Support
Login

Databehandleraftale
& underleverandører

Læs vores gældende databehandleraftale (GDPR)

Denne databehandleraftale ligger til grund for den behandling af persondata, som CustomOffice foretager på vegne af dig som kunde. Databehandleraftalen træder i kraft, idet virksomheden bliver oprettet som kunde. 

Denne databehandleraftale er indgået i henhold til art. 28 stk. 3 i Europa-Parlamentet og Rådets forordning (EU) 2016/679 (“GDPR”) med henblik på at regulere CustomOffices behandling af personoplysninger på vegne af dig som kunde.

Aftalen er indgået mellem:

 

Dataansvarlig:

[Indsættes: Virksomhed, adresse, CVR-nr.]

Kontaktperson:

[Kontaktperson og kontaktinformationer]

og

Databehandler:
CustomOffice ApS,
Toldboden 3,
8800 Viborg,
CVR-nr: 37098329

Kontakt: [email protected]

Parterne kaldes i det følgende henholdsvis “den dataansvarlige” og “databehandleren” og tilsammen “parterne”.

1. Indledende bestemmelser

1.1 Definitionen af “personoplysninger”, “særlige kategorier af personoplysninger” (følsomme oplysninger), “databehandling”, “den registrerede”, “dataansvarlig” og “databehandler” er den samme som anført i databeskyttelsesforordningen.

1.2 Formålet med denne databehandleraftale er at sikre parternes efterlevelse af gældende databeskyttelseslovgivning og dokumentere den dataansvarliges instruks til databehandleren. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er at sikre den dataansvarliges brug af driftsprogrammet CustomOffice, som yderligere beskrevet i CustomOffices abonnementsvilkår.

1.3 Denne databehandleraftale fastsætter parternes rettigheder og forpligtelser, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.

1.4 Denne databehandleraftale har forrang for andre modstridende bestemmelser vedrørende behandling af personoplysninger, for så vidt angår CustomOffices betingelser eller andre aftaler gældende parterne imellem. Databehandleraftalen er gældende mellem parterne, så længe den dataansvarlige abonnerer på CustomOffice.

1.5 Denne databehandleraftale frigør ikke databehandleren fra forpligtelser, som databehandleren yderligere er pålagt efter gældende databeskyttelseslovgivning.

2. Den dataansvarliges rettigheder og forpligtelser

2.1 Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger i forbindelse med brug af CustomOffice applikationen sker i overensstemmelse med GDPR art. 24, anden EU-ret eller national ret samt denne databehandleraftale.

2.2 Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger. Det er hertil alene under den dataansvarliges kontrol, hvilke personoplysninger der behandles, herunder indtastes og genereres i CustomOffice applikationen.

2.3 Den dataansvarlige er ansvarlig for at sikre, at der eksisterer et lovligt behandlingsgrundlag for behandlingen og videregivelsen af personoplysninger, som databehandleren instrueres i at foretage, herunder videregivelse til de underdatabehandlere, som databehandleren benytter, og som til enhver tid er oplistet i bilag B.

2.4 Den dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de personoplysninger, som behandles af databehandleren.

2.5 Den dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder, for så vidt angår behandlingen af personoplysninger.

2.6 Den dataansvarlige har opfyldt sin oplysningsforpligtelse over for de registrerede vedrørende behandlingen af personoplysninger i henhold til gældende databeskyttelseslovgivning.

2.7 Den dataansvarlige bekræfter, at databehandleren har givet de relevante garantier, for så vidt angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de registreredes rettigheder og deres personoplysninger, ved indgåelse af denne databehandleraftale.

3. Databehandleren handler efter instruks

3.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU- eller national ret, som databehandleren er underlagt. Ved at indgå denne databehandleraftale instruerer den dataansvarlige databehandleren i at behandle personoplysninger på følgende måder:

3.1.1 i overensstemmelse med gældende lovgivning;

3.1.2 for at opfylde sine forpligtelser i henhold til CustomOffices betingelser for brug af applikationen;

3.1.3 som yderligere specificeret ved den dataansvarliges normale brug af applikationen;

3.1.4 som beskrevet i denne databehandleraftale.

3.2 Databehandleren underretter omgående den dataansvarlige, hvis en instruks vurderes at være i strid med gældende databeskyttelseslovgivning eller anden EU- eller national ret.

4. Behandlingssikkerhed

4.1 Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau. Dette sker i form af implementering af relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger.

Implementeringen sker under hensyntagen til den teknologi, der er tilgængelig og omkostningerne ved implementeringen samt omfanget, konteksten og formålet med behandlingen for at sikre et tilstrækkeligt sikkerhedsniveau, der imødekommer den risiko og kategorien af personoplysninger, der skal beskyttes.

4.2 Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt – og kun i et nødvendigt omfang. Fortrolighedspligten skal ligeledes gælde efter ophør af databehandleraftalen.

4.3 CustomOffice har implementeret flere sikkerhedsforanstaltninger og interne databeskyttelsespolitikker med henblik på at sikre fortrolighed, integritet, modstandsdygtighed og adgang til personoplysninger. Dette omfatter blandt andet følgende foranstaltninger:

4.3.1 Risikovurderinger af eget sikkerhedsniveau med henblik på at sikre at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af personoplysninger, herunder i henhold til GDPR art. 32 om behandlingssikkerhed samt GDPR art. 25 vedrørende privacy by design og default.

4.3.2 Effektiv kryptering ved overførsel af personoplysninger via internettet.

4.3.3 Løbende awareness træning til alle medarbejdere med fokus på it-sikkerhed og behandling af personoplysninger.

 

4.3.4 Begrænsning i adgangen til personoplysninger til de relevante personer der skal til for at overholde krav og forpligtelser i databehandleraftalen.

4.3.5 Etablerede kontroller til at identificere og rapportere eventuelle brud på persondatasikkerheden.

4.3.6 Implementerede procedurer der sikrer, at ændringer i systemer, databaser og netværk sker konsekvent for at sikre vedligeholdelse.

5. Anvendelse af underdatabehandlere

5.1 Som en del af driften af CustomOffice anvender databehandleren underdatabehandlere. Denne databehandleraftale udgør den dataansvarliges forudgående generelle skriftlige godkendelse af databehandlerens brug af underdatabehandlere. Sådanne underdatabehandlere kan være andre tredjepartsleverandører i og uden for EU/EØS. Databehandlerens underdatabehandlere er oplistet i den til enhver tid gældende liste i tillæg B over underdatabehandlere.

5.2 Databehandleren sikrer, at dennes underdatabehandlere overholder tilsvarende forpligtelser og krav, som er beskrevet i denne databehandleraftale. Den dataansvarlige skal orienteres senest 30 dage inden, databehandleren tager en ny underdatabehandler i brug. Den dataansvarlige har ret til at protestere imod en ny underdatabehandler, som behandler personoplysninger på vegne af den dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal databehandleren demonstrere overensstemmelse ved at give den dataansvarlige adgang til databehandlerens databeskyttelsesvurdering og udarbejdede dokumenter om brug af underdatabehandleren. Hvis der herefter fortsat er uenighed om anvendelsen af underdatabehandleren, kan den dataansvarlige opsige sit abonnement med et kortere varsel end normalt for at sikre, at den dataansvarliges personoplysninger ikke behandles af den pågældende underdatabehandler.

6. Overførsel til tredjelande eller internationale organisationer

6.1 Enhver overførsel af personoplysninger til et tredjeland eller en international organisation forudsætter indgåelse af EU Kommissionens Standardkontraktbestemmelser (EU SCC’s) eller et andet gyldigt overførselsgrundlag. Den dataansvarlige giver databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af personoplysninger til et tredjeland på vegne af den dataansvarlige.

7. Bistand til den dataansvarlige

7.1 Databehandleren skal, så vidt det er muligt, bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger under hensyntagen til behandlingens art og kategorien af oplysninger, der er tilgængelige for databehandleren, for at sikre overholdelse af den dataansvarliges forpligtelser i henhold til gældende databeskyttelseslovgivning.

7.2 Databehandleren bistår den dataansvarlige med overholdelse af GDPR art. 32-36, herunder blandt andet behandlingssikkerhed, anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og underretning om brud på persondatasikkerheden til den registrerede under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren.

7.3 Databehandleren må ikke besvare anmodninger fra registrerede, medmindre databehandleren er autoriseret af den dataansvarlige til at gøre det. Databehandleren videregiver ikke information om denne databehandleraftale til statslige myndigheder såsom politiet, herunder personoplysninger, medmindre databehandleren er forpligtet til det i medfør af lovgivningen i form af en retskendelse eller lignende.

7.4 Endvidere skal databehandleren så vidt det er muligt og lovligt underrette den dataansvarlige såfremt:

7.4.1 En anmodning om indsigt i personoplysninger modtages direkte fra den registrerede;

7.4.2 En anmodning om indsigt i personoplysninger modtages direkte fra statslige myndigheder, herunder politiet, medmindre databehandleren instrueres i ikke at underrette den dataansvarlige.

7.5 Hvis den dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan databehandleren behandler personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende databeskyttelseslovgivning, må databehandleren kræve betaling for sådanne yderligere services.

8. Underretning om brud på persondatasikkerheden

8.1 Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden, som involverer persondata, databehandleren behandler på vegne af den dataansvarlige. Dette således, at databehandleren understøtter den dataansvarlige i dennes videre forpligtelse herfor.

8.2 Databehandleren skal underrette den dataansvarlige via den kontaktperson, som er oplyst i databehandleraftalen, hvis databehandleren bliver bekendt med en sikkerhedsbrist.

9. Returnering og sletning/anonymisering af data

9.1 Som en del af driften af Applikationen anvender Databehandleren underleverandører Den dataansvarlige har mulighed for at få sin data returneret (eksporteret) i forbindelse med ophør af et CustomOffice abonnement. Efter ophør af abonnementet vil databehandleren slette/anonymisere alle personoplysninger, som databehandleren har behandlet på vegne af den dataansvarlige. Dette sker i overensstemmelse med gældende betingelser.

10. Revision, herunder inspektion

10.1 Den dataansvarlige er berettiget til at igangsætte en revision af databehandlerens forpligtelser i henhold til databehandleraftalen.

10.2 Såfremt det foreslåede omfang for revisionen følger en ISAE 3000, ISO eller lignende erklæringsrapport udført af en kvalificeret tredjepartsrevisor indenfor de forudgående tolv måneder, og databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket.

10.3 Såfremt databehandlerens assistance i forbindelse med revision overskrider den almindelige service, som databehandleren skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes dette særskilt.

11. Ikrafttræden og ophør

11.1 Denne databehandleraftale er gældende, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med den dataansvarliges brug af CustomOffice applikationen.

11.2 Databehandleren er berettiget til at beholde personoplysninger efter ophør af databehandleraftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i databehandleraftalen.

12. Ændringer til databehandleraftalen

12.1 Den gældende version af databehandleraftalen vil til enhver tid kunne tilgås på hjemmesiden. Væsentlige ændringer varsles 30 dage inden de træder i kraft via email. Brug af CustomOffice applikationen efter opdateringen udgør en accept af databehandleraftalen.

13. Ansvar

13.1 Ansvar for handlinger i strid med bestemmelserne i denne databehandleraftale reguleres af ansvars- og erstatningsbestemmelserne i abonnementsvilkårene for CustomOffice applikationen. Dette gælder ligeledes for enhver overtrædelse, som foretages af databehandlerens underdatabehandlere.

14. Lovvalg og værneting

14.1 Denne databehandleraftale er underlagt dansk ret og enhver tvist, der udspringer af denne databehandleraftale, skal anlægges ved en dansk domstol.

Bilag A – Kategorier af personoplysninger og registrerede

  1. Kategorier af personoplysninger
  2. Den dataansvarlige har kontrollen over, hvilke kategorier af personoplysninger, der behandles i CustomOffice applikationen, men kan blandt andet omfatte:
  • Navn
  • Titel
  • Telefonnummer
  • E-mail
  • Adresse
  • Evt.

I tillæg til ovenstående kan særlige kategorier af personoplysninger (følsomme oplysninger) blive behandlet af databehandleren, i det omfang den dataansvarlige behandler sådanne oplysninger i CustomOffice applikationen. Dette er dog udenfor databehandlerens kontrol.

  1. Kategorier af de(n) registrerede
  2. Den dataansvarlige har kontrollen over, hvilke kategorier af registrerede, der behandles i CustomOffice applikationen, men kan blandt andet omfatte:
  • Den dataansvarliges slutbrugere
  • Den dataansvarliges medarbejdere
  • Den dataansvarliges kontaktpersoner
  • Den dataansvarliges kunder og kunders slutbrugere
  • Den dataansvarliges kunders medarbejdere
  • Den dataansvarliges kunders kontaktpersoner
  • Evt.

Bilag B – Underdatabehandlere

Oversigt over underdatabehandlere til CustomOffice

CustomOffice anvender underdatabehandlere til at behandle persondata. Disse underdatabehandlere er typisk leverandører af cloud tjenester eller andre IT hosting ydelser. Vi sikrer selvfølgelig, at der bliver indgået databehandleraftaler med alle vores underdatabehandlere med henblik på at beskytte dine persondata bedst muligt. 

Hvis underdatabehandlere er placeret uden for EU, sørger vi for at have et gyldigt overførselsgrundlag på plads ved blandt andet at indgå EU’s standardkontraktbestemmelser(SCC). Under hver kategori kan du læse hvilken data vores underdatabehandlere får adgang til, hvad formålet er, hvor data er opbevaret og hvad overførselsgrundlaget er, såfremt data overføres til tredjelande.

 

Navn

CVR (Company reg. no.)

Beskrivelse af service

Lokalitet for hosting

Amazon Web Services EMEA SARL 

B186284

Amazone S3 (Simple Storage Service) Hoster foto/PDF-bilag uploaded via CustomOffice-applikationen.

Amazone AWS (Amazone Web Services) hoster backup af databasen.

Tyskland.

DigitalOcean, LLC

5118787

Hoster CustomOffice-applikationen og databaseservere.

Frankring, Tyskland

Freshworks Inc

33-1218825

Freshdesk understøtter support og sagsstyring i forbindelse med supportsager.

USA

Twilio Ireland Limited

IE3335493BH

SendGrid:
SendGrid understøtter afsendelse af e-mails genereret gennem e-conomic applikationen

Irland

Functional Software, Inc. d/b/a Sentry

EU372050121

Sentry:
Indsamling af log data til brug ved udvikling og fejlfinding.

USA

Fenerum ApS

DK40430989

Afsendelse af kundefakturaer, påmindelser, rykkere .

Danmark

Visma e-conomic A/S

DK 29403473

Økonomisystem

Danmark

Kontakt os, hvis du har spørgsmål

Hvis du har nogle spørgsmål til vores brug af underdatabehandlere, er du velkommen til at række ud til os på [email protected].

Databehandleraftale & underleverandører

Imellem:

Dataansvarlig: [Virksomhed, adresse, CVR-nr.]
Kontaktperson: [Kontaktperson og kontaktinformationer]

og

Databehandler: CustomOffice ApS, CVR-nummer 37098329, Toldboden 3, 8800 Viborg
Kontakt[email protected]

Parterne kaldes i det følgende henholdsvis den “Dataansvarlige” og “Databehandleren”, og “Part” eller tilsammen “Parterne”.

INTRODUKTION

Ved brug af programmet CustomOffice og ethvert modul eller funktion i forbindelse med applikationen (i det hele benævnt “Applikationen”), vil den Dataansvarlige være ansvarlig for sin Behandling af Personoplysninger i Applikationen. Databehandleren vil behandle personoplysninger på vegne af den Dataansvarlige. For at sikre, at Parterne lever op til sine forpligtelser under nationale databeskyttelsesregler samt Europa-Parlamentet og Rådets forordning (EU) 2016/279 (“GDPR”), har Parterne indgået denne databehandleraftale (“Aftalen”), som udgør instruksen fra den Dataansvarlige til Databehandleren og dermed regulerer Databehandlerens Behandling af personoplysninger på vegne af den Dataansvarlige.

Begge Parter bekræfter, at de har fuldmagt til at underskrive Aftalen.

Databehandleren behandler desuden udelukkende Personoplysninger i overensstemmelse med CustomOffice Privatlivspolitik.

Det gælder for hele Aftalen og i forholdet mellem den Dataansvarlige og Databehandleren, at krav, der følger af GDPR, som er beskrevet i denne aftale og som ikke følger af nugældende lovgivning, først er gældende fra 25. maj 2018, hvor GDPR finder anvendelse fra.

DEFINITIONER

Definitionen af Personoplysninger, Særlige Kategorier af Data (Følsomme Oplysninger), Behandling, den Registrerede, Dataansvarlig og Databehandler er den samme som den relevante persondatalovgivning, herunder GDPR.

Aftalen regulerer Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige, og beskriver, hvordan Databehandleren skal medvirke til at beskytte privatliv på vegne af den Dataansvarlige og dennes Registrerede gennem tekniske og organisatoriske foranstaltninger som er krævet under den gældende databeskyttelseslovgivning, herunder GDPR fra den 25. maj 2018.

Formålet med Databehandlerens Behandling af Personoplysninger på vegne af den Dataansvarlige er at sikre, den Dataansvarliges brug af Applikationen og opfyldelsen af denne Aftale.

Aftalen har forrang for andre modstridende bestemmelser vedrørende Behandling af Personoplysninger for så vidt angår vilkår for brugen af Applikationen eller i andre aftaler gældende Parterne imellem. Aftalen er gyldig, så længe den Dataansvarlige abonnerer på Applikationen, og Databehandleren derfor skal behandle Personoplysninger på vegne af den Dataansvarlige. Aftalen har dog ikke forrang, såfremt Parterne har indgået en anden databehandleraftale, hvoraf fremgår, at den databehandleraftale har forrang frem for denne Aftale.

DATABEHANDLERENS FORPLIGTELSER

Databehandleren skal udelukkende behandle Personoplysninger på vegne af og som følge af den Dataansvarliges instruktioner. Ved at indgå denne Aftale, instruerer den Dataansvarlige Databehandleren i at behandle Personoplysninger på følgende måder:

  1. i overensstemmelse med gældende lovgivning
  2. for at opfylde sine forpligtelser i henhold til abonnementsvilkår for Applikationen
  3. som yderligere specificeret ved den Dataansvarliges normale brug af Applikationen
  4. som beskrevet i denne Aftale

Som en del af at kunne levere Applikationen er Databehandleren forpligtet til enhver tid at give den Dataansvarlige gode og konkurrencedygtige løsninger der følger med udviklingen. Databehandleren kan tilbyde bedre løsninger, som er tilpasset den enkelte Dataansvarliges behov, ved at registrere hvordan Dataansvarlig og dennes repræsentanter bruger Applikationen. Dette gør Databehandler for at kunne lave en bedre version af Applikationen, og generelt yde bedre tjenester og give mere relevant kommunikation til den Dataansvarlige og dennes repræsentanter. Målet er at Dataansvarlig skal løse så mange udfordringer som muligt på et sted. I den grad at personoplysninger fra Applikationen indgår i dette arbejde, behandles disse i henhold til denne Aftale og gældende lovgivning.

Databehandleren har ikke nogen grund til at tro, at gældende lovgivning forhindrer Databehandleren i at efterleve instruktionerne gengivet ovenfor. Databehandleren skal, hvis denne bliver opmærksom på det, give den Dataansvarlige besked om instruktioner eller andre Behandlingsaktiviteter udført af den Dataansvarlige, som efter Databehandlerens opfattelse strider imod den gældende databeskyttelseslovgivning. Kategorierne af Registrerede og Personoplysninger som behandles i henhold til denne Aftale er beskrevet under punktet i Bilag A.

Under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, samt omfanget, konteksten og formålet med Behandlingen, er Databehandleren forpligtet til at foretage alle rimelige foranstaltninger, herunder tekniske og organisatoriske, for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til den risiko og kategorien af Personoplysninger, der skal beskyttes.

Databehandleren skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, som dette er muligt og under hensyntagen til Behandlingens art og kategorien af oplysninger, der er tilgængelige for Databehandleren, for at sikre overholdelse af den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder for så vidt angår bistand i forhold til opfyldelse af anmodninger fra Registrerede samt generel overholdelse af bestemmelserne under GDPR artikel 32-36.

Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse via kontaktperson oplyst i Databehandleraftalen, hvis Databehandleren bliver bekendt med sikkerhedsbrist. Endvidere skal Databehandleren så vidt muligt og lovligt underrette den Dataansvarlige, hvis;

  1. En anmodning om indsigt i Personoplysninger modtages direkte fra den Registrerede
  2. En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder, herunder politiet.

Databehandleren må ikke besvare sådanne anmodninger fra Registrerede, medmindre denne er autoriseret af den Dataansvarlige til at gøre det. Databehandleren vil endvidere ikke videregive information om denne Aftale til statslige myndigheder såsom politiet, herunder Personoplysninger, medmindre Databehandleren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.

Hvis den Dataansvarlige kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Databehandleren behandler Personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve betaling for sådanne yderligere services. Databehandleren og dennes ansatte skal sikre fortrolighed i forhold til Personoplysninger, som behandles i henhold til Aftalen. Denne bestemmelse skal ligeledes gælde efter ophør af Aftalen.

DEN DATAANSVARLIGES FORPLIGTELSER

Den Dataansvarlige bekræfter ved indgåelse af denne aftale, at:

  • Den Dataansvarlige skal ved brug af Applikationen stillet til rådighed af Databehandleren, udelukkende behandle Personoplysninger i overensstemmelse med kravene i den gældende Databeskyttelseslovgivning.
  • Den Dataansvarlige har et lovligt grundlag for at behandle og videregive Personoplysninger til Databehandleren (herunder til underdatabehandlere som Databehandleren anvender).
  • Den Dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de Personoplysninger som behandles af Databehandleren.
  • Den Dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår Behandlingen af Personoplysninger.
  • Den Dataansvarlige har opfyldt sin oplysningsforpligtelser over forde Registrerede vedrørende behandlingen af Personoplysninger i henhold til gældende databeskyttelseslovgivning.
  • Den Dataansvarlige er enig i, at Databehandleren har givet derelevante garantier for så vidt angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de Registreredes rettigheder og deres Personoplysninger.
  • Den Dataansvarlige skal ved brug af Applikationen ikke behandle Følsomme oplysninger, medmindre dette er specificeret idenne Aftale.
  • Den Dataansvarlige skal have en opdateret liste over de kategorier af Personoplysninger, som denne behandler, dette gælder særligt i det omfang sådan Behandling afviger fra de kategorier af Oplysninger, som fremgår af Bilag A.

BRUG AF UNDERDATABEHANDLERE OG VIDEREGIVELSE AF DATA

Som en del af driften af Applikationen anvender Databehandleren underleverandører (“Underdatabehandlere”). Sådanne Underdatabehandlere kan være tredjepartsleverandører i og uden for EU/EØS. Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere. Databehandleren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen. Al brug af Underdatabehandlere er endvidere underlagt CustomOffices privatlivspolitik.

Denne Aftale udgør den Dataansvarliges forudgående generelle og specifikke skriftlige godkendelse af Databehandlerens brug af Underdatabehandlere.

Hvis en Underdatabehandler er etableret uden for eller Personoplysninger opbevares uden for EU/EØS giver den Dataansvarlige Databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland på vegne af den Dataansvarlige, herunder ved anvendelse af EU Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield.

Den Dataansvarlige skal orienteres, inden Databehandlere udskifter sine Underdatabehandlere. Den Dataansvarlige har dog kun ret til at protestere imod en ny Underdatabehandler, som behandler Personoplysninger på vegne af den Dataansvarlige, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal Databehandleren demonstrere overensstemmelse ved at give den Dataansvarlige adgang til Databehandlerens databeskyttelsesvurdering af Underdatabehandleren. Hvis der stadig er uenighed om anvendelsen af Underdatabehandleren kan den Dataansvarlige opsige sit abonnement på Applikationen, herunder med et kortere varsel end normalt for at sikre, at den Dataansvarliges Personoplysninger ikke behandles af den pågældende Underdatabehandler.

SIKKERHED

Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og services, hvilket sikres ved relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger, som er påkrævede i henhold til information om sikkerhedsforanstaltninger som beskrevet i GDPR artikel 32.

Endvidere har CustomOffices interne databeskyttelses politikker til formål at sikre fortrolighed, integritet, modstandsdygtigheden og adgangen til Personoplysninger. De følgende foranstaltninger er særligt væsentlige:

  • Klassificering af Personoplysninger for at sikre implementering af sikkerhedsforanstaltninger relevante i forhold til risikovurderinger.
  • Vurdering af kryptering og pseudonymisering som risikoreducerende faktorer
  • Begrænse adgangen til Personoplysninger til de relevante personer, der skal til for at overholde krav og forpligtelser i Aftalen eller i henhold til Parternes aftale om anvendelse af Applikationen.
  • Drift og implementering af systemer der kan opdage, genoprette, imødegå og rapportere hændelser i forhold til Personoplysninger.
  • Kortlægge sikkerhedsstrukturen samt hvordan Personoplysninger overføres imellem Parterne.
  • Foretage vurdering af eget sikkerhedsniveau for at sikre, at nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til beskyttelse af Personoplysninger, herunder i henhold til GDPR artikel 32 om behandlingssikkerhed samt artikel 25 om privacy by design og default.

ADGANG TIL REVISION

Den Dataansvarlige er berettiget til at igangsætte en revision af Databehandlerens forpligtelser i henhold til Aftalen én gang årligt. Hvis den Dataansvarlige er forpligtet hertil efter gældende lovgivning, kan der foretages revision oftere en én gang årligt. Den Dataansvarlige skal i forbindelse med anmodning om en revision medsende en detaljeret revisionsplan med en beskrivelse af omfang, varighed og startdato minimum fire uger forud for den foreslåede startdato. Det skal besluttes i fællesskab mellem Parterne, hvis en tredjepart skal foretage revisionen. Imidlertid kan den Dataansvarlige lade Databehandleren bestemme, at revisionen af sikkerhedsårsager skal foretages af en neutral tredjepart efter Databehandlerens valg, såfremt der er tale om et behandlingsmiljø hvor flere dataansvarliges data er anvendt.

Hvis det foreslåede omfang for revisionen følger en ISAE, ISO eller lignende certificeringsrapport udført af en kvalificeret tredjepartsrevisor inden for de forudgående tolv måneder, og Databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den Dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket.

Under alle omstændigheder skal revision finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter.

Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens assistance i forbindelse hermed, som overskrider den almindelige service som Databehandleren skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes særskilt.

VARIGHED OG OPHØR

Aftalen er gældende, så længe Databehandleren behandler Personoplysninger på vegne af den Dataansvarlige i forbindelse med den Dataansvarliges brug af Applikationen.

Denne Aftale vil automatisk ophøre ved udgangen af den Dataansvarliges opsigelsesperiode i forhold til abonnement på Applikationen. Ved ophør af abonnementet vil Databehandleren slette eller returnere alle Personoplysninger i det relevante format, som Databehandleren har behandlet på vegne af den Dataansvarlige under Aftalen. Såfremt den Dataansvarlige ønsker bistand til returnering af data, fastsættes omkostninger forbundet hermed i fællesskab af Parterne og skal baseres på:

  • timetakster for Databehandlerens anvendte tid
  • kompleksiteten af den anmodede proces og
  • det valgte format.

Databehandleren er berettiget til at beholde Personoplysninger efter ophør af Aftalen i det omfang, det er nødvendigt i henhold til gældende lov, hvilket i så fald vil ske i overensstemmelse med de tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i Aftalen.

ÆNDRINGER

Ændringer til Aftalen skal vedlægges i et særskilt bilag til Aftalen.

Hvis nogen af bestemmelserne i Aftalen er ugyldige, får dette ikke indvirkning på de resterende bestemmelser. Parterne skal erstatte ugyldige bestemmelser med en lovlig bestemmelse, som afspejler formålet med den ugyldige bestemmelse.

ANSVAR

Ansvar for handlinger i strid med bestemmelserne i denne Aftale reguleres af ansvars- og erstatningsbestemmelser i Abonnementsvilkårene for Applikationen.

Dette gælder ligeledes for enhver overtrædelse, som foretages af Databehandlerens Underdatabehandlere.

LOVVALG OG VÆRNETING

Aftalen er underlagt dansk ret og enhver tvist skal forelægges en dansk domstol.

Bilag A

Kategorier af Personoplysninger og Registrerede

Kategorier af Registrerede og Personoplysninger som behandles i henhold til Aftalen:

1.1. KATEGORIER AF REGISTREREDE

  1. Den Dataansvarliges slutbrugere
  2. Den Dataansvarliges medarbejdere
  3. Den Dataansvarliges kontaktpersoner
  4. Den Dataansvarliges kunders medarbejdere
  5. Den Dataansvarliges kunders kontaktpersoner
  6. Evt.

1.2. KATEGORIER AF PERSONOPLYSNINGER

  1. Navn
  2. Titel
  3. Telefonnummer
  4. E-mail
  5. Adresse
  6. Evt.

2. Kategorier af Følsomme Personoplysninger som behandles i henhold til Aftalen

Databehandleren skal på vegne af den Dataansvarlige behandle én eller flere af nedenstående informationer om:

  1. Politisk, filosofisk eller religiøs overbevisning
  2. Fagforeningsmæssige tilhørsforhold
  3. Race eller etnisk oprindelse
  4. Helbredsoplysninger
  5. Oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
  6. Genetiske eller biometriske data med det formål entydigt at identificere en fysisk person.

Underleverandører til CustomOffice

Nedenstående underleverandører af vores IT-systemer kan få adgang til vores kunders persondata idet man indgår en aftale med CustomOffice. De leverer services, vi vurderer er nødvendige for, at vi kan leve op til den aftale, du som kunde laver med CustomOffice ved at blive kunde hos os.


Listen vil til enhver tid blive løbende opdateret ved eventuelle ændringer. Hvis der bliver tilføjet en underleverandør, vil alle kunder ligeledes blive varslet.

         
  Lokation / Land Lovligt grundlag for processering udenfor EU Funktion Opdateret
Amazon Web services USA Privacy Shield Hosting 23 Nov 2021
Apple App Store USA Privacy Shield Monitorering 23 Nov 2021
Digital Ocean USA Privacy Shield Hosting 23 Nov 2021
FreshDesk USA Privacy Shield Kundeservice 23 Nov 2021
Google Business USA Privacy Shield Kommunikation 23 Nov 2021
Google Play USA Privacy Shield Monitorering 23 Nov 2021
MailChimp USA Privacy Shield Markedsføring 23 Nov 2021
Slack USA Privacy Shield Kommunikation 23 Nov 2021
Trello USA Privacy Shield Kommunikation 23 Nov 2021
Visma e-conomic Danmark Privacy Shield Bogholderi 23 Nov 2021
Facebook USA Privacy Shield Kommunikation 23 Nov 2021
Linkedin USA Privacy Shield Markedsføring 23 Nov 2021
Paarup Regnskab Danmark   Bogholderi 23 Nov 2021
Monday.com USA Privacy Shield Markedsføring 23 Nov 2021
Corpay One Danmark   Bogholderi 23 Nov 2021

 

 

Indtast virksomhedsdomæne
.customoffice.dk
Næste ➔