Tillæg vedrørende databehandling

Tillæg vedrørende databehandling

Dette tillæg om databehandling (”DPA”) vedrører den underliggende aftale om cloud-hosting (”aftalen”), hvor ISVHost (”tjenesteudbyderen”) leverer cloud-hostingtjenester til kunden (”virksomheden”), og udgør en del af aftalen.  

I betragtning af, at tjenesteudbyderen udfører visse tjenester for virksomheden i henhold til aftalen („tjenesterne“);  

I betragtning af, at tjenesteudbyderen som led i de tjenester, der leveres til virksomheden i henhold til aftalen, vil modtage eller få adgang til personoplysninger, som dette udtryk anvendes og forstås i henhold til lovgivningen om databeskyttelse (defineret nedenfor);

I betragtning af, at parterne ønsker at indgå en databehandlingsaftale, der opfylder kravene i lovgivningen om databeskyttelse.  

DERFOR ER PARTERNE ENIGE OM FØLGENDE:  

  1. Definitioner
  1. Ved »kontekstoverskridende adfærdsbaseret annoncering« forstås målretning af reklamer mod en forbruger på baggrund af dennes personlige oplysninger, der er indhentet via forbrugerens aktivitet på tværs af virksomheder, websteder med særskilt branding, applikationer eller tjenester, bortset fra den virksomhed, det websted med særskilt branding, den applikation eller den tjeneste, som forbrugeren bevidst interagerer med.  
  1. Ved »forbruger« forstås en person, der er bosiddende i et retsområde, hvor der gælder lovgivning om databeskyttelse, herunder, men ikke begrænset til, en »forbruger« som defineret i California Consumer Privacy Act, som ændret ved California Privacy Rights Act, Virginia Consumer Data Protection Act, Colorado Privacy Act, Connecticut Data Privacy Act, Utah Consumer Privacy Act, Texas Data Privacy and Security Act, Oregon Consumer Privacy Act samt anden gældende statslig lovgivning om databeskyttelse.
  1. Ved »lovgivning om databeskyttelse« forstås alle gældende love, regler, forskrifter og andre lovmæssige eller selvregulerende krav i enhver jurisdiktion vedrørende privatlivets fred, databeskyttelse, datasikkerhed, underretning om brud på datasikkerheden eller behandling (som defineret nedenfor) af personoplysninger.
  1. »Personoplysninger« omfatter alle oplysninger, der identificerer en person, som defineret i gældende lovgivning om databeskyttelse.
  1. Ved »behandling« og »behandler« forstås enhver handling eller række af handlinger, der udføres i forbindelse med personoplysninger, herunder, men ikke begrænset til, indsamling, opbevaring og brug af personoplysninger.  
  1. Ved »profilering« forstås enhver form for automatiseret behandling af personoplysninger med henblik på at vurdere, analysere eller forudsige en persons økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, opholdssted eller bevægelser.
  1. Ved »sikkerhedsbrud« forstås uautoriseret eller ulovlig destruktion, tab, ændring, videregivelse eller behandling af personoplysninger.  
  1. Udtrykkene »salg«, »sælge« eller »tredjepart« har den betydning, der er angivet i § 1798.140 i Californiens civilret, med senere ændringer, samt tilsvarende definitioner i andre gældende databeskyttelseslove.
  1. Ved »følsomme oplysninger« eller »følsomme personoplysninger« forstås personoplysninger, der afslører race eller etnisk oprindelse, religiøs overbevisning, diagnose vedrørende psykisk eller fysisk helbred, seksuel orientering, statsborgerskab eller indvandrerstatus; genetiske eller biometriske data, der behandles med det formål at identificere en person entydigt; personoplysninger indsamlet fra et barn, hvis alder er kendt; eller præcise geolokaliseringsdata, som nærmere defineret i gældende lovgivning om databeskyttelse.
  1. Udtrykket »tjenesteudbyder« omfatter udtrykket »databehandler« og lignende udtryk, og disse udtryk har samme betydning som defineret i gældende lovgivning om databeskyttelse.
  1. Udtrykkene »dele«, »delt« eller »deling« har den betydning, der er angivet i § 1798.140 i Californiens civilret, med senere ændringer, samt tilsvarende definitioner i andre gældende databeskyttelseslove.
  1. Ved »underbehandler« forstås enhver underleverandør, der behandler personoplysninger på tjenesteudbyderens vegne.
  1. Tjenesteudbyderens forpligtelser
  1. Tjenesteudbyderen behandler personoplysninger udelukkende med det formål at levere de tjenester til Virksomheden, der er anført i aftalen, eller som ellers skriftligt angivet af Virksomheden. Al behandling af personoplysninger foretaget af Tjenesteudbyderen skal ske i overensstemmelse med lovgivningen om databeskyttelse.  
  1. Uden at begrænse det ovenstående må tjenesteudbyderen ikke: (i) sælge personoplysninger; (ii) videregive personoplysninger til brug for kontekstoverskridende adfærdsbaseret annoncering; (iii) opbevare, anvende eller videregive personoplysninger til noget formål, herunder kommercielle formål, bortset fra de forretningsmæssige formål, der er angivet i aftalen, eller som på anden måde er godkendt skriftligt af virksomheden; (iv) opbevare, anvende eller videregive personoplysninger til tredjeparter uden for det direkte forretningsforhold mellem Virksomheden og Tjenesteudbyderen; (v) overtræde gældende begrænsninger, der er opregnet i databeskyttelseslovgivningen, herunder begrænsninger vedrørende sammenkobling af personoplysninger, som Tjenesteudbyderen modtager fra eller på vegne af Virksomheden, med personoplysninger, som Tjenesteudbyderen modtager fra eller på vegne af en eller flere andre personer, eller som Tjenesteudbyderen indsamler gennem interaktion mellem sig selv og en person; dog med den forbehold, at ovenstående ikke forhindrer tjenesteudbyderen i at kombinere de-identificerede data (som defineret nedenfor) med andre de-identificerede eller anonymiserede data til tjenesteudbyderens interne analyse-, forsknings- eller produktforbedringsformål; eller (vi) at foretage enhver behandling af personoplysninger, der er forbudt eller ikke tilladt for "databehandlere" eller "tjenesteudbydere" i henhold til databeskyttelseslovgivningen.
  1. Uanset ovenstående kan tjenesteudbyderen afidentificere, anonymisere eller sammenfatte personoplysninger modtaget fra virksomheden, forudsat at: (i) en sådan afidentificering, anonymisering eller sammenfatning udføres i overensstemmelse med gældende databeskyttelseslovgivning; (ii) de resulterende data („afidentificerede data“) ikke med rimelighed kan anvendes til at identificere en person eller knyttes tilbage til en person; (iii) tjenesteudbyderen implementerer tekniske sikkerhedsforanstaltninger og forretningsprocesser for at forhindre reidentifikation; og (iv) tjenesteudbyderen kontraktmæssigt forbyder enhver efterfølgende modtager at forsøge at reidentificere dataene. Tjenesteudbyderen må anvende, opbevare og kombinere de-identificerede data til egne interne formål vedrørende analyse, forskning, benchmarking samt forbedring af produkter eller tjenester. Tjenesteudbyderen må ikke forsøge at re-identificere de-identificerede data eller andre pseudonymiserede, anonymiserede, aggregerede eller de-identificerede oplysninger.
  1. I tilfælde af at tjenesteudbyderen er lovmæssigt forpligtet til at videregive personoplysninger til en tredjepart: (i) skal tjenesteudbyderen straks give virksomheden en rimelig mulighed for at gøre indsigelse mod den lovmæssige forpligtelse eller søge beskyttelse mod videregivelsen; og (ii) skal tjenesteudbyderen, efter samråd med virksomheden og dennes juridiske rådgiver, kun videregive det absolut nødvendige minimum af personoplysninger for at opfylde den lovmæssige forpligtelse.
  1. Tjenesteudbyderen skal inden for fem (5) arbejdsdage underrette Virksomheden, hvis Tjenesteudbyderen vurderer, at den ikke længere kan opfylde sine forpligtelser i henhold til denne DPA eller databeskyttelseslovgivningen, eller at den har misligholdt en eller flere af sine forpligtelser i henhold til denne DPA eller overtrådt databeskyttelseslovgivningen.  
  1. Medmindre det er nødvendigt for at overholde lovmæssige forpligtelser, sletter tjenesteudbyderen alle personoplysninger fra sine systemer, når de tjenester, der er knyttet til behandlingen, ophører. I tilfælde af at tjenesteudbyderen er lovmæssigt forpligtet til at opbevare sådanne personoplysninger, skal tjenesteudbyderen underrette virksomheden herom. Herefter kan sådanne personoplysninger fortsat opbevares i tjenesteudbyderens system, men må ikke behandles på nogen anden måde og skal overholde alle gældende databeskyttelseslove.  
  1. Tjenesteudbyderen giver Virksomheden ret til, efter rimeligt varsel, at træffe rimelige og passende foranstaltninger for at standse og afhjælpe enhver uautoriseret brug af personoplysninger.  
  1. Parterne skal yde hinanden rimelig medvirken med henblik på at ændre eller tilpasse denne databehandlingsaftale, hvis nye eller ændrede databeskyttelseslove kræver en sådan ændring eller tilpasning.  
  1. Begrænsninger vedrørende følsomme oplysninger og profilering. Følgende yderligere krav gælder for tjenesteudbyderens behandling af følsomme oplysninger og enhver form for profilering:
  1. Tjenesteudbyderen må ikke behandle følsomme oplysninger, medmindre det er strengt nødvendigt for at levere tjenesterne, og kun med virksomhedens forudgående skriftlige samtykke, hvori det præciseres, hvilke kategorier af følsomme oplysninger der skal behandles, samt formålet med behandlingen.
  1. Tjenesteudbyderen skal indføre og opretholde skærpede tekniske og organisatoriske sikkerhedsforanstaltninger for følsomme data, der står i rimeligt forhold til den forhøjede risiko, der er forbundet med sådanne data, herunder kryptering af data i hvile og under overførsel, adgangskontrol, der begrænser adgangen til autoriseret personale, samt logning af al adgang til følsomme data.
  1. Tjenesteudbyderen anerkender, at forbrugerne i henhold til gældende lovgivning om databeskyttelse har ret til at begrænse brugen og videregivelsen af deres følsomme data, og forpligter sig til at efterkomme alle sådanne anmodninger om begrænsning, som fremsendes af virksomheden.
  1. Tjenesteudbyderen må ikke foretage profilering af forbrugere ved hjælp af personoplysninger modtaget fra virksomheden, medmindre: (i) en sådan profilering er strengt nødvendig for at levere tjenesterne; (ii) virksomheden på forhånd har givet skriftlig tilladelse til en sådan profilering; og (iii) profileringen ikke medfører retlige eller tilsvarende væsentlige konsekvenser for forbrugerne uden passende sikkerhedsforanstaltninger.
  1. Tjenesteudbyderen skal give Virksomheden tilstrækkelige oplysninger til, at Virksomheden kan gennemføre enhver påkrævet konsekvensanalyse vedrørende databeskyttelse eller lignende vurdering i forbindelse med profilering i henhold til gældende lovgivning om databeskyttelse.
  1. Hvis tjenesteudbyderen modtager en forbrugeranmodning om at fravælge profilering, enten direkte eller via virksomheden, skal tjenesteudbyderen straks indstille alle profileringstiltag vedrørende den pågældende forbrugers personoplysninger og skriftligt bekræfte dette over for virksomheden.
  1. Bistand til behandling. Hvis tjenesteudbyderen inddrager en underdatabehandler eller en anden person til at bistå ved behandlingen af personoplysninger, skal tjenesteudbyderen underrette virksomheden herom, og sådanne underdatabehandlere eller inddragne personer skal:  
  1. er blevet udvalgt gennem en proces, der er rimeligt udformet med henblik på at sikre den pågældende underdatabehandlers eller persons pålidelighed, kompetence og troværdighed, herunder gennemførelse af passende baggrundstjek, hvor dette er lovligt muligt;
  1. har gennemgået den nødvendige uddannelse for at kunne sikre, at tjenesteudbyderen overholder denne databehandleraftale;
  1. har indgået en passende skriftlig aftale, der forpligter den pågældende underdatabehandler eller person til at overholde lovgivningen om databeskyttelse og kun at behandle personoplysninger i overensstemmelse med denne DPA; og
  1. Kun at modtage adgang til personoplysninger fra tjenesteudbyderen i det omfang, hvor en sådan adgang er nødvendig for at sætte underleverandøren eller personen i stand til at opfylde de forpligtelser, som underleverandøren eller personen er blevet engageret til at varetage.
  1. Bistand i forbindelse med overholdelse af databeskyttelseslovgivningen. Parterne vil i rimeligt omfang samarbejde og bistå hinanden for at sikre, at deres respektive forpligtelser i henhold til databeskyttelseslovgivningen overholdes, under hensyntagen til arten af tjenesteudbyderens databehandling og de oplysninger, tjenesteudbyderen har til rådighed. Uden at dette begrænser det ovenstående:
  1. Tjenesteudbyderen skal underrette Virksomheden hurtigst muligt, dog senest inden for tre (3) hverdage efter modtagelse af en anmodning eller klage vedrørende personoplysninger.  
  1. Tjenesteudbyderen må ikke besvare sådanne henvendelser, medmindre Virksomheden skriftligt har bemyndiget Tjenesteudbyderen hertil, medmindre Tjenesteudbyderen i henhold til gældende lovgivning er forpligtet til at svare direkte.  
  1. Hvis tjenesteudbyderen i henhold til gældende lovgivning er forpligtet til at svare direkte, skal denne, medmindre det er lovligt forbudt, underrette virksomheden om dette krav, inden den første underretning fremsendes, og følge virksomhedens rimelige anvisninger i forbindelse med besvarelsen af en sådan anmodning.
  1. Hvis Virksomheden anmoder Tjenesteudbyderen om at slette eller ændre personoplysninger, skal Tjenesteudbyderen straks efterkomme anmodningen og videreformidle disse anmodninger om sletning eller ændring til efterfølgende parter i overensstemmelse med lovgivningen om databeskyttelse.
  1. Sikkerhed. Tjenesteudbyderen skal iværksætte passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau for personoplysningerne, der står i rimeligt forhold til risikoen, og disse foranstaltninger skal under alle omstændigheder være i overensstemmelse med gældende lovgivning om databeskyttelse
  1. Sikkerhedsbrud. Tjenesteudbyderen skal overholde alle forpligtelser vedrørende sikkerhedsbrud, der påhviler denne i henhold til lovgivningen om databeskyttelse. Under hensyntagen til behandlingens art og de oplysninger, som tjenesteudbyderen har til rådighed, skal denne yde virksomheden rimelig bistand med henblik på at opfylde virksomhedens forpligtelser i forbindelse med sikkerhedsbrud.

Aftalens parter erklærer og garanterer hermed, at de er behørigt bemyndiget til at forpligte den pågældende part juridisk til at overholde betingelserne i denne databehandleraftale.

Reducer omkostningerne og kompleksiteten ved at levere din Windows-app

Tilmeld dig vores nyhedsbrev
Tak, fordi du har tilmeldt dig vores nyhedsbrev.
Ups! Der gik noget galt, da jeg indsendte formularen.