GROUPIN


Databehandlingsaftale

Version 1.0.0

Sidst redigeret 1. september 2018 

med udgangspunkt i datatilsynets standard databehandlingsaftale.



Databehandleraftaler

Baggrund og formål

Parterne som denne databehandleraftale omhandler er Groupin som databehandler og de enkelte organisationer, som benytter Groupin administrationssystem, som dataansvarlige.

Parterne har aftalt levering af visse ydelser fra Databehandleren til den Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom samt bilag 1 til denne aftale

I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale med underliggende bilag

Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig:

  • persondataloven (lov 2000-05-31 nr. 429 med senere ændringer)

[og sikkerhedsbekendtgørelsen (bekendtgørelse 2000-06-15 nr. 528 med senere ændringer)]

  • persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne får virkning

Omfang

Databehandleren bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.

Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”). Denne Databehandleraftale inkl. bilag udgør Instruksen på aftaletidspunktet.

Varighed

Databehandleraftalen gælder indtil enten konto abonnement stoppes eller hovedydelserne ophører eller Databehandleraftalen opsiges eller ophæves.

Databehandlerens forpligtigelse

Tekniske og organisatoriske sikkerhedsforanstaltninger

Databehandleren har ansvaret for at gennemføre fornødne tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i bilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.

  1. Databehandleren skal gennemføre de tekniske og organisatoriske sikkerhedsforanstaltninger som fremgår af bilag 2 til denne Databehandleraftale samt aftalen om levering af Hovedydelserne.

  1. Databehandleren gennemfører de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.

  1. Parterne er enige om, at de afgivne garantier anført i bilag 2 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandleraftale.

Medarbejderforhold

  1. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

  1. Databehandleren skal sikre, at adgangen til personoplysningerne begrænses til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde Databehandlerens forpligtelser over for den Dataansvarlige.

  1. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, kun behandler disse i overensstemmelse med Instruksen.  

Dokumentation for overholdelse af forpligtelser

Databehandleren skal på skriftlig anmodning dokumentere over for den Dataansvarlige, at Databehandleren - overholder sine forpligtelser efter denne Databehandleraftale og Instruksen og at  Databehandleren overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.

Databehandlerens dokumentation heraf skal ske inden rimelig tid.

  • Det nærmere indhold af forpligtelserne er beskrevet i bilag 3 til denne Databehandleraftale.

Fortegnelser over behandlingsaktiviteter

Databehandleren skal løbende føre en fortegnelse over behandlingen af personoplysningerne, i det omfang så ændring i profil data kan henføres til et tidspunkt og en person.

Sikkerhedsbrud

Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).

Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.

Databehandleren skal vedligeholde en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal som minimum dokumentere følgende:

  • De faktiske omstændigheder omkring Sikkerhedsbruddet,
  • Sikkerhedsbruddets virkninger, og de trufne afhjælpningsforanstaltninger.

Fortegnelsen skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne.

Bistand

Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandleraftale, herunder ved:

  • besvarelser til registrerede ved udøvelse af disses rettigheder,
  • Sikkerhedsbrud,
  • konsekvensanalyser, og
  • forudgående høringer fra tilsynsmyndighederne.

Databehandleren skal herunder fremskaffe de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang Databehandleren er den nærmeste hertil.

Databehandleren har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette afsnit.

Den dataansvarliges forpligtelser.

Den Dataansvarlige har de forpligtelser, der fremgår af bilag 4.

Databehandling uden for instruksen

Databehandleren kan behandle personoplysninger uden for Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som Databehandleren er underlagt.

Ved behandling af personoplysninger uden for Instruksen skal Databehandleren underrette den Dataansvarlige om årsagen hertil. Underretningen skal ske, inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.

Underretning skal ikke ske, hvis underretning vil være i strid med EU retten eller den nationale ret.  

Ansvar og ansvarsbegrænsninger

Reguleringen af ansvar og ansvarsbegrænsninger og i aftalen om levering af hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne

Databehandleraftale var en integreret del heraf. I tilfælde af, at aftalen om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette afsnit finde anvendelse på denne Databehandleraftale.

Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler, dog med de begrænsninger der følger af dette afsnit.

Parterne fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, tab af goodwill, tab af besparelser og indtægter, inklusive udgifter til at indvinde mistede indtægter, rentetab og tab af data.

Force majeure

Reguleringen af force majeure i aftalen om levering af hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af, at aftalen om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette dette afsnit finde anvendelse på denne Databehandleraftale.

Databehandleren kan ikke gøres ansvarlig for forhold, der almindeligvis må betegnes som force majeure, herunder, men ikke begrænset til, krig, optøjer, terror, opstand, strejke, ildsvåde, naturkatastrofer, valutarestriktioner, import- eller eksportrestriktioner, afbrydelse af almindelig samfærdsel, afbrydelse af eller svigt i energiforsyningen, offentlige dataanlæg og kommunikationssystemer, længerevarende sygdom hos nøglemedarbejdere, virus samt indtrædelse af force majeure hos underleverandører.

Force majeure kan højst gøres gældende med det antal arbejdsdage, som force majeure-situationen varer.

Fortrolighed

Reguleringen af fortrolighed i aftalen om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af at aftalen om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette afsnit finde anvendelse på denne Databehandleraftale.

Information vedrørende indholdet af denne Databehandleraftale, de underliggende Hovedydelser, den anden Parts forretning, der enten i forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og diskretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige informationer.

Fortrolighedsforpligtelsen gælder dog ikke for information, som er eller bliver offentlig tilgængelig, uden dette skyldes brud på en Parts fortrolighedsforpligtelse eller information, som allerede er i den modtagende Parts besiddelse uden tilsvarende fortrolighedsforpligtelse eller information, som selvstændigt er udviklet af den modtagende Part.

Ophør

Opsigelse og ophævelse

Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftalen om levering af Hovedydelserne.

Opsigelse eller ophævelse af denne Databehandleraftale kan alene ske ved – og berettiger til - samtidig opsigelse eller ophævelse af dele af aftalen om levering af Hovedydelserne, der vedrører behandling af personoplysninger i medfør af Databehandleraftalen.

Virkning af ophør

Databehandlerens bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens ophør, uanset årsag.

Databehandleren må fortsat behandle personoplysningerne i op til tre måneder efter Databehandleraftalens ophør, i det omfang dette er nødvendigt for at foretage nødvendige lovpligtige foranstaltninger. I samme periode er Databehandleren berettiget til at lade personoplysningerne indgå i Databehandlerens sædvanlige backup procedure. Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.

Tvistløsning

Reguleringen af tvistløsning, inkl. lovvalg og værneting, i aftalen om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af, at aftalen om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette afsnit finde anvendelse på denne Databehandleraftale.

Databehandleraftalen er underlagt dansk ret med undtagelse af regler, der fører til anvendelse af anden lov end dansk lov samt FN konventionen om internationale løsørekøb (CISG).

Opstår der uoverensstemmelser i forbindelse med Databehandleraftalen eller dens gennemførelse, skal Parterne med en positiv, samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten. Om nødvendigt skal forhandlingerne søges løftet op på direktionsniveau i Parternes organisationer.

Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole. Retten i Roskilde er valgt som værneting. Retsplejelovens henvisningsregler til Landsret og Sø- og Handelsret skal dog fortsat finde anvendelse.


Bilag 1. - Data der registreres i Systemet

Hovedydelsen

Databehandlerens hovedydelse er at sikre opbevaring og mulighed for at behandle de data den dataansvarlige kan opretter i forbindelse med administrationssystemet Groupin.

Databehandler skal til hver en tid, sikre at de data, der er i administrationssystemet Groupin, på bedst mulig vis, opbevares sikkert.

Databehandleren stiller ingen garanterer for, om data ikke kan gå tabt i systemet. Det er derfor vigtigt at den dataansvarlige organisation har backup af de data, der er i administrationssystemet Groupin.

Personoplysninger

Typer af personoplysninger, der behandles i sammenhæng med levering af Hovedydelsen, er “Almindelige” personoplysninger, Databehandlerens fralægger sig ansvaret for, hvis dataansvarlig benytte systemet, til at opbevarer anden personlig følsom data end nedenstående, da systemet ikke er godkendt eller certificeret til dette:  

Kategori af registeret personer

  • Bruger uden profil (Passiv profiler)
  • Bruger med profil  (Aktiv profiler)
  • Bruger med ansvarsområde og titler
  • Bruger med medlemskaber

Kategori af personoplysninger

  • For- og efternavn
  • Adresse
  • Telefon
  • Mail
  • Adgangskoder
  • Medlemskaber



Bilag 2. - Tekniske og organisatoriske sikkerhedskrav og garantier

Databehandlerens fysiske sikkerhed

  • De server hvorpå data opbevares skal være lokaliseret på et sikreret sted.
  • Serverne skal står i et aflåst lokale.
  • Adgang til alle server skal være sikret med Adgangskode som kun de nødvendige medarbejder kender til.

Databehandlerens tekniske sikkerhed:

  • Hvis en medarbejder med kendskab til vigtige adgangskode, stopper som medarbejder, skal alle berørte kode udskiftes.
  • Alle de backups af data som foretages af Groupin, skal ligge på et sikreret sted og skal altid ligge krypteret med adgangskode.
  • Hvis backup skal flyttes til andre andre interne server i Groupin i forbindelse med test eller fejlsøgning skal dette sker, med en sikreret kopiering som “Secure Copy” (SCP).
  • Al kommunikation mellem bruger og server (Groupin) er krypteret med “https” protocol.
  • at sitet groupin.dk er SSL certifikeret, så man med sikker ved at man kommunikerer med groupin.
  • Alle adgangskode til Groupin profilerne i databasen ligge krypteret, og kan derfor ikke læses af andre.
  • Når der foretages dataudtræk og disse data skal benyttes i test øjemed, så skal alle personoplysninger anonymiseret ved at overskrive navn,efternavn,adresse,email,telefon og mobil oplysninger med ikke person førhen bar data.
  • Alle de services systemet udstiller, som vedrører følsomme oplysninger, skal være sikret, så kun bruger, der er logget på systemet med de rigtige rettigheder, kan benytte dem.

Databehandlerens organisatoriske sikkerhed:

  • De er kun de medarbejder der arbejder med data, der skal have adgang til at se data fra den Dataansvarlige.

Databehandlerens sletning af personoplysninger:

  • Som profil ejer skal man til hver en tid kunne slette sin person oplysninger fra Groupin. Konsekvensen af en sådan sletning er, at man, som udgangspunkt,  udmeldes af de organisationer som profilen er medlem af, med mindre andet er aftalt med organisationen.

Bilag 3. - Dokumentation for overholdelse af forpligtelser

Sletning af oplysninger

Den dataansvarlig kan til hver en tid, vælge at slette alle de data, der er tilknyttet den organisationen en Groupin konto er tilknyttet. De data der ikke bliver slettet er de profiler med en tilhørende email adresse, der er tilknyttet organisationen, da disse kan være benyttet af andre organisationen. Alle passiv profiler, dvs. medlemmer uden email (bruger login) vil også slettes i forbindelse med en sletningen af en hele organisations konto.

Profil ejeren kan også til hver en tid slette sin egen profil, hvis denne profil indgår i et eller flere medlemskaber vil disse medlemskaber ophører med mindre der er aftalt andet med organisationen.

Databehandleren er på skriftlig anmodning forpligtet til at fremsende følgende generelle

dokumentation til den Dataansvarlige:

  • En erklæring fra Databehandlerens ledelse om, at Databehandleren under sin behandling af personoplysninger på den Dataansvarliges vegne løbende sikrer overholdelse af sine forpligtelser efter denne Databehandleraftale.

  • En beskrivelse af de praktiske tiltag, herunder såvel tekniske som organisatoriske, som Databehandleren har gennemført for at sikre overholdelse af sine forpligtelser efter Databehandleraftalen. Beskrivelsen kan bl.a. omfatte en fremstilling af etablerede og implementerede ledelsessystemer for informationssikkerhed og for behandling af personoplysninger samt beskrivelsen af andre iværksatte tiltag. Databehandleren er som led heri også forpligtet til at deltage i opfølgende møder med den Dataansvarlige herom.
  • En beskrivelse af hvilke kontrolforanstaltninger Databehandleren har iværksat og gennemført til måling og kontrol af virkningen af det etablerede ledelsessystem for informationssikkerhed og for behandling af personoplysninger samt resultatmålinger herfra.

Den generelle dokumentation skal udleveres senest fem arbejdsdage efter, at den Dataansvarlige har fremsat sin skriftlige anmodning over for Databehandleren, med mindre andet aftales konkret.

Databehandlerens udarbejdelse af dokumentation sker for Databehandlerens egen regning.

Databehandleren skal på skriftlig anmodning deltage i et fysisk møde hos Databehandleren eller den Dataansvarlige, hvorpå Databehandleren nærmere skal kunne redegøre for overholdelsen, samt hvordan overholdelsen sikres. Anmodning om møde skal ske med mindst 14 dages varsel.

Databehandleren skal på skriftlig anmodning bidrage til og give adgang til audit.

Audit skal foretages af en uafhængig tredjepart valgt af den Dataansvarlige og godkendt af

Databehandleren. Databehandleren kan ikke afvise en foreslået tredjepart uden rimelig

begrundelse. Den uafhængige tredjepart skal tiltræde en sædvanlig fortrolighedserklæring overfor Databehandleren. Anmodning om audit skal ske med mindst 14 dages varsel.

Databehandleren har krav på betaling efter medgået tid og forbrugte materialer for bistand.


Bilag 4. - Den dataansvarliges forpligtelser og rettigheder

Ved brug af administrationssystemet Groupin og alle tilhørende moduler eller funktioner knyttet til nævnt system, vil de enkelte organisation som har oprettet en konto i Groupin være den Dataansvarlige for de data der er tilknyttet organisationen. Det er dermed også konto ejeren, organisationen, der har ansvar for behandling af de medlemsoplysninger, der er registreret på en konto.

De er den dataansvarliges ansvar at rydde op i de persondata som en organisation ikke længere har lov til at opbevarer lovligt, dvs. uden gyldig grund.

Forpligtigelse

Den Dataansvarlige har følgende forpligtelser:

  • at personoplysningerne er ajourførte

  • at sikre sig, at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering

  • at Instruksen er hensigtsmæssig set i forhold til denne Databehandleraftale og Hovedydelsen

  • Den Dataansvarlige skal ved brug af Applikationen altid behandle Personoplysninger i overensstemmelse med kravene i den gældende Databeskyttelseslovgivning.

  • Den Dataansvarlige har et lovligt grundlag for at behandle og registrerer de personoplysninger der forefindes i den enkelte organisationen.

  • Den Dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de Personoplysninger som behandles af Databehandleren.