Databehandlingsvilkår

Vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde

1. Gyldighed

1.1
Dette dokument, benævnt ”Databehandlingsvilkår”, beskriver de vilkår NJ Gruppen forpligter sig til at opfylde som leverandør og databehandler ved behandling af personoplysninger på vegne af en dataansvarlig kunde.

1.2
Disse vilkår betragtes som en indgået aftale mellem parterne, når en dataansvarlig kunde afgiver ordre på en opgave, der indebærer, at leverandøren som en del af opgaven skal udføre behandling af personoplysninger på vegne af kunden.

1.3
Aftalen omfatter følgende personoplysninger:

Navn
Adresse
E-mail
Telefonnummer
Alder
Køn

1.4
Aftalen kan med parternes samtykke udvides til flere oplysningstyper og/eller datasubjekter.

 

2. Formål

2.1
Databehandleren må alene behandle personoplysninger til formål, som er nødvendige for at udføre og levere den bestilte opgave i henhold til den aftale, parterne har indgået med kundens bestilling, jf. leverandørens sædvanlige salgs- og leveringsbetingelser.

 

3. Databehandlerens forpligtelser

3.1
Databehandleren må kun behandle de af den dataansvarlige leverede personoplysninger i overensstemmelse med den dataansvarliges instrukser og er i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning.

3.2
Databehandleren er forpligtet til at træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, herunder sådanne yderligere foranstaltninger, som måtte være nødvendige, mod at de i pkt. 1.2, anførte personlysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller ikke behandles i overensstemmelse med persondatalovgivningen.

Databehandleren er således blandt andet forpligtet til at:

  • indføre log-in- og adgangskodeprocedurer
  • opsætte og vedligeholde firewall og antivirussoftware
  • sikre, at alene ansatte med arbejdsrelaterede formål har adgang til personoplysningerne
  • sikre, at de ansatte, der er involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er
  • underlagt lovbestemt tavshedspligt, opbevare datalagermedier på forsvarlig vis, således disse ikke er offentligt tilgængelige
  • sikre, at bygninger og systemer, der anvendes i forbindelse med databehandlingen, er sikre, samt at der alene
  • anvendes hardware og software i høj kvalitet, som opdateres
  • sikre, at prøver og affaldsmateriale tilintetgøres, opbevares og returneres i henhold til kravene til databeskyttelse og efter nærmere instrukser fra den dataansvarlige
  • sikre, at de ansatte modtager uddannelse, fyldestgørende instruktioner i og retningslinjer for behandlingen af personoplysningerne

3.3
Databehandleren skal på den dataansvarliges anmodning redegøre for og/eller dokumentere, at databehandleren opfylder kravene i persondatalovgivningen, bl.a. fremvise dokumentation for databehandlerens datastrømme samt procedurer/politikker for persondatabehandling.

3.4
Hvis databehandleren behandler personoplysninger i et andet EU/EØS medlemsland, skal databehandleren overholde medlemslandets lovgivning om sikkerhedsforanstaltninger.

3.5
Databehandleren skal straks informere den dataansvarlige om driftsforstyrrelser, mistanke om brud på databeskyttelsesreglerne eller andre uregelmæssigheder ved behandlingen af personoplysningerne. Ved sikkerhedsbrud skal databehandleren straks og senest 24 timer efter opdagelse af sikkerhedsbruddet underrette den dataansvarlige. Databehandleren skal efter anmodning bistå den dataansvarlige i forbindelse med sikkerhedsbruddet.

3.6
Databehandleren skal på den dataansvarliges anmodning give tilstrækkelige oplysninger til, at denne kan påse, at databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Den dataansvarlige kan for egen regning lade databehandlerens behandling af personoplysninger underkaste en årlig revision af en uafhængig tredjepart.

3.7
Hvis databehandleren eller en anden databehandler, som har modtaget samme oplysninger, modtager en anmodning om adgang til registrerede personoplysninger fra en registreret eller dennes agent, eller en registreret fremsætter indsigelse mod behandlingen af de registrerede personoplysninger, skal databehandleren straks sende anmodningen og/eller indsigelsen til den dataansvarlige med henblik på den dataansvarliges videre sagsbehandling, medmindre databehandleren er berettiget til at håndtere en sådan forespørgsel selv. Databehandleren skal efter anmodning bistå den dataansvarlige ved anmodningen og/eller indsigelsen. 

 

4. Overførsel til andre databehandlere eller tredjeparter

4.1
Databehandleren er kun forpligtet til at overføre de i pkt. 1.2. angivne personoplysninger til andre databehandlere eller tredjeparter, såfremt den dataansvarlige giver skriftlig instruks herom.

4.2
Databehandleren må ikke videregive eller overlade personoplysninger til andre tredjeparter eller databehandlere uden den dataansvarliges forudgående skriftlige instruks, medmindre dette sker til opfyldelse af gældende persondatalovgivning.

4.3
Databehandleren skal inden overførsel af personoplysninger til en anden databehandler sikre, at sådan underdatabehandler har indgået en databehandleraftale, hvor denne forpligter sig på de samme vilkår, som er gældende i henhold til nærværende aftale.

4.4
Hvis personoplysningerne overføres til udenlandske underdatabehandlere, skal det i ovennævnte databehandleraftaler anføres, at det er den dataansvarliges lands databeskyttelseslovgivning, der gælder for udenlandske underdatabehandlere. Hvis underdatabehandleren endvidere er etableret inden for EU, skal det i databehandleraftalen anføres, at det modtagende EU-lands lovgivningsmæssige krav vedrørende databehandlere, f.eks. krav om meddelelse til nationale myndigheder, skal overholdes. Databehandleraftalen skal inden overførsel af personoplysninger fremlægges for den dataansvarlige for at sikre, at den opfylder betingelserne i denne aftale.

4.5
Databehandleren skal i sit eget navn indgå skriftlige databehandleraftaler inden for EU/EØS. For så vidt angår underdatabehandlere uden for EU/EØS, skal databehandleren indgå standardaftaler i overensstemmelse med EU-Kommissionens standardkontraktbestemmelser om videregivelse af personoplysninger til databehandlere etableret i tredjelande.

4.6
Databehandleren har fuldmagt til at indgå standardaftaler med underdatabehandlere uden for EU/EØS på den dataansvarliges vegne og i dennes navn. Det forudsættes, at den dataansvarlige forinden har givet instruks herom.

 

5. Ændring

5.1
I tilfælde af ændringer af den danske databeskyttelovgivning er den dataansvarlige berettiget til at korrigere de i denne aftale indeholdte instrukser med 2 ugers skriftligt varsel ved fremsendelse af nye skriftlige instrukser til databehandleren, dog således at databehandleren til enhver tid skal overholde gældende persondatalovgivning.

 

6. Misligholdelse

6.1
Databehandleren skal skadesløsholde den dataansvarlige for enhver form for krav, omkostninger, tab, ansvar, bøder, udgifter eller skader, som er en direkte følge af misligholdelse af denne aftale, herunder som følge af manglende overholdelse af gældende persondatalovgivning.

 

7. Ikrafttrædelse og ophør

7.1
Denne aftale betragtes som et tillæg til den aftale der indgås mellem ordregiver og leverandør, når ordregiver foretager bestilling af en opgave, der involverer behandling af persondata. Aftalen træder dermed i kraft ved ordreafgivelse.

7.2
Ved ophør af den indgåede aftale mellem ordregiver og leverandør ophører denne aftale også. Leverandøren er dog som databehandler forpligtet af denne aftale, så længe denne behandler personoplysninger på vegne af den dataansvarlige.

7.3
I tilfælde af denne aftales ophør, er den dataansvarlige berettiget til at forlange personoplysningerne tilbageleveret på et medie valgt af den dataansvarlige, eller at personoplysningerne slettes.

 

8. Lovvalg og værneting

8.1
Nærværende aftale reguleres efter dansk ret.

8.2
Enhver tvist, som måtte opstå som følge af aftalen, herunder om aftalens eksistens eller gyldighed, skal afgøres af domstolene ved databehandlerens værneting.

 

NJ Gruppen

Odense den 21. december 2021