CleanManager logo closeup

Databehandleraftale

Tillæg til abonnementsvilkår på CleanManager


Denne databehandleraftale er et tillæg til den mellem Parterne indgåede aftale om abonnement på CleanManager (herefter "Applikationen") baseret på de til en hver tid gældende abonnementsvilkår for Applikationen og udgør en integreret del deraf.

Der indgås hermed følgende databehandleraftale ("Aftalen") mellem den "Kunden" (den juridiske enhed som har tegnet abonnement på Applikationen) og CleanManager ApS, CVR nr.: DK39230992, Hvidkærvej 23A, 5250 Odense SV ("Leverandøren"), der samlet benævnes "Parterne" og separat en "Part".

Databehandleraftalen er sidst ændret den 17. januar 2019.

1 Definitioner

1.1 I henhold til denne aftale er Kunden og dennes medarbejdere at betegne som "dataansvarlig", jf. artikel 4(7) i Forordning (EU) 2016/679 af 27. april 2016 ("Databeskyttelsesforordningen").

1.2 Leverandøren og dennes medarbejdere agerer som "databehandler" overfor den dataansvarlige i forbindelse med udbydelsen af Applikationen, jf. artikel 4(8) i Databeskyttelsesforordningen.

1.3 Ved "personoplysning" forstås enhver form for information om en identificeret eller identificerbar fysisk person, jf. artikel 4(1) i Databeskyttelsesforordningen.

2 Baggrund for aftalen

2.1 Denne aftale fastsætter de rettigheder og forpligtelser, som finder anvendelse, når databehandleren foretager behandling af personoplysninger på vegne af den dataansvarlige.

2.2 Aftalen er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til indholdet af en databehandleraftale.

2.3 Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af Parternes aftale om den dataansvarliges abonnement på Applikationen.

2.4 Aftalen og abonnementsvilkårene er indbyrdes afhængige, og kan ikke opsiges særskilt. Aftalen kan dog – uden at opsige abonnementet – erstattes af en anden gyldig databehandleraftale.

2.5 Denne Aftale har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne, herunder i abonnementsvilkårene.

2.6 Til denne aftale hører to bilag. Bilagene fungerer som en integreret del af Aftalen.

2.7 Aftalens Bilag A indeholder nærmere oplysninger om behandlingen, herunder hvilken behandling databehandleren skal foretage på vegne af den dataansvarlige (behandlingens genstand), beskrivelse af behandlingens formål, typen af personoplysninger, kategorierne af registrerede, behandlingssikkerhed og varighed af behandlingen.

2.8 Aftalens Bilag B indeholder den dataansvarliges betingelser for, at databehandleren kan gøre brug af eventuelle underdatabehandlere, samt en liste over de eventuelle underdatabehandlere, som den dataansvarlige har godkendt.

2.9 Aftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.

2.10 Denne Aftale frigør ikke databehandleren for forpligtelser, som efter databeskyttelsesforordningen eller enhver anden lovgivning direkte er pålagt databehandleren.

3 Den dataansvarliges forpligtelser og rettigheder

3.1 Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.

3.2 Den dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.

3.3 Den dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren instrueres i at foretage.

4 Behandling af personoplysninger

4.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

4.2 Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

4.3 Den dataansvarlige garanterer over for databehandleren for, at denne har fornøden ret til at behandle personoplysninger omfattet af Aftalen og til at lade databehandleren behandle disse personoplysninger på vegne af sig, herunder men ikke begrænset til ved indsamling af relevante samtykker.

5 Fortrolighed

5.1 Databehandleren skal holde personoplysningerne fortrolige.

5.2 Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.

5.3 Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.

5.4 Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

5.5 Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.

6 Behandlingssikkerhed

6.1 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Databehandleren garanterer at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere disse passende tekniske og organisatoriske foranstaltninger sådan, at databehandlerens behandling af den dataansvarliges personoplysninger opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

6.2 Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici.

7 Underdatabehandlere

7.1 Databehandleren må gøre brug af underdatabehandlere. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
På tidspunktet for indgåelsen af Aftalen anvender databehandleren de i Bilag B anførte underdatabehandlere. Den dataansvarliges nærmere betingelser for databehandlerens brug af underdatabehandlere fremgår ligeledes af denne aftales Bilag B.

7.2 Databehandleren sørger for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.
Databehandleren er således ansvarlig for – igennem indgåelsen af en underdatabehandleraftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som databehandleren selv er underlagt efter databeskyttelsesreglerne og denne databehandleraftale med tilhørende bilag.

7.3 Underdatabehandleraftalen og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at der er indgået en gyldig aftale mellem databehandleren og underdatabehandleren. Eventuelle kommercielle vilkår, eksempelvis priser, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.

7.4 Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.

8 Overførsel af oplysninger til tredjelande eller internationale organisationer

8.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

8.2 Den dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, vil fremgå af denne aftales Bilag A.

9 Bistand til den dataansvarlige

9.1 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

9.2 Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.

10 Underretning om brud på persondatasikkerheden

10.1 Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.
Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 24 timer efter at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.

10.2 Databehandleren skal – under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for denne – bistå den dataansvarlige med at foretage anmeldelse af bruddet til tilsynsmyndigheden.

11 Sletning og tilbagelevering af oplysninger

11.1 Ved ophør af tjenesterne vedrørende behandling forpligtes databehandleren til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.
Databehandleren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever databehandlerens forpligtelser vedrørende sletning af personoplysninger.

11.2 Såfremt den dataansvarlige ikke instruerer databehandleren til andet, slettes databasen tilhørende et abonnement 30 dage efter abonnementets ophør. Den dataansvarliges data opbevares i denne periode for at kunne sikre muligheden for genåbning af abonnementet inden for en rimelig fortrydelsesperiode.

11.3 Databehandleren fremsender – efter den dataansvarliges anmodning herom – dokumentation for at den påkrævede sletning jf. pkt. 11.1 og 11.2 er foretaget.

12 Tilsyn og revision

12.1 Databehandleren stiller, uden ugrundet ophold, alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige.

12.2 Databehandleren giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

12.3 Den nærmere procedure for den dataansvarliges tilsyn med databehandleren fremgår af denne aftales Bilag A.

12.4 Den dataansvarliges tilsyn med eventuelle underdatabehandlere sker som udgangspunkt gennem databehandleren.

12.5 Databehandleren er forpligtet til at give myndigheder, der efter den til enhver tid gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der optræder på myndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.

12.6 Den dataansvarlige honorerer databehandleren særskilt og efter medgået tid og materiale for at håndtere forespørgsler og opgaver i henhold til Aftalens pkt. 9.1, 9.2, 10.2, 11.1, 12.2 og 12.4. Honoreringen fastsættes efter databehandlerens til enhver tid gældende prisliste, der er tilgængelig på CleanManager.dk.

13 Ændringer og overdragelser

13.1 Databehandleren og den dataansvarlige kan til enhver tid, med et forudgående varsel på mindst 30 kalenderdage, foretage ændringer i Aftalen og instruksen, jf. bilag 1. Ændringsprocessen og omkostningerne skal aftales skriftligt mellem databehandleren og den dataansvarlige i henhold til abonnementsvilkårenes bestemmelser. Databehandleren skal ved sådanne ændringer uden ugrundet ophold sikre, at underdatabehandlerne tillige forpligtes af ændringerne.

13.2 Databehandleren kan overdrage sine rettigheder og forpligtelser i henhold til Aftalen uden den dataansvarliges samtykke, forudsat at den, til hvem rettigheder og/eller pligter overdrages, forpligtes til at behandle personoplysninger i overensstemmelse med de krav, der gælder for databehandleren, i henhold til Aftalen.

14 Ikrafttræden og ophør

14.1 Denne Aftale træder i kraft ved accept af abonnementsvilkårene for brugen af Applikationen.

14.2 Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.

14.3 Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. opsigelsesvarsel, som fremgår af abonnementsvilkårene for Applikationen.

14.4 Aftalen er gældende, så længe behandlingen består. Uanset abonnements opsigelse, vil Aftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere.

15 Kontaktpersoner

15.1 Den dataansvarlige kan kontakte databehandleren via nedenstående kontaktperson:
Navn: Jakob Witte Larsen
Stilling: Udviklingschef og persondataansvarlig
Telefonnummer: +45 60 95 03 48
E-mail: jwl@cleanmanager.dk

15.2 Databehandleren kan kontakte den dataansvarlige via den kontaktperson som er angivet i Applikationen (CleanManager). Det er den dataansvarliges ansvar til enhver tid at sørge for at kontaktoplysningerne er opdateret i Applikationen.

Bilag A – Oplysninger om behandlingen

A.1 Formål og instruks vedr. databehandlingen
Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er at den dataansvarlige kan anvende Applikationen (CleanManager), som ejes og administreres af databehandleren, til at administrere og planlægge arbejde på den dataansvarliges medarbejdere og kunder.

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker primært ved, at databehandleren udfører følgende:

  • Levering, drift og videreudvikling af Applikationen, herunder opbevaring af data og administration af backup.

Ud over opbevaring kan databehandlingen, efter den dataansvarliges instruks, omfatte:

  • Databehandling og bearbejdning i forbindelse med import af kundedata.

  • Tilgang til data i forbindelse med support for at hjælpe kunderne med problemer i forbindelse med brugen af Applikationen.

A.2 Kategorier af registrerede personer
Behandlingen kan omfatte følgende kategorier af registrerede, såfremt der indtastes information om disse i Applikationen:

  1. Den dataansvarliges nuværende medarbejdere

  2. Den dataansvarliges fratrådte medarbejdere

  3. Den dataansvarliges potentielle kunder og deres kontaktpersoner

  4. Den dataansvarliges nuværende kunder og deres kontaktpersoner

  5. Den dataansvarliges tidligere kunder og deres kontaktpersoner

For punkterne III til V omfatter kunder både privatpersoner, erhvervsvirksomheder og offentlige organisationer.

A.3 Kategorier af personoplysninger
Behandlingen omfatter følgende typer af personoplysninger om de registrerede:

På medarbejdere: Navn, adresse, telefonnummer, e-mail, CPR-nummer, bankoplysninger. ansættelses- og opsigelsesdato, kontaktperson ved ulykke, billede, mødetidspunkter- og steder, ansættelseskontrakt, APV-skemaer m.m.

På kunder: Navn, fakturerings- og leveringsadresser, telefonnummer, e-mail, CVR- og EAN-nummer, CPR-nummer, oplysninger på kontaktperson (navn, telefonnumre og e-mail), kontrakter, arbejdsbeskrivelser m.m.

A.4 Særlige kategorier af personoplysninger
Databehandleren understøtter ikke registrering af de særlige kategorier af personoplysninger, herunder helbredsoplysninger, oplysninger om race og etnicitet samt strafferetlige oplysninger.

A.5 Behandlingssikkerhed
Sikkerhedsniveauet skal afspejle at der er tale om en begrænset mængde personoplysninger, som ikke er omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”.

Databehandleren er berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige sikkerhedsniveau omkring oplysningerne.

Databehandleren anvender gængse metoder til rådighed for internetservices i forhold til sikkerhed og backup samt i forhold til forebyggende arbejder og problemløsninger til beskyttelse af den dataansvarliges data. Der foretages backup af data en gang om dagen.

A.6 Opbevaringsperiode/sletterutine
Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slettet eller tilbageleveret. I forbindelse med opsigelse af abonnement på Applikationen slettes data efter 30 dage med mindre den dataansvarlige anmoder om andet.

Der kan gå op til 20 dage fra sletningstidspunktet til data er slettet fra backup-systemerne.

A.7 Lokaliteter for behandling
Behandling af de i aftalen omfattede personoplysninger foregår på databehandlerens herover angivne adresse, samt hos de underdatabehandlere som er beskrevet i Bilag B.

A.8 Godkendelse vedrørende overførsel af personoplysninger til tredjelande
I forbindelse med drift af Applikationen anvendes, som angivet i Bilag B, enkelte leverandører uden for EU. Disse underdatabehandlere er baseret i USA og har tilsluttet sig EU-U.S. Privacy Shield, hvilket betyder at underbehandleren kan garantere et tilstrækkeligt sikkerheds- og beskyttelsesniveau.

A.9 Procedure for den dataansvarliges tilsyn med behandlingen hos databehandleren
Databehandleren indhenter én gang årligt, med maksimalt 12 måneders mellemrum, en revisionserklæring fra en uafhængig tredjepart angående beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger i forbindelse med denne databehandleraftale og tilhørende bilag.

Revisionserklæringen er fremadrettet af typen ISAE 3000 type 2 og omfatter både databehandleren og eventuelle underdatabehandleres databehandling. Erklæringen fremsendes snarest muligt efter indhentelsen til den dataansvarlige til orientering.

Bilag B – Brug af underdatabehandlere

B.1 Betingelser for databehandlerens brug af eventuelle underdatabehandlere
Databehandleren har den dataansvarliges generelle godkendelse til at gøre brug af underdatabehandlere. Databehandleren skal dog underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer. En sådan underretning skal være den dataansvarlige i hænde minimum 2 måneder før anvendelsen eller ændringen skal træde i kraft. Såfremt den dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give meddelelse herom til databehandleren inden 2 uger efter modtagelsen af underretningen. Den dataansvarlige kan alene gøre indsigelse, såfremt den dataansvarlige har rimelige, konkrete årsager hertil.

B.2 Godkendte underdatabehandlere
Den dataansvarlige har ved databehandleraftalens ikrafttræden godkendt anvendelsen af følgende underdatabehandlere:

  • Sentia Solutions A/S
    Smedeland 32, 2600 Glostrup
    CVR-nr.: 25 46 47 37
    Anvendelse: Serverdrift, hosting og backup

  • ScanNet A/S
    Højvangen 4, 8660 Skanderborg
    CVR-nr.: 29 41 20 06
    Anvendelse: Serverdrift og backup

  • Compaya A/S
    Palægade 4, 2. tv., 1261 København K
    CVR-nr.: 31 37 54 28
    Anvendelse: SMS relay

  • The Rocket Science Group LLC
    675 Ponce De Leon Ave NE, Suite 5000, Atlanta, Georgia 30308
    Tiltrådt EU-U.S. Privacy Shield
    Anvendelse: E-mail relay

  • Zendesk, Inc.
    1019 Market Street, 6th Floor San Francisco, California 94103
    Tiltrådt EU-U.S. Privacy Shield
    Anvendelse: Support (E-mail, chat, etc.)

Den dataansvarlige har ved Aftalens ikrafttræden specifikt godkendt anvendelsen af ovennævnte underdatabehandlere til netop den behandling, som er beskrevet ud for parten. Databehandleren kan ikke – uden at informere den dataansvarlige – anvende den enkelte underdatabehandler til en ”anden” behandling end aftalt eller lade en anden underdatabehandler foretage den beskrevne behandling.

Ingen resultater.

Persondataansvarlig

Jakob Witte Larsen
Ejer og udviklingschef
Certificeret i Persondataret, SDU, 2017

Download databehandleraftale

Databehandleraftalen kan downloades i pdf-format herunder:

Databehandleraftale som pdf

ISAE 3000-erklæring

Kontakt os for at få tilsendt vores ISAE 3000-erklæring:

Kontakt

Spørgsmål?

Har du spørgsmål til vores databehandleraftale, så kontakt os endelig. Telefonsupporten er åben alle hverdage kl. 9-17 på tlf.: +45 60 95 03 48.

Gå til support

Vil du vide mere?

Læs mere om rengøringssystemet CleanManager

Om os

Bag om CleanManager-teamet

Læs mere om, hvordan idéen til CleanManager opstod, samt hvem der står bag udviklingen og salget.

Læs mere om CleanManager-teamet

Opstart

Er du klar til at komme i gang?

Se vores implementeringsplan, og bliv klogere på, hvordan du nemmest muligt kommer i gang og får udbytte af rengøringssystemet.

Se implementeringsplan

Support

Brug for hjælp?

Vi er klar til at hjælpe dig, hvis du har spørgsmål eller brug for rådgivning. Telefonsupporten er åben alle hverdage kl. 9-17.

Gå til support

Vil du også have mere tid og overblik?

Gør som over 1400 andre, og opret en gratis prøve på CleanManager

...eller book en gratis online præsentation af CleanManager.

Sikker opbevaring af dine data

Få en lettere hverdag

Daglig backup af dine data