


2.1 Leverandøren er databehandler for Kunden, idet Leverandøren leverer drift, vedligeholdelse og support af IT-infrastruktur for Kunden.

2.2 Under Aftalen, kan Leverandørens databehandling på vegne af Kunden indeholde
almindelige personoplysninger, følsomme personoplysninger samt oplysninger om
CPR-numre.

2.3 Aftalen regulerer alene den behandling af personoplysninger, som Leverandøren foretager for Kunden.

2.4 Ved “personoplysning” forstås oplysninger omfattet af Databeskyttelsesforordningens artikel 6. Ved “følsom personoplysning” forstås forstås oplysninger omfattet af Databeskyttelsesforordningens artikel 9.

3. BEHANDLING AF PERSONOPLYSNINGER


3.1 Leverandøren behandler alene personoplysninger efter instruks fra Kunden.

3.2 Instruks: Leverandøren er instrueret i alene at behandle personoplysningerne med det formål at varetage drift, vedligeholdelse og support af IT-infrastruktur. Leverandøren må ikke behandle eller anvende personoplysningerne til andre formål end angivet instruksen.

3.3 Hvis Leverandøren skønner, at en instruktion fra Kunden er i strid med Persondataforordningen, databeskyttelseslovgivningen i anden EU-ret eller lovgivningen i en medlemsstat, skal Leverandøren skriftligt orientere Kunden herom.

3.4 Kunden garanterer over for Leverandøren for, at denne har fornøden ret til at behandle personoplysninger omfattet af Aftalen og til at lade Leverandøren behandle disse personoplysninger på vegne af sig.

4. KRAV TIL LEVERANDØREN


4.1 Leverandøren skal behandle personoplysninger i overensstemmelse med gældende
dansk persondatalovgivning.

4.2 Leverandøren skal sikre, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

4.3 Leverandøren skal gennemføre de passende tekniske og organisatoriske
sikkerhedsforanstaltninger mod, at de behandlede personoplysninger

(i) hændeligt eller ulovligt tilintetgøres, fortabes eller  ændres,

(ii) videregives eller gøres tilgængelige uden autorisation, eller

(iii) i øvrigt behandles i strid med lovgivningen, herunder Persondataforordningen.

4.4 Leverandøren skal endvidere overholde de lovgivningsmæssige krav til sikkerhedsforanstaltninger, som direkte forpligter Leverandøren.

4.5 Fastsættelsen af de passende tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under hensyntagen til 

(i) det aktuelle tekniske niveau

(ii) omkostningerne ved implementeringen, samt

(iii) behandlingens karakter, omfang, sammenhæng og formål samt risiciene af
varierende sandsynlighed og alvor for fysiske personers rettigheder og
frihedsrettigheder.

4.6 Leverandøren skal på Kundens anmodning give Kunden alle nødvendige oplysninger til, at denne kan påse, at Leverandørens forpligtelser i henhold til Aftalen overholdes, herunder at de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.

4.7 Kunden har ret til for egen regning at udpege en uafhængig ekspert, som skal have adgang til de dele af Leverandørens fysiske faciliteter, hvor behandling af personoplysninger finder sted, samt modtage de nødvendige informationer til udførelsen af undersøgelsen af, hvorvidt Leverandøren har gennemført de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger. Kundens uafhængige ekspert kan ikke opnå adgang til oplysninger om Leverandørens generelle omkostningsstruktur eller til oplysninger, der vedrører andre af Leverandørens kunder. Eksperten skal på Leverandørens anmodning underskrive en sædvanlig fortrolighedserklæring og skal under alle omstændigheder behandle enhver information indhentet hos eller modtaget fra Leverandøren fortroligt, og må alene dele informationen med Kunden. Kunden må ikke viderebringe informationen eller benytte informationen til andre formål end at vurdere hvorvidt Leverandøren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.

4.8 Leverandøren skal uden unødig forsinkelse efter at være blevet opmærksom herpå, skriftligt orientere Kunden om enhver mistanke om, eller konstatering af, (a) brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet af Leverandøren i henhold til Aftalen, eller (b) enhver anden manglende overholdelse af Leverandørens forpligtelser efter punkt 4.3 og 4.4.

4.9 Leverandøren skal assistere Kunden med håndteringen af enhver anmodning fra en registreret i henhold til kapitel III i Persondataforordningen, herunder anmodning  om indsigt, berigtigelse, blokering eller sletning.

4.10 Leverandøren skal assistere Kunden med at sikre overholdelse af Kundens forpligtelser i medfør af artikel 32-36 i Persondataforordningen, samt øvrige forpligtelser, der måtte påhvile Kunden efter EU-retten eller lovgivningen i en medlemsstat, hvor Leverandørens assistance er forudsat, dog alene i det omfang Leverandørens assistance er nødvendig for, at Kunden kan overholde sine forpligtelser. Dette omfatter blandt andet, på anmodning at give Kunden alle nødvendige oplysninger om en hændelse omfattet af punkt 4.8, samt alle nødvendige oplysninger til brug for en konsekvensanalyse i medfør af artikel 35-36 i Persondataforordningen i det omfang, Leverandøren har adgang til sådan information.

4.12 I Appendiks 1 har Leverandøren oplyst den fysiske placering af servere, såfremt disse anvendes i udførelsen af databehandlingen. Leverandøren forpligter sig til at give skriftligt varsel til Kunden forud for ændringer af den fysiske placering. Dette
kræver ikke en formel ændring af Appendiks 1, forudgående skriftlig meddelelse er tilstrækkelig. 

4.13 Kunden honorerer Leverandøren særskilt og efter medgået tid og materiale for at håndtere forespørgsler og opgaver i henhold til Aftalens pkt. 4.6, 4.7, 4.9, 4.10, 8.4 og 8.5. Honoreringen fastsættes efter Leverandørens til enhver tid gældende priser.


5. UNDERDATABEHANDLERE


5.1 Leverandøren må gøre brug af underdatabehandlere. På tidspunktet for indgåelsen af Aftalen anvender Leverandøren de i Appendiks 2 anførte underdatabehandlere. Leverandøren skal skriftligt underrette Kunden om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underdatabehandlere senest 2 måneder inden ændringen træder i kraft, hvorefter Kunden inden 2 uger fra afgivelsen af meddelelsen om ændringen uden begrundelse kan nægte brugen af den nye underdatabehandler, i hvilket tilfælde Leverandøren er berettiget til at opsige alle aftaler med Kunden, i henhold til hvilke Leverandøren behandler personoplysninger for Kunden, med 1 måneds varsel. Ved ophør af brugen af en underdatabehandler, skal Leverandøren give Kunden skriftlig meddelelse herom.

5.2 Leverandøren skal forinden brug af en underdatabehandler indgå en aftale med underdatabehandleren, hvori underdatabehandleren som minimum pålægges pligten til at gennemføre passende tekniske og organisatoriske foranstaltninger til sikring af, at behandlingen opfylder kravene i Persondataforordningen.

5.3 Kunden har ret til at få udleveret en kopi af de dele af Leverandørens aftale med en underdatabehandler, som vedrører databeskyttelsesforpligtelser, som er obligatoriske i henhold til punkt 5.2. Leverandøren hæfter over for Kunden for underdatabehandlerens opfyldelse af sine databeskyttelsesforpligtelser. Det forhold, at Kunden har meddelt samtykke til Leverandørens aftaleindgåelse med en underdatabehandler er uden præjudice for Leverandørens pligt til at efterleve Aftalen.

6. FORTROLIGHED


6.1 Leverandøren skal holde personoplysningerne fortrolige.

6.2 Leverandøren må ikke formidle personoplysningerne til tredjemand eller tage kopi af personoplysningerne, medmindre dette er nødvendigt til varetagelse af Leverandørens forpligtelser over for Kunden, forudsat at den, til hvem personoplysningerne overlades, er bekendt med oplysningernes fortrolige karakter og har indvilget i at holde personoplysningerne fortrolige i overensstemmelse med Aftalen, eller dette følger af en lovbestemt pligt for Leverandøren.

6.3 Leverandøren skal begrænse adgangen til personoplysningerne til de medarbejdere, for hvem det er nødvendigt at have adgang til personoplysninger for at kunne opfylde Leverandørens forpligtelser over for Kunden.

6.4 Leverandørens forpligtelser efter nærværende punkt 6 består uden tidsbegrænsning, og uanset om Parternes samarbejde i øvrigt måtte være ophørt.

6.5 Kunden skal behandle fortrolige oplysninger, som modtages fra Leverandøren, fortroligt, og må ikke uberettiget udnytte eller videregive de fortrolige oplysninger.


7 ÆNDRINGER


Såfremt Aftalens indhold er utilstrækkeligt til at opfylde de på et givet tidspunkt i henhold til persondatalovgivningen gældende krav til indholdet af databehandleraftaler, skal Parterne på anmodning fra en af Parterne gennemføre forhandlinger om tilpasning af Aftalen, med henblik på at dens indhold bringes i overensstemmelse med sådanne krav. Hvis der ved sådan ændring af Aftalen sker ændring af Leverandørens forpligtelser på en måde, så det bliver mere omkostningsfuldt for Leverandøren at efterleve Aftalen, er Leverandøren i forbindelse med tilpasningen af ydelser leveret i henhold til Aftalen berettiget til at kræve, at Leverandørens vederlæggelse for ydelserne forhøjes, således at Leverandørens forøgede omkostninger dækkes.



8 VARIGHED OG OPHØR AF AFTALEN


8.1 Aftalen træder i kraft på datoen for den seneste af Parternes underskrifter.


8.2 Aftalen har samme varighed som Parternes aftale om IT-drift.


8.3 Uanset Aftalens formelle aftaleperiode skal Aftalen vedblive at gælde, så længe Leverandøren behandler personoplysninger for Kunden, som Kunden er dataansvarlig for, dog alene for de personoplysninger som til enhver tid behandles for Kunden af Leverandøren.


8.4 I tilfælde af ophør af Aftalen er Leverandøren forpligtet til efter anmodning loyalt at medvirke til, at databehandlingen overgår til en anden leverandør eller tilbageføres til Kunden.


8.5 Leverandøren skal efter anmodning fra Kunden og ved ophør af aftalen overføre personoplysninger, som Leverandøren behandler og/eller har behandlet for Kunden, til kunden.


9. MEDDELELSER


9.1 I det tilfælde en Part i henhold til Aftalen skal afgive skriftlig meddelelse til den anden Part, kan denne pligt opfyldes ved at afsende en e-mail til den anden Parts senest oplyste e-mailadresse.

APPENDIKS 1

Fysisk placering af servere

Olfert Fischers Gade 7

1311 København K

APPENDIKS 2

Brug af underdatabehandlere

Leverandøren samarbejder med Amazon, hvilket muliggør backup af data. 

Leverandøren samarbejder med Backblaze, hvilket muliggør backup af data.

Leverandøren samarbejder med CloudAlly, hvilket muliggør backup af data.

Leverandøren samarbejder med Comodo, hvilket muliggør management af enheder/netværk.

Leverandøren samarbejder med NameCheap (UK Datacenter), hvilket muliggør hosting af websites.

Leave this empty:

Signed by Jens Frederik Bay Jørgensen
Signed On: May 24, 2018

Signature Certificate
Document name: DATABEHANDLERAFTALE
Unique Document ID: 7853c45bcc32518a5f5ce25c546d4b655a6e7507
Timestamp Audit
May 24, 2018 7:42 pm CETDATABEHANDLERAFTALE Uploaded by Jens Frederik Bay Jørgensen - frederik@nerd911.dk IP 79.142.225.22