Databehandleraftale

Pento ApS

1. Indledning

1.1 Som en del af parternes Aftale om Kundens brug af Pento, gælder nærværende Databehandleraftale mellem Kunden som Dataansvarlig og Pento ApS, CVR-nr: 37959383, Klosterport 4F, 8000 Aarhus C Danmark som Databehandler.

1.2 Denne Databehandleraftale har til formål at regulere Databehandlerens behandling af personoplysninger i forbindelse med Kundens brug af Databehandlerens lønsystem Pento, på de servicevilkår der er fastsat af Databehandleren (”Hovedaftalen”).

1.3 Ved eventuelle konflikter mellem Hovedaftalen og Databehandleraftalen, har Databehandleraftalen forrang.

1.4 Databehandleraftalens formål er at sikre, at Databehandleren til enhver tid overholder sine forpligtelser i henhold til de til enhver tid gældende regler og forskrifter for behandling af persondata, herunder Europa-Parlamentets og Rådets forordning 1016/679 af 27. april 2016 (”Databeskyttelsesforordningen”) samt til enhver tid sikre overholdelse af de særregler der er implementeret i Danmark.

2. Den Dataansvarliges forpligtelser

2.1 Den Dataansvarlige har ansvaret for, at behandlingen af personoplysninger lever op til kravene i Databeskyttelsesforordningen og Databeskyttelsesloven.

2.2 Den Dataansvarlige er ved brug af de tjenester, som Databehandleren stiller til rådighed i henhold til Hovedaftalen, forpligtet til at behandle personoplysninger i overensstemmelse med bestemmelserne i gældende lovgivning om behandling af personoplysninger.

2.3 Hvis den Dataansvarliges instruks, efter Databehandlerens opfattelse, er eller bliver i strid med Databeskyttelsesforordningen, skal Databehandleren uden ugrundet ophold meddele dette til den Dataansvarlige. Den Dataansvarlige er ansvarlig for, at der foreligger hjemmel til den behandling Databehandleren skal udføre på vegne af den Dataansvarlige.

3. Databehandlerens forpligtelser

3.1 Databehandleren må alene behandle personoplysning på vegne af og på baggrund af klare instrukser fra den Dataansvarlige, og i overensstemmelse med den til enhver tid gældende lovgivning, herunder Databeskyttelsesforordningen.

4. Underdatabehandleraftaler

4.1 Ved en Underdatabehandler forstås en underleverandør, som på vegne af Databehandleren forestår behandling af hele eller dele af den behandling, som Databehandleren foretager på vegne af den Dataansvarlige.

4.2 Databehandleren må ikke uden udtrykkelig skriftligt samtykke fra den Dataansvarlige anvende andre underdatabehandlere end angivet nedenfor i punkt 4.3.

4.3 Databehandleren bemyndiges til at gøre brug af følgende underdatabehandleraftaler: Charlie Tango A/S, Rosenvængets Allé 11, 2100 København Ø

4.4 Alle underdatabehandleraftaler skal være indgået skriftligt, og skal som minimum pålægge underdatabehandleren de samme forpligtelser vedrørende behandling af et givet forhold, som der påhviler Databehandleren efter Databehandleraftalen, samt efter den til enhver tid gældende lovgivning.

4.5 Databehandleren er fuldt ansvarlig overfor den Dataansvarlige for enhver underdatabehandler, der ikke opfylder sine forpligtelser i henhold til lovgivning eller underdatabehandleraftalen.

4.6 Den Dataansvarlige kan til enhver tid forlange dokumentation fra Databehandleren vedrørende underdatabehandleraftaler.

5. Sikkerhed og databrud

5.1 Databehandleren er ansvarlig for implementering af passende tekniske og organisatoriske foranstaltninger, under hensyn til det aktuelle tekniske niveau, implementeringsomkostninger og den aktuelle behandlings karakter, omfang, sammenhæng og formål.

5.2 Databehandleren er forpligtet til at sikre et højt sikkerhedsniveau i sine produkter og tjenester. Databehandleren yder dette sikkerhedsniveau gennem organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger i henhold til kravene til informationssikkerhed, som det fremgår af artikel 32 i Databeskyttelsesforordningen.

5.3 Databehandleren følger og opdaterer løbende sine tekniske og organisatoriske foranstaltninger, med henblik på at sikre, at sikkerhedsniveauet følger markedsstandard. I den forbindelse har Databehandleren blandt andet implementeret følgende tekniske og organisatoriske foranstaltninger:

5.4 Databehandleren krypterer data ved opbevaring (encrypted at rest). Efter anmodning, kan Databehandleren endvidere anonymiserer alt personfølsomt data, herunder i forbindelse med afvikling og afslutning af brugerforhold.

5.5 Nedenstående liste beskriver de konkrete tekniske sikkerhedsforanstaltninger, som Databehandleren har iværksat på tidspunktet for Databehandleraftalens indgåelse:

5.6 Databehandleren er forpligtet til, uden unødig ophold, at orientere den Dataansvarlige om ethvert databrud. Orienteringen om databruddet skal så indeholde:

5.7 Såfremt den Dataansvarlige anmoder Databehandleren om at bistå den Dataansvarlige med at besvare anmodninger om udøvelse af de registreredes rettigheder er Databehandleren berettiget til, at fakturere for en sådan bistand.

5.8 Databehandleren bistår den Dataansvarlige med, at sikre overholdelse af forpligtelserne i medfør af artikel 32-36 i Databeskyttelsesforordningen, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren. Databehandleren er berettiget til at fakturere for en sådan bistand

6. Databehandlerens medarbejdere

6.1 Databehandleren er direkte ansvarlig for alle handlinger foretaget af medarbejdere, i strid med Databehandleraftalen, relevant lovgivning eller tilhørende instruks.

6.2 Databehandleren er forpligtet til, at begrænse behandlingen af personoplysninger til nødvendigt personale, samt at udføre og opretholde undervisning af personale i håndtering og behandling af persondata.

6.3 Alle medarbejdere underlagt Databehandleren og dennes organisation, som behandler personoplysninger på vegne af den Dataansvarlige, skal være underlagt tavsheds- og fortrolighedsforpligtelser.

7. Dokumentation og tilsyn

7.1 Ved skriftlig anmodning fra den Dataansvarlige, skal Databehandleren give den Dataansvarlige eller en uafhængig tilsynsmyndighed tilstrækkelig dokumentation for at påvise overholdelse af denne Databehandleraftale, samt de til enhver tid gældende persondataretlige regler. Såfremt Databehandleren er omfattet af kravet om at føre en fortegnelse over behandlingsaktiviteter efter Databeskyttelsesforordningen artikel 30, skal denne tillige stilles til rådighed for den Dataansvarlige på dennes skriftlige anmodning.

7.2 Den Dataansvarlige kan tillige kræve en sådan information angivet i punkt 7.1 fra Databehandleren vedrørende underdatabehandlere.

7.3 Til opfyldelse af pkt. 7.1 gør Databehandleren hvert år en tilsynsrapport tilgængelig for den Dataansvarlige, senest den 31. december.

7.4 Såfremt den Dataansvarlige, en repræsentant for denne eller en relevant tilsynsmyndighed, ønsker at foretage en fysisk inspektion af Databehandlerens faciliteter, forpligter Databehandleren sig til at give adgang hertil. Anmodning om tilsynsbesøg skal ske med mindst 15 arbejdsdages varsel. Databehandleren er ikke berettiget til særskilt vederlag eller erstatning herfor, medmindre antallet af besøg eller karakteren af disse overstiger, hvad der må anses for sædvanligt for den pågældende type af behandlinger.

7.5 I det omfang den Dataansvarlige ønsker, at tilsynsbesøg efter punkt 7.4 skal omfatte den behandling som sker hos underdatabehandlere, aftales dette særskilt.

8. Ophør af Databehandleraftalen

8.1 Databehandleraftalen kan kun opsiges samtidig med Hovedaftalen.

8.2 Databehandlerens bemyndigelse til, at behandle personoplysninger på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens ophør, uanset årsagen hertil.

8.3 Databehandleren og dennes underdatabehandlere skal tilbagelevere alle personoplysninger til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. Databehandleren er herefter forpligtet til, at slette alle personoplysninger modtaget fra den Dataansvarlige. Den Dataansvarlige kan anmode om fornøden dokumentation herfor.

9. Datainstruks og formål

9.1 I forbindelse med Databehandlerens behandling af personoplysninger modtaget fra den Dataansvarlige jf. Hovedaftalen, er Databehandleren forpligtet til at agere under følgende instruks modtaget fra den Dataansvarlige.

9.2 Formålet med at lade Databehandleren foretage databehandling på vegne af den Dataansvarlige, er at lade den Dataansvarlige anvende Databehandlerens IT system Pento, som er hostet og drevet af Databehandleren. Databehandleren er behjælpelig med den Dataansvarliges afregning af løn, skatte- og pensionsforhold for den Dataansvarliges medarbejdere, administration og udbetaling af medarbejderes ferieopsparing mv. Behandlingens natur indebærer dermed en videregivelse af personoplysninger til b.la SKAT, Pensionsselskaber, Nets og Danmarks Statistik.

10. Kategorier af registrerede

10.1 Databehandlerens behandling af personoplysninger sker i følgende kategorier af registrerede:

10.2 Databehandlerens behandling af personoplysninger sker i følgende typer af oplysninger:

Afhængig af den registreredes feriepengemodtager, vil der under visse omstændigheder udledes information om den registreredes fagforening.

11. Lokationer

11.1 I forbindelse med behandlingen af dataen, sker Databehandlerens behandling af persondata på følgende lokationer:

12. Videregivelse

12.1 Den Dataansvarliges behandling af persondata må alene foretages af Databehandleren, eller en underdatabehandler til Databehandleren, inden for EU/ EØS.

12.2 Databehandleren må videregive personoplysninger eller data på vegne af den Dataansvarlige, som led i Databehandlerens services, heriblandt eksempelvis eindkomst (SKAT), pensionsselskaber, NETS Danmark og Danmarks Statistik.

13. Ansvar

13.1 Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler. Begge Parter fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, tab af goodwill, tab af besparelser og indtægter, herunder udgifter til at indvinde mistede indtægter, rentetab og tab af data.

13.2 Ingen af Parterne kan gøres ansvarlige for forhold, der almindeligvis betegnes som force majeure.

14. Lovvalg og værneting

14.1 Databehandleraftalen er underlagt dansk lovgivning.

14.2 Enhver tvist, der måtte opstå i forbindelse med Databehandleraftalen, såfremt tvisten ikke kan afgøres i mindelighed, afgøres ved byretten i Aarhus.

15. Meddelelser

15.1 Meddelelser i henhold til denne Databehandleraftale skal gives skriftligt af begge Parter, til den senest oplyste e-mailadresse.

15.2 Databehandleren kan ligeledes give generelle meddelelser, ved at udsende nyheder direkte i systemet, som den Dataansvarlige har adgang til.