Databehandleraftale
Databehandleraftale kan rekvireres ved henvendelse til os.
DATABEHANDLERAFTALE
Mellem
Kunder som via underskrift på en ordrebekræftelse har accepteret databehandleraftale
(Herefter benævnt “Kunden”)
og
KRUNIKA I/S
Stenagervænget 18
7100 Vejle
CVR Nr.: 38297589
(Herefter benævnt “KRUNIKA”)
er der indgået nedenstående databehandleraftale (herefter “Aftalen”) om KRUNIKAs behandling af personoplysninger på vegne af Kunden.
1 Generelt
1.1 Aftalen vedrører KRUNIKAs forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Lov nr. 429
af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven) § 42,
jf. § 41, stk. 3-5. Kravene er beskrevet i:
- Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af
personoplysninger, som behandles for den offentlige forvaltning
(Sikkerhedsbekendtgørelsen).
ii Vejledning nr. 37 af 02/04/2001 til bekendtgørelse nr. 528 af 15. juni 2000 om
sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den
offentlige forvaltning (Sikkerhedsvejledningen).
1.2 Den 25. maj 2018 erstattes Persondataloven af Europa-Parlamentets og Rådets forordning (EU)
2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen) således, at Aftalens pkt. 1.1
(i) – (ii) herefter erstattes med Databeskyttelsesforordningen.
1.3 I Aftalen er indarbejdet de krav, som såvel Persondataloven som de kommende regler i
Databeskyttelsesforordningen stiller til databehandleraftaler.
2 Formål
2.1 KRUNIKA behandler i medfør af aftale med Kunden personoplysninger for Kunden, hvor KRUNIKAs behandlinger og formålet med behandlingerne er beskrevet.
3 Kundens rettigheder og forpligtelser
3.1 Kunden er dataansvarlig for de personoplysninger, som Kunden instruerer KRUNIKA om at behandle.
Kunden har ansvaret for, at de personoplysninger, som Kunden instruerer KRUNIKA om at behandle, må behandles af KRUNIKA, herunder at behandlingen er nødvendig og saglig i forhold til Kundens opgavevaretagelse.
3.2 Kunden har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og 1.2.
3.3 Der kan i Aftalens Bilag A være opremset yderligere forpligtelser, som Kunden skal være
opmærksom på.
4 KRUNIKAs forpligtelser
4.1 KRUNIKA er databehandler for de personoplysninger, som KRUNIKA behandler på vegne af Kunden, jf. pkt. 6 og Bilag A. KRUNIKA har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og 1.2.
4.2 KRUNIKA behandler alene de overladte personoplysninger efter instruks fra Kunden, jf. pkt. 6 og Bilag A, og alene med henblik på opfyldelse af KRUNIKAs Aftale.
4.3 KRUNIKA skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger,
som beskrevet i Sikkerhedsbekendtgørelsen og Sikkerhedsvejledningen (frem til 25. maj 2018) og
Databeskyttelsesforordningen (fra 25. maj 2018), jf. Bilag A – Sikkerhed.
4.4 KRUNIKA skal i overensstemmelse med Databeskyttelsesforordningen på opfordring fra Kunden bistå med at opfylde Kundens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra kandidater om indsigt i egne oplysninger, udlevering af kandidatens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af kandidatens oplysninger, samt Kundens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningens kap. III samt artikel 34. Medmindre andet fremgår af KRUNIKAs Aftale er KRUNIKAs bistand særskilt betalbar.
4.5 KRUNIKA skal fra 25. maj 2018 i overensstemmelse med Databebekyttelsesforordningen bistå Kunden med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36.
Medmindre andet fremgår af KRUNIKAs Aftale er KRUNIKAs bistand særskilt betalbar.
4.6 KRUNIKA garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at KRUNIKAs behandling af Kundens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
5 Underleverandør (underdatabehandler)
5.1 Ved underdatabehandler forstås en underleverandør, til hvem KRUNIKA har overladt hele eller dele af den behandling, som KRUNIKA foretager på vegne af Kunden. Som underleverandør forstås også de partnere som er tilknyttet KRUNIKA – se Bilag C.
5.2 KRUNIKA må ikke uden udtrykkelig skriftlig godkendelse fra Kunden anvende andre
underdatabehandlere end dem, der er angivet i Bilag C, herunder foretage udskiftning af disse, til
at behandle de personoplysninger, som Kunden har overladt til KRUNIKA i medfør af KRUNIKAs
Aftale. Kunden kan ikke nægte at godkende tilføjelse eller udskiftning af en underdatabehandler
medmindre, der foreligger en konkret saglig begrundelse herfor.
5.3 Hvis KRUNIKA overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, skal KRUNIKA indgå en skriftlig (under)databehandleraftale med
underdatabehandleren.
5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme
databeskyttelsesforpligtelser, som KRUNIKA er pålagt efter Aftalen, herunder, at
underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ekspertise,
pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske
foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i
Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
5.5 Når KRUNIKA overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, har KRUNIKA over for Kunden ansvaret for underdatabehandlernes
overholdelse af disses forpligtelser, jf. pkt. 5.3.
5.6 Kunden kan til enhver tid forlange dokumentation fra KRUNIKA for eksistensen og indholdet af
underdatabehandleraftaler for de underdatabehandlere, som KRUNIKA anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kunden.
6 Instrukser
6.1 KRUNIKAs behandling af personoplysninger på vegne af Kunden sker udelukkende efter dokumenteret instruks, jf. Bilag A.
6.2 KRUNIKA giver fra 25. maj 2018 omgående besked til Kunden, hvis en instruks efter KRUNIKAs vurdering er i strid med lovgivningen, jf. pkt. 1.2
7 Tekniske og organisatoriske sikkerhedsforanstaltninger
7.1 KRUNIKA skal frem til 25. maj 2018, jf. Bilag A, træffe de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger:
- tilintetgøres, mistes, ændres eller forringes,
- kommer til uvedkommendes kendskab eller misbruges, eller
iii. i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1
7.2 KRUNIKA skal fra 25. maj 2018, jf. Bilag A, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau.
7.3 KRUNIKA er forpligtet til straks at underrette Kunden om ethvert sikkerhedsbrud uanset, om dette sker hos KRUNIKA eller hos en underdatabehandler.
8 Overførsler til andre lande
8.1 KRUNIKAs overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Kundens instruks herfor, jf. Bilag A.
8.2 Hvis Kundens personoplysninger overføres til en EU-medlemsstat, er det frem til 25. maj 2018
KRUNIKAs ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes.
9 Tavshedspligt og fortrolighed
9.1 KRUNIKA skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
10 Kontroller og erklæringer
10.1 KRUNIKA er forpligtet til at give Kunden nødvendige oplysninger til, at Kunden kan sikre sig, at KRUNIKA overholder de krav, der følger af denne Aftale. KRUNIKAs forpligtelse i henhold til dette punkt 10.1 er vederlagsfri i det omfang det følger af KRUNIKAs Aftale eller Aftalens bestemmelser, at disse oplysninger leveres uden yderligere vederlag.
10.2 Kunden, en repræsentant for Kunden eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision i rimeligt omfang hos KRUNIKA, med henblik på at konstatere, at KRUNIKA overholder de krav, der følger af denne Aftale. KRUNIKAs forpligtelse i henhold til dette punkt 10.2 er vederlagsfri, i det omfang det følger af KRUNIKAs Aftale eller Aftalens bestemmelser, at KRUNIKA medvirker uden yderligere vederlag i forbindelse med inspektion og revision.
10.3 Medmindre andet fremgår af KRUNIKAs Aftale, eller parterne særskilt aftaler udarbejdelse af
anden revisorerklæring, skal KRUNIKA alene udarbejde og fremsende revisionserklæringer som anført i Bilag A. Udarbejdelsen af revisionserklæringer som anført i Bilag A sker vederlagsfrit.
11 Ændringer i Databehandleraftalen
11.1 Kunden kan til enhver tid, med et forudgående varsel på mindst 30 dage, ændre i
Aftalen og instruksen, jf. Bilag A. Ændringsprocessen og omkostningerne aftales skriftligt mellem
Kunden og KRUNIKA i KRUNIKA aftalen. KRUNIKA skal ved sådanne ændringer uden ugrundet ophold sikre, at underdatabehandlerne tillige forpligtes af ændringerne.
11.2 I det omfang ændringer i lovgivningen, jf. pkt. 1.1 og 1.2, eller tilhørende praksis, giver anledning til dette, er hver part med et varsel på 90 dage berettiget til at ændre i Aftalen, I det
omfang ændringer i lovgivningen er dækket af et fast vederlag i medfør af KRUNIKA Aftalen,
modtager KRUNIKA ikke særskilt betaling herfor.
12 Sletning af data
12.1 Kunden træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af
personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af KRUNIKA aftalen.
12.2 Kunden skal senest 30 dage inden KRUNIKA Aftalen ophør skriftligt meddele KRUNIKA, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Kunden. I det tilfælde, hvor
personoplysningerne tilbageleveres til Kunden, skal KRUNIKA ligeledes slette eventuelle kopier. KRUNIKA skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kundens meddelelse.
13 Misligholdelse og tvistigheder
13.1 Misligholdelse og tvistigheder er reguleret i KRUNIKA Aftalen.
14 Erstatning og forsikring
14.1 Erstatnings- og forsikringsspørgsmål er reguleret i KRUNIKA Aftalen.
15 Ikrafttræden og varighed
15.1 Aftalen indgås ved begge parters underskrift og løber indtil ophør af KRUNIKA Aftalen.
16 Formkrav
16.1 Aftalen foreligger elektronisk hos KRUNIKA og betragtes som godkendt af kunden ved underskrift af ordrebekræftelsen mellem en Partner i KRUNIKA og kunden.
Bilag:
Bilag A – Behandling og sikkerhedsforanstaltninger.
Bilag B – Oplysninger om lokationer for behandling.
Bilag C – Anvendte underdatabehandlere.
BILAG A – INSTRUKS OM BEHANDLING AF OPLYSNINGER, TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER I FORBINDELSE HERMED SAMT
ØVRIGE FORHOLD.
Dette bilag er en integreret del af Databehandleraftalen.
1 INSTRUKS
1.1 Beskrivelse og formålet med behandlingen
KRUNIKA anvender et IT-system, som Kunden tilgår via internettet, og som er hosted og drevet af virksomheden Elvium. KRUNIKA hjælper med at håndtere Kundens proces i forbindelse med ansættelse af fremtidige medarbejdere.
Behandlingen af Kundens oplysninger sker i henhold til formålet i KRUNIKA Aftalen. KRUNIKA må ikke anvende oplysningerne til andre formål. Oplysninger må ikke behandles efter instruks fra andre end Kunden.
1.2 Kategorier af registrerede personer
Der behandles oplysninger om følgende kategorier af registrerede personer:
- A) Kundens potentielle fremtidige medarbejdere, som søger stillinger hos Kunden via KRUNIKA
- B) Kundens nuværende medarbejdere hvis Kunden indtaster informationer i KRUNIKAs system.
1.3 Kategorier af personoplysninger
- 3.1 Kategorier af personoplysninger
Almindelige personoplysninger (indtil 25. maj 2018, jf. Persondatalovens § 6, fra 25. maj
2018, jf. Databeskyttelsesforordningens artikel 6)
X Almindelige personoplysninger
Følsomme personoplysninger (indtil 25. maj 2018, jf. Persondatalovens § 7, fra 25. maj 2018,
jf. Databeskyttelsesforordningens artikel 9):
X Racemæssig eller etnisk baggrund
X Politisk overbevisning
X Religiøs overbevisning
X Filosofisk overbevisning
X Fagforeningsmæssige tilhørsforhold
X Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v.
X Seksuelle forhold
Oplysninger om enkeltpersoners rent private forhold (indtil 25. maj 2018, jf.
Persondatalovens § 8, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6 og 9):
X Strafbare forhold
X Væsentlige sociale problemer
X Andre rent private forhold, som ikke er nævnt ovenfor:
___________________________________________________________________________
Oplysninger om cpr-nummer (indtil 25. maj 2018, jf. Persondatalovens § 11, fra 25. maj 2018,
eventuelt national lovgivning, jf. Databeskyttelsesforordningens artikel 87)
X CPR-numre
2 TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER
2.1 KRUNIKA træffer de nedenfor beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med behandlingen af personoplysningerne beskrevet i dette Bilag A.
2.2 KRUNIKA behandler personoplysningerne i overensstemmelse med nærværende Databehandleraftale og de bestemmelser i henholdsvis persondataloven og databeskyttelsesforordningen, der er gældende for databehandler.
2.3 Ansatte og tilknyttede partnere (bilag C) hos KRUNIKA, der er beskæftiget med behandling af personoplysninger under Databehandleraftalen, er underlagt tavshedspligt. Alene personale, som autoriseres hertil, må have adgang til de personoplysninger, der behandles under Databehandleraftalen. Såfremt det følger af Aftalen, at særlige sikkerhedsgodkendelser er påkrævet for personale, der er beskæftiget med behandling af Kundens personoplysninger, skal KRUNIKA sikre, at disse godkendelser tilvejebringes.
2.4 KRUNIKA skal sikre, at KRUNIKAs medarbejdere og tilknyttede partnere modtager tilstrækkelig uddannelse og instruktioner.
2.5 KRUNIKA har begrænsninger på adgangsrettigheder til personoplysninger og et system til
adgangskontrol. Adgang til personoplysninger er begrænset til medarbejdere, og hvor det er
relevant. Adgang tilbagekaldes, når brugeren ikke længere opfylder kriterierne for at have
adgang. KRUNIKA varetager autorisation for KRUNIKAs medarbejdere, partnere og for Kundens medarbejdere.
2.5.1 Adgangsrettigheder gennemgås periodisk.
2.5.2 KRUNIKA anvender passende logiske autentifikationsmekanismer, eksempelvis adgangskoder, biometri eller lignende. De anvendte autentifikationsmekanismer lever op til, hvad der kan opfattes som god skik på området (f.eks. krav til adgangskoders længde og kompleksitet).
2.6 KRUNIKA har passende tekniske foranstaltninger til at begrænse risikoen for uautoriseret adgang og/eller installering af skadelig kode. Sådanne foranstaltninger kan omfatte, firewalls, anti-virus software og malware-beskyttelse. KRUNIKA har formelle procedurer til sikring af, at
sikkerhedssystemerne holdes opdaterede.
3 ØVRIGE FORHOLD
3.1 Gældende lovgivning
KRUNIKAs behandling af personoplysninger er underlagt persondatalovgivningen i Danmark.
3.2 Support
Kunden giver KRUNIKA ret til at behandle alle relevante personoplysninger i det omfang det er nødvendigt for, at KRUNIKA kan opfylde de i KRUNIKA Aftalen fastsatte forpligtelser og andre relaterede opgaver, herunder i nødvendigt omfang i forbindelse med support, udvikling og vedligeholdelse inden for persondatarettens rammer.
BILAG B – OPLYSNINGER OM LOKATIONER FOR BEHANDLING
- LOKATION FOR BEHANDLING
1.1 Elvium, Pilestræde 10 1. sal, 1112 København K., Danmark
BILAG C – ANVENDTE UNDERDATABEHANDLERE
- ANVENDTE UNDERDATABEHANDLERE
1.1 Til brug for KRUNIKAs behandling af personoplysninger på vegne af Kunden anvendes følgende Underdata behandlere:
Ingen