ESET-onlinehjælp

Søg Dansk
Vælg kategorien
Vælg emnet

Databehandlingsaftale

Gældende fra 29. september 2023 | Se en tidligere version af databehandlingsaftalen | Sammenlign ændringer

I henhold til kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (i det følgende benævnt "GDPR") indgår udbyderen (i det følgende benævnt "databehandleren") og du (i det følgende benævnt den "dataansvarlige") et kontraktmæssigt forhold om databehandling for at definere vilkårene og betingelserne for behandling af personoplysninger, måden de beskyttes på, samt for at definere andre rettigheder og forpligtelser for begge parter i behandling af de registreredes personoplysninger på vegne af den dataansvarlige, mens emnet for disse vilkår udføres i henhold til hovedaftalen.

1. Behandling af personoplysninger. De tjenester, der leveres i overensstemmelse med disse vilkår, omfatter behandling af oplysninger vedrørende en identificeret eller identificerbar fysisk person som anført i fortrolighedspolitikken (i det følgende benævnt "personoplysninger").

2. Godkendelse. Den dataansvarlige bemyndiger databehandleren til at behandle personoplysninger, inklusive følgende instruktioner:

(i) Formålet med behandling betyder levering af tjenester i overensstemmelse med disse vilkår. Databehandleren må kun behandle personoplysninger på vegne af den dataansvarlige vedrørende levering af tjenester, som den dataansvarlige anmoder om. Alle oplysninger, der indsamles til yderligere formål, behandles uden for kontraktforholdet mellem den dataansvarlige og databehandleren.

(ii) Behandlingsperiode betyder perioden fra indgåelse af samarbejde i henhold til disse vilkår til ophør af tjenester

(iii) Omfang og kategorier af personoplysninger. Tjenesterne er kun beregnet til behandling af almindelige personoplysninger. Den dataansvarlige er dog eneansvarlig for fastlæggelsen af personoplysningernes omfang.

(iv) Den registrerede betyder en fysisk person som en autoriseret bruger af den dataansvarliges enheder

(v) Behandlingsaktiviteter betyder enhver handling, der er nødvendig for behandlingen

(vi) Dokumenterede instruktioner betyder instruktioner beskrevet i disse vilkår, bilagene hertil, fortrolighedspolitikken og tjenestedokumentationen. Den dataansvarlige er ansvarlig for den juridiske vurdering af databehandlerens behandling af personoplysninger i henhold til de respektive gældende bestemmelser i databeskyttelseslovgivningen.

3. Databehandlerens forpligtelser. Databehandleren er forpligtet til:

(i) kun at behandle personoplysninger på grundlag af dokumenterede instruktioner og til det formål, der er defineret i vilkårene, bilagene hertil, fortrolighedspolitikken og tjenestedokumentationen

(ii) at instruere de personer, der er autoriseret til at behandle personoplysningerne (i det følgende benævnt "autoriserede personer") om deres rettigheder og pligter i henhold til GDPR, om deres ansvar i tilfælde af overtrædelse og sikre, at autoriserede personer har forpligtet sig til fortrolighed og følger de dokumenterede instruktioner

(iii) at implementere og følge de foranstaltninger, der er beskrevet i vilkårene, bilagene hertil, fortrolighedspolitikken og tjenestedokumentationen

(iv) at hjælpe den dataansvarlige med at besvare anmodninger fra registrerede vedrørende deres rettigheder. Databehandleren må ikke rette, slette eller begrænse behandlingen af personoplysninger uden instruks fra den dataansvarlige. Alle anmodninger fra den registrerede vedrørende personoplysninger, der behandles på vegne af den dataansvarlige, skal straks videresendes til den dataansvarlige.

(v) at bistå den dataansvarlige med underretning af tilsynsmyndigheden og den registrerede om brud på persondatasikkerheden. Databehandleren skal underrette den dataansvarlige om ethvert brud på behandling af personoplysninger eller persondatasikkerheden umiddelbart efter opdagelsen. Databehandleren skal i rimeligt omfang samarbejde i en undersøgelse og ved afhjælpning af et sådant brud og træffe rimelige foranstaltninger for at begrænse yderligere negative konsekvenser.

(vi) at, efter den dataansvarliges valg, at slette eller returnere alle personoplysninger til den dataansvarlige efter behandlingsperiodens udløb. Den dataansvarlige forpligter sig til at informere databehandleren om sin beslutning inden for ti (10) dage efter udløbet af behandlingsperioden. Denne bestemmelse påvirker ikke databehandlerens ret til at opbevare personoplysningerne i det nødvendige omfang til arkiveringsformål i offentlighedens interesse, videnskabelige forskningsformål, statistiske formål eller med henblik på etablering, udøvelse eller forsvar af juridiske krav.

(vii) at føre et ajourført register over alle kategorier af behandlingsaktiviteter, der udføres på vegne af den dataansvarlige

(viii) at stille alle oplysninger, der er nødvendige for at demonstrere overholdelse som en del af vilkårene, bilagene hertil, fortrolighedspolitikken og tjenestedokumentationen, til rådighed for den dataansvarlige. I tilfælde af revision eller kontrol af behandlingen af personoplysninger fra den dataansvarliges side er den dataansvarlige forpligtet til at informere databehandleren skriftligt mindst tredive (30) dage før den planlagte revision eller kontrol.

4. Engagering af en anden databehandler. Databehandleren er berettiget til at engagere en anden databehandler til at udføre specifikke behandlingsaktiviteter, såsom levering af cloud-lagring og infrastruktur til tjenesten i overensstemmelse med vilkårene, bilagene hertil, fortrolighedspolitikken og tjenestedokumentationen. I øjeblikket leverer Microsoft cloud-lager og infrastruktur som en del af Azure Cloud Service. I et sådant tilfælde forbliver databehandleren det eneste kontaktpunkt og den part, der er ansvarlig for overholdelsen. Databehandleren forpligter sig hermed til at informere den dataansvarlige om enhver tilføjelse eller udskiftning af en anden databehandler med henblik på muligheden for at gøre indsigelse mod en sådan ændring.

5. Behandlingsområde. Databehandleren sikrer, at behandlingen finder sted i Det Europæiske Økonomiske Samarbejdsområde eller et land, der er udpeget som sikkert af Europa-Kommissionen, baseret på den dataansvarliges beslutning. Standardkontraktbestemmelser gælder i tilfælde af overførsler og behandling uden for Det Europæiske Økonomiske Samarbejdsområde eller et land, der er udpeget som sikkert af Europa-Kommissionen, efter anmodning fra den dataansvarlige.

6. Sikkerhed. Databehandleren er ikke ISO 27001:2013-certificeret og bruger ISO 27001-rammearbejdet til at implementere en forsvarssikkerhedsstrategi i flere lag ved anvendelse af sikkerhedskontroller på laget med netværk, operativsystemer, databaser, programmer, medarbejdere og driftsprocesser. Overholdelse af de lovgivningsmæssige og kontraktmæssige krav vurderes og gennemgås regelmæssigt på samme måde som databehandlerens øvrige infrastruktur og drift, og der tages de nødvendige skridt til løbende at sikre overholdelse. Processoren har organiseret datasikkerheden ved hjælp af ISMS baseret på ISO 27001. Sikkerhedsdokumentationen omfatter hovedsageligt politikdokumenter for informationssikkerhed, fysisk sikkerhed, udstyrssikkerhed, hændelsesstyring, håndtering af datalækager og sikkerhedshændelser mv.

7. Tekniske og organisatoriske foranstaltninger. Databehandleren skal beskytte personoplysningerne mod tilfældig og ulovlig skade og ødelæggelse, tilfældigt tab, ændring, uautoriseret adgang og videregivelse. Til dette formål skal databehandleren vedtage passende tekniske og organisatoriske foranstaltninger svarende til behandlingsmåden og den risiko, som behandlingen udgør for de registreredes rettigheder i overensstemmelse med kravene i GDPR. En detaljeret beskrivelse af de tekniske og organisatoriske foranstaltninger fremgår af sikkerhedspolitikken.

8. Databehandlerens kontaktoplysninger. Alle meddelelser, anmodninger, krav og anden kommunikation vedrørende beskyttelse af personoplysninger skal rettes til ESET, spol. s.r.o.: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.