Databehandler aftale

Databehandler aftale version 2.0 er gældende fra 2/5 2018, og er formuleret og udarbejdet af Brockstedt-Kaalund Advokater.

Persondataretlige bestemmelser. - Om forholdet mellem kunden som Dataansvarlig og WEBSHIPPER ApS som databehandler

» Hent aftalen i PDF format 

1. Abonnementet kunden har hos WEBSHIPPER ApS er en platform til automatisering af fragtprocesser for kunden og som naturligt led heri, behandler WEBSHIPPER ApS diverse persondata på kundens vegne. Det drejer sig om data vedrørende kundens kunder, dvs. data vedr. de personer, som er modtagere af forsendelserne.

Nærværende afsnit 9, vedrører forholdet mellem den Dataansvarlige (kunden) og Databehandleren (WEBSHIPPER ApS), i forbindelse med de persondataretlige regler

De behandlede personoplysninger.

2.1. Databehandleren har som led i abonnementet adgang til, på den Dataansvarliges vegne, at behandle:

Navn og adresse på de personer, der skal modtage forsendelserne.

Oplysninger om den enkelte type sendte vare og varens værdi/pris.

3. Formålet med persondatabehandlingen og omfang.

3.1 I naturlig sammenhæng med Databehandlerens status af leverandør af en abonnementsbaseret løsning til håndtering af den Dataansvarliges fragtprocesser, opbevarer Databehandleren oplysningerne, ligesom Databehandleren udveksler oplysningerne med relevante 3. parter i form af de fragtfirmaer den Dataansvarlige benytter og evt. toldmyndigheder (såfremt forsendelserne er grænseoverskridende).

3.2. Formålet med persondatabehandlingen er håndtering af den Dataansvarliges fragtprocesser.

3.3. Det præciseres, at Databehandleren alene må behandle personoplysningerne, i det omfang det er nødvendigt for driften af den Dataansvarliges WEBSHIPPER abonnement hos Databehandleren og/eller såfremt gældende lovgivning pålægger Databehandleren at behandle oplysningerne i øvrigt.

3.4. Det præciseres, at fragtfirmaerne persondata videregives til som led i nærværende aftale, er den Dataansvarliges (kundens) Databehandlere og ikke WEBSHIPPER ApS’ Databehandlere. - WEBSHIPPER ApS har alene en formidlende funktion i den forbindelse.

4. Databehandlerens forpligtelser

4.1. Databehandleren må alene behandle de omhandlede personoplysninger i overensstemmelse med den Dataansvarliges instruks. - Det vil sige den instruks der ligger i WEBSHIPPER løsningen, gående ud på, at Databehandleren skal håndtere fragtprocesser for den Dataansvarlige.

4.2. Databehandleren er forpligtet til at overholde den til enhver tid gældende persondatalovgivning og skal omgående underrette den Dataansvarlige, såfremt en instruks fra den Dataansvarlige efter Databehandlerens mening, er i strid med persondataforordningen eller dansk persondataret i øvrigt.

4.3. Databehandleren skal anvende passende tekniske og organisatoriske sikkerhedsforanstaltninger med henblik på at sikre, at personlysningerne ikke tilintetgøres, fortabes, forringes eller kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen, herunder skal Databehandleren iværksætte de foranstaltninger, der er nødvendige efter persondataforordningens artikel 32.

4.4. Databehandleren er forpligtet til uden unødig forsinkelse at give den Dataansvarlige meddelelse om brud på datasikkerheden. Databehandleren skal i den forbindelse oplyse den Dataansvarlige om:

  • Karakteren af bruddet på sikkerheden.
  • Om muligt typen og antallet af berørte registrerede samt typen af berørte personoplysninger og antallet af berørte registreringer af persondataoplysninger.
  • De foranstaltninger som Databehandleren har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
  • De sandsynlige konsekvenser af bruddet på persondatasikkerheden.

4.5. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.

4.6 Databehandleren skal fremkomme med alle de oplysninger, der er nødvendige for at påvise, at Databehandleren overholder persondataforordningens artikel 28, herunder skal Databehandleren give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller anden revisor, som er bemyndiget af den Dataansvarlige. Det præciseres at inspektioner/revisioner i enhver henseende sker for den Dataansvarliges regning.

4.7. Databehandleren skal sikre/påse, at de personer, der hos Databehandleren er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

4.8. Hvis en registreret anmoder Databehandleren (normalt vil sådanne anmodninger blive fremsat overfor den Dataansvarlige) om adgang til og indsigt i den pågældendes personoplysninger, skal Databehandleren straks sende anmodningen videre til den Dataansvarlige.

4.9. Databehandleren bistår med passende tekniske og organisatoriske hjælpemidler, den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder som nærmere fastlagt i persondataforordningens kapitel III.

5. Særligt om overførsel af oplysninger til underdatabehandlere eller tredjeparter

5.1. Databehandleren er, som naturligt led i WEBSHIPPER løsningen, berettiget til at videregive personoplysningerne til den Dataansvarliges øvrige databehandlere, i form af fragtfirmaer, og endvidere er Databehandleren berettiget til at udveksle personoplysningerne med toldmyndighederne.

5.2. Databehandleren må derudover kun videregive eller overlade personoplysninger til tredjeparter eller underdatabehandlere efter forudgående aftale med den Dataansvarlige. Databehandleren kan dog videregive eller overlade personoplysninger uden den Dataansvarliges instruks, hvis det følger af lovgivningen.

5.3. Hvis Databehandleren overlader personoplysninger til en anden databehandler (underdatabehandler), er Databehandleren forpligtet til at indgå en underdatabehandleraftale med underdatabehandleren, hvori underdatabehandleren over for Databehandleren er bundet på minimum samme vilkår, som fremgår af nærværende afsnit 9.

5.4. Databehandleren skal underrette den Dataansvarlige, såfremt Databehandleren har planer om udvidelse af kredsen af underdatabehandlere og/eller erstatning af eksisterende underdatabehandlere med andre.

5.5. Databehandleren må ikke overføre personoplysninger til 3. lande som EU kommissionen ikke har vurderet til at være sikre 3. lande.

5.6. Hvis oplysningerne overføres til udenlandske underdatabehandlere, skal det fremgå af databehandleraftalen jf. pkt. 9.5.3, at underdatabehandleren skal overholde EU’ s persondataforordning og den til enhver tid gældende persondatalovgivning i øvrigt. Underdatabehandlere etableret i EU-lande med særlige lovgivningsmæssige krav vedrørende databehandlere, skal tillige overholde disse krav.

6. Varighed af databehandlingen

6.1. Behandlingen af persondata efter nærværende aftale, fortsætter indtil det mellem parterne indgåede WEBSHIPPER abonnement ophører.

6.2. I tilfælde af ophør af abonnementet, er Databehandleren dog forpligtet af nærværende aftale, så længe Databehandleren har adgang til personoplysninger stammende fra den Dataansvarlige.

6.3. I tilfælde af WEBSHIPPER abonnementets ophør, er Databehandleren forpligtet til at slette eventuelle back ups og andre kopier af personoplysningerne.

6.4. Det præciseres dog som indskrænkning til de forudgående bestemmelser, at Databehandleren som følge af den danske bogføringslovgivning, af hensyn til at kunne dokumentere de ydelser/de forsendelser abonnementsbetalingerne dækker over, opbevarer de omhandlede persondata vedr. hver enkelt forsendelse, i op til 5 år efter forsendelsesåret. Herefter slettes de personhenførebare data, idet der herefter alene sker en arkivering af varens type, værdi/pris og modtagerlandet, mens øvrige oplysninger (modtagernavn og postadresse) slettes.