bao-truong-497776-unsplash-1

Databehandleraftale

Pento ApS

Der indgåes hermed følgende databehandleraftale ("Aftalen") mellem Kunden (den juridiske enhed der benævnes Kunden i aftalen) og Pento ApS (CVR: 37959383), Sverigesgade 6, 8000 Aarhus C Danmark, Leverandøren. Kunden og Leverandøren benævnes herefter "Parterne" og seperat en "Part". 

1) Aftalens omfang

1.1. Leverandøren fungerer som databehandler for Kunden, idet Leverandøren står for at varetage de i Bilag 1 beskrevne databehandlingsopgaver for Kunden.

1.2. Databehandleraftalens Bilag 1 indeholder nærmere oplysninger om hvilke personoplysninger der af Leverandøren behandles, behandlingens formål og karakter, kategorier af personoplysninger samt kategorier af registrerede personer.

1.3. Ved “personoplysninger” forstås enhver form for information med relation til en identificeret eller identificerbar fysisk person, jf. Artikel 4(1) i Forordningen (EU) 2016/679 af 27. april 2016 (Persondataforordningen). Aftalen regulerer alene behandlingen af personoplysninger som Leverandøren foretager for Kunden.  

2) Behandling af personoplysninger

2.1. Instruktioner: Leverandøren er af Kunden instrueret i udelukkende at behandle personoplysninger med formål at varetage de i Bilag 1 fremstillede databehandlingsopgaver. Leverandøren må ikke behandle eller anvende Kundens personoplysninger til andre formål end angivet i instruktionen, herunder overførsel af personoplysninger til noget tredjeland eller international organisation, medmindre Leverandøren er forpligtet hertil efter EU-retten eller lovgivningen i en medlemsstat som Leverandøren er underlagt. I en sådan situation er Leverandøren pålagt skriftligt at underrette Kunden om dennes juridiske forpligtelser, forinden den aftalte behandling påbegyndes, medmindre pågældende lovgivning på baggrund af samfundsinteresser forbyder en sådan underretning.  

2.2. Hvis Kunden i de Bilag 1 fastsatte instruktioner eller på anden vis har givet tilladelse til at overflytte personoplysninger til et tredjeland eller anden international organisation, er Leverandøren forpligtet til at sikre et juridisk grundlag for denne overførsel f.eks. EU-kommisionens standard kontraktbestemmelser for overførsel af personoplysninger til tredjeland.

2.3. Hvis Leverandøren skønner, at en instruks fra Kunden strider imod Persondataforordningen, databeskyttelseslovgivningen i en anden EU-ret eller lovgivning i anden medlemsstat, er Leverandøren forpligtet til skriftligt at meddele Kunden herom.

2.4. Hvis Leverandøren er underlagt lovgivningen i et tredjeland, erklærer Leverandøren ikke at være vidende om den omtalte lovgivning, hvilket forhindrer Leverandøren i at overholde Aftalen, og Leverandøren vil skriftligt meddele Kunden herom, hvis Leverandøren bliver opmærksom på at en sådan hindring er til stede eller vil kunne forekomme.  

3) Krav til Leverandøren

3.1. Leverandøren skal forsikre, at personer autoriseret til at behandle personoplysninger har forpligtet sig til fuld fortrolighed, eller er underlagt en passende lovbestemt tavshedspligt.

3.2. Leverandøren skal implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at de behandlede personoplysninger:

(i)          hændeligt eller ulovligt tilintetgøres, fortabes eller ændres

(ii)         beskrives eller gøres tilgængelig uden retlig autorisation, eller

(iii)        på anden vis behandles i strid med gældende lovgivning, herunder Persondataforordningen.

3.3. Leverandøren skal envidere overholde de lovgivningsmæssige sikkerhedsforanstaltninger der vedrører Kunden, se Bilag 1, herunder sikkerhedsforanstaltninger direkte forpligtet til Leverandøren, indeholdende sikkerhedsforanstaltninger i det land hvor Leverandøren er etableret, eller i det land, hvor databehandlingen finder sted.

3.4. De førnævnte fastsættelser af passende tekniske og organisatoriske sikkerhedsforanstaltninger skal ske under hensyntagen til:

(i)          det aktuelle tekniske niveau,

(ii)         omkostninger i forbindelse med implementeringen, og

(iii)        databehandlingens karakter, omfang, indhold og formål samt eventuelle risici af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihed.

3.5. Leverandøren skal på anmodning af Kunden stille alle nødvendige oplysninger til rådighed for kunden, til at forsikre Kunden at Leverandøren overholder alle forpligtelser i henhold til indgået aftale, herunder implementering af fornødne tekniske og organisatoriske sikkerhedsforanstaltninger truffet.

3.6. Leverandøren er forpligtet til hvert år i december, for egen regning at indhente og videreformidle en erklæring fra en uafhængig tredjepart vedrørende Leverandørens overholdelse af dennes krav til sikkerhedsforanstaltninger fastsat i Aftalen. Erklæringen vil blive gjort tilgængelig for Kunden per 31. december for indeværende år.

3.7. Yderligere har Kunden ret til, for egen regning, at udpege en uafhængig tredjepart, der skal tilskrives adgang til Leverandørens databehandlings faciliteter af personoplysninger, samt modtage al nødvendig information til udførelse af retvisende undersøgelse af, hvorvidt Leverandøren har implementeret førnævnte tekniske og organisatoriske sikkerhedsforanstaltninger. Tredjeparten skal på anmodning fra Leverandøren underskrive en sædvanlig fortrolighedserklæring (non-disclosure agreement), samt behandle enhver information modtaget fra eller indhentet hos Leverandøren strengt fortroligt. Enhver modtaget eller indhentet information fra Leverandøren, må udelukkende af tredjeparten deles med Kunden.

3.8. Leverandøren er forpligtet til at videregive information relateret til leveringen af services til myndighederne eller til Kundens eksterne rådgiver, herunder revisorer, hvis dette findes nødvendigt for udførelsen af deres opgaver i overensstemmelse med fagforening- eller medlemsstatslovgivning. 

3.9. Leverandøren er forpligtet til at give myndigheder, der ved fagforening- eller medlemsstatslovgivning har ret til at tilgå Kundens eller Kundens leverandørs faciliteter eller repræsentanter for myndighederne, adgang til Leverandørens fysiske aktiviteter mod korrekt identitetsbevis. 

3.10. Leverandøren er forpligtet til uden unødvendige forsinkelse efter at være gjort opmærksom herpå, skriftligt orientere kunden herom:

(i)          enhver anmodning fra myndigheder om videregivelse af personoplysninger omfattet af Aftalen, medmindre orientering af Kunden udtrykkeligt er gjort forbudt i henhold til EU-retten eller lovgivningen i givne stat som Leverandøren er underlagt.

(ii)         enhver formodning om eller konstantering af, (a) brud på datasikkerheden, der resulterer i hændelig eller ulovlig tilintetgørelse, tab eller ændring, uautoriseret beskrivelse af eller tilgængeliggørelse af personoplysninger, der er transmitteret, opbevaret eller på anden vis behandlet af Leverandøren i henhold til Aftalen, eller (b) en af Leverandøren anden manglende overholdelse af forpligtelser efter punkt 3.3 og 3.4 eller,

(iii)        enhver anmodning om adgang til personoplysninger modtaget direkte fra den registrerede eller anden tredjepart.

3.11. Leverandøren er forpligtet til at assistere Kunden i enhver anmodning om data fra den registrerede i henhold til kapitel III i Persondataforordningen, herunder anmodning om adgang, berigtigelse, blokering eller sletning. Leverandøren er yderligere forpligtet til at assistere i forbindelse med implementering af tekniske og organisatoriske foranstaltninger, til opfyldelse af Kundens forpligtelse af en sådan anmodning.

3.12. Leverandøren er forpligtet til at assistere Kunden i overholdelse af Kundens forpligtelser jf. Artikel 32-36 i Persondataforordningen, samt øvrige forpligtelser der måtte påhvile Kunden efter EU-retten eller lovgivning i en medlemsstat hvor Leverandørens assistance er forudsat, dog alene i det omfang Leverandørens assistance er nødvendig for Kundens overholdelse af disse forpligtelser. Dette indebærer, men er ikke begrænset til, at ved anmodning fra Kunden at stille al nødvendig information til rådighed om en hændelse omfattet af punkt 3.10 (ii), samt al nødvendig information til brug for en konsekvensanalyse jf. Artikel 35-36 i Persondataforordningen.

3.13. Leverandøren har i Bilag 1 angivet den fysiske placering af servere, servicecentre mv. Der indgår i udførelsen af databehandlingen. Leverandøren forpligter sig til skriftligt at varsle Kunden forinden ændringer af den fysiske placering. En sådan ændring kræver ikke en formel ændring af Bilag 1, forudgående skriftlig meddelelse er tilstrækkelig.

4) Underdatabehandlere 

4.1. Leverandøren må gøre brug af underdatabehandlere. På indgåelse tidspunktet for Aftalen anvender Leverandøren de i Bilag 2 anførte underdatabehandlere. Leverandøren er forpligtet til skriftligt at informere Kunden om eventuelle ændringer angående tilførelse eller erstatning af underdatabehandlere senest 2 måneder inden en sådan ændring træder i kraft. Kunden kan uden begrundelse 2 uger fra afgivelse af ændringen nægte brugen af ny(e) underdatabehandler(e), i hvilket tilfælde Leverandøren er berettiget til at opsige enhver aftale med Kunden. Ved ophør af brugen af en underdatabehandler, er Leverandøren forpligtet til skriftligt at meddele Kunden herom.

4.2. Forinden brug af en underdatabehandler, er Leverandøren forpligtet til at indgå en skriftlig aftale med underdatabehandleren, hvori underdatabehandleren som minimum pålægges forpligtelser svarende til de som Leverandøren ved indgåelse af Aftalen har påtaget sig, herunder sikring af, at databehandlingen opfylder kravene angivet i Persondataforordningen.

4.3. Kunden er i sin ret til at få udleveret en kopi af de dele af Leverandørens aftale med en underdatabehandler som vedrører databeskyttelsesforpligtelser, som er obligatoriske i henhold til punkt 4.2. Leverandøren forholder fuld hæftelse overfor Kunden for underdatabehandlerens opfyldelse af disse databeskyttelsesforpligtelser. Det forhold, at Kunden har meddelt samtykke til Leverandørens aftaleindgåelse med en underdatabehandler er uden præjudice for Leverandørens pligt til at efterleve Aftalen. 

2) Fortrolighed

5.1. Leverandøren skal holde personoplysninger fortrolige.

5.2. Leverandøren må ikke formidle personoplysninger til tredjemand eller tage kopier af personoplysninger, medmindre dette er strengt nødvendigt for varetagelse af Leverandørens forpligtelser over for Kunden, og på betingelse af, at til hvem personoplysningerne videregives til er bekendt med personoplysningernes fortrolige natur og har indvilget i at personoplysningerne forholdes fortrolige i overensstemmelse med Aftalen, eller at dette følger af en lovbestemt pligt for Leverandøren.

5.3. Hvis Leverandøren er en juridisk enhed, gælder samtlige vilkår i Aftalen således til Leverandørens medarbejdere, og Leverandøren skal sikre at dennes medarbejdere overholder Aftalen.

5.4. Leverandøren skal begrænse adgangen til personoplysninger til de medarbejdere, for hvem adgangen er nødvendig, for at kunne opfylde Leverandørens forpligtelser over for Kunden.

5.5. Leverandørens forpligtelser i henhold til punkt 5 vedvarer uden tidsbegrænsning og uanset om Parternes samarbejde måtte ophøre.

5.6. Kunden skal behandle fortrolige informationer, som modtages fra Leverandøren, fortroligt, og må ikke uberettiget udnytte eller formidle de fortrolige informationer.

6) Ændringer og overdragelse

6.1. Parterne kan til enhver tid aftale at ændre Aftalen. Enhver ændring skal være skriftlig.

6.2. Leverandøren må ikke overdrage sine rettigheder og forpligtelser i henhold til Aftalen, uden Kundens forudgående skriftlige samtykke.

7) Betingelser og opsigelse af Aftalen

7.1. Aftalen træder i kraft når den er underskrevet af begge Parter og forbliver i kraft indtil denne opsiges af en af Parterne.

7.2. Hver Part kan opsige Aftalen med 1 månedes skriftlig varsel.

7.3. Uanset Aftalens formelle aftaleperiode, skal Aftalen vedblive at gælde, så længe Leverandøren behandler personoplysninger, hvor hvem Kunden er dataansvarlig.

7.4. I tilfælde af Aftalens ophør, uanset de retlige grunde, er Leverandøren forpligtet til efter anmodning loyalt at assistere i, at databehandlingen hurtigst muligt overgår til en anden leverandør, eller tilbageføres til Kunden.

7.5. På Kundens anmodning, skal Leverandøren ved ophør af Aftalen overføre eller slette personoplysninger, som Leverandøren behandler og/eller  har behandlet for Kunden, medmindre EU-retten eller lovgivningen i en medlemsstat foreskriver opbevaring af personoplysningerne.

8) Meddelelser

8.1.  I det tilfælde en Part i henhold til Aftalen skal afgive skriftlig meddelelse til den anden Part, kan denne pligt opfyldes ved at afsende en e-mail til den anden Parts senest oplyste e-mailadresse. Leverandøren kan ligeledes opfylde sin pligt til at afgive skriftlig meddelelse ved at udsende nyheder direkte i systemet, som kunden har fået tildelt adgang til ved indgåelse af Aftalen.

8.2. Aftalen fastsætter ikke kundens vederlag til Leverandøren for Leverandørens ydelser i henhold til Aftalen.

Bilag 1

Dette bilag udgør Kundens instruks til Leverandøren i forbindelse med Leverandørens databehandling for Kunden. Og er en integreret del af Aftalen

Behandlingen af personoplysninger

  1. a) Formål og karakter af databehandlingen

Formålet med at lade Leverandøren foretage databehandling for Kunden, er at lade Kunden anvende Pento, som IT-system tilgået via internettet, der er hostet og drevet af Leverandøren selv. Pento er behjælpelig med Kundens afregning løn, skatte- og pensionsforhold for Kundens medarbejdere, administration og udbetaling af medarbejderens ferieopsparing m.m. Denne behandling indebærer dermed videreformidling af oplysninger på vegne af Kunden til b.la. SKAT, Pensionsselskaber, Nets, Danmarks Statistik m.fl. 

  1. b) Kategorier af registrerede personer

Der foretages databehandling på følgende kategorier af registrerede personer: 

  1. Kundens potentielle medarbejdere, hvis Kunden angiver information herom i brugen af Pentos produkter.
  2. Kundens nuværende medarbejdere, hvis Kunden angiver information herom i brugen af Pentos produkter..
  3. Kundens fratrådte medarbejdere, hvis Kunden angiver information herom i brugen af Pentos produkter.
  1. c) Kategorier af personoplysninger

For de ovenfor nævnte kategorier af registrerede personer behandles: 

1. Navn, adresse, CPR-nummer og ansættelsesdato

2. Lønforhold, skatteforhold, pension, ferie, udlæg, kilometerpenge, rejsegodtgørelse, sygedage mv.

3. Mail-adresse, telefonnummer, fratrædelsesdato og bank oplysninger

  1. d) Særlige kategorier af personoplysninger

Afhængigt af den registrerede persons feriepengemodtager, vil der under visse omstændigheder udledes information om den registreredes fagforening.

  1. e) Lokation(er) og angivelse af land for databehandlingen

Sverigesgade 6

8000 Aarhus C

Danmark

Købmagergade 54

1150 København

Danmark

  1. f) Videregivelse af personoplysninger og data

Leverandøren kan videregive personoplysninger og data på vegne af Kunden, som led i Leverandørens services ydet til Kunden, heriblandt eksempelvis eIndkomst (SKAT), pensionsselskaber, NETS Danmark, Danmark Statistik m.fl. 

Bilag 2

Leverandøren har samarbejde med Charlie Tango A/S, der, såfremt Kunden ønsker det, muliggør udsendelse af lønsedler via eBoks.

Charlie Tango A/S

Rosenvængets Allé 11

2100 København Ø

Danmark