Bilag A. j2 Global Denmark A/S (VIPRE) Vilkår for Databehandling

Transkript

1 Bilag A j2 Global Denmark A/S (VIPRE) Vilkår for Databehandling VIPRE og Kunden har indgået aftale om levering af VIPREs tjenester (med efterfølgende ændringer, "Aftalen"). Dette Bilag er tiltrådt af VIPRE og Kunden og angiver de Vilkår for Databehandling, der gælder for de tjenester, der leveres i henhold til aftalen ( Tjenester ), der leveres i henhold til Aftalen og udgør en del af og er underlagt Aftalen, herunder de Generelle Handelsbetingelser, Vilkår, der ikke er defineret i disse Vilkår for Databehandling, har den betydning, der er fastsat i Aftalen. DEFINITIONER I disse Vilkår for Databehandling defineres som følger: "Tilknyttet virksomhed" betyder en virksomhed, der direkte eller indirekte kontrollerer, kontrolleres af eller er under fælles kontrol med, en part "Kundedata" betyder elektronisk post, meddelelser og andre data og oplysninger, der er tilgængelige, kommunikeret, indhentet, modtaget eller overført af Kunden eller Brugere gennem eller ved hjælp af Tjenesterne "Kundens Personoplysninger" betyder som personoplysninger indeholdt i Kundedata "Kundens Repræsentant" betyder den af Kunden til enhver tid udpegede person, der fungerer som den primære kontakt i forhold til Aftalens opfyldelse "Vilkår for Databehandling" betyder de vilkår, der er angivet i dette Bilag. "Databeskyttelseslovgivning" betyder, alt efter hvad der er relevant: a) GDPR (fra 25. maj 2018 og fremefter) og/eller (b) de databeskyttelseslove, der gælder i Danmark. I begge tilfælde kan disse til enhver tid ændres eller suppleres "VIPRE" betyder j2 Global Denmark A/S eller VIPREs tilknyttede virksomhed, der er part i aftalen "GDPR" står for General Data Protection Regulation 2016/679 og er EU's generelle forordning om databeskyttelse "Underbehandlere" betyder tredjeparter, der er godkendt i henhold til disse Vilkår om Databehandling, til at behandle Kundens Personoplysninger for at kunne levere dele af Tjenesterne og tilhørende teknisk support "Brugere" betyder en Kundens individuelle medarbejdere eller repræsentanter, der bruger Tjenesterne til Kundens forretningsformål. FUS DATA PROCESSING TERMS DENMARK

2 Begreberne "dataansvarlig", "registrerede", "personoplysninger", "behandling", "databehandler" og "tilsynsmyndighed" som anvendt i disse Vilkår for Databehandling har den betydning, der er angivet i GDPR. VARIGHED Disse databehandlingsvilkår træder i dato hvor aftalen er underskrevet og ophører automatisk ved VIPREs sletning af alle Kundens Personoplysninger som beskrevet i disse Vilkår for Databehandling. BEHANDLINGENS ART OG FORMÅL Kunden anerkender og accepterer udtrykkeligt, at VIPRE ikke har kontrol over eller indflydelse på indholdet af Kundedata, som blandt andet kan indeholde personoplysninger og personfølsomme oplysninger (som defineret i GDPR) vedrørende Kundens eller kundens egne kunders, kunder, leverandører, medarbejdere, andet personale eller andre registrerede inden for rammerne af GDPR). De typer af personoplysninger, der indgår i Kundedataene og de kategorier af registrerede, som sådanne personoplysninger vedrører, skal indeholde alle ovenstående og kan ikke nærmere specificeres i disse Vilkår for Databehandling, dog kan Kunden til enhver tid underrette VIPRE om eventuelle yderligere kategoriseringer for indarbejdelse i disse vilkår. Levering af Tjenesterne omfatter indsamling, registrering, organisering, strukturering, lagring, ændring, indhentning, anvendelse, videregivelse, samkøring, sletning og tilintetgørelse af Kundens Personoplysninger med henblik på at levere Tjenesterne og tilhørende teknisk support til kunden. I forbindelse med VIPREs levering af Tjenesten, er og skal kunden eller dennes kunde være Dataansvarlig og VIPRE er og skal være Databehandler. I tilfælde af at Kunden fungerer som Databehandler, fungerer VIPRE som dennes underbehandler og Kunden garanterer VIPRE, at Kundens anvisninger og handlinger med hensyn til Kundens Personoplysninger, herunder udnævnelsen af VIPRE som anden databehandler, er blevet godkendt af den pågældende Dataansvarlige. VIPRE behandler kun kundens personoplysninger i overensstemmelse med kundens anvisninger. VIPRE behandler kun Kundens Personoplysninger i overensstemmelse med kundens anvisninger. Kunden pålægger VIPRE at behandle Kundens Personoplysninger i overensstemmelse med Aftalen og ellers efter instruks fra de kontaktpersoner, der er udpeget af Kunden eller en sådan tredjepart, som kunden skriftligt har bekræftet, er bemyndiget til at give sådanne instrukser (en "Autoriseret Agent") under hensyntagen til Tjenestens art, i hvert enkelt tilfælde med det ene formål at opfylde forpligtelserne i henhold til Aftalen, herunder tilhørende teknisk support og i Aftalens løbetid. VIPRE skal straks underrette Kunden, hvis en instruktion efter dens opfattelse krænker databeskyttelseslovgivningen. Kunden er til enhver tid fuldt ansvarlig for eventuelle instrukser fra dennes kontaktperson(er) eller en Autoriseret Agent. Parterne anerkender og accepterer, at instrukser kan gives via eller mundtligt, hvor Kunden eller dens Autoriserede Agent bruger VIPREs tekniske support team, forudsat at 2

3 VIPRE fører en oversigt over sådanne mundtlige instrukser. Kunden anerkender og accepterer endvidere, at denne (og/eller dennes kunde, hvis kunden (også) fungerer som Dataansvarlig) er ansvarlig for at bestemme formålene med og måden, hvorpå Kundens Personoplysninger behandles, og garanterer hermed, hvor det er relevant, at kunden har truffet og i hele Aftalens løbetid skal træffe alle foranstaltninger vedrørende Kundens Personoplysninger for at sikre overholdelsen af sine forpligtelser i henhold til Databeskyttelseslovgivningen, herunder de behandlinger, der udføres af Tjenesten, og eventuelle tilladelser, der kræves for så vidt angår VIPREs levering af sådanne Tjenester i henhold til disse Vilkår for Databehandling. VIPREs MEDARBEJDERE VIPRE vil pålægge og opretholde passende kontraktlige forpligtelser med hensyn til fortrolighed for alle medarbejdere, der med VIPREs godkendelse har adgang til Kundens Personoplysninger. VIPRE vil gennemføre og opretholde adgangskontroller og politikker for at begrænse VIPREs medarbejdere, der behandler kundens personoplysninger til de af VIPREs medarbejdere, der har behov for at behandle Kundens Personoplysninger for at kunne levere Tjenesterne til Kunden. SIKKERHEDSFORANSTALTNINGER VIPRE har implementeret og vil opretholde passende tekniske og organisatoriske sikkerhedsforanstaltninger for at forhindre uautoriseret adgang til Kundens Personoplysninger, uautoriseret eller ulovlig ændring, videregivelse, tilintetgørelse eller ulovlig behandling af Kundens Personoplysninger eller utilsigtet tab eller tilintetgørelse af eller beskadigelse af Kundens Personoplysninger, i hvert enkelt tilfælde under hensyntagen til den nyeste teknologi, omkostningerne ved gennemførelsen og arten, omfanget, konteksten og formålet med behandlingen i henhold til Tjenesterne. Kunden er eneansvarlig for brugen af Tjenesterne, herunder sikring af kontoautentificering, systemer og enheder, som Kunden og Brugerne bruger til at få adgang til Tjenesterne. OPBEVARING OG OVERFØRSEL AF PERSONOPLYSNINGER Medmindre andet er aftalt med Kunden, må VIPRE kun behandle Kundens Personoplysninger inden for EØS eller i et tredjeland omfattet af artikel 45, punkt 1, i GDPR. Hvis og i det omfang det United Kingdom forlader EØS og ikke er omfattet af artikel 45, stk. 1, i GDPR, bemyndiger kunden hermed VIPRE til at behandle kundens personoplysninger i United Kingdom i overensstemmelse med en anerkendt overholdelses standard Data beskyttelseslovgivningen. Såfremt og i det omfang Kunden tillader overførsel af Kundens Personoplysninger til et andet land end dem, der er nævnt i punkt 6.1, må VIPRE kun gøre dette i overensstemmelse med en anerkendt standard for overholdelse i henhold til Databeskyttelseslovgivningen for lovlig overførsel af personoplysninger til det pågældende land (herunder f.eks. EU's standardkontraktsklausuler eller bindende 3

4 selskabsregler) og skal efter anmodning give Kunden relevante oplysninger vedrørende en sådan standard, som VIPRE har implementeret. VIPRE anbefaler, at alle overførsler af Kundens Personoplysninger foretages via en sikker forbindelse såsom HTTPS eller SFTP. Hvis Kunden vælger en anden overførselsmåde, skal Kunden give VIPRE meddelelse herom senest på den dato, hvor Tjenesterne starter. Ved ophør, såfremt Kunden instruerer VIPRE i at levere en kopi af Kundens Personoplysninger, skal denne gøre det i en struktureret, normalt anvendt og maskinlæsbar form (for eksempel CSV-filer) og skal overføre disse oplysninger via en sikker forbindelse såsom HTTPS eller SFTP, medmindre Kunden giver andre instrukser. Hvis Kunden instruerer VIPRE i at levere Kundens Personoplysninger på anden måde end via krypteret VPN, er alene Kunden ansvarlig for metoden og destination for overførslen af disse oplysninger. UNDERBEHANDLING Kunden giver hermed specifik tilladelse til, at VIPREs Tilknyttede Virksomheder benyttes som underbehandlere. Kunden giver også generel tilladelse til, at VIPRE benytter eksterne underbehandlere, forudsat at: (a) (b) (c) VIPRE begrænser underbehandleres behandling af Kundens Personoplysninger til den behandling, der er nødvendig for at levere eller vedligeholde Tjenesten VIPRE indgår kontraktlige aftaler med sådanne underbehandlere, der kræver, at de sikrer et niveau for overholdelse af databeskyttelse og informationssikkerhed, der svarer til det, der er fastsat heri, i det omfang der gælder for behandlingsaktiviteterne, der leveres af en sådan underbehandler, og Hvis en underbehandler ikke overholder sine databeskyttelsesforpligtelser, er VIPRE fuldt ansvarlig over for Kunden for opfyldelsen (eller manglende opfyldelse) af underbehandlerens databeskyttelsesforpligtelser. VIPRE skal føre en opdateret liste over sine underbehandlere vedrørende de Tjenester, der leveres til Kunden. VIPRE skal udlevere listen til Kunden efter skriftlig anmodning. VIPRE vil ved skriftlig meddelelse til Kundens Repræsentant underrette Kunden, når en ny underbehandler er udpeget i løbet af kontraktperioden, og Kunden skal have mulighed for at gøre indsigelse mod brugen af en sådan underbehandler. Hvis Kunden: (a) (b) ikke svarer (skriftligt) inden for 30 dage fra datoen for meddelelsen, anses Kunden for at have givet tilladelse til brugen af en sådan underbehandler reagerer ved at nægte (skriftligt) at give tilladelse og en gensidigt acceptabel løsning på et sådant afslag ikke kan aftales, kan Kunden opsige Aftalen eller opsige Tjenesten eller den del af Tjenesten, der leveres af VIPRE ved brug af den relevante underbehandler. Denne opsigelsesret er Kundens eneste retsmiddel, 4

5 hvis Kunden gør indsigelse mod eventuelle nye underbehandlere og ingen refusion af gebyrer, der er forudbetalt af kunden, skal betales. Uanset punkt 7.1 til 7.4 og underlagt gældende lovgivning, kan VIPRE frit anvende underleverandører eller leverandører, der ikke betragtes som behandlere i henhold til Databeskyttelseslovgivningen, herunder men ikke begrænset til energileverandører, udstyrsleverandører, transportleverandører, tekniske serviceudbydere, hardwareleverandører osv.) uden at skulle informere eller søge forudgående tilladelse fra Kunden. ASSISTANCE MED ANMODNINGER FRA REGISTREREDE Kunden anerkender og accepterer at være ansvarlig for overholdelse af anmodninger fra registrerede i henhold til Databeskyttelseslovgivningen og skal fritage VIPRE for manglende overholdelse af en sådan anmodning. VIPRE accepterer at yde rimelig assistance til Kunden uden unødigt ophold under hensyntagen til Tjenestens art og funktionalitet med hensyn til Kundens eller dennes kunders forpligtelser vedrørende: (a) anmodninger fra registrerede om adgang til eller berigtigelse, sletning, begrænsning, blokering eller sletning af Kundens Personoplysninger, forudsat at Kunden anerkender, at når Tjenestens funktionalitet tillader det, skal sådanne handlinger udføres af Kunden eller en Autoriseret Agent på dennes vegne og ikke af VIPRE (b) undersøgelsen af enhver hændelse, der medfører risiko for uautoriseret videregivelse, tab, ødelæggelse eller ændring af Kundens Personoplysninger og anmeldelse til tilsynsmyndigheden og registrerede i forbindelse med sådanne hændelser (c) udarbejdelse, på Kundens regning, af konsekvensvurderinger af databeskyttelse og, såfremt det er relevant, gennemførelse af høringer med tilsynsmyndigheden. PÅVISNING AF OVERHOLDELSE VIPRE kan bruge uafhængige eksterne revisorer til regelmæssigt at kontrollere, om de sikkerhedskontrolforanstaltninger, der gælder for Tjenesterne, er tilstrækkelige. Disse revisioner: (a) vil blive udført i overensstemmelse med en anerkendt sikkerhedsstandard (b) vil blive udført med jævne mellemrum som angivet i den gældende standard (c) vil blive udført af kvalificerede og anerkendte uafhængige eksterne sikkerhedsfagfolk, og (d) vil resultere i udstedelse af et overensstemmelsescertifikat. 5

6 Kunden har ret til at revidere VIPREs overholdelse af disse Vilkår for Databehandling ved at: (a) anmode om en kopi af ethvert certifikat, der stilles til rådighed i henhold til pkt. 9.1 og (b) hvis Kunden med rimelighed kan vise, at certifikatet i henhold til pkt. 9.2 ikke er tilstrækkeligt til at påvise VIPREs overholdelse af Databeskyttelseslovgivningen eller ikke er tilgængeligt, accepterer VIPRE på anmodning af Kunden og for Kundens regning (inklusive de rimelige gebyrer og udgifter for VIPRE) at stille sådanne andre oplysninger og dokumenter, OG bidrag til revision, som Kunden eller dennes bemyndigede repræsentant med rimelighed kan anmode om for at kontrollere overholdelsen af forpligtelserne i henhold til Databeskyttelseslovgivningen, forudsat at en sådan revision skal ske under almindelig åbningstid med rimelig forhåndsmeddelelse til VIPRE og underlagt rimelige fortrolighedsprocedurer. Inden iværksættelsen af en sådan revision træffer parterne gensidigt enighed om revisions omfang, tidspunkt og varighed. Kunden må ikke revidere VIPRE mere end en gang om året. VIPRE er ikke forpligtet til at videregive forretningsmæssigt fortrolige eller kommercielt følsomme oplysninger, andre kunders oplysninger eller oplysninger, som Kunden med rimelighed anser, kan bruges til at kompromittere systemets sikkerhed eller integritet. BRUD PÅ DATASIKKERHED Hvis VIPRE bliver opmærksom på en sikkerhedsbrud i forhold til Kunde Personoplysninger, der resulterer i utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret offentliggørelse eller adgang til Kunde Personoplysninger, giver VIPRE uden unødig forsinkelse Kunden tilstrækkelige oplysninger til at gøre det muligt for Kunden at vurdere bruddet og forpligtelserne med hensyn til underretning af tilsynsmyndighederne eller den registrerede i henhold til Databeskyttelseslovgivningen. En sådan underretning skal gives til Kundens Repræsentant. For at undgå tvivl er VIPRE ikke forpligtet til at underrette Kunden om eventuelle mislykkede forsøg eller aktiviteter, der ikke bringer sikkerheden i forbindelse med Kundens Personoplysninger i fare, herunder mislykkede log-inforsøg, pings, port scans, afvisning af angreb på tjenester og andre netværksangreb på firewalls eller netværkssystemer. Kunden er eneansvarlig for at overholde gældende love om underretning, der gælder for Kunden i henhold til Databeskyttelseslovgivningen. Uanset ovenstående vil parterne samarbejde og yde al rimelig bistand med hensyn til overholdelse af tredjeparts underretningsforpligtelser i henhold til Databeskyttelseslovgivningen. VIPRE s anmeldelse af eller svar på en overtrædelse af databrud i henhold til dette punkt 10 vil ikke blive opfattet som en bekræftelse fra VIPRE eller nogen af VIPREs Tilknyttede Virksomheder om fejl eller ansvar i forbindelse med bruddet på datasikkerheden. SLETNING AF KUNDEDATA 6

7 Kunden pålægger hermed VIPRE og eventuelle underbehandlere inden for tre måneder efter datoen for Aftalens opsigelse at slette alle Kundens Personoplysninger og på anmodning give skriftlig bekræftelse til Kunden om, at der er truffet sådanne foranstaltninger. 7