Data Processing Agreement
(’DPA’)
Dataansvarlig:
Databehandler:
RACKBEAT ApS
HAVNEGADE 53B, 1058 KØBENHAVN K, CVR: 39086409
KONTAKT: GDPR@RACKBEAT.COM
København d. 25-09-2018
Dette dokument omfatter Rackbeat ApS (herefter ’Rackbeat’) behandling af Person- og Klient data iht. Databeskyttelsesfordringen af 25. maj 2018.
Ved anvendelse af Rackbeat services, eller Rackbeat applikationer (herefter benævnt som "services" eller ”applikationen”), vil den Dataansvarlige være ansvarlig for sin Behandling af Person data i applikationen. Databehandleren vil behandle Person data på vegne af den Dataansvarlige. For at sikre, at Parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/279 ("GDPR"), har Parterne indgået denne databehandleraftale ("Aftalen"), som udgør instruksen fra den Dataansvarlige til Databehandleren og dermed regulerer Databehandlerens Behandling af Person data på vegne af den Dataansvarlige.
Databehandleren behandler udelukkende Person- og Klient data i overeensstemmelse med Rackbeat General Data Protection Regulation Policy.
Aftalen regulerer Databehandlerens behandling af Person data på vegne af den dataansvarlige, og beskriver, hvordan Databehandleren skal medvirke til at beskytte privatliv på vegne af den Dataansvarlige og dennes registrerede gennem tekniske og organisatoriske foranstaltninger, som er krævet under den gældende databeskyttelseslovgivning.
1. Definitioner
”Klient” betyder kunde hos Rackbeat.
”Klient data” betyder Klient relateret data, så som rapporter, kartoteker, dokumenter eller andre filer opbevaret elektronisk af Rackbeat med henblik på behandling.
”Personlig data” betyder al information der kan henstilles til en identificeret eller identificerbar person
”Offentlig data” betyder offentlig tilgængelig information, der kan tilgås af alle uden yderligere godkendelser.
”Fortrolig data” betyder al data som ikke er offentligt tilgængeligt og kun kan tilgås af Rackbeat ansatte eller
underleverandører iht. Rackbeat funktionsopdeling.
2. Behandling af Personlig data
2.1 Detaljer om behandling
I forbindelse med Databehandlers levering af services og applikationer til Dataansvarlige, vil Databehandler håndtere og overvåge forskellige typer og kategorier af Dataansvarliges Personlig data på vegne af Dataansvarlige.
2.2 Definitioner
"Personlig data" omfatter "enhver information vedrørende en identificeret eller identificerbar fysisk person, som defineret i GDPR, artikel 4, stk. 1, nr. 1 ("Personoplysninger").
Databehandleren udfører kun behandlingsaktiviteter, som er nødvendige og relevante for, at levere applikationen eller databehandlings services.
2.3 Registrering af behandlinger
Databehandleren skal have og opretholde et register over forarbejdning af data i overensstemmelse med med GDPR, artikel 32, stk. 2.
2.4 Databehandlers informationer om Klient
Databehandleren behandler personlige data om dataansvarlige og dennes medarbejdere i forbindelse med databehandlerens salg, markedsføring og produktudvikling. Disse personoplysninger er ikke omfattet af denne DPA, fordi databehandler er dataansvarlig for de nævnte personoplysninger, og der henvises til Rackbeat General Data Protection Regulation Policy der er tilgængelig på websitet.
3. Klient ansvar
Inden for aftalens anvendelsesområde og i dens anvendelse af services og applikationen er Dataansvarlig alene ansvarlig for, at overholde de lovbestemte krav vedrørende databeskyttelse og privatlivets fred, især med hensyn til videregivelse og overførsel af personoplysninger til Databehandleren og behandling af Personlig data. For at undgå tvivl skal Dataansvarliges processer til behandling af Personlig data overholde databeskyttelsesloven.
Denne DPA er Klients fuldstændige og endelige instruktion til Rackbeat i relation til Personlige data og yderligere processer uden for DPA's anvendelsesområde kræver forudgående skriftlig aftale mellem parterne. Instruktioner skal oprindeligt angives i aftalen og kan fra tid til anden ændres, forstærkes eller erstattes af Dataansvarlig i separate skriftlige instruktioner (som individuelle instruktioner).
Dataansvarlig skal informere Databehandler uden unødig forsinkelse om eventuelle fejl eller uregelmæssigheder i forbindelse med lovbestemmelser om behandling af Personlig data.
4. Databehandlers ansvar
4.1 Overensstemmelse med aftale processer
Parterne anerkender og accepterer, at Klient er Dataansvarlig af Personlig data, og Rackbeat er behandler for disse data. Databehandler skal kun indsamle, behandle og anvende Person data inden for rammerne af dataansvarliges instruktioner. Hvis Databehandler mener, at en instruktion fra Dataansvarlig krænker databeskyttelsesloven, underretter den straks Dataansvarlige. Hvis Databehandler ikke kan behandle Personlig data i overensstemmelse med instruktionerne på grund af et lovkrav i henhold til en hvilken som helst gældende EU-lovgivning vil Databehandler straks underrette Dataansvarlige om det pågældende lovkrav inden den relevante forarbejdning i det omfang, det er tilladt af Databeskyttelsesloven og ophøre med alle behandlinger (bortset fra at opbevare og opretholde sikkerheden for de berørte personoplysninger), indtil Dataansvarlig udsteder nye instruktioner, som Databehandler kan overholde.
Hvis denne bestemmelse påberåbes, er Databehandler ikke ansvarlig for Dataansvarlig under Aftalen for manglende udførelse af de gældende tjenester, indtil Dataansvarlig udsteder nye instruktioner vedrørende behandling.
4.2 Sikkerhed
Databehandler skal træffe passende tekniske og organisatoriske foranstaltninger til tilstrækkeligt, at beskytte Personlig data mod utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret offentliggørelse eller adgang til Personlig data, der er beskrevet i Punkt 6 i Rackbeat General Data Protection Regulation Policy.
Sådanne foranstaltninger omfatter, men er ikke begrænset til:
4.3 Fortrolighed
Databehandler skal sikre, at ethvert personale, som Databehandler bemyndiger til, at behandle Person data på vegne af denne, er underlagt fortrolighedsforpligtelser i relation til disse Person data. Fortrolighedsforpligtelsen fortsætter efter opsigelsen af de ovennævnte aktiviteter.
4.4 Tab af Person data
Databehandler meddeler Dataansvarlige så hurtigt som det er praktisk muligt, efter at den er opmærksom på tab nogen af Personoplysninger, der berører Personlig data. På Dataansvarligs anmodning giver Databehandler straks Dataansvarlige med al rimelig bistand, der er nødvendig for at sætte Dataansvarlige i stand til, at underrette om personoplysninges brud til relevante myndigheder og / eller berørte dataemner, hvis Dataansvarlige skal gøre det i henhold til databeskyttelsesloven.
4.5 Anmodninger fra Data emner
Databehandler vil yde rimelig bistand, herunder ved passende tekniske og organisatoriske foranstaltninger og under hensyntagen til arten af behandlingen, for at give Dataansvarlige mulighed for, at reagere på enhver anmodning fra Data emner (Klient data), der søger at udøve deres rettigheder i henhold til databeskyttelsesloven med hensyn til Personlig data (herunder adgang, rettelse, begrænsning, sletning eller overførsel af personlige data, alt efter hvad der er relevant), i det omfang loven tillader det.
Hvis en sådan anmodning sendes direkte til Databehandler, vil Databehandler straks informere Dataansvarlige og vil rådgive Data emner til at indsende deres anmodning til Dataansvarlige. Dataansvarlig er eneansvarlig for, at reagere på eventuelle Data emners anmodninger. Dataansvarlige skal refundere Databehandler for omkostningerne i forbindelse med denne assistance.
4.6 Underleverandører
Databehandler har ret til, at anvende underleverandører til at opfylde Behandlers forpligtelser, der er defineret i Aftalen med Dataansvarlige. Til dette formål godkender Dataansvarlige engagementet som underleverandører for Databehandlers tilknyttede virksomheder og de tredjeparter, der er anført i Rackbeat GDPR stk. 8.
Hvis Databehandler har til hensigt, at instruere andre underleverandører end de virksomheder, der er anført i Rackbeat GDPR stk. 8, giver Databehandler skriftlig meddelelse herom til Dataansvarlige og denne har mulighed for at modsætte sig de nye underleverandørers engagement inden for 30 dage efter meddelelsen. Indvendingen skal være baseret på rimelige grunde (fx hvis Dataansvarlige viser, at der er væsentlige risici for beskyttelsen af Personlige data hos underleverandøren). Hvis Databehandler og Dataansvarlige ikke kan løse en sådan indsigelse, kan en af parterne opsige aftalen ved skriftlig meddelelse til den anden part. Dataansvarlige er berettiget til, at modtage en tilbagebetaling af eventuelle forudbetalt, men ubrugte licenser for perioden efter den faktiske opsigelsesdato.
Hvor Databehandler engagerer underleverandører, vil Databehandler indgå en kontrakt med underleverandøren, der pålægger underleverandøren de samme forpligtelser, der gælder for Databehandler under denne DPA.
4.7 Sletning eller genskabelse af Personlig data
I det omfang det kræves for at overholde databeskyttelsesloven, vil Databehandler efter opsigelsen eller udløbet af engagementet slette alle Personlige Data (herunder kopier heraf) behandlet i henhold til denne DPA – se dataopbevaring Rackbeat GDPR stk. 7. Hvis Databehandler ikke kan slette Personlige data af tekniske eller andre grunde, vil Databehandler anvende foranstaltninger for at sikre, at Personlige data er blokeret fra enhver yderligere behandling.
Dataansvarlig kan ved aftalens ophør eller ved udstedelse af en instruktion inden for en tidsfrist fastsat af Databehandler returnering af slettede eller lagrede data. Eventuelle yderligere omkostninger, der opstår i forbindelse med tilbagekaldelse eller sletning af Person data efter aftalens ophør eller udløb, afholdes af Dataansvarlig.
5. Revision
Dataansvarlig kan forud for Databehandlingens begyndelse og derefter regelmæssigt, dog max. 1 gang årligt, revidere de tekniske og organisatoriske foranstaltninger, som Databehandler har taget.
Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato. Det skal besluttes i fællesskab mellem Parterne, hvis en tredjepart skal foretage revisionen. Imidlertid kan den Dataansvarlige lade Databehandleren bestemme, at revisionen af sikkerhedsårsager skal foretages af en neutral tredjepart efter Databehandlerens valg, såfremt der er tale om et behandlingsmiljø hvor flere dataansvarliges data er anvendt.
Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens assistance i forbindelse hermed, som overskrider den almindelige service som Databehandleren skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes særskilt.
6. Varighed
Databehandleraftalen forbliver i kraft, indtil hovedaftalen eller kunde engagementet opsiges.
7. Ophør
7.1 Ophør af tilladelse til behandling af Personlige data
Databehandlerens tilladelse til at behandle personlige data på vegne af Dataansvarlige annulleres ved opsigelsen af denne databehandleraftale.
7.2 Behandling efter ophør
Databehandleren skal fortsat behandle Personoplysninger i op til tre måneder efter
opsigelsen af dataprocessoraftalen i det omfang det er nødvendigt og påkrævet i henhold til gældende lov.
I samme periode har Databehandler ret til, at inkludere Personlige data i Databehandlers backup. Databehandlers behandling af Dataansvarliges Person data i de tre måneder efter afslutningen af denne databehandleraftale anses for at være i overensstemmelse med instruktionen.
8. Ændringer
Ændringer til Aftalen skal vedlægges i et særskilt bilag.
Sidste opdatering 15-05-2018.