DATABEHANDLERAFTALE

 

 

Nærværende databehandleraftale er indgået mellem:

Larsen Data ApS
CVR nr. 32160395

Arne Jacobsens Allé 7
2300 København S
("Larsen Data")

og           Kunden som har bestilt/købt hosting ydelser
("den Dataansvarlige")

(herefter samlet benævnt "Parterne" og hver for sig "Part")

 

har indgået følgende databehandleraftale (”Aftalen”) om Larsen Datas behandling af personoplysninger på vegne af den Dataansvarlige:

1.            BAGGRUND

1.1               På baggrund af den Dataansvarliges bestilling/køb af hosting ydelser (herefter ”Services” eller ”Tjenesten”) hos Larsen Data indgås denne Aftale mellem Kunden som dataansvarlig og med Larsen Data som databehandler, idet der i henhold til persondatalovgivningen skal indgås en skriftlig aftale, når en dataansvarlig overlader en behandling af personoplysninger til en databehandler.

1.2               Denne Aftale supplerer Larsen Datas Handelsbetingelser, således at Handelsbetingelser også gælder for behandling af personoplysninger, medmindre bestemmelserne i Aftalen specifikt regulerer emnet.

2.            DATABESKYTTELSESLOVGIVNING

2.1               Larsen Data skal overholde lovgivningens til enhver tid stillede krav til databehandlere, herunder Databeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger) (herefter ”GDPR) med tilhørende retsakter og heraf afledt national lovgivning.

3.            GEOGRAFISKE KRAV

3.1               Den Dataansvarlige giver Larsen Data samtykke til at foretage behandling af persondata udenfor det Europæiske Økonomiske Samarbejde (EØS), forudsat at Larsen Data sikrer, at der enten er tale om overførsel til sikre tredjelande, at Larsen Data har givet de fornødne garantier for databeskyttelse, eller hvis en af de særlige undtagelser i GDPR er opfyldt.

3.2               Den Dataansvarlige bemyndiger Larsen Data til på den Dataansvarliges vegne at indgå aftale om overførsel af persondata ved anvendelse af de af EU-Kommissionen vedtagne standardkontraktbestemmelser. Uanset om sådan aftale indgås mellem den Dataansvarlige eller af Larsen Data på vegne af den Dataansvarlige yder den Dataansvarlige i sådanne tilfælde den nødvendige assistance til Larsen Data.

4.            DATABEHANDLERINSTRUKS

4.1               Larsen Data må alene foretage behandling af persondata på vegne af den Dataansvarlige og efter dokumenteret instruks fra den Dataansvarlige og alene så længe og i det omfang, det er nødvendigt for at kunne levere den pågældende Service og opfylde Handelsbetingelserne. Handelsbetingelserne udgør således del af den Dataansvarliges instruks til Larsen Data, og alle de for afviklingen af Handelsbetingelsernes nødvendige og beskrevne behandlinger betragtes som dokumenterede.

4.2               Typen af de personoplysninger, der behandles under denne Aftale og kategorierne af de registrerede personer afhænger af, hvilke data der indtastes eller uploades af kunden og/ eller tilknyttede brugere. Larsen Data har ingen indflydelse på dette og er ikke klar over, hvilke personoplysninger der indtastes eller uploades, eller hvilke kategorier af registrerede personer sådanne data henviser til.

4.3               Den Dataansvarlige er enig i, at ingen særlige kategorier af personoplysninger, herunder ingen følsomme personoplysninger, registreres eller uploades til Tjenesten.

4.4               Såfremt en instruks efter Larsen Datas opfattelse er i strid med lovgivningen, skal Larsen Data orientere den Dataansvarlige herom.

5.            DATABEHANDLERENS BISTAND

5.1               Larsen Data skal i fornødent og rimeligt omfang under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Larsen Data bistå den Dataansvarlige med opfyldelse af dennes forpligtelser i forbindelse med:

a)     Besvarelse af anmodninger fra registrerede ved udøvelse af disses rettigheder

b)     Sikkerhedsbrud

c)     Gennemførelse af passende tekniske og organisatoriske sikkerhedsforanstaltninger

d)     Foretagelse af konsekvensanalyser

e)     Forudgående høringer fra tilsynsmyndigheder

f)      At kunne dokumentere overholdelse af gældende databeskyttelseslovgivning

5.2               Larsen Data er berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for sådant arbejde, jf. pkt. 5.1. Den Dataansvarlige hæfter endvidere for alle Larsen Datas omkostninger i forbindelse med en sådan bistand, jf. pkt. 5.1, herunder Larsen Datas omkostninger til underdatabehandlere.

6.            SIKKERHEDSFORANSTALTNINGER

6.1               I sin egenskab af databehandler skal Larsen Data træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen.

7.            UNDERDATABEHANDLER

7.1               Larsen Data anvender underleverandører til levering af Larsen Datas Services til den Dataansvarlige. Underleverandøren vil efter aftale med Larsen Data foretage behandling af de af Aftalen omfattede personoplysninger. Underleverandøren er således ’underdatabehandler’.

7.2               Den Dataansvarlige samtykker til, at Larsen Data til brug for levering af Larsen Datas Services til den Dataansvarlige anvender de nedenfor anførte underdatabehandlere:

 

Navn:

Beskrivelse af behandlingsopgaver:

Land:

Overførselsgrundlag:

SolarWinds Worldwide, LLC (Spamexperts.com)

 

Softwareleverandør på spamfilter.

USA

Leverandøren er EU-US Privacy Shield certificeret.

Halon Security AB

 

Softwareleverandør på spamfilter.

Sverige

Data opbevares indenfor EU.

Aruba S.P.A.

Leverandør af cloud hosting.

EU

Data opbevares indenfor EU.

Cloud Linux Inc.

 

Leverandør til styresystem på hosting platform.

USA

Leverandøren er EU-US Privacy Shield certificeret.

cPanel, L.L.C

 

Leverandør til kontrolpanel på hosting platform.

USA

Leverandøren er EU-US Privacy Shield certificeret.

Interxion ApS

 

Leverandør til datacentre.

USA

Leverandøren er EU-US Privacy Shield certificeret.

 

7.3               Larsen Data og underdatabehandleren skal indgå skriftlig aftale, som pålægger underdatabehandleren de samme databeskyttelsesretlige forpligtelser og rettigheder, som påhviler Larsen Data i medfør af denne Aftale, herunder i forhold til sikkerhed.

7.4               Underdatabehandleren er under Larsen Datas instruks, og al kommunikation med underdatabehandleren varetages af Larsen Data.

7.5               Såfremt den Dataansvarlige måtte ønske at instruere underdatabehandleren, bør dette alene ske efter drøftelse med og via Larsen Data. Hvis den Dataansvarlige afgiver instruks direkte overfor underdatabehandleren, skal den Dataansvarlige senest samtidig med afgivelsen af sådan instruks skriftligt underrette Larsen Data om den afgivne instruks og baggrunden herfor.

7.6               I tilfælde hvor den Dataansvarlige instruerer underdatabehandleren direkte, er Larsen Data fritaget for ethvert ansvar, og enhver følge af sådan instruks er alene den Dataansvarliges eget ansvar. Den Dataansvarlige hæfter for enhver omkostning, som en sådan direkte instruktion måtte medføre for Larsen Data, herunder for underdatabehandleren. Larsen Data og underdatabehandleren er berettigede til at fakturere den Dataansvarlige med deres sædvanlige timetakster for ethvert arbejde, som en sådan direkte instruks måtte medføre.

7.7               Den Dataansvarlig er berettiget til at gøre indsigelse mod eventuelle planlagte ændringer vedrørende tilføjelser eller udskiftning af underdatabehandlere. Den Dataansvarlige accepterer dog, at Larsen Data er berettiget til at skifte underdatabehandler, under forudsætning af at:

a)     En ny underdatabehandler overholder tilsvarende betingelser, som stilles i denne Aftale til den nuværende underdatabehandler og

b)     At den Dataansvarlige af Larsen Data orienteres om den nye underdatabehandlers identitet senest ved den anden underdatabehandlers påbegyndelse af behandling af personoplysninger, som den Dataansvarlige er dataansvarlig for.

8.            TILSYNSRET

8.1               Larsen Data skal på skriftlig anmodning fra den Dataansvarlige være den Dataansvarlige behjælpelig med at påse, at Larsen Data har implementeret og opretholder fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, jf. pkt. 6.

8.2               Såfremt den Dataansvarlige ønsker at foretage tilsyn, som anført i nærværende pkt.8.1, skal Larsen Data varsles skriftligt mindst 14 dage i forvejen.

8.3               Den Dataansvarlige afholder alle omkostninger i forbindelse med tilsyn af sikkerhedsforhold hos Larsen Data eller underdatabehandlere, jf. dette pkt. 8.1, herunder er Larsen Data berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Larsen Datas arbejdstid, som sådant tilsyn måtte medføre for Larsen Data.

8.4               I det omfang den Dataansvarlige tillige ønsker, at tilsyn, jf. pkt. 8.1 skal omfatte den behandling, som sker hos underdatabehandlere, oplyses Larsen Data om dette. Larsen Data indhenter herefter tilstrækkelige oplysninger fra underdatabehandlere.

9.            PERSONDATASIKKERHEDSBRUD

9.1               Ved persondatasikkerhedsbrud skal forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

9.2               Såfremt Larsen Data måtte blive bekendt med et persondatasikkerhedsbrud i forbindelse med Larsen Datas levering af Services til den Dataansvarlige, vil Larsen Data snarest mulig søge at lokalisere og identificere sådan brud eller trussel samt omfanget deraf, søge at begrænse potentiel eller opstået skade i videst muligt omfang, søge at hindre sådant persondatasikkerhedsbrud i fremtiden, samt i det omfang det er muligt reetablere eventuelt mistede data.

9.3               Larsen Data skal i tilfælde af et persondatasikkerhedsbrud orientere den Dataansvarlige skriftligt om persondatasikkerhedsbruddet.

10.          ANSVARSBEGRÆNSNING

10.1            Parterne er ansvarlige overfor hinanden efter dansk rets almindelige regler med forbehold for de begrænsninger, der finder anvendelse i dette afsnit.

10.2            Larsen Data kan i intet tilfælde gøres erstatningsansvarlig for indirekte tab, herunder men ikke begrænset til tab for følgeskade, tabt indtjening, driftstab, tab af data eller andre indirekte tab hos den Dataansvarlige som bruger af Larsen Datas Services. Dette gælder uanset, at Larsen Data har været underrettet om muligheden for et sådant tab og uanset, om Larsen Data kan bebrejdes tabet og uanset graden af uagtsomhed.

11.          FORTROLIGHED

11.1            Larsen Data skal holde de behandlede personoplysninger fortrolige og er alene berettiget til at anvende personoplysningerne som led i opfyldelse af sine forpligtelser i henhold til Handelsbetingelserne og nærværende Aftale.

11.2            Larsen Data skal sikre, at medarbejdere og eventuelle andre personer, der er autoriseret til at behandle de pågældende personoplysninger, er pålagt tavshedspligt.

12.          IKRAFTTRÆDEN OG OPHØR

12.1            Nærværende Aftale træder i kraft ved den seneste af Parternes underskrifter og ophører, når den i pkt. 4 beskrevne behandling af personoplysninger ophører.

12.2            Så længe Larsen Data behandler personoplysninger på vegne af den Dataansvarlige, er Larsen Data forpligtet af Aftalen.  Når Aftalen ophører, skal Larsen Data returnere alle personoplysninger til Den Dataansvarlige, ophøre med at behandle og slette alle personoplysninger, som er blevet behandlet under den ophørte Aftale på vegne af den Dataansvarlige.