Databehandlingsavtale

Databehandlingsavtale

 

 
Datakontrolleren
K.V. Stampe & Son's
CVR 40493719
Ringvejen 60
7900 NYKØBING MORS
Danmark

 

 

 

1 Databehandlingsavtale Preamble

  1. Denne databehandlingsavtalen beskriver rettighetene og pliktene som gjelder databehandlerens håndtering av personopplysninger på vegne av datakontrolleren.

 

  1. Denne avtalen er utformet for å sikre partenes overholdelse av artikkel 28, underavsnitt 3 i Regulering 2016/679 i Europaparlamentet og rådet av 27. april 2016 om beskyttelse av naturlige personer med hensyn til behandlingen av personopplysninger og om fri bevegelse av slike data og opphevelse av direktiv 95/46/EF (generell databeskyttelse Regulering), som angir spesifikke krav til innholdet i databehandlingsavtaler.

 

  1. Dataprosessorens behandling av personopplysninger skal finne sted for oppfyllelse av partenes ‘hovedavtale’. Behandling av personopplysninger som begynner 01/04/18.

  2. Databehandlingsavtalen og ‘hovedavtalen’ skal være avhengige av hverandre og kan ikke avsluttes separat. Databehandlingsavtalen kan imidlertid - uten oppsigelse av ‘hovedavtalen’ - erstattes av en alternativ gyldig databehandlingsavtale.

 

  1. Denne databehandlingsavtalen skal ha prioritet fremfor lignende bestemmelser som finnes i andre avtaler mellom partene, inkludert ‘hovedavtalen’.

 

  1. Fire vedlegg er knyttet til denne databehandlingsavtalen. Vedleggene utgjør en integrert del av denne databehandlingsavtalen.

 

  1. Vedlegg A.av databehandlingsavtalen inneholder detaljer om behandlingen så vel som formålet og arten av behandlingen, type personopplysninger, kategorier av registrering og varighet av behandlingen.

 

  1. VEDLEGG B.av databehandlingsavtalen inneholder datakontrollerens vilkår og betingelser som gjelder dataprosessorens bruk av underprosessorer og en liste over underprosessorer godkjent av Data-kontrolleren.

 

  1. Vedlegg C.av databehandlingsavtalen inneholder instruksjoner om behandlingen som dataprosessoren skal utføre på vegne av Data -kontrolleren (gjenstanden for behandlingen), minimumssikkerhetstiltak som skal implementeres og hvordan inspeksjon med dataprosessoren og enhver sub -Prosessorer skal utføres.

 

  1. Vedlegg dav databehandlingsavtalen inneholder partenes bestemmelser for aktiviteter som ikke er inneholdt i denne databehandlingsavtalen eller partenes ‘hovedavtale’.

 

  1. Databehandlingsavtalen og tilhørende vedlegg skal beholdes skriftlig så vel som elektronisk av begge parter.

 

  1. Denne databehandlingsavtalen skal ikke unnta dataprosessoren fra forpliktelser som dataprosessoren er underlagt i henhold til den generelle databeskyttelsesforordningen eller annen lovgivning.

2 Rettighetene og pliktene til datakontrolleren

  1. Datakontrolleren skal være ansvarlig overfor omverdenen (inkludert den registrerte) for å sikre at behandlingen av personopplysninger finner sted innenfor rammen av den generelle databeskyttelsesforordningen og den danske databeskyttelsesloven.

 

  1. Datakontrolleren skal derfor ha både rett og forpliktelse til å ta beslutninger om formålene og middelene til behandlingen av personopplysninger.

 

  1. Datakontrolleren skal være ansvarlig for å sikre at behandlingen som dataprosessoren blir instruert om å utføre er autorisert i lov.

3 Dataprosessoren fungerer i henhold til instruksjonene

  1. Dataprosessoren skal utelukkende ha lov til å behandle personopplysninger om dokumenterte instruksjoner fra datakontrolleren med mindre behandlingen er påkrevd i henhold til EU eller medlemslovgivning som dataprosessoren er underlagt; I dette tilfellet skal databehandleren informere datakontrolleren om dette lovkravet før behandling med mindre loven forbyr slik informasjon om viktig grunnlag av allmenn interesse, jfr. Artikkel 28, underavsnitt 3, para a.

 

  1. Dataprosessoren skal umiddelbart informere datakontrolleren hvis instruksjoner etter databehandlerens mening er i strid med den generelle databeskyttelsesforordningen eller databeskyttelsesbestemmelsene som finnes i andre EU- eller medlemslovgivning.

4 konfidensialitet

  1. Dataprosessoren skal sørge for at bare de personene som for tiden er autorisert til å gjøre det, kan få tilgang til personopplysningene som blir behandlet på vegne av datakontrolleren. Tilgang til dataene skal derfor uten forsinkelse nektes hvis slik autorisasjon blir fjernet eller utløper.

 

  1. Bare personer som krever tilgang til personopplysningene for å oppfylle dataprosessorens forpliktelser til datakontrolleren, skal være gitt autorisasjon.

 

  1. Dataprosessoren skal sørge for at personer som er autorisert til å behandle personopplysninger på vegne av datakontrolleren, har påtatt seg å observere konfidensialitet eller er underlagt passende lovfestet forpliktelse til konfidensialitet.

 

  1. Dataprosessoren skal etter anmodning fra datakontrolleren kunne demonstrere at de berørte ansatte er underlagt ovennevnte konfidensialitet.

5 Sikkerhet for behandling

  1. Dataprosessoren skal iverksette alle tiltakene som kreves i henhold til artikkel 32 i den generelle databeskyttelsesforordningenSom bestemmer at med hensyn til dagens nivå, implementeringskostnader og arten, omfanget, konteksten og formålene med prosessering og risikoen for varierende sannsynlighet og alvorlighetsgrad for rettighetene og frihetene til naturlige personer, skal datakontrolleren og prosessoren implementere passende teknisk og Organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen.

 

  1. Ovennevnte forpliktelse betyr at dataprosessoren skal utføre en risikovurdering og deretter iverksette tiltak for å motvirke den identifiserte risikoen. Avhengig av deres relevans, kan tiltakene omfatte følgende:

 

  1. Pseudonymisering og kryptering av personopplysninger
  2. Evnen til å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og motstandskraft av prosesseringssystemer og tjenester.
  3. Muligheten til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger på en riktig måte i tilfelle en fysisk eller teknisk hendelse.
  4. En prosess for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten i behandlingen.

 

  1. Dataprosessoren skal for å sikre ovennevnte - i alle tilfeller - i et minimumsgjennomføring nivået på sikkerhet og tiltakene som er spesifisert i vedlegg C til denne databehandlingsavtalen.

 

  1. Partenes mulige regulering/avtale om godtgjørelse osv. For datakontrollerens eller dataprosessorens påfølgende krav for å etablere ytterligere sikkerhetstiltak skal spesifiseres i partenes ‘hovedavtale’ eller i vedlegg D til denne databehandlingsavtalen.

6 Bruk av underprosessorer

  1. Dataprosessoren skal oppfylle kravene som er spesifisert i artikkel 28, underavsnitt 2 og 4, i den generelle databeskyttelsesforordningen for å engasjere en annen prosessor (underprosessor).

 

  1. Dataprosessoren skal derfor ikke engasjere en annen prosessor (underprosessor) for oppfyllelse av denne databehandlingsavtalen uten tidligere spesifikke eller generelle skriftlige samtykke fra datakontrolleren.

 

  1. I tilfelle generelt skriftlig samtykke, skal databehandleren informere datakontrolleren om planlagte endringer med hensyn til tillegg til eller erstatning av andre dataprosessorer og derved gi datakontrolleren muligheten til å innvende mot slike endringer.

 

  1. Datakontrollerens krav til databehandlerens engasjement av andre underprosessorer skal spesifiseres i VEDLEGG B.til denne databehandlingsavtalen.

 

  1. Datakontrollerens samtykke til engasjement av spesifikke underprosessorer, hvis aktuelt, skal spesifiseres i VEDLEGG B.til denne databehandlingsavtalen.

 

  1. Når dataprosessoren har datakontrollerens autorisasjon til å bruke en underprosessor, skal databehandleren sørge for at underprosessoren er underlagt de samme databeskyttelsesforpliktelsene som de som er spesifisert i denne databehandlingsavtalen på grunnlag av en kontrakt eller annen Juridisk dokument i henhold til EU-loven eller den nasjonale loven i medlemslandene, særlig gir de nødvendige garantiene for at underprosessoren vil implementere passende tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller kravene i den generelle databeskyttelsesforordningen.

 

Dataprosessoren skal derfor være ansvarlig-på grunnlag av en underprosessoravtale-for å kreve at underprosessoren i det minste oppfyller forpliktelsene som dataprosessoren er underlagt i henhold til kravene i den generelle databeskyttelsesforordningen og denne Databehandlingsavtale og tilhørende vedlegg.

 

  1. En kopi av en slik underprosessoravtale og påfølgende endringer skal-på datakontrollerens forespørsel-sendes til Datakontrolleren som derved vil ha muligheten til å sikre at en gyldig avtale er inngått mellom databehandleren og under- Prosessor. Kommersielle vilkår og betingelser, for eksempel priser, som ikke påvirker det juridiske databeskyttelsesinnholdet i underprosessoravtalen, skal ikke kreve innsending til datakontrolleren.

 

  1. Dataprosessoren skal i sin avtale med underprosessoren omfatte datakontrolleren som tredjepart i tilfelle konkurs av dataprosessoren for å gjøre det mulig for datakontrolleren å anta databehandlerens rettigheter og påkalle disse når det , f.eks. slik at datakontrolleren er i stand til å instruere underprosessoren til å utføre sletting eller retur av data.

 

  1. Hvis underbehandleren ikke oppfyller sine databeskyttelsesforpliktelser, skal databehandleren forbli fullt ut ansvarlig overfor datakontrolleren når det gjelder oppfyllelsen av underprosessorens forpliktelser.

7 Overføring av data til tredjeland eller internasjonale organisasjoner

  1. Dataprosessoren skal utelukkende ha lov til å behandle personopplysninger om dokumenterte instruksjoner fra datakontrolleren, inkludert når det gjelder overføring(Tildeling, avsløring og intern bruk) av personopplysninger til tredjeland eller internasjonale organisasjoner, med mindre behandling er påkrevd i henhold til EU eller medlemslovgivningen som dataprosessoren er underlagt; I et slikt tilfelle skal databehandleren informere datakontrolleren om det juridiske kravet før behandling med mindre loven forbyr slik informasjon om viktige grunnlag av allmenn interesse, jfr. Artikkel 28, underavsnitt 3, para a.

 

  1. Uten instruksjoner eller godkjenning av datakontrolleren, kan databehandleren derfor ikke - innenfor rammen av denne databehandlingsavtalen:

 

  1. avsløre personopplysninger til en datakontroller i et tredje land eller i en internasjonal organisasjon
  2. Tilordne behandlingen av personopplysninger til en underprosessor i et tredjeland
  3. har dataene behandlet i en annen av dataprosessorens divisjoner som ligger i et tredjeland

 

  1. Datakontrollerens instruksjoner eller godkjenning av overføring av personopplysninger til et tredjeland, hvis aktuelt, skal være angitt i Vedlegg C.til denne databehandlingsavtalen.

8 Bistand til datakontrolleren

  1. Dataprosessoren, under hensyntagen til behandlingen av behandlingen, skal så langt det er mulig hjelpe datakontrolleren med passende tekniske og organisatoriske tiltak, i oppfyllelsen av datakontrollerens forpliktelser til å svare på forespørsler for utøvelse av registreringene 'Rettigheter i henhold til kapittel 3 i den generelle databeskyttelsesforordningen.


Dette innebærer at dataprosessoren så langt det er mulig å hjelpe datakontrolleren i datakontrollerens samsvar med:

 

  1. Varslingsplikt når du samler inn personopplysninger fra den registrerte
  2. Varslingsplikt hvis personopplysninger ikke er innhentet fra den registrerte
  3. Rett til tilgang av den registrerte emnet
  4. retten til retting
  5. retten til sletting (‘retten til å bli glemt’)
  6. retten til å begrense behandlingen
  7. Varslingsforpliktelse angående retting eller sletting av personopplysninger eller begrensning av behandlingen
  8. retten til dataportabilitet
  9. retten til å gjenstand
  10. retten til å innvende mot resultatet av automatisert individuell beslutningstaking, inkludert profilering

 

  1. Dataprosessoren skal hjelpe datakontrolleren med å sikre samsvar med datakontrollerens forpliktelser i henhold til artiklene 32-36 i den generelle databeskyttelsesforordningen som tar hensyn til arten av behandlingen og dataene som er gjort tilgjengelig for databehandleren, jfr. Artikkel 28, underavsnitt 3, para f.

 

Dette innebærer at dataprosessoren bør under hensyntagen til behandlingsarten, så langt det er mulig, hjelpe Data -kontrolleren i datakontrollerens samsvar med:

 

  1. Plikten til å iverksette passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen forbundet med behandlingen
  2. Plikten til å rapportere brudd på personopplysninger til tilsynsmyndigheten (dansk databeskyttelsesbyrå) uten unødig forsinkelse og om mulig innen 72 timer etter at datakontrolleren oppdager et slikt brudd med mindre bruddet på personopplysningene er lite sannsynlig å føre til en risiko for rettighetene og naturlige friheter
  3. Plikten - uten unødig forsinkelse - å kommunisere personopplysningene til den registrerte når et slikt brudd sannsynligvis vil føre til en høy risiko for rettighetene og frihetene til naturlige personer
  4. Plikten til å utføre en vurdering av databeskyttelse hvis en type behandling sannsynligvis vil føre til en høy risiko for rettighetene og frihetene til naturlige personer
  5. Plikten til å konsultere med tilsynsmyndigheten (dansk databeskyttelsesbyrå) før behandling av databeskyttelsesvirkning viser at behandlingen vil føre til høy risiko i mangelen på tiltak som er tatt av datakontrolleren for å begrense risikoen

 

  1. Partenes mulige regulering/avtale om godtgjørelse osv. For databehandlerens hjelp til datakontrolleren skal spesifiseres i partenes ‘hovedavtale’ eller i vedlegg D til denne databehandlingsavtalen.

9 Melding om brudd på personopplysninger

  1. Ved oppdagelse av brudd på personopplysninger ved dataprosessorens fasiliteter eller en underprosessors fasiliteter, skal databehandleren uten unødig forsinkelse varsle datakontrolleren.

 

Dataprosessorens varsel til datakontrolleren skal om mulig finne sted innen 24 timer etter at databehandleren har oppdaget bruddet for å gjøre det mulig for datakontrolleren å overholde sin forpliktelse, hvis aktuelt, å rapportere bruddet til tilsynsmyndigheten innen 72 timer.

 

  1. I henhold til pkt. 9.2., Para B, i denne databehandlingsavtalen, skal dataprosessoren - under hensyntagen til arten av behandlingen og de tilgjengelige dataene - hjelpe til med datakontrolleren i rapportering av bruddet til tilsynsmyndigheten.

Dette kan bety at dataprosessoren er pålagt å hjelpe til med å innhente informasjonen som er oppført nedenfor som i henhold til artikkel 33, underavsnitt 3, i den generelle databeskyttelsesforordningen, skal oppgis i datakontrollerens rapport til tilsynsmyndigheten:

 

  1. Arten av brudd på personopplysningene, inkludert, om mulig, kategoriene og det omtrentlige antallet berørte datafag og kategoriene og omtrentlig antall berørte personopplysninger
  2. Sannsynlige konsekvenser av brudd på personopplysninger
  3. Tiltak som er iverksatt eller foreslås for å administrere brudd på personopplysningene, inkludert, hvis aktuelt, tiltak for å begrense dens mulige skade

10 sletting og retur av data

  1. Ved avslutning av behandlingstjenestene skal databehandleren være forpliktet, etter datakontrollerens skjønn, til å slette eller returnere alle personopplysningene til datakontrolleren og å slette eksisterende kopier med mindre EU -loven eller medlemsloven krever lagring av den personlige data.

11 Inspeksjon og revisjon

  1. Dataprosessoren skal gjøre tilgjengelig for datakontrolleren all informasjon som er nødvendig for å demonstrere samsvar med artikkel 28 i den generelle databeskyttelsesforordningen og denne databehandlingsavtalen, og tillate og bidra til revisjoner, inkludert inspeksjoner utført av Data -kontrolleren eller en annen revisor som er mandat av datakontrolleren.

 

  1. Prosedyrene som er gjeldende for datakontrollerens inspeksjon av dataprosessoren er spesifisert i Vedlegg C.til denne databehandlingsavtalen.

 

  1. Datakontrollerens inspeksjon av underprosessorer, hvis aktuelt, skal som regel utføres gjennom dataprosessoren. Prosedyrene for slik inspeksjon er spesifisert iVedlegg C.til denne databehandlingsavtalen.

 

  1. Dataprosessoren skal pålegges å gi tilsynsmyndighetene, som i henhold til gjeldende lovgivning har tilgang til datakontrollerens og databehandlerens fasiliteter, eller representanter som handler på vegne av slike tilsynsmyndigheter, med tilgang til databehandlerens fysiske fasiliteter for presentasjon av passende identifikasjon.

12 Partenes avtale på andre vilkår

  1. (Separate) vilkår knyttet til konsekvensene av partenes brudd på denne databehandlingsavtalen, hvis aktuelt, skal spesifiseres i partenes ‘masteravtale’ eller i Vedlegg dtil denne databehandlingsavtalen.

 

  1. Regulering av andre vilkår mellom partene skal spesifiseres i partenes ‘hovedavtale’ eller iVedlegg dtil denne databehandlingsavtalen.

13 Begynnelse og oppsigelse

  1. Denne databehandlingsavtalen trer i kraft på datoen for begge parters underskrift til avtalen.

 

  1. Begge parter skal ha rett til å kreve at denne databehandlingsavtalen er reforhandlet hvis endringer i loven eller uekspedienten av bestemmelsene som finnes her, skal gi opphav til slik reforhandling.

 

  1. Partenes avtale om godtgjørelse, vilkår osv. I forbindelse med endringer i denne databehandlingsavtalen, hvis aktuelt, skal spesifiseres i partenes ‘hovedavtale’ eller i vedlegg D til denne databehandlingsavtalen.

 

  1. Denne databehandlingsavtalen kan avsluttes i henhold til vilkårene for oppsigelse, inkl. varsel om oppsigelse, spesifisert i ‘hovedavtalen’.

 

  1. Denne databehandlingsavtalen skal gjelde så lenge behandlingen utføres. Uavhengig av avslutningen av ‘hovedavtalen’ og/eller denne databehandlingsavtalen, skal databehandlingsavtalen forbli i kraft inntil avslutningen av behandlingen og sletting av dataene fra dataprosessoren og eventuelle underprosessorer.

 

  1. Signatur

 


På vegne av datakontrolleren

Navn:

 

Michael Stampe

 

Stilling:

 

Administrerende direktør

 

Dato:

 

 

01/04/18

  

 

14 Datakontroller og databehandlingskontakter/kontaktpunkter

 

  1. Partene kan kontakte hverandre ved hjelp av følgende kontakter/kontaktpunkter:

 

  1. Partene skal kontinuerlig være forpliktet til å informere hverandre om endringer i kontakter/kontaktpunkter.

 

 


Navn:

Mike Stampe

 

Stilling:

Administrerende direktør

 

Telefonnummer:

+45 52137210

 

E-post:

stampe@kv-stampe.dk

 


 

Vedlegg A -informasjon om behandlingen

 

Hensikten med dataprosessorens behandling av personopplysninger på vegne av datakontrolleren er:

  • Datakontrolleren er i stand til å bruke Google Analytics som eies og administreres av dataprosessoren for å samle inn og behandle data om datakontrollerens medlemmer.

 

Dataprosessorens behandling av personopplysninger på vegne av datakontrolleren skal hovedsakelig angripe (behandlingen av behandlingen):

  • Dataprosessoren gjør tilgjengelig system Shopify til Data Controller og lagrer herved personopplysninger om datakontrollerens medlemmer på selskapsserverne. ”

 

Behandlingen inkluderer følgende typer personopplysninger om datafag:

  • Navn, e-postadresse, telefonnummer, adresse, betalingsdetaljer og land

 

Behandlingen inkluderer følgende kategorier av registrert:

 Personer som har kjøpt noen produkter på nettstedet eller har registrert seg som medlem

 

Dataprosessorens behandling av personopplysninger på vegne av datakontrolleren kan utføres når denne databehandlingsavtalen starter. Behandlingen har følgende varighet:

  • Behandlingen skal ikke være tidsbegrenset og skal utføres før denne databehandlingsavtalen er avsluttet eller kansellert av en av partene.

 

 

Vedlegg B -instruksjon knyttet til bruk av personopplysninger

 

 

B.1 Lagringsperiode/slettingsprosedyrer

  • Personopplysninger lagres i 3 år, hvoretter de blir slettet av dataprosessoren.

 

B.2 Behandlingssted

Behandling av personopplysningene i henhold til denne databehandlingsavtalen kan ikke utføres andre steder enn følgende uten datakontrollerens forutgående skriftlige samtykke:

  • Oppgi dataprosessor eller underprosessor ved hjelp av adressen Ringvejen 60, 7900 Nykøbing Mors