Sharefox Platform | Bilag 1 | Databehandleraftale

 

Denne databehandleraftale (herefter: “ DPA ”) udgør en integreret og uadskillelig del af den aftale, der er indgået mellem Sharefox, (herefter: “Behandler”) og kunden (herefter: “Kontroller”) vedrørende brugen af tjenesterne;

herefter i fællesskab benævnt " Parter " og separat " Partner ";

under hensyntagen til at:

  • Den dataansvarlige har adgang til forskellige personers personlige data (i det følgende: " Dagtpersoner ");
  • Den dataansvarlige ønsker, at Databehandleren udfører visse typer behandling i overensstemmelse med Aftalen;
  • Parterne i denne databeskyttelsesmyndighed påtager sig betydningen af definitionerne som beskrevet i den generelle databeskyttelsesforordning (herefter: " GDPR ");
  • under udførelsen af Aftalen kan Databehandler behandle personoplysninger i henhold til artikel 4.1 i GDPR efter den Dataansvarliges foranledning;
  • Den dataansvarlige anses for at være en dataansvarlig i henhold til artikel 4.7 i GDPR;
  • Databehandler anses for at være en databehandler i henhold til artikel 4.8 i GDPR;
  • GDPR en forpligtelse for den Dataansvarlige til at sikre, at Databehandleren giver tilstrækkelige garantier med hensyn til de tekniske og organisatoriske sikkerhedsforanstaltninger med hensyn til den behandling, der skal udføres;
  • desuden pålægger GDPR en forpligtelse for den registeransvarlige til at sikre overholdelse af disse foranstaltninger; Parter ønsker at angive deres rettigheder og forpligtelser skriftligt ved hjælp af denne DPA under overholdelse af kravene i artikel 28.3 i GDPR.

1. Formål med behandlingen

1.1. Databehandleren accepterer i henhold til denne databehandleraftale at behandle personoplysninger på vegne af den dataansvarlige. Behandling skal udelukkende ske med henblik på aftalen og alle formål, der er forenelige dermed eller som fastlagt i fællesskab. Desuden kan behandlingen ske på grundlag af en retlig forpligtelse.

1.2. Behandlingen ser formålene som fastsat af den dataansvarlige med hensyn til kategorierne af personoplysninger og dataemner som angivet i bilag A til denne databehandleraftale.

  1. Processor obligationer

2.1. Databehandler må kun behandle personoplysningerne til de formål, der er nævnt i artikel 1 i denne databehandleraftale.

2.2. Med hensyn til behandlingsoperationer som nævnt i artikel 1, skal Databehandleren overholde GDPR.

2.3. Databehandler skal informere den dataansvarlige, hvis en instruktion fra dataansvarlig efter dennes opfattelse vil være i strid med gældende lovgivning vedrørende behandling af personoplysninger eller på anden måde er urimelig.

2.4. Databehandler skal, i det omfang dette er inden for hans kontrol og i det omfang det er nødvendigt, yde bistand til den dataansvarlige til at opfylde dataansvarligs juridiske forpligtelser i henhold til GDPR. Dette vedrører ydelse af bistand til opfyldelse af sine forpligtelser i henhold til artikel 32 til 36 i GDPR.

2.5. Alle databehandlerens forpligtelser i henhold til denne databehandleraftale gælder på lige fod for alle personer, der behandler personoplysninger under tilsyn af databehandleren, herunder men ikke begrænset til medarbejdere.

  1. Tavshedspligt

3.1. Databehandler skal opretholde fortroligheden af personoplysninger leveret af den dataansvarlige. Databehandler sikrer, at de personer, der er bemyndiget til at behandle personoplysningerne, er kontraktligt forpligtet til at opretholde fortroligheden af de personoplysninger, som han eller hun behandler.

3.2. Tavshedspligten gælder ikke i det omfang den Dataansvarlige har givet udtrykkelig tilladelse til at udlevere oplysningerne til tredjemand, leveringen til tredjemand er rimeligt nødvendig i betragtning af karakteren af overdragelsen til Databehandleren, eller bestemmelsen er lovpligtig.

  1. Underretning og kommunikation

4.1. Den dataansvarlige er til enhver tid ansvarlig for at underrette den kompetente tilsynsmyndighed om eventuelle brud på persondatasikkerheden, som omhandlet i artikel 4, stk. 12 i GDPR (i det følgende: " Persondatabrud "), og for eventuel kommunikation om Persondatabruddet. til registrerede.

4.2. For at gøre det muligt for den dataansvarlige at overholde dette lovkrav, skal databehandleren underrette den dataansvarlige uden unødig forsinkelse og under alle omstændigheder inden for en periode på højst 48 timer efter at have opdaget et brud på persondatasikkerheden. Databehandleren vil træffe rimelige foranstaltninger for at begrænse konsekvenserne af bruddet på persondatasikkerheden og for at forhindre yderligere og fremtidige brud på persondatasikkerheden.

4.3. En underretning i henhold til den foregående paragraf skal til enhver tid gives, men kun for faktiske brud på persondatasikkerheden.

4.4. Hvis det er nødvendigt og rimeligt, vil Databehandler yde bistand til den dataansvarlige under hensyntagen til rimeligheden af anmodningen, behandlingens art og de oplysninger, der er tilgængelige for ham, med hensyn til (ny udvikling omkring) bruddet på persondatasikkerheden.

4.5. Meddelelsen til den dataansvarlige skal, så vidt det vides på det pågældende tidspunkt, mindst omfatte:

  1. arten af bruddet på persondatasikkerheden;
  2. de (sandsynlige) konsekvenser af bruddet på persondatasikkerheden;
  3. de pågældende kategorier af personoplysninger;
  4. hvis og hvilke sikkerhedsforanstaltninger der er truffet for at beskytte personoplysningerne;
  5. de foranstaltninger, der er truffet eller foreslået at blive truffet for at løse bruddet på persondatasikkerheden og forhindre fremtidige personkategorier af berørte datasubjekter;
  6. kategorierne af berørte registrerede;
  7. omtrentlige antal berørte registrerede; og
  8. om nødvendigt de afvigende kontaktoplysninger for at adressere underretningen.
  9. Registreredes rettigheder

5.1. I tilfælde af at en registreret fremsætter en anmodning om at udøve sine juridiske rettigheder i henhold til GDPR (artikel 15-22) til databehandleren, skal databehandleren videregive en sådan anmodning til den dataansvarlige inden for en periode på højst tre arbejdsdage efter modtagelsen af anmodningen. Databehandleren kan informere den registrerede om, at en sådan anmodning er videresendt. Controller vil derefter behandle anmodningen uafhængigt yderligere.

5.2. I tilfælde af at en registreret fremsætter en anmodning om at udøve sine juridiske rettigheder over for den dataansvarlige, vil databehandleren, hvis den dataansvarlige kræver dette, samarbejde så vidt muligt og rimeligt.

  1. Sikkerhedsforanstaltninger

6.1. Databehandleren skal gøre en rimelig indsats for at implementere passende tekniske og organisatoriske foranstaltninger for at sikre de involverede behandlingsoperationer mod tab eller enhver form for ulovlig behandling (især mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til overførte personlige data , opbevaret eller på anden måde behandlet).

6.2. Databehandleren skal gøre sit bedste for at sikre et sikkerhedsniveau, der er passende for risikoen under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sandsynlighed og sværhedsgrad for behandlingen. fysiske personers rettigheder og friheder.

6.3. Den dataansvarlige skal kun udlevere personoplysninger til Databehandleren til behandling, hvis denne har sikret sig, at de nødvendige sikkerhedsforanstaltninger er truffet.

  1. Revidere

7.1. Den dataansvarlige har ret til at verificere databehandlerens overholdelse af alle punkter under denne databehandleraftale ved hjælp af en revision udført af en uafhængig tredjepart, som er bundet af fortrolighedsforpligtelser. Revisionen må kun udføres i tilfælde af en begrundet og begrundet mistanke om overtrædelse af denne Databehandleraftale, som meddeles skriftligt til Databehandler, og kan udføres én gang årligt.

7.2. Hvis en uafhængig tredjepart allerede har udført en revision inden for det seneste år, kan Databehandler opfylde sin forpligtelse ved at give adgang til de relevante dele af revisionsrapporten for det pågældende år, kun hvis en verifikation af overholdelse af Databehandlerens forpligtelser i disse Data Behandlingsaftale rekvireres inden for samme år.

7.3. Databehandler og dataansvarlig beslutter i fællesskab dato, tidspunkt og omfang af revisionen.

7.4. Databehandler skal yde sit fulde samarbejde til revisionen og skal stille alle medarbejdere og alle rimeligt relevante oplysninger til rådighed, herunder understøttende data såsom systemlogfiler.

7.5. Revisionsresultaterne skal vurderes af parterne i fælles høring og kan eventuelt gennemføres af en af parterne eller i fællesskab.

7.6. Omkostningerne til revisionen afholdes af Databehandler, hvis revisionen afslører uoverensstemmelser i Databehandlerens overholdelse af denne Databehandleraftale, som direkte kan henføres til Databehandleren. I alle andre tilfælde afholdes omkostningerne til revisionen af den registeransvarlige.

7.7. Revisionen og resultaterne heraf vil blive behandlet fortroligt af den controller.

  1. Inddragelse af underdatabehandlere

8.1. Den dataansvarlige autoriserer Databehandleren til at involvere underdatabehandlere i at levere tjenesterne i henhold til denne databehandleraftale.

8.2. En liste over de underdatabehandlere, som Databehandleren har engageret på tidspunktet for indgåelsen af denne databehandleraftale, er angivet i bilag B til denne databehandleraftale.

8.3. En ajourført liste over de underbehandlere, der er engageret af Behandleren, er tilgængelig i Bilag 1B . Derudover vil processor underrette den controller om enhver opdatering.

8.4 Den dataansvarlige er berettiget til skriftligt af rimelige grunde at gøre indsigelse mod en bestemt ny eller ændring af underdatabehandler(e) inden for to uger efter, at Databehandler har sendt meddelelsen. Hvis den registeransvarlige gør indsigelse, vil parterne rådføre sig for at nå frem til en løsning.

8.5. Databehandler pålægger den/de engagerede underdatabehandler mindst de samme forpligtelser som aftalt mellem Dataansvarlig og Databehandler i denne Databehandleraftale.

8.6. Databehandleren skal sikre, at disse tredjeparter overholder forpligtelserne i henhold til denne databehandleraftale og er ansvarlig for enhver skade forårsaget af overtrædelser fra disse tredjeparter, som om den selv havde begået overtrædelsen.

9. Overførsel af personoplysninger

9.1. Databehandleren kan behandle personoplysningerne i ethvert land inden for Det Europæiske Økonomiske Samarbejdsområde (EØS).

9.2. Derudover kan Databehandleren overføre personoplysningerne til et land uden for EØS, forudsat at dette land sikrer et tilstrækkeligt beskyttelsesniveau for persondata og overholder andre forpligtelser, der er pålagt det i henhold til denne databehandleraftale og GDPR, herunder tilgængeligheden af passende beskytter og håndhævere registrerede rettigheder og effektive retsmidler for registrerede.

9.3. Den dataansvarlige bemyndiger hermed Databehandleren til, hvor det er nødvendigt, at indgå en modelkontrakt i den Dataansvarliges navn vedrørende overførsel af personoplysninger fra en dataansvarlig inden for Den Europæiske Union til en databehandler i et tredjeland i overensstemmelse med Kommissionens beslutning af 5. februar 2010 (2010/87 / EU) eller den nuværende lov i hvert øjeblik.

9.4. En liste over behandlingsstederne på tidspunktet for indgåelsen af denne databehandleraftale er angivet i bilag B til denne databehandleraftale.

9.5. En ajourført liste over behandlingsstederne er tilgængelig på bilag 1B

10. Ansvar

10.1. Parterne er udtrykkeligt enige om, at for så vidt angår ansvar gælder bestemmelserne i vilkårene og betingelserne.

11 . Løbetid og opsigelse

11.1. Denne databehandleraftale indgås for den i aftalen fastsatte varighed.

11.2. Fravigelser fra denne databehandleraftale er kun bindende, hvis de er udtrykkeligt skriftligt aftalt mellem parterne.

11.3. Såfremt ændringer i lovgivning eller regler giver anledning til ændringer, vurderes dette af parterne i fælles høring og kan eventuelt gennemføres.

11.4. Denne databehandleraftale kan ændres på samme måde som aftalen.

11.5. Ved opsigelse af databehandleraftalen skal Sharefox på anmodning og for regning fra den dataansvarlige:

  1. returnere til den registeransvarlige i originalt format alle personlige data, der er tilgængelige for den; eller
  2. ødelægge alle personlige data, der er tilgængelige for den.

Følgende bilag er tilføjet til databehandleraftalen: