Databehandlingsvilkår

Kunden, som tiltræder disse vilkår, og Danoffice IT Green, CVR nr. 32840647, har indgået aftale om Danoffice IT Green levering af ydelser, hvor det specifikt er overladt Danoffice IT Green at forestå konkret behandling af personoplysninger.

Aftalte betingelser for databehandling

Kunden, som tiltræder disse vilkår, og Danoffice IT Green, CVR nr. 32840647, har indgået aftale om Danoffice IT Green levering af ydelser, hvor det specifikt er overladt Danoffice IT Green at forestå konkret behandling af personoplysninger.

Danoffice IT Green vil i henhold til Databeskyttelsesforordningens definitioner være databehandler for Kunden ved levering af de aftalte ydelser. Parterne anerkender, at Databeskyttelsesforordningen og Databeskyttelsesloven finder anvendelse for Danoffice IT Greens behandling af personoplysninger på vegne af Kunden.

Databehandlingsvilkårene er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), når Danoffice IT Green er databehandler for Kunden.

Databehandlingsvilkårene har virkning fra det tidspunkt, Kunden accepterer dem, og Databehandlingsvilkårene erstatter fra dette tidspunkt enhver tidligere databehandleraftale indgået mellem parterne. Databehandlingsvilkårene supplerer parternes aftale og har forrang i forhold til eventuelt konfliktende vilkår.

Databehandleraftale

Databehandlingsvilkårene udgør parternes databehandleraftale for de af Kunden overladte behandlinger af personoplysninger, og som Danoffice IT Green har påtaget sig som led levering af de i aftalte ydelser.
Databehandlingsvilkårene fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Danoffice IT Green foretager behandling af personoplysninger på vegne af Kunden, og Databehandlingsvilkårene angiver de overordnede sikkerhedsforanstaltninger, som Danoffice IT Green iagttager.

For de behandlingsaktiviteter, der er overladt til Danoffice IT Green at udføre for Kunden, er Danoffice IT Green databehandler i overensstemmelse med de gældende databeskyttelsesregler, mens Kunden enten er dataansvarlig eller databehandler i overensstemmelse med de gældende databeskyttelsesregler.
Parterne skal hver især overholde de forpligtelser, som de gældende databeskyttelsesregler fastsætter, og Databehandlingsvilkårene frigør dermed ikke hverken Danoffice IT Green eller Kunden for sådanne forpligtelser.

 

Varighed

Databehandlingsvilkårene er gældende, indtil Danoffice IT Green har slettet Kundens data i overensstemmelse med den regulering, der er indeholdt i disse Databehandlingsvilkår. Databehandlingsvilkårene og parternes aftale er indbyrdes afhængige, og aftalerne kan derfor ikke opsiges særskilt.

 

Danoffice IT Greens særlige garantier

Danoffice IT Green garanterer overfor Kunden, at Danoffice IT Green besidder tilstrækkelig ekspertise, pålidelighed og ressourcer til at gennemføre fornødne foranstaltninger for at overholde Databeskyttelsesforordningen, for så vidt angår de behandlingsaktiviteter, Danoffice IT Green skal gennemføre for Kunden ifølge aftalen.

 

Kundens særlige ansvar

Kunden er ansvarlig for at overholde den til enhver tid gældende persondatalovgivning i forhold til de personoplysninger, som overlades til Danoffice IT Greens behandling.

Kunden er herunder overfor Danoffice IT Green navnlig ansvarlig for og indestår for, at: – Kunden har fornøden hjemmel til at behandle og til at overlade det til Danoffice IT Green at behandle de personoplysninger, som inkluderes i de ydelser, Danoffice IT Green leverer til Kunden. I de tilfælde hvor Kunden er databehandler for de personoplysninger, som overlades til Danoffice IT Greens behandling, garanterer Kunden overfor Danoffice IT Green, at Kundens instrukser, sådan som de kommer til udtryk gennem disse Databehandlingsvilkår og parternes aftale, samt anvendelsen af Danoffice IT Green og dennes underdatabehandlere som anden databehandler, er autoriseret af den dataansvarlige. – Den afgivne instruks, i henhold til hvilken Danoffice IT Green skal behandle personoplysninger på vegne af Kunden, er lovlig.

 

Behandlingernes karakter og formål

De aftalte behandlingers karakter er fastsat af parterne til gennemførelse af IT-services fra Danoffice IT Green til Kunden, herunder sletning af personoplysninger i forbindelse med levering af de aftalte ydelser. Danoffice IT Green vil dermed behandle de overladte personoplysninger med det aftalte formål at levere de aftalte ydelser.

 

Typen af oplysninger

De overladte behandlinger omfatter de typer af personoplysninger, som Kunden overlader Danoffice IT Green i forbindelse med levering af de aftalte ydelser. Behandlingen omfatter almindelige ikke-følsomme personoplysninger, herunder navne, e-mailadresser og telefonnumre, medmindre den dataansvarlige har givet udtrykkelige oplysninger herom.

 

Kategorier af registrerede

Kategorierne af registrerede personer, som Danoffice IT Green overlades at behandle personoplysninger om, omfatter de kategorier, som Kunden overlader Danoffice IT Green i forbindelse med levering af de aftalte ydelser. Kategorien af registrerede omfatter eksempelvis Kundens ansatte og samarbejdspartnere.

 

Omfang af behandlingsaktiviteter

Danoffice IT Green må alene udføre behandling af Kundens personoplysninger i overensstemmelse med Kundens instrukser, som er dokumenteret gennem en skriftlig aftale, og som Danoffice IT Green har accepteret.

Ved Kundens accept af Databehandlervilkårene instruerer Kunden Danoffice IT Green til at foretage behandling af Kundens personoplysninger i forbindelse med levering af de aftalte ydelser. Kunden kan herudover anmode Danoffice IT Green om at modtage yderligere skriftlige instrukser for behandling af personoplysninger for Kunden, idet Danoffice IT Green frit kan vælge at acceptere eller afslå sådanne yderligere instrukser. Danoffice IT Green accepterer dog altid en instruks om at ophøre med at foretage videre behandling, hvilket medfører, at Danoffice IT Green sletter Kundens data, som angivet under punktet Udlevering og sletning af Kundens data nedenfor.

Danoffice IT Green vil efterkomme Kundens instrukser, som Danoffice IT Green har godkendt, medmindre sådan behandling vil være i strid med den gældende databeskyttelseslovgivning, som Danoffice IT Green er underlagt. I så fald underretter Danoffice IT Green Kunden herom.

Danoffice IT Green er dog uanset Kundens instrukser – herunder også om sletning – forpligtet til at foretage behandlinger af Kundens personoplysninger, hvis dette følger af en retlig forpligtelse, som Danoffice IT Green er underlagt. Kunden underrettes i så fald herom, inden behandlingen gennemføres, med mindre sådan underretning er ulovlig. Kunden fastlægger dermed formål og omfang af de til Danoffice IT Green overladte behandlingsaktiviteter.

Varighed af behandlingsaktiviteter

Danoffice IT Green foretager behandling af Kundens personoplysninger, så længe Danoffice IT Green er forpligtet hertil ifølge aftalen. Kunden kan herudover i overensstemmelse med punktet Udlevering og sletning af Kundens data instruere Danoffice IT Green om at slette dataene på et tidligere tidspunkt.

 

Sikkerhedsforanstaltninger

Danoffice IT Green iværksætter alle foranstaltninger, som kræves i henhold til Databeskyttelsesforordningen artikel 32. Danoffice IT Green gennemfører herunder passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de overladte personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.

Danoffice IT Green kan løbende ændre i gennemførte sikkerhedsforanstaltninger, idet Danoffice IT Green ved ændringer i sikkerhedsforanstaltninger dog skal tilstræbe, at ændringerne overordnet set ikke fører til en forringelse af sikkerhedsniveauet.

Danoffice IT Green gennemfører dog sikkerhedsforanstaltninger ud fra en gennemsnitlig betragtning af, hvad der er passende, og parterne aftaler derfor, at Kunden inter partes er ansvarlig for at vurdere, om de gennemførte foranstaltninger er tilstrækkelige til at sikre et sikkerhedsniveau, der passer til den risiko, der er forbundet med behandlingsaktiviteterne, som er overladt til Danoffice IT Green.

Kunden er i forholdet mellem parterne ansvarlig for Kundens egne beslutninger om sikkerhed, herunder også for Kundens valg af anvendt udstyr, services mv.

 

Rapportering af sikkerhedsbrud

Hvis Danoffice IT Green bliver opmærksom på, at der er sket brud på persondatasikkerheden i forhold til Danoffice IT Greens ydelser til Kunden, skal Danoffice IT Green underrette Kunden om bruddet på persondatasikkerheden uden unødig forsinkelse efter, at Danoffice IT Green er blevet bekendt med, at der er sket et sådant brud.

Danoffice IT Green skal uden unødig forsinkelse efter at være blevet bekendt med, at der er sket et brud på persondatasikkerheden, tage rimelige og proportionelle skridt for at begrænse skaden ved bruddet.

I forlængelse af underretningen til Kunden skal Danoffice IT Green give en beskrivelse af omstændighederne ved bruddet, bruddets karakter, hvilke skridt Danoffice IT Green har taget eller påtænker at tage for at begrænse skaden ved bruddet, og hvilke forhold Danoffice IT Green mener, Kunden skal være særlig opmærksom på i forbindelse med bruddet med henblik på, at Kunden kan opfylde sine forpligtelser ved sikkerhedsbrud indenfor Databeskyttelsesforordningens opsatte tidsfrister. Underretning kan fremsendes på e-mail til den af Kunden angivne kontaktperson.

Danoffice IT Greens meddelelse om brud på persondatasikkerheden udgør ikke en anerkendelse af skyld eller ansvar i forhold til et indtruffet brud på persondatasikkerheden.

Danoffice IT Green bistår herudover på anmodning Kunden med at sikre overholdelse af Kundens forpligtelser i medfør af Databeskyttelsesforordningens artikel 33 og artikel 34 under hensyntagen til den overladte behandlings karakter og de oplysninger, der er tilgængelige for Danoffice IT Green i forhold til et brud på persondatasikkerheden, som indtræffer hos Danoffice IT Green.

 

Brug af underdatabehandlere

Kunden giver ved sin accept af disse Databehandlervilkår sin generelle godkendelse til, at Danoffice IT Green må gøre brug af andre databehandlere (underdatabehandlere).

Danoffice IT Green sikrer ved antagelse af en underdatabehandler, at der indgås en skriftlig aftale med underdatabehandleren, hvorigennem det sikres, at

  • der stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelsesforordningen,
  • underdatabehandleren pålægges de samme databeskyttelsesforpligtelser som dem, der er fastsat i disse Databeskyttelsesvilkår, hvilket vil sige, at kravene i Databeskyttelsesforordningen art. 28(3) skal efterleves, samt at
  • underdatabehandleren alene behandler Kundens persondata i den udstrækning, det er påkrævet for at opfylde de leveranceforpligtelser, underdatabehandleren har påtaget sig overfor Danoffice IT Green, samt at behandlingen sker i overensstemmelse med de aftalte instrukser.

Opfylder en underdatabehandler ikke sine databeskyttelsesforpligtelser, forbliver Danoffice IT Green fuldt ansvarlig over for Kunden for opfyldelsen af underdatabehandlerens databeskyttelsesforpligtelser.

Danoffice IT Green sikrer sig løbende oversigt over anvendte underdatabehandlere. Såfremt Kunden får et dokumenteret behov herfor, kan Kunden anmode edgemo green om at få oplyst navnet på en konkret underdatabehandler.

Har Kunden indsigelser mod den konkrete underdatabehandler, kan Kunden opsige sin aftale med Danoffice IT Green med virkning enten øjeblikkelig eller fra udløb af den på opsigelsestidspunktet igangværende kalendermåned. Det er en forudsætning for opsigelse efter dette punkt, at opsigelsen afgives overfor Danoffice IT Green inden for 30 dage, efter Danoffice IT Green har oplyst Kunden om den anvendte underdatabehandler. Opsigelse af aftalen er Kundens eneste beføjelser overfor Danoffice IT Green i denne situation.

Overførsler af data

Danoffice IT Green opbevarer Kundens data indenfor EU, og der overføres derfor ikke personoplysninger til tredjelande.

Danoffice IT Green kan dog som en undtagelse overføre Kundens data, inklusive personoplysninger, til et tredjeland eller en international organisation, når det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Danoffice IT Green er underlagt; i så fald underrettes Kunden om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

 

Bistand til Kunden

Danoffice IT Green forpligter sig til efter Kundens skriftlige anmodning herom at yde Kunden følgende bistand: Danoffice IT Green bistår, under hensyntagen til de overladte behandlingers karakter, så vidt muligt Kunden ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af Kundens forpligtelse til at besvare anmodninger om udøvelsen af registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel 3.

Modtager Danoffice IT Green en anmodning direkte fra en registreret eller potentielt registreret om udøvelse af dennes rettigheder, formidler Danoffice IT Green straks henvendelsen videre til Kunden, som herefter afgør, om edgemo greens assistance skal rekvireres.

Danoffice IT Green bistår også Kunden med at sikre overholdelse af Kundens forpligtelser i medfør af Databeskyttelsesforordningens artikel 32-36 under hensyntagen til de til Danoffice IT Green overladte behandlingers karakter og de oplysninger, der er tilgængelige for Danoffice IT Green.

Danoffice IT Green er berettiget til et særskilt vederlag for den bistand, der ydes til opfyldelse af Kundens anmodninger under dette punkt Bistand til Kunden. Vederlaget beregnes på grundlag af det tidsforbrug, Danoffice IT Green har anvendt, samt Danoffice IT Greens almindelige timesats for sådant arbejde. For så vidt angår bistand til opfyldelse af Kundens forpligtelser efter Databeskyttelsesforordningen art. 33-34, har Danoffice IT Green dog ikke krav på vederlag for opfyldelse af de forpligtelser, Danoffice IT Green har efter punktet Rapportering af sikkerhedsbrud.

 

Udlevering og sletning af Kundens data

Medmindre Kunden har krævet andet, sletter Danoffice IT Green alle personoplysninger fra Kunden, og Danoffice IT Green sletter eksisterende kopier, medmindre Danoffice IT Green er underlagt en retlig forpligtelse, som foreskriver, at Danoffice IT Green skal foretage opbevaring af personoplysningerne.

Danoffice IT Greens gennemførelse af Kundens instruks om at slette eller udlevere Kundens oplysninger sker i overensstemmelse med Databeskyttelsesforordningens regulering og så hurtigt, som det er praktisk muligt.

Såfremt Kunden har krævet andet end sletning, så tillader Kunden, som del af instruksen til Danoffice IT Green herudover, at kundens data indgår i en backupprocedure, hvorfra data slettes, når backuppen i overensstemmelse med Danoffice IT Greens backupprocedure destrueres.

 

Ansvar og ansvarsbegrænsning

For erstatning og anden kompensation, som skal betales til registrerede som følge af overtrædelse af Databeskyttelsesforordningen, finder Databeskyttelsesforordningen artikel 82 og supplerende regler i Databeskyttelsesloven anvendelse, og parterne er dermed inter partes hver især ansvarlig for at udrede den del af sådanne beløb, som svarer til deres del af ansvaret for skaden, herunder disse Databehandlingsvilkår taget i betragtning. Om nødvendigt fastsættes ansvarsfordelingen gennem domstolsprøvelse.

For bøder og anden straf, der pålægges som følge af en ulovlig behandling af personoplysninger, som Danoffice IT Green foretager for Kunden, fastlægges den endelige interne fordeling af sådanne bøder efter samme principper, uanset hvem en bøde i første omgang er pålagt. Herunder tages også parternes garantier overfor hinanden i betragtning.

 

Danoffice IT Greens førelse af fortegnelser

Danoffice IT Green er forpligtet til at føre fortegnelser over de kategorier af behandlingsaktiviteter, som udføres for Kunden i overensstemmelse med Databeskyttelsesforordningen art. 30.

Kunden er forpligtet til at oplyse Danoffice IT Green om navn og kontaktoplysninger på Kundens eventuelle repræsentant og databeskyttelsesrådgiver og ajourføre sådanne oplysninger, så fortegnelserne kan føres korrekt af Danoffice IT Green.

Oplysningerne skal Kunden indsende til Danoffice IT Green på de kontaktoplysninger, der er angivet nedenfor under Danoffice IT Greens kontaktoplysninger.

Fortrolighedsforpligtelse

Danoffice IT Green skal sikre, at de personer, Danoffice IT Green har autoriseret til at behandle Kundens personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

Danoffice IT Green og enhver, der udfører arbejde for Danoffice IT Green, og som har adgang til Kundens personoplysninger, må kun behandle disse oplysninger efter Kundens instruks, som er accepteret af Danoffice IT Green, medmindre anden behandling kræves i henhold til en retlig regulering eller domstolsafgørelse, som Danoffice IT Green er underlagt.

Danoffice IT Green må alene autorisere personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Danoffice IT Greens forpligtelser overfor Kunden. Danoffice IT Green skal løbende vurdere autorisationer og lukke adgange, når autorisationer udløber eller ophører.

 

Tilsyn og revision

Danoffice IT Green stiller alle oplysninger til rådighed for Kunden, der er nødvendige for at påvise overholdelse af kravene i Databeskyttelsesforordningen artikel 28 samt de krav til Danoffice IT Green, som fastsættes i disse Databehandlingsvilkår.

Danoffice IT Green giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Kunden eller en anden revisor, som er bemyndiget af Kunden. Kunden kan anmode om gennemførelse af fysisk inspektion hos Danoffice IT Green.

Anmodning skal fremsendes skriftligt til Danoffice IT Green med angivelse af, hvad Kunden ønsker at lade omfatte af inspektionen. Parterne aftaler herefter de nærmere omstændigheder og omfang for inspektion, herunder tidspunkt for gennemførelse og rapporteringsform.

Inspektion kan alene ske af en person, som underlægger sig Danoffice IT Greens almindelige sikkerhedsforanstaltninger, og som tiltræder en fortrolighedsklausul direkte overfor Danoffice IT Green. Danoffice IT Green kan fremsætte indsigelse mod en af Kunden udpeget person til gennemførelse af inspektion, hvis den udpegede person efter Danoffice IT Greens rimelige vurdering ikke er egnet eller kvalificeret til at kunne gennemføre inspektionen, herunder at personen (1) ikke er uafhængig, (2) er en direkte konkurrent til Danoffice IT Green eller (3) af anden grund oplagt er uegnet til varetagelse af opgaven. Fremsætter Danoffice IT Green indsigelse mod den udpegede person, må Kunden udpege anden person til gennemførelse af inspektionen.

Tilsyn med Danoffice IT Greens anvendte underdatabehandlere sker gennem Danoffice IT Green. Kunden kan dog vælge at initiere og deltage på en fysisk inspektion også hos underdatabehandleren. Tilsyn skal her ske under overholdelse af underdatabehandlerens opsatte vilkår for inspektion.

Danoffice IT Green og underdatabehandleres eventuelle omkostninger i forbindelse med afholdelse af et fysisk tilsyn eller inspektion hos enten Danoffice IT Green eller underdatabehandleren afholdes af Kunden. Danoffice IT Green og eventuelle underdatabehandlere er herudover berettiget til vederlag for den medgåede tid til inspektionen, fastsat ud fra gældende prisliste.

 

Ændringer til Databehandlervilkårene

Danoffice IT Green kan med et varsel på 90 dage ændre disse Databehandlingsvilkår. Ændringer, som nødvendigvis må gennemføres uden at kunne afvente udløb af et sådant varsel, kan gennemføres straks.

Oplysninger om planlagte ændringer fremsendes til Kunden. Hvis Kunden ikke ønsker at acceptere de varslede ændringer, kan Kunden opsige sin aftale. Kunden har ikke herudover nogen beføjelser som konsekvens af ændringer til Databehandlingsvilkårene.

 

Danoffice IT Greens kontaktoplysninger

Kundens henvendelser til Danoffice IT Green omkring databeskyttelse, herunder også anmodninger om tilsyn og inspektion, skal fremsendes til: Lars Baun (CEO), Danoffice IT Green – lbj@danofficeit.com

 

Parternes opbevaringspligt

Danoffice IT Green og Kunden er forpligtet til elektronisk at opbevare hver sin version af disse Databehandlingsvilkår og aftalen samt eventuelle øvrige aftaler og/eller oplysninger, som er af betydning for eller supplerer disse Databehandlingsvilkår.

Om DOIT Green

Lad os hjælpe med jeres brugte it