Databehandleraftaler
Aftale om databehandling
Denne aftale om databehandling udgør grundlaget for, hvordan CitizenOne A/S håndterer personoplysninger på vegne af vores kunder. Aftalen træder i kraft ved kundens tilmelding som bruger af vores services.
Denne aftale om databehandling er oprettet i overensstemmelse med artikel 28, stk. 3 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (“GDPR”) for at regulere CitizenOne A/S’ behandling af persondata på vegne af dig som kunde.
Aftalen er indgået mellem:
Dataansvarlig:
[Virksomhedens navn, adresse og CVR-nummer]
Kontaktperson:
[kontaktperson og kontaktinformation]
Databehandler:
CitizenOne A/S,
Dronning Olgas Vej 2, 1. Sal,
2000 Frederiksberg,
CVR-nr: 34725845
Kontakt: support@citizenone.dk
I det følgende benævnes parterne henholdsvis “den dataansvarlige” og “databehandleren”. Samlet betegnes de som “parterne”.
1. Formål og grundlag
1.1 Begreber som “personoplysninger,” “særlige kategorier af personoplysninger,” “databehandling,” “den registrerede,” “dataansvarlig” og “databehandler” skal forstås i overensstemmelse med definitionerne i GDPR.
1.2 Denne aftale har til formål at sikre overholdelse af gældende databeskyttelseslovgivning og dokumentere den dataansvarliges instruktioner til databehandleren. Behandlingen af persondata foretages for at understøtte den dataansvarliges brug af CitizenOne A/S’ softwareløsning, som nærmere beskrevet i vores vilkår og betingelser.
1.3 Denne aftale specificerer parternes ansvar og forpligtelser ved behandling af persondata, hvor CitizenOne A/S handler på vegne af den dataansvarlige.
1.4 Aftalen har forrang i tilfælde af konflikt med andre vilkår vedrørende behandling af personoplysninger mellem parterne. Aftalen gælder, så længe den dataansvarlige benytter CitizenOne A/S’ software.
1.5 Intet i denne aftale fritager databehandleren fra de pligter, der pålægges i henhold til gældende databeskyttelseslovgivning.
2. Den dataansvarliges pligter og rettigheder
2.1 Den dataansvarlige skal sikre, at al behandling af persondata i forbindelse med brugen af CitizenOne A/S’ softwareløsning sker i overensstemmelse med GDPR artikel 24 samt anden relevant EU- eller national lovgivning og denne aftale.
2.2 Den dataansvarlige har eneretten til at træffe beslutninger om formålene med og midlerne til behandlingen af personoplysninger, herunder hvad der behandles og indtastes i CitizenOne A/S’ system.
2.3 Det er den dataansvarliges ansvar at sikre, at der er et lovligt grundlag for behandlingen og delingen af personoplysninger, som databehandleren udfører, inklusive til eventuelle underleverandører, som anvendes af databehandleren og er angivet i den til enhver tid gældende oversigt.
2.4 Den dataansvarlige er ansvarlig for, at de persondata, som databehandleren behandler, er præcise, pålidelige og lovligt indsamlede.
2.5 Den dataansvarlige skal sikre, at alle nødvendige tilladelser og anmeldelseskrav til relevante myndigheder er opfyldt i forhold til behandling af personoplysninger.
2.6 Det påhviler den dataansvarlige at informere de registrerede om behandlingen af deres personoplysninger i henhold til gældende databeskyttelseslovgivning.
2.7 Den dataansvarlige erklærer, at CitizenOne A/S har implementeret passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de registreredes rettigheder og data.
3. Behandling i overensstemmelse med instruktioner
3.1 Databehandleren må kun behandle personoplysninger i overensstemmelse med dokumenterede instruktioner fra den dataansvarlige, medmindre andet kræves i henhold til EU- eller national lovgivning. Ved at indgå denne aftale instruerer den dataansvarlige databehandleren til at behandle persondata på følgende måder:
3.1.1 I overensstemmelse med gældende lovgivning;
3.1.2 For at opfylde forpligtelser i henhold til CitizenOne A/S’ betingelser for brug af systemet;
3.1.3 Som nærmere beskrevet i denne aftale.
3.2 Hvis en instruktion fra den dataansvarlige vurderes at være i strid med gældende databeskyttelseslovgivning, skal databehandleren straks underrette den dataansvarlige.
4. Sikkerhed for behandling
4.1 Databehandleren skal opretholde et højt niveau af sikkerhed ved at implementere relevante organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger.
4.2 Adgang til personoplysninger må kun gives til personer, der er underlagt fortrolighedsforpligtelser, og kun i det omfang det er nødvendigt for at opfylde denne aftale. Fortrolighedsforpligtelsen gælder også efter aftalens ophør.
4.3 CitizenOne A/S har indført flere sikkerhedsforanstaltninger, som omfatter:
4.3.1 Gennemførelse af regelmæssige risikovurderinger for at sikre, at tekniske og organisatoriske foranstaltninger er tilstrækkelige;
4.3.2 Kryptering af persondata ved transmission over internettet;
4.3.3 Træning af medarbejdere i databeskyttelse og it-sikkerhed;
4.3.4 Begrænsning af adgang til persondata til kun de relevante personer;
4.3.5 Kontrolsystemer for at identificere og rapportere sikkerhedsbrud;
4.3.6 Løbende tests af systemer og procedurer for at opretholde sikkerheden.
5. Brug af underdatabehandlere
5.1 CitizenOne A/S benytter underdatabehandlere som en del af driften af vores software. Denne aftale udgør den dataansvarliges generelle skriftlige tilladelse til brug af underdatabehandlere, herunder både inden for og uden for EU/EØS.
5.2 CitizenOne A/S sikrer, at underdatabehandlere overholder samme forpligtelser som dem, der er angivet i denne aftale. Den dataansvarlige skal informeres mindst 30 dage før en ny underdatabehandler tages i brug, med ret til at gøre indsigelse, hvis databeskyttelseslovgivningen ikke overholdes. Hvis der ikke kan opnås enighed, kan den dataansvarlige opsige sit abonnement med kort varsel.
6. Overførsel til tredjelande
6.1 Enhver overførsel af persondata til et tredjeland eller en international organisation skal være baseret på et gyldigt overførselsgrundlag, som f.eks. EU’s standardkontraktbestemmelser (SCC’s).
7. Assistance til den dataansvarlige
7.1 Databehandleren bistår den dataansvarlige med at sikre overholdelse af databeskyttelsesforordningen, herunder behandlingssikkerhed, anmeldelse af databrud og overholdelse af de registreredes rettigheder.
7.2 Databehandleren må ikke besvare henvendelser fra registrerede uden tilladelse fra den dataansvarlige, og videregiver ikke oplysninger uden en lovmæssig forpligtelse.
8. Meddelelse om databrud
8.1 Databehandleren skal straks underrette den dataansvarlige om sikkerhedsbrud, der involverer persondata, så den dataansvarlige kan opfylde sine forpligtelser i forhold til databeskyttelsesforordningen.
9. Returnering og sletning af data
9.1 Ved ophør af abonnementet kan den dataansvarlige få sine data udleveret. Herefter vil databehandleren slette eller anonymisere alle personoplysninger i overensstemmelse med gældende regler.
10. Revision og inspektion
10.1 Den dataansvarlige har ret til at gennemføre revision af databehandlerens overholdelse af denne aftale. CitizenOne A/S vil samarbejde med eventuelle revisioner og levere nødvendig dokumentation.
11. Aftalens varighed
11.1 Denne aftale er gældende, så længe CitizenOne A/S behandler personoplysninger på vegne af den dataansvarlige.
12. Ændringer i aftalen
12.1 Ændringer i denne aftale vil blive varslet 30 dage før ikrafttrædelse. Fortsat brug af CitizenOne A/S’ tjenester efter ændringer betragtes som accept af de nye vilkår.
13. Ansvar
13.1 Ansvarsforhold i forbindelse med overtrædelse af denne aftale reguleres af CitizenOne A/S’ almindelige vilkår og betingelser.
14. Lovvalg og værneting
14.1 Denne aftale er underlagt dansk ret, og enhver tvist skal afgøres ved retten i Helsingør.
Bilag A – Kategorier af Persondata
a. Persondata, der kan behandles, omfatter blandt andet:
- Navn
- Titel
- Telefonnummer
- Adresse
- Øvrige relevante oplysninger.
Bilag B – Underdatabehandlere
CitizenOne A/S anvender flere underdatabehandlere til at levere vores tjenester. Vi sørger for at have gyldige aftaler med alle underdatabehandlere for at sikre dine data bedst muligt.
Kontakt os på support@citizenone.dk, hvis du har spørgsmål om vores brug af underdatabehandlere.