Databehandleraftale

Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.

Bestemmelserne er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (databeskyttelsesforordningen).

I forbindelse med leveringen af JustParity compliance-platformen behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.

Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.

Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne:

• Bilag A: Oplysninger om behandlingen (formål, datakategorier, registrerede, varighed)
• Bilag B: Underdatabehandlere (godkendte underdatabehandlere og betingelser)
• Bilag C: Instruks vedrørende behandling (sikkerhedsforanstaltninger, lokalitet, overførsler, revisioner)
• Bilag D: Parternes regulering af andre forhold

Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller dansk ret samt disse Bestemmelser.

Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må ske behandling af personoplysninger.

Den dataansvarlige er ansvarlig for at sikre, at der er et behandlingsgrundlag for den behandling af personoplysninger, som databehandleren instrueres i at foretage.

4.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller dansk ret, som databehandleren er underlagt. Instruksen er specificeret i bilag A og C. Efterfølgende instruks kan gives, mens der sker behandling, men instruksen skal altid være dokumenteret og opbevares skriftligt.

4.2 Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens vurdering er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller dansk ret. Databehandleren er ikke forpligtet til at efterkomme en instruks, der vil medføre overtrædelse af gældende ret.

4.3 Den dataansvarliges aktivering af en lønsystemintegration via JustParity-platformen udgør en dokumenteret instruks til databehandleren om at modtage og behandle de personoplysninger, som det pågældende lønsystem overfører. Den dataansvarlige er ansvarlig for at sikre, at overførslen har et lovligt grundlag.

Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang.

Listen af personer med adgang gennemgås løbende. Adgangen lukkes, hvis den ikke længere er nødvendig. Fortrolighedsforpligtelsen gælder også efter Bestemmelsernes ophør.

Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.

Da behandlingen omfatter lønoplysninger, kønsdata og potentielt oplysninger om fagforeningsmedlemskab (artikel 9), skal der etableres et højt sikkerhedsniveau.

Databehandleren gennemfører som minimum følgende foranstaltninger, jf. bilag C:

• Kryptering: TLS 1.3 for data under transport, AES-256 for data i hvile, krypterede databaseforbindelser og backup
• Adgangskontrol: Rollebaseret adgang (RBAC) med least-privilege-princippet, multifaktorautentificering (MFA) for privilegeret adgang, unikke brugerkonti, automatisk sessionstimeout
• Dataisolering: Multi-tenant Row Level Security (RLS). Kundedata er logisk adskilt, så en kundes data aldrig kan tilgås af en anden kunde
• Logning og overvågning: Al adgang til personoplysninger logges, systemadministratoraktiviteter logges separat, automatisk alerting ved uautoriserede adgangsforsøg
• Sårbarhedshåndtering: Løbende sårbarhedsscanning, kritiske sikkerhedspatches inden 72 timer, penetrationstest mindst halvårligt
• Backup og genopretning: Daglig automatisk backup, point-in-time recovery, disaster recovery-plan med dokumenteret RTO og RPO
• Incident response: Dokumenteret procedure for håndtering af sikkerhedshændelser, klassificering efter alvor, eskalering og underretning jf. afsnit 10
• Personale: Alle medarbejdere med adgang til personoplysninger har underskrevet fortrolighedserklæring og modtager periodisk sikkerhedstræning

Databehandleren forpligter sig til ikke at reducere det samlede sikkerhedsniveau væsentligt uden forudgående skriftlig underretning af den dataansvarlige.

7.1 Databehandleren har den dataansvarliges generelle godkendelse til brug af de underdatabehandlere, der fremgår af bilag B. Databehandleren sikrer, at der indgås skriftlig aftale med enhver underdatabehandler, som pålægger denne de samme databeskyttelsesforpligtelser som fastsat i disse Bestemmelser.

7.2 Databehandleren underretter skriftligt den dataansvarlige om planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel og giver derved den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

7.3 Den dataansvarlige kan gøre begrundet indsigelse mod en ny underdatabehandler inden for 14 dage efter modtagelse af underretningen. Databehandleren vil i rimelig udstrækning forsøge at finde en alternativ løsning. Kan parterne ikke nå til enighed, kan den dataansvarlige opsige den berørte del af serviceaftalen med virkning fra den dato, hvor den nye underdatabehandler skulle have været taget i brug.

7.4 Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder efter databeskyttelsesforordningen, herunder artikel 79 og 82.

Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.

Personoplysninger opbevares og behandles i EU/EØS (primært Frankfurt, Tyskland). Databehandlerens underdatabehandlere (Supabase, Netlify, Resend) er amerikanske selskaber med EU-baseret databehandling. Hvor et moderselskab har potentiel adgang fra USA, er der indgået EU-standardkontraktbestemmelser (SCCs) som overførselsgrundlag i henhold til artikel 46, stk. 2, litra c.

Den dataansvarliges instruks vedrørende overførsel af personoplysninger til tredjelande, herunder overførselsgrundlaget, er angivet i bilag C.

9.1 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III. Dette indebærer bistand vedrørende:

1. oplysningspligten ved indsamling af personoplysninger hos den registrerede
2. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
3. indsigtsretten
4. retten til berigtigelse
5. retten til sletning ("retten til at blive glemt")
6. retten til begrænsning af behandling
7. underretningspligten i forbindelse med berigtigelse eller sletning
8. retten til dataportabilitet
9. retten til indsigelse
10. retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling

9.2 Databehandleren bistår endvidere den dataansvarlige med:

1. anmeldelse af brud på persondatasikkerheden til Datatilsynet, jf. artikel 33
2. underretning af registrerede om brud, jf. artikel 34
3. konsekvensanalyser vedrørende databeskyttelse (DPIA), jf. artikel 35, ved at stille al nødvendig teknisk information til rådighed om platformens behandlingsaktiviteter, sikkerhedsforanstaltninger og dataflows
4. forudgående høring af Datatilsynet, jf. artikel 36

10.1 Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden. Underretningen sker senest 24 timer efter, at databehandleren er blevet bekendt med bruddet, så den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet til Datatilsynet inden for 72 timer, jf. artikel 33.

10.2 Underretningen skal indeholde følgende oplysninger (jf. artikel 33, stk. 3):

• karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede
• kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
• de sandsynlige konsekvenser af bruddet
• de foranstaltninger der er truffet eller foreslås for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger
• kontaktoplysninger til databehandlerens kontaktperson

11.1 Ved ophør af tjenesterne vedrørende behandling af personoplysninger tilbageleverer databehandleren alle personoplysninger til den dataansvarlige i et struktureret, almindeligt anvendt og maskinlæsbart format (CSV eller JSON) og sletter herefter eksisterende kopier senest 30 dage efter ophør, medmindre gældende lovgivning foreskriver opbevaring.

11.2 Databehandleren bekræfter skriftligt over for den dataansvarlige, at sletning er gennemført, herunder hos alle underdatabehandlere.

11.3 Følgende regler foreskriver opbevaring af personoplysninger efter ophør: bogføringsloven (5 år), skatte- og afgiftslovgivning samt arbejdsretlig lovgivning. Sådanne oplysninger opbevares fortsat i overensstemmelse med disse Bestemmelsers sikkerhedsbestemmelser og slettes, når opbevaringsforpligtelsen ophører.

12.1 Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

12.2 Den dataansvarlige kan foretage en ordinær revision en gang om året med mindst 30 dages forudgående varsel. Revisionen kan udføres af en uafhængig tredjepart efter gensidig aftale. Databehandleren kan alternativt stille en uafhængig revisionsrapport til rådighed som dokumentation for overholdelse.

12.3 Ved begrundet mistanke om overtrædelse eller efter et sikkerhedsbrud kan den dataansvarlige foretage ekstraordinær revision med rimeligt varsel.

12.4 Databehandleren er forpligtet til at give Datatilsynet, som efter gældende lovgivning har adgang til den dataansvarliges eller databehandlerens faciliteter, adgang til databehandlerens faciliteter mod behørig legitimation.

13.1 Databehandlerens samlede erstatningsansvar under disse Bestemmelser er begrænset til det beløb, den dataansvarlige har betalt i abonnement i de 12 måneder forud for den hændelse, der giver anledning til kravet. Ansvarsbegrænsningen gælder ikke for krav der udspringer af krænkelse af registreredes rettigheder i henhold til artikel 82 (ufravigelig regel).

13.2 Disse Bestemmelser er underlagt dansk ret. Tvister afgøres ved de danske domstole med Retten i Holbæk som værneting i første instans.

Bestemmelserne træder i kraft ved indgåelse af serviceaftalen. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder giver anledning hertil.

Bestemmelserne er gældende, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige. Ved ophør finder bestemmelserne om fortrolighed (afsnit 5) og sletning (afsnit 11) fortsat anvendelse.