Aftale om databehandling
Aftale om databehandling
Denne databehandlingsaftale ("aftalen") regulerer den behandling af personoplysninger, som Culturequest foretager på vegne af dig/din virksomhed/organisation som kunde. Aftalen træder i kraft, når du registrerer dig som kunde og bruger på platformen.
Aftalen er indgået mellem:
- Dataansvarlig:
Henviser til dig som virksomhed eller organisation, der gør brug af Culturequest-platformen.
- Databehandler:
Culturequest ApS
Johan Wilmanns Vej 23, 2th
2800 Kongens Lyngby
CVR-nr. 44750538
Kontakt: info@culturequest.io
(Databehandleren og den dataansvarlige benævnes i det følgende hver især som en "part" og samlet som "parterne")
1. Præambel
Definitionerne af "personoplysninger", "særlige kategorier af personoplysninger" (følsomme oplysninger), "behandling", "registreret", "dataansvarlig" og "databehandler" skal have samme betydning som angivet i den generelle forordning om databeskyttelse (GDPR).
Formålet med denne aftale er at sikre parternes overholdelse af gældende databeskyttelseslovgivning og at dokumentere den dataansvarliges instrukser til databehandleren. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er at levere en platform, der hjælper den dataansvarlige med at måle organisationskulturen og medarbejdernes trivsel i den dataansvarliges organisation, som yderligere beskrevet i Culturequests vilkår og betingelser.
Denne aftale fastsætter parternes rettigheder og forpligtelser, når databehandleren behandler personoplysninger på vegne af den dataansvarlige.
I tilfælde af modstridende bestemmelser vedrørende behandling af personoplysninger har denne aftale forrang for Culturequests vilkår og betingelser eller andre aftaler mellem parterne. Denne databehandlingsaftale forbliver i kraft, så længe den dataansvarlige abonnerer på Culturequest.
Denne aftale fritager ikke databehandleren fra eventuelle forpligtelser, der pålægges databehandleren i henhold til gældende databeskyttelseslovgivning.
2. Den dataansvarliges rettigheder og forpligtelser
Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger i forbindelse med brugen af Culturequest-applikationen udføres i overensstemmelse med artikel 24 i GDPR, anden gældende EU-lovgivning eller national lovgivning og denne databehandlingsaftale.
Den dataansvarlige har både ret og pligt til at bestemme formålene med og midlerne til behandling af personoplysninger. Desuden er det udelukkende under den dataansvarliges kontrol, hvilke personoplysninger der behandles, herunder data, der indtastes og genereres i Culturequest-applikationen.
Den dataansvarlige er ansvarlig for at sikre, at der er et lovligt grundlag for behandling og videregivelse af personoplysninger, der er instrueret til databehandleren, herunder videregivelse til eventuelle underdatabehandlere, der er ansat af databehandleren, og som til enhver tid er anført i bilag B.
Den dataansvarlige er ansvarlig for nøjagtigheden, integriteten, pålideligheden og lovligheden af de personoplysninger, der behandles af databehandleren.
Hvor det er relevant, har den dataansvarlige opfyldt alle obligatoriske krav og forpligtelser med hensyn til anmeldelse til eller indhentning af godkendelse fra de relevante offentlige myndigheder vedrørende behandling af personoplysninger.
Den dataansvarlige har opfyldt sin forpligtelse til at underrette de registrerede om behandlingen af deres personoplysninger i overensstemmelse med den gældende databeskyttelseslovgivning.
Den dataansvarlige bekræfter, at databehandleren ved at indgå denne aftale har givet tilstrækkelige garantier med hensyn til gennemførelsen af passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de registreredes rettigheder og deres personoplysninger.
3. Databehandleren handler kun efter instruktioner
Databehandleren må kun behandle personoplysninger i overensstemmelse med dokumenterede instrukser fra den dataansvarlige, medmindre dette kræves i henhold til gældende EU-lovgivning eller national lovgivning, som databehandleren er underlagt. Ved at indgå denne aftale instruerer den dataansvarlige databehandleren i at behandle personoplysninger på følgende måder:
i overensstemmelse med gældende lovgivning;
for at opfylde sine forpligtelser i henhold til Culturequests vilkår for brug af applikationen;
som yderligere specificeret gennem den dataansvarliges almindelige brug af applikationen;
som beskrevet i denne aftale.
Databehandleren underretter straks den dataansvarlige, hvis en instruks efter databehandlerens opfattelse er i strid med gældende databeskyttelseslovgivning eller anden EU-ret eller national ret.
4. Sikkerhed i forbindelse med behandling
Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau. Dette opnås gennem implementering af passende organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger. Disse foranstaltninger implementeres under hensyntagen til den tilgængelige teknologi og implementeringsomkostningerne samt behandlingens art, omfang, sammenhæng og formål for at sikre et passende sikkerhedsniveau, der tager højde for risiciene og de kategorier af personoplysninger, der skal beskyttes.
Databehandleren må kun give adgang til personoplysninger, der behandles på vegne af den dataansvarlige, til personer, der har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt - og kun i det omfang, det er nødvendigt. Tavshedspligten gælder også efter ophør af denne databehandleraftale.
Culturequest har implementeret flere sikkerhedsforanstaltninger og interne databeskyttelsespolitikker for at sikre fortrolighed, integritet, modstandsdygtighed og tilgængelighed af persondata. Disse foranstaltninger omfatter, men er ikke begrænset til, følgende:
Risikovurderinger af sit eget sikkerhedsniveau for at sikre, at de nuværende tekniske og organisatoriske foranstaltninger er tilstrækkelige til at beskytte personoplysninger, herunder i overensstemmelse med GDPR artikel 32 om behandlingssikkerhed og GDPR artikel 25 om indbygget databeskyttelse og databeskyttelse som standard.
Effektiv kryptering af personlige data under overførsel over internettet.
Løbende awareness-træning for alle medarbejdere med fokus på IT-sikkerhed og behandling af persondata.
Ekstern adgang til systemer og databaser, der bruges til behandling af personoplysninger, er udelukkende begrænset gennem en indbygget firewall.
Begrænsning af adgang til personoplysninger til de personer, hvis adgang er nødvendig for at opfylde de krav og forpligtelser, der er fastsat i denne databehandlingsaftale.
Etableret kontrol for at identificere og rapportere eventuelle brud på persondatasikkerheden.
Regelmæssig udførelse af sårbarhedsscanninger og penetrationstest for at sikre, at tekniske sikkerhedsforanstaltninger er effektivt implementeret og testet.
Implementerede procedurer for at sikre, at ændringer i systemer, databaser og netværk udføres konsekvent for at sikre korrekt vedligeholdelse.
5. Brug af underdatabehandlere
Som led i driften af Culturequest anvender databehandleren underdatabehandlere. Denne aftale udgør den dataansvarliges forudgående generelle skriftlige tilladelse til, at databehandleren kan anvende underdatabehandlere. Sådanne underdatabehandlere kan omfatte tredjeparts tjenesteudbydere, der befinder sig inden for eller uden for EU/EØS. Databehandlerens nuværende underdatabehandlere er anført i det til enhver tid gældende Bilag B.
Databehandleren skal sikre, at dennes underdatabehandlere er underlagt de samme forpligtelser og krav som dem, der er fastsat i denne databehandleraftale. Den dataansvarlige skal informeres skriftligt via e-mail senest 30 dage, før databehandleren ansætter en ny underdatabehandler. Meddelelsen sendes til den person, der administrerer data på vegne af den dataansvarlige via platformen.
Den dataansvarlige har ret til at gøre indsigelse mod ansættelsen af en ny underdatabehandler, der skal behandle personoplysninger på vegne af den dataansvarlige, hvis underdatabehandleren ikke behandler oplysninger i overensstemmelse med den gældende databeskyttelseslovgivning. I sådanne tilfælde skal databehandleren påvise overensstemmelse ved at give den dataansvarlige adgang til sin databeskyttelsesvurdering og enhver relevant dokumentation vedrørende brugen af underdatabehandleren.
Hvis der fortsat er uenighed efter en sådan oplysning, kan den dataansvarlige opsige sit abonnement med kortere varsel end normalt for at sikre, at vedkommendes personoplysninger ikke behandles af den pågældende underdatabehandler.
6. Overførsler til tredjelande eller internationale organisationer
Enhver overførsel af personoplysninger til et tredjeland eller en international organisation må kun udføres af databehandleren på grundlag af dokumenterede instruktioner fra den dataansvarlige og skal altid udføres i overensstemmelse med kapitel V i den generelle databeskyttelsesforordning (GDPR), herunder f.eks. gennem udførelse af Europa-Kommissionens standardkontraktbestemmelser (EU SCC'er) eller en anden gyldig overførselsmekanisme. Den dataansvarlige bemyndiger databehandleren til at sikre et tilstrækkeligt retsgrundlag for overførsel af personoplysninger til et tredjeland på vegne af den dataansvarlige. Den gældende overførselsmekanisme i henhold til kapitel V i GDPR, som overførslen er baseret på, skal specificeres i tillæg B.
Hvis databehandleren er forpligtet til at overføre personoplysninger til tredjelande eller internationale organisationer uden at have modtaget instrukser herom fra den dataansvarlige på grund af juridiske forpligtelser i henhold til EU-lovgivningen eller den nationale lovgivning i en medlemsstat, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om et sådant juridisk krav forud for behandlingen, medmindre den relevante lovgivning forbyder en sådan underretning af vigtige hensyn til den offentlige interesse.
Uden dokumenterede instrukser fra den dataansvarlige må databehandleren i henhold til denne aftale ikke
Overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation;
Overdrage behandlingen af personoplysninger til en underdatabehandler i et tredjeland;
Behandle personoplysninger i et tredjeland.
7. Assistance til den dataansvarlige
Databehandleren bistår så vidt muligt den dataansvarlige ved at gennemføre passende tekniske og organisatoriske foranstaltninger under hensyntagen til behandlingens karakter og de kategorier af oplysninger, der er tilgængelige for databehandleren, for at sikre, at den dataansvarlige overholder sine forpligtelser i henhold til gældende databeskyttelseslovgivning.
Databehandleren skal bistå den dataansvarlige med at overholde artikel 32-36 i GDPR, herunder, men ikke begrænset til, datasikkerhed, anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden og kommunikation af sådanne brud til de registrerede, under hensyntagen til behandlingens art og de oplysninger, der er tilgængelige for databehandleren.
Databehandleren må ikke besvare anmodninger fra registrerede, medmindre den dataansvarlige udtrykkeligt har givet tilladelse til det. Databehandleren må ikke videregive oplysninger vedrørende denne databehandleraftale til offentlige myndigheder, såsom politiet - herunder personoplysninger - medmindre dette kræves ved lov i form af en retskendelse eller lignende juridisk forpligtelse.
Endvidere skal databehandleren, i det omfang det er muligt og lovligt, underrette den dataansvarlige, hvis:
En anmodning om adgang til personoplysninger modtages direkte fra en registreret;
En anmodning om adgang til personoplysninger modtages direkte fra en offentlig myndighed, herunder politiet, medmindre databehandleren er instrueret om ikke at informere datakontrollen.
Hvis den dataansvarlige kræver oplysninger eller bistand vedrørende sikkerhedsforanstaltninger, dokumentation eller oplysninger om databehandlerens generelle behandling af personoplysninger, og en sådan anmodning går ud over, hvad der er nødvendigt i henhold til gældende databeskyttelseslovgivning, kan databehandleren kræve betaling for sådanne yderligere tjenester.
8. Underretning om brud på persondatasikkerheden
Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse efter at være blevet opmærksom på et brud på persondatasikkerheden, der involverer personoplysninger, som behandles på vegne af den dataansvarlige. Dette er for at sikre, at databehandleren støtter den dataansvarlige i at opfylde sine efterfølgende forpligtelser i denne henseende.
Databehandlerens anmeldelse til den dataansvarlige skal så vidt muligt ske senest 24 timer efter, at han er blevet bekendt med bruddet, så den dataansvarlige kan opfylde sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden inden for 72 timer.
Databehandleren skal underrette den dataansvarlige via den kontaktperson, der er registreret som bruger i Culturequest-applikationen, hvis databehandleren bliver opmærksom på en sikkerhedshændelse.
9. Tilbagelevering og sletning/anonymisering af data
Ved opsigelse af et Culturequest-abonnement skal den dataansvarlige have mulighed for at få sine data returneret (eksporteret). Efter abonnementets ophør vil databehandleren slette eller anonymisere alle personoplysninger, der behandles på vegne af den dataansvarlige. Dette vil ske i overensstemmelse med de gældende vilkår og betingelser.
10. Revision, herunder inspektion
Ved opsigelse af et Culturequest-abonnement skal den dataansvarlige have mulighed for at få sine data returneret (eksporteret). Efter abonnementets ophør vil databehandleren slette eller anonymisere alle personoplysninger, der behandles på vegne af den dataansvarlige. Dette vil ske i overensstemmelse med de gældende vilkår og betingelser.
Hvis det foreslåede omfang af revisionen er omfattet af en ISAE 3000-, ISO- eller lignende revisionsrapport udstedt af en kvalificeret tredjepartsrevisor inden for de foregående 12 måneder, og databehandleren bekræfter, at der ikke er sket væsentlige ændringer i de reviderede foranstaltninger, skal den dataansvarlige acceptere denne rapport i stedet for at anmode om en ny revision af de foranstaltninger, der allerede er omfattet.
Hvis databehandlerens bistand i forbindelse med revisionen overstiger de standardtjenester, som databehandleren er forpligtet til at levere i henhold til gældende databeskyttelseslovgivning, skal en sådan bistand faktureres separat.
11. Påbegyndelse og ophør
Denne aftale træder i kraft ved registrering som bruger af Culturequest-applikationen og skal forblive i kraft, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med den dataansvarliges brug af Culturequest-applikationen.
12. Ændringer af databehandlingsaftalen
Den aktuelle version af aftalen vil til enhver tid være tilgængelig på hjemmesiden. Væsentlige ændringer vil blive meddelt 30 dage før de træder i kraft via e-mail til den person, der har registreret sig som bruger af Culturequest-applikationen. Fortsat brug af Culturequest-applikationen efter opdateringen udgør en accept af aftalen.
13. Ansvarlighed
Ansvar for handlinger, der er i strid med bestemmelserne i denne aftale, reguleres af ansvars- og skadesløsholdelsesklausulerne i vilkårene og betingelserne for Culturequest-applikationen. Dette gælder også for eventuelle overtrædelser begået af databehandlerens underdatabehandlere.
Parterne kan aftale yderligere vilkår og betingelser vedrørende behandling af personoplysninger, såsom erstatningsansvar, forudsat at sådanne vilkår ikke direkte eller indirekte er i strid med denne aftale eller forringer de registreredes grundlæggende rettigheder og friheder som fastsat i den generelle databeskyttelsesforordning.
14. Gældende lov og jurisdiktion
Denne databehandleraftale er underlagt dansk lovgivning, og enhver tvist, der opstår som følge af eller i forbindelse med denne aftale, skal være underlagt de danske domstoles jurisdiktion.
15. Appendiks A - Kategorier af personoplysninger og registrerede
Den dataansvarlige har kontrol over, hvilke kategorier af personoplysninger der behandles i Culturequest-applikationen, men de kan blandt andet omfatte:
Navn
E-mail-adresse
Fødselsdato
Køn
Arbejdsplads
Telefonnummer
Afdeling
Svar på undersøgelse
Kommentarer
Ud over ovenstående kan særlige kategorier af personoplysninger (følsomme oplysninger) behandles af databehandleren, i det omfang den dataansvarlige vælger at behandle sådanne oplysninger i Culturequest-applikationen. Dette forbliver dog uden for databehandlerens kontrol.
Den dataansvarlige har kontrol over, hvilke kategorier af registrerede der behandles i Culturequest-applikationen, men de kan bl.a. omfatte:
Ansatte hos den dataansvarlige
Kontaktpersoner hos den dataansvarlige
Andre (hvis relevant)
16. Bilag B - Vilkår for databehandlerens brug af underdatabehandlere og liste over godkendte underdatabehandlere
Culturequest anvender underdatabehandlere til at behandle personoplysninger. Disse underdatabehandlere er typisk udbydere af cloud-tjenester eller andre IT-hosting-tjenester. Culturequest sikrer, at der er databehandlingsaftaler på plads med alle underbehandlere for at beskytte dine personoplysninger bedst muligt.
Hvis underdatabehandlere befinder sig uden for EU, sikrer vi, at der er etableret et gyldigt retsgrundlag for overførslen, herunder ved at indgå i EU's standardkontraktbestemmelser (SCC'er). Under hver kategori kan du finde oplysninger om, hvilke data vores underdatabehandlere har adgang til, formålet med behandlingen, hvor dataene opbevares, og den gældende overførselsmekanisme, hvis data overføres til tredjelande.
Er du nysgerrig efter mere?
