Generel Databehandleraftale for Winholistic ApS´ kunder

I forbindelse med de nationale databeskyttelses regler for personoplysninger, samt Europa-Parlamentes og Europa Rådets forordning (EU) 2016/279 (GDPR), har Winholistic ApS fastlagt sine aktiviteter som Databehandler på sine kunders vegne, som nedenfor beskrevet. Winholistic´s medarbejdere kan blive Databehandlere overfor vores kunder på given foranledning. I den forbindelse skelner vi mellem vores behandling af kundens samlede data – og behandling af personoplysninger på vegne af vore kunder. Nærværende er udarbejdet med afsæt i Datatilsynets vejledninger og træder i kraft fra 25. maj 2018. Winholistic´s generelle betingelser for service og support er hovedaftale for nærværende databehandleraftale.

1 Generel Databehandling

Winholistic bliver Databehandler når vi tilgår dele eller alle vores kunders data. Winholistic bliver Databehandler hvis vi i en supportsituation overtager betjeningen af en brugers terminal. Ovenstående er omfattet af nærværende generelle aftale.

2 Behandling af personoplysninger

Winholistic´s medarbejdere må kun behandle personoplysninger på vegne af vore kunder efter nærmere skriftlige anvisninger fra kunden (typisk er e-mailanvisning tilstrækkelige og denne kan udstedes som en stående tilladelse i forbindelse med fx men ikke begrænset hertil et længerevarende samarbejde).

Datatilsynet understreger at Databehandleren skal instrueres:

  1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retslige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

  2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. Det er desuagtet til enhver tid den dataansvarliges ansvar, at instrukser overholder gældende lovgivning overholdes.

Generelle forhold og forhold ved direkte behandling af persondata.

3 Fortrolighed og tavshedspligt

  1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.

  2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.

  3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

4 Behandlingssikkerhed

  1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med databehandlerens tilpasning af behandlingssikkerhed vil fremgå af parternes ”hovedaftale”. Som hovedregel vil Winholistic yde den ønskede bistand og fakturere vores kunde efter forbrugt tid.

5 Eventuel anvendelse af underdatabehandlere

  1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).

  2. Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.

  3. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

  4. Når databehandleren har den dataansvarliges godkendelse til at gøre brug af en underdatabehandler, sørger databehandleren for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.
    Databehandleren er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som databehandleren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag.

  5. Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom - i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem databehandleren og underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.

  6. Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandleren, f.eks. så den dataansvarlige kan instruere underdatabehandleren om at foretage sletning eller tilbagelevering af oplysninger.

  7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

  8. Winholistic anvender freelancetilknyttede medarbejdere, som for nærværende aftale er at betragte på lige fod med Winholistic´s øvrige medarbejdere.

6 Eventuel overførsel af oplysninger til tredjelande eller internationale organisationer

  1. 1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; I så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

  2. Uden den dataansvarliges instruks eller godkendelse kan databehandleren – indenfor rammerne af databehandleraftalen - derfor bl.a. ikke;

    1. videregive personoplysningerne til en dataansvarlig i et tredjeland eller i en international organisation,

    2. overlade behandlingen af personoplysninger til en underdatabehandler i et tredjeland,

    3. lade oplysningerne behandle i en anden af databehandlerens afdelinger, som er placeret i et tredjeland.

7 Databehandleren skal bistå den dataansvarlige

  1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
    Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:


    1. oplysningspligten ved indsamling af personoplysninger hos den registrerede

    2. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede

    3. den registreredes indsigtsret

    4. retten til berigtigelse

    5. retten til sletning (»retten til at blive glemt«)

    6. retten til begrænsning af behandling

    7. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling

    8. retten til dataportabilitet

    9. retten til indsigelse

    10. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering

  2. Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.
    Dette indebærer, at databehandleren under hensyntagen til behandlingens karakter skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:


    1. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen

    2. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

    3. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder

    4. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder

    5. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen

  3. Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med databehandlerens bistand til den dataansvarlige vil fremgå af parternes ”hovedaftale”. Som hovedregel vil Winholistic yde den ønskede bistand og fakturere vores kunde efter forbrugt tid.

8 Underretning om brud på persondatasikkerheden

Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.

9 Sletning og tilbagelevering af oplysninger

Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

10 Tilsyn og revision

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.

Parternes eventuelle regulering/aftale om vederlæggelse eller lignende i forbindelse med databehandlerens bistand omkring tilsyn og revision, vil fremgå af parternes ”hovedaftale”. Som hovedregel vil Winholistic yde den ønskede bistand og fakturere vores kunde efter forbrugt tid.

Nyheder

The Loyalty Virus

Loyalitetsekspert og CEO Peter Winther er forfatter til den anmelderroste bog ”The Loyalty Virus”, der handler om spredning af loyalitetsvirus.

Køb bogen her

Bøger horisontalt lav opløsning

Videoer fra Winholistic

Klik her for at se vores video site.

videoer

Præsentationsvideo

Holistic Experience™ bygger på troen på, at et holistisk fokus på medarbejdere, kunder og det omliggende samfund sikrer virksomheden vedvarende succes.

Hold mig opdateret

Ja tak, jeg vil gerne kontaktes med nyheder, tilbud og inspiration fra Winholistic ApS via e-mail, brev, SoMe, telefon og sms. Jeg kan selvfølgelig altid framelde mig igen. Læs mere

Når du giver os din mailadresse og telefonnummer siger du ja til, at Winholistic ApS fremover må kontakte dig via e-mail, brev, SoMe, telefon og sms med nyheder, konkurrencer, dataindsamling, gode råd og tilbud om personlig udvikling, kurser og konsulentydelser.

Dine oplysninger bruges til at give dig anbefalinger og tilbud, der passer til dig.

Du vil kun blive kontaktet af Winholistic ApS, aldrig fra samarbejdspartnere, og vi videregiver ikke din e-mail-adresse til nogen. Undertiden vil vi sende dig relevante tilbud fra vores samarbejdspartnere (som løbende opdateres) se opdateret liste her.

Du accepterer at dine oplysninger behandles automatisk til brug for markedsføring, profilering og lignende.

Du kan ligeledes til enhver tid få rettet eller tilbagekaldt din profil eller lignende ved skriftlig henvendelse til info@winholistic.dk eller ved at sende et brev til Winholistic ApS, Borupvang 3, 2750 Ballerup, CVR nr. 32142532.

Tilmeld nyhedsbrev

Kontakt os

kort


Borupvang 3, 2750 Ballerup

+45 53 38 34 00

Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.