DATABEHANDLERAFTALE. Mellem KUNDEN ADRESSE POSTNR. BY CVR. nr.: (herefter Kunden DATAANSVARLIG)

Relaterede dokumenter
DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Driftskontrakt. Databehandleraftale. Bilag 14

Databehandleraftale e-studio.dk Side 1 af 6

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Vilkår for brug af systemer

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 2.0 af 30. maj 2018

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

DATABEHANDLERAFTALE. Mellem. Kommune: Adresse: Postnr./by: CVR. nr.: (herefter Kommunen )

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

origo Databehandleraftale

2. Leverandøren er som databehandler forpligtet til følgende:

[Skriv firmaets navn] Databehandleraftale. Imellem EKKOfonden og visiterende kommune

SKABELON FOR DATABEHANDLERAFTALER MELLEM KUNDER EG - af [Indsæt dato]

Databehandleraftalen omfatter følgende typer af personoplysninger:

SKABELON FOR DATABEHANDLERAFTALER MELLEM SKOLEINTRA KUNDER OG ITSLEARNING - af

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

Standardvilkår. Databehandleraftale

BILAG G DATABEHANDLERAFTALE. mellem. Aalborg Havn Logistik A/S XXX A/S

BILAG 14: DATABEHANDLERAFTALE

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

DATABEHANDLERAFTALE MELLEM «NAVN» DANSKLÆRERFORENINGENS FORLAG A/S CVR-NR

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

DATABEHANDLERAFTALE. Mellem. [Dataansvarliges navn] [Adresse] [Postnummer og by] CVR-nr. [cvr nummer] (herefter den Dataansvarlige )

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

MATEMATIK Tidsskrift og forlag

! Databehandleraftale

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen )

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Behandling af personoplysninger

SKABELON FOR DATABEHANDLERAFTALER MELLEM KUNDER OG KMD - af 5. december 2017

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Databehandleraftale. Mellem. Dataansvarlig: Kunden

SKABELON FOR DATABEHANDLERAFTALER MELLEM [KUNDE] OG SUBIT APS af [Indsæt dato]

Kontraktbilag 3. Databehandleraftale

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

DATABEHANDLERAFTALE

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Databehandleraftale (Skabelon fra Datatilsynet)

Forsvarsministeriets Materiel- og Indkøbsstyrelse

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale. Gældende pr. 25. maj 2018

DATABEHANDLERAFTALE SMTP.DK KUNDEN

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Databehandleraftale (v.1.1)

Bilag 1 Databehandler aftale (v.1.2)

DATABEHANDLERAFTALE. Omsorgsbemanding

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

SKABELON FOR DATABEHANDLERAFTALER MELLEM - [DANSK KOMMUNE OG RAMBØLL]

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale ISS

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

BILAG 1 DATABEHANDLERAFTALE Rambøll som databehandler

DATABEHANDLERAFTALER MELLEM UNDERVISNINGSINSTITUTIONER OG EASYIQ A/S

Databehandleraftale. om [Indsæt navn på aftale]

DATABEHANDLERAFTALE [LEVERANDØR]

DATABEHANDLERAFTALE. Mellem. Gymnasium. Adresse. Postnr. og by. CVR. nr. (herefter Skolen )

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

DATABEHANDLERAFTALE. Mellem: Kunden (herefter Den Dataansvarlige ) atriumweb A/S (herefter Databehandleren ) CVR-nr Dalsagervej Egå

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Databehandleraftale

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale. Mellem. Den dataansvarlige: Kunden (den juridiske enhed, der har indgået aftale om Lønadministration.

D A T A B E H A N D L E R A F T A L E

Bilag B Databehandleraftale pr

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Databehandleraftale INDHOLDSFORTEGNELSE

Databehandler aftale

BILAG 5 DATABEHANDLERAFTALE

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

DATABEHANDLERAFTALE MELLEM

Standard databehandlingsvilkår For DLX A/S

Standard databehandlingsvilkår for IP netcom A/S

Bilag A Databehandleraftale pr

DATABEHANDLERAFTALE. 1.3 Denne databehandleraftale er en aftale mellem den enkelte partnerskole ( Skolen ) som dataansvarlig og GF som databehandler.

DATABEHANDLERAFTALE. Mellem. CalcuEasy ApS. Håndværkervej Aalborg CVR: (Herefter Databehandleren ) [Navn] CVR [CVR-nummer]

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Standard databehandlingsvilkår For ProLøn A/S

Transkript:

DATABEHANDLERAFTALE Mellem KUNDEN ADRESSE POSTNR. BY CVR. nr.: (herefter Kunden DATAANSVARLIG) og Orloff Firmatøj A/S Tarupvej 53 5210 Odense NV CVR-nummer 16942634 (herefter Leverandøren DATABEHANDLER) er der indgået nedenstående databehandleraftale (herefter Aftalen ) om Leverandørens behandling af personoplysninger på vegne af kunden: Side 1 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 20. december 2018 VERSION 3 POL/HAC - FINAL

1. Generelt 1.1. I Aftalen er indarbejdet de krav, som pr. den 25. maj 2018 stilles i medfør af Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen). 1.2. Leverandøren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger. 1.3. Denne databehandleraftale frigør ikke databehandleren for de forpligtigelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren. 2. Formål 2.1. Leverandøren behandler i medfør af aftale med kunden og leverandørens generelle handelsbetingelser (herefter Hovedaftalen ) personoplysninger for kunden, hvor leverandørens behandlinger og formålet med behandlingerne er beskrevet. 3. Kundens rettigheder og forpligtelser 3.1. Kunden er dataansvarlig for de personoplysninger, som kunden instruerer leverandøren om at behandle. Kunden har ansvaret for, at de personoplysninger, som kunden instruerer leverandøren om at behandle, må behandles af leverandøren, herunder at behandlingen er nødvendig og saglig i forhold til kundens opgavevaretagelse. 3.2. Kunden har overfor den registrerede som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven. 3.3. Kunden er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren er instrueret i at foretage. 4. Leverandørens forpligtelser 4.1. Leverandøren er databehandler for de personoplysninger, som leverandøren behandler på vegne af kunden, jf. pkt. 6 og bilag 3. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 1.1 4.2. Leverandøren behandler alene de overladte personoplysninger efter instruks fra kunden, jf. pkt. 6 og bilag 3, og alene med henblik på opfyldelse af Hovedaftalen. 4.3. Leverandøren skal løbende føre en fortegnelse over behandlingen af personoplysninger. 4.4. Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Databeskyttelsesforordningen, jf. bilag 1 Sikkerhed. Side 2 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 20. december 2018 VERSION 3 POL/HAC - FINAL

4.5. Leverandøren skal på opfordring fra kunden hjælpe med at opfylde kundens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra kunden om indsigt i egne oplysninger, udlevering af kundens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af kundens oplysninger, samt kundens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, jf. Databeskyttelsesforordningens kap. III samt artikel 34. 4.6. Leverandøren skal hjælpe kunden med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36. 4.7. Leverandøren garanterer at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af kundens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. 4.8. Leverandøren er forpligtet til at oplyse med præcise adresseangivelser, hvor kundens personoplysninger opbevares, jf. bilag 2. Leverandøren skal ajourføre oplysningerne over for kunden ved enhver ændring. 5. Underleverandør (underdatabehandler) 5.1. Ved underdatabehandler forstås en underleverandør, til hvem leverandøren har overladt hele eller dele af den behandling, som leverandøren foretager på vegne af kunden. 5.2. Leverandøren har ret til at anvende andre underdatabehandlere end dem, som er angivet i bilag 2, til at behandle de personoplysninger, som kunden har overladt til leverandøren i medfør af Hovedaftalen. Leverandøren skal ajourføre oplysninger om underdatabehandlere i bilag 2 ved enhver ændring. 5.3. Hvis Leverandøren overlader behandlingen af personoplysninger, som kunden er dataansvarlig for, til underdatabehandlere, skal leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren. 5.4. Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som leverandøren er pålagt efter Aftalen, herunder, at underdatabehandleren garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. 5.5. Når Leverandøren overlader behandlingen af personoplysninger, som kunden er dataansvarlig for, til underdatabehandlere, har leverandøren over for kunden ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt. 5.3. Side 3 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 24. maj 2018 DJ/HAC - FINAL

5.6 Kunden kan til enhver tid forlange dokumentation fra leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for kunden. 5.7 Al kommunikation mellem kunden og underdatabehandleren sker via leverandøren. 6. Instrukser 6.1. Leverandørens behandling af personoplysninger på vegne af kunden sker udelukkende efter dokumenteret instruks, jf. bilag 3. Det er leverandørens ansvar at sikre, at eventuelle underdatabehandlere, jf. pkt. 5.3, får tilsendt kundens instruks, jf. bilag 3. 6.2. Leverandøren skal omgående give besked til kunden, hvis en instruks efter leverandørens vurdering er i strid med lovgivningen, jf. pkt. 1.1 7. Tekniske og organisatoriske sikkerhedsforanstaltninger 7.1. Leverandøren skal, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau. 7.2. Leverandøren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget, jf. pkt. 7.1, samt bilag 1. 7.3. Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver. 7.4. Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af kundens personoplysninger, om leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt. 9. 7.5. Leverandøren er forpligtet til straks at underrette kunden om ethvert sikkerhedsbrud samt ved - enhver anmodning om videregivelse af personoplysninger omfattet af Hovedaftalen fra en myndighed, medmindre orienteringen af kunden er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning, - anden manglende overholdelse af leverandørens, samt eventuelle underdatabehandleres forpligtelser uanset, om dette sker hos leverandøren eller hos en underdatabehandler. 7.6. Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, jf. pkt. 7.5, uden forudgående skriftlig aftale med kunden om indholdet af en sådan kommunikation, medmindre leverandøren har en retlig forpligtelse til sådan kommunikation. Side 4 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 24. maj 2018 DJ/HAC - FINAL

8. Overførsler til andre lande 8.1. Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med kundens instruks herfor, jf. bilag 3. 8.2. Ved overførsel til tredjelande er leverandøren og kunden i fællesskab ansvarlige for, at der foreligger et gyldigt overførselsgrundlag. 9. Tavshedspligt og fortrolighed 9.1. Leverandøren er under og efter hovedaftalens ophør pålagt fuld tavshedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet. Aftalen indebærer, at tavshedspligtsbestemmelserne i straffeloven 152 152f, jf. Straffelovens 152 a, finder anvendelse. 9.2. Leverandøren skal sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 10. Kontroller og erklæringer 10.1. Leverandøren er forpligtet til at give kunden nødvendige oplysninger til, at kunden til enhver tid kan sikre sig, at leverandøren overholder de krav, der følger af denne Aftale. 10.2. Kunden, en repræsentant for kunden eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos leverandøren, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at leverandøren overholder de krav, der følger af denne Aftale. 10.3. Dersom kunden foretager et tilsyn om overholdelse af denne Aftale hos leverandøren, aftales omfang og proces for tilsyn, herunder leverandørens pris herfor, i Hovedaftalen. Kundens omkostninger i forbindelse med dette tilsyn afholder kunden selv. 10.4. I tilfælde af, at kunden og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter leverandøren og leverandørens underleverandører sig til uden yderligere omkostninger for kunden, at stille tid og ressourcer til rådighed herfor. 11. Ændringer i Aftalen 11.1. Kunden kan til enhver tid, med et forudgående varsel på mindst 60 dage, foretage ændringer i Aftalen og instruksen, jf. bilag 3. Ændringsprocessen og omkostningerne aftales skriftligt mellem kunden og leverandøren i Hovedaftalen. Leverandøren skal ved sådanne ændringer uden ugrundet ophold sikre, at underdatabehandlerne tillige forpligtes af ændringerne. Side 5 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 24. maj 2018 DJ/HAC - FINAL

11.2. I det omfang ændringer i lovgivningen, jf. pkt. 1.1 eller tilhørende praksis, giver anledning til dette, er kunden og uden at dette medfører krav om betaling fra leverandøren berettiget til at foretage ændringer i Aftalen. 12. Sletning af data 12.1. Kunden træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen. 12.2. Kunden skal senest tre måneder inden Hovedaftalens ophør skriftligt meddele leverandøren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til kunden. I det tilfælde, hvor personoplysningerne tilbageleveres til kunden, skal leverandøren ligeledes slette eventuelle kopier. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever kundens meddelelse. 12.3. Leverandøren skal fremsende dokumentation for, at den påkrævede sletning, jf. pkt. 12.2, er foretaget, og hvilken metode for sletning der er anvendt. 13. Misligholdelse og tvistigheder 13.1. Misligholdelse og tvistigheder er reguleret i Hovedaftalen. 14. Erstatning og forsikring 14.1. Erstatnings- og forsikringsspørgsmål er reguleret i Hovedaftalen. 15. Ikrafttræden og varighed 15.1. Aftalen indgås ved begge parters underskrift, eller på tilsvarende vis digitalt, og løber indtil ophør af Hovedaftalen. 15.2. Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil. 16. Formkrav 16.1. Aftalen skal foreligge digitalt hos kunden og leverandøren. Side 6 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 24. maj 2018 DJ/HAC - FINAL

For Kunden For Leverandøren Dato Dato Stilling Stilling Navn Navn Underskrift Underskrift Bilag: Bilag 1 Sikkerhed Bilag 2 Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere) Bilag 3 Instruks Bilag 4 Leverandørens it-sikkerhedspolitik m.m. Side 7 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 24. maj 2018 DJ/HAC - FINAL

Bilag 1 Sikkerhed Indledning Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Leverandøren i medfør af Aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af, herunder hos dennes underdatabehandlere, som er angivet i bilag 2. Sikkerhedskrav Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. Instruks (bilag 3), og som dermed opfylder Databeskyttelsesforordningens artikel 32. Foranstaltningerne fastlægges ud fra overvejelser om: 1. Hvad der kan lade sig gøre rent teknisk 2. Implementeringsomkostningerne 3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. Instruksen (bilag 3) 4. Konsekvenserne for borgerne ved et sikkerhedsbrud 5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for: a) tilintetgørelse af oplysningerne b) tab af oplysningerne c) ændring af oplysningerne d) uautoriseret videregivelse af oplysningerne e) uautoriseret adgang til oplysningerne Side 8 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 24. maj 2018 DJ/HAC - FINAL

Bilag 2 Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere) 1. Lokation(er) for behandlingen af de steder, hvor Kundens personoplysninger opbevares/behandles. Opbevaring af personoplysninger, der behandles i det webbaserede bestillings- og handelssystem, som leverandøren stiller til rådighed for kunden, finder sted på følgende lokationer: 1. Tarupvej 53, 5210 Odense NV 2. Jens Juuls Vej 12, 8260 Viby J 3. Albuen 22, 6000 Kolding 4. Roholmsvej 10 A, 2620 Albertslund 2. Underdatabehandlere Leverandøren (databehandleren) må alene gøre brug af underdatabehandlere efter forudgående generel godkendelse fra kunden. Leverandøren (databehandleren) anmodning herom skal være Kunden (den dataansvarlige) i hænde minimum 1 måned før anvendelsen eller ændringen skal træde i kraft. Kunden (den dataansvarlige) kan alene nægte godkendelse, såfremt kunden har rimelige, konkrete årsager hertil. 2.1. Godkendte underdatabehandlere Kunden har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere: Navn CVR-nr. Adresse Beskrivelse af behandling JDM A/S 28901194 Middelfartvej 281, Hosting og infrastruktur partner, som 5200 Odense forestår Serverdriften Leverandøren kan ikke uden kundens specifikke og skriftlige godkendelse anvende den enkelte underdatabehandler til en anden behandling end aftalt. Side 9 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 24. maj 2018 DJ/HAC - FINAL

Bilag 3 Instruks Instruks Kunden (den dataansvarlige) instruerer hermed leverandøren (databehandleren) om at foretage behandling af kundens (den dataansvarlige) personoplysninger til brug for effektuering af kundens bestillinger af leverandørens varer og tjenesteydelser, til kundens (den dataansvarlige) medarbejdere og andre personer som kunden (den dataansvarlige) opretter og inddaterer personoplysninger om, i det webbaserede bestillings- og handelssystem som leverandøren (databehandleren) stiller til rådighed for kunden (den dataansvarlige), jf. Hovedaftalen. Overlader leverandøren (databehandleren) behandling af kundens (den dataansvarlige) oplysninger til underdatabehandlere, er leverandøren ansvarlig for at indgå skriftlige (under)databehandleraftaler med disse, jf. Aftalens pkt 5.3). Leverandøren (databehandleren) er ansvarlig for, at kundens (den dataansvarlige) instruks fremsendes til eventuelle underdatabehandlere. 1. Behandlingens formål Behandling af kundens (den dataansvarlige) personoplysninger sker i henhold til formålet i Hovedaftalen. Leverandøren (databehandleren) må ikke anvende personoplysningerne til andre formål. Personoplysningerne må ikke behandles efter instruks fra andre end kunden (den dataansvarlige). 2. Generel beskrivelse af behandlingen Leverandøren (databehandleren) foretager behandling af personoplysninger i forbindelse med den aftalte brug af det web-baserede bestillings- og handelssystem der anvendes til bestilling, håndtering, levering af arbejdstøj, profilbeklædning, personlige værnemidler og lignende til kundens (den dataansvarlige) medarbejdere og andre. Behandlingen af personoplysninger sker primært i det web-baserede bestillings- og handelssystem, som leverandøren (databehandleren) stiller til rådighed for kunden (den dataansvarlige), hvor kunden (den dataansvarlige) løbende indtaster nye personoplysninger og bestillinger. Leverandøren (databehandleren) behandler og udveksler i forbindelse med behandling af kundens (den dataansvarlige) bestillinger personoplysninger i leverandørens eget ERP-systemer i forbindelse med fakturering og almindelig bogføring. 3. Kategorier af registrerede personer, som databehandlingen omfatter: Der behandles oplysninger om følgende kategorier af registrerede: A) Kundens (den dataansvarlige) medarbejdere B) Kundens (den dataansvarlige) eventuelle øvrige samarbejdsrelationer Side 10 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 24. maj 2018 DJ/HAC - FINAL

4. Typen af personoplysninger Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Leverandørens (databehandleren) og eventuelle underdatabehandleres niveau for behandlingssikkerhed bør afspejle oplysningernes følsomhed, jf. bilag 1. Almindelige personoplysninger, jf. Databeskyttelsesforordningens artikel 6: X Almindelige personoplysninger Følsomme personoplysninger, jf. Databeskyttelsesforordningens artikel 9: Racemæssig eller etnisk baggrund Politisk overbevisning Religiøs overbevisning Filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. Seksuelle forhold Biometriske data Genetiske data Oplysninger om enkeltpersoners rent private forhold, jf. Databeskyttelsesforordningens artikel 6 og 9: Strafbare forhold Oplysninger om cpr-nummer, jf. Databeskyttelsesforordningens artikel 87. CPR-numre 1. Tredjelande (ikke EU-medlemslande) Leverandørerne (databehandleren) overfører ikke personoplysninger til tredjelande gyldigt overførselsgrundlag for overførsler derfor ikke relevant. Side 11 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 24. maj 2018 DJ/HAC - FINAL

Bilag 4 Leverandørernes IT-sikkerhedspolitik Aktuelle oplysninger om leverandørens (databehandleren) IT-sikkerhedspolitik, behandling af personoplysninger og databeskyttelse kan findes her: www.orloff.dk/databeskyttelse Side 12 af 12 ORLOFF FIRMATØJ A/S - DATABEHANDLERAFTALE 24. maj 2018 DJ/HAC - FINAL

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback