GDPR
DATABEHANDLERAFTALE
Denne aftale omhandler forholdet mellem Dataansvarlig (kunden) og Databehandler (Holmgaard Jewelry ApS) i forbindelse med de persondataretlige regler.
- Baggrund for databehandleraftale
1.1 Holmgaard Jewelry ApS tilbyder diverse services i forbindelse med fragthåndtering for kunden hvilket indbefatter at Holmgaard Jewelry ApS behandler forskellige typer af persondata på vegne af den Dataansvarlige herunder data angående modtagerne af forsendelserne.
1.2 Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes senest indgåede Kundeaftale.
1.3 Databehandleraftale og Kundeaftale er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige Kundeaftale – erstattes af en anden gyldig databehandleraftale.
- Behandling og formål med behandling af personoplysninger
2.1 Formålet med persondatabehandlingen er håndtering af den Dataansvarliges fragtopgaver og services i forbindelse med dette.
2.2 Databehandleren har som følge af kundeforholdet adgang til at behandle navn og forsendelsesoplysninger på modtagerne af forsendelserne samt forsendelsens art og værdi, på den Dataansvarliges vegne. I nogle tilfælde vil Databehandleren også have andre former for kontaktoplysninger så som telefonnummer og e-mail på de registrerede.
2.3 Eftersom Databehandleren leverer serviceydelser i forbindelse med fragthåndtering for den Dataansvarlige, har Databehandleren adgang til de personoplysninger anført i punkt 2.1. Disse oplysninger kan udveksles med tredjepart så som fragtfirmaer og myndigheder både i Danmark og i udlandet.
2.4 Databehandleren må udelukkende må behandle de modtagne personoplysninger, i det omfang det er nødvendigt for udførelsen af opgaver efter instruks fra den Dataansvarlige og/eller såfremt gældende lovgivning i øvrigt pålægger Databehandleren at behandle oplysningerne.
2.5 Som led i aftalen mellem den Dataansvarlige og Databehandleren videregives persondata til fragtfirmaer og andre serviceudbydere som hermed bliver
Databehandlere for denne aftales Dataansvarlige. I denne forbindelse har Holmgaard Jewelry ApS alene en formidlende funktion.
- Den dataansvarliges forpligtelser og rettigheder
3.1 Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
3.2 Den Dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
3.3 Den Dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som Databehandleren instrueres i at foretage.
- Databehandleren handler efter instruks
4.1 Databehandleren må udelukkende behandle de modtagne personoplysninger i overensstemmelse med aftalen mellem den Dataansvarlige og Databehandleren og der er nødvendig for at Databehandleren kan løse de opgaver stillet af d en Dataansvarlige på tilfredsstillende vis.
4.2 Databehandleren forpligter sig til at overholde den til enhver tid gældende persondatalovgivning og skal omgående meddele den Dataansvarlige, såfremt det vurderes, at en instruktion fra den Dataansvarlige, er i strid med persondataforordningen eller dansk ret i øvrigt.
- Behandlingssikkerhed
5.1 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32 , hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
5.2 Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på datasikkerheden hos Databehandleren eller en eventuel underdatabehandler. Databehandleren skal i den forbindelse oplyse den Dataansvarlige om:
- Karakteren af bruddet på sikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og de omtrentlige antal berørte registreringer af personoplysninger.
- De sandsynlige konsekvenser af bruddet på persondatasikkerheden.
- Foranstaltninger, som er trukket eller som foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
5.3 Databehandleren skal på anmodning fra den Dataansvarlige give denne tilstrækkelige oplysninger til, at denne kan påse, at Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.
5.4 Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
5.5 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
- Fortrolighed
6.1 Databehandleren skal sikre, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
- Anvendelse af underdatabehandlere
7.1 Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
7.2 Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den Dataansvarlige.
7.3 I tilfælde af generel skriftlig godkendelse skal Databehandleren underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
7.4 Når Databehandleren har den Dataansvarliges godkendelse til at gøre brug af en underdatabehandler, sørger Databehandleren for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.
7.5 Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
- Overførsel af oplysninger til tredjelande eller internationale organisationer
8.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
- Sletning af oplysninger
9.1 Ved ophør af tjenesterne vedrørende databehandling forpligtes Databehandler sig til at slette alle personoplysninger, samt at slette eksisterende kopier, medmindre EUretten eller national ret foreskriver opbevaring af personoplysningerne.
9.2 Det præciseres dog som indskrænkning til de forudgående bestemmelser, at Databehandleren som følge af den danske bogføringslovgivning, opbevarer de omhandlede persondata vedr. hver enkelt forsendelse, i op til 5 år efter forsendelsesåret. Herefter slettes de personhenførebare data, idet der herefter alene sker en arkivering af varens type, værdi/pris og modtagerlandet, mens øvrige oplysninger (modtagernavn og postadresse) slettes.
- Ikrafttræden og ophør
10.1 Denne aftale træder i kraft ved begge parters underskrift.
10.2 Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
10.3 Parternes eventuelle regulering/aftale om vederlæggelse, betingelser eller lignende i forbindelse med ændringer af denne aftale vil fremgå af parternes Kundeaftale.
10.4 Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. Opsigelsesvarsel, som fremgår af Kundeaftale.
10.5 Aftalen er gældende, så længe behandlingen består. Uanset Kundeaftalens og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos Databehandleren.
DATABEHANDLERAFTALE
Denne aftale omhandler forholdet mellem Dataansvarlig (kunden) og Databehandler (Holmgaard Jewelry ApS) i forbindelse med de persondataretlige regler.
- Baggrund for databehandleraftale
1.1 Holmgaard Jewelry ApS tilbyder diverse services i forbindelse med fragthåndtering for kunden hvilket indbefatter at Holmgaard Jewelry ApS behandler forskellige typer af persondata på vegne af den Dataansvarlige herunder data angående modtagerne af forsendelserne.
1.2 Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes senest indgåede Kundeaftale.
1.3 Databehandleraftale og Kundeaftale er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige Kundeaftale – erstattes af en anden gyldig databehandleraftale.
- Behandling og formål med behandling af personoplysninger
2.1 Formålet med persondatabehandlingen er håndtering af den Dataansvarliges fragtopgaver og services i forbindelse med dette.
2.2 Databehandleren har som følge af kundeforholdet adgang til at behandle navn og forsendelsesoplysninger på modtagerne af forsendelserne samt forsendelsens art og værdi, på den Dataansvarliges vegne. I nogle tilfælde vil Databehandleren også have andre former for kontaktoplysninger så som telefonnummer og e-mail på de registrerede.
2.3 Eftersom Databehandleren leverer serviceydelser i forbindelse med fragthåndtering for den Dataansvarlige, har Databehandleren adgang til de personoplysninger anført i punkt 2.1. Disse oplysninger kan udveksles med tredjepart så som fragtfirmaer og myndigheder både i Danmark og i udlandet.
2.4 Databehandleren må udelukkende må behandle de modtagne personoplysninger, i det omfang det er nødvendigt for udførelsen af opgaver efter instruks fra den Dataansvarlige og/eller såfremt gældende lovgivning i øvrigt pålægger Databehandleren at behandle oplysningerne.
2.5 Som led i aftalen mellem den Dataansvarlige og Databehandleren videregives persondata til fragtfirmaer og andre serviceudbydere som hermed bliver
Databehandlere for denne aftales Dataansvarlige. I denne forbindelse har Holmgaard Jewelry ApS alene en formidlende funktion.
- Den dataansvarliges forpligtelser og rettigheder
3.1 Den dataansvarlige har overfor omverdenen (herunder den registrerede) som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesforordningen og databeskyttelsesloven.
3.2 Den Dataansvarlige har derfor både rettighederne og forpligtelserne til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler der må foretages behandling.
3.3 Den Dataansvarlige er blandt andet ansvarlig for, at der foreligger hjemmel til den behandling, som Databehandleren instrueres i at foretage.
- Databehandleren handler efter instruks
4.1 Databehandleren må udelukkende behandle de modtagne personoplysninger i overensstemmelse med aftalen mellem den Dataansvarlige og Databehandleren og der er nødvendig for at Databehandleren kan løse de opgaver stillet af d en Dataansvarlige på tilfredsstillende vis.
4.2 Databehandleren forpligter sig til at overholde den til enhver tid gældende persondatalovgivning og skal omgående meddele den Dataansvarlige, såfremt det vurderes, at en instruktion fra den Dataansvarlige, er i strid med persondataforordningen eller dansk ret i øvrigt.
- Behandlingssikkerhed
5.1 Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32 , hvoraf det bl.a. fremgår, at der under hensyntagen til det aktuelle niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
5.2 Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på datasikkerheden hos Databehandleren eller en eventuel underdatabehandler. Databehandleren skal i den forbindelse oplyse den Dataansvarlige om:
- Karakteren af bruddet på sikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og de omtrentlige antal berørte registreringer af personoplysninger.
- De sandsynlige konsekvenser af bruddet på persondatasikkerheden.
- Foranstaltninger, som er trukket eller som foreslås truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
5.3 Databehandleren skal på anmodning fra den Dataansvarlige give denne tilstrækkelige oplysninger til, at denne kan påse, at Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.
5.4 Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget af den Dataansvarlige.
5.5 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
- Fortrolighed
6.1 Databehandleren skal sikre, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
- Anvendelse af underdatabehandlere
7.1 Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
7.2 Databehandleren må således ikke gøre brug af en anden databehandler (underdatabehandler) til opfyldelse af databehandleraftalen uden forudgående specifik eller generel skriftlig godkendelse fra den Dataansvarlige.
7.3 I tilfælde af generel skriftlig godkendelse skal Databehandleren underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
7.4 Når Databehandleren har den Dataansvarliges godkendelse til at gøre brug af en underdatabehandler, sørger Databehandleren for at pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne databehandleraftale, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.
7.5 Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser.
- Overførsel af oplysninger til tredjelande eller internationale organisationer
8.1 Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.
- Sletning af oplysninger
9.1 Ved ophør af tjenesterne vedrørende databehandling forpligtes Databehandler sig til at slette alle personoplysninger, samt at slette eksisterende kopier, medmindre EUretten eller national ret foreskriver opbevaring af personoplysningerne.
9.2 Det præciseres dog som indskrænkning til de forudgående bestemmelser, at Databehandleren som følge af den danske bogføringslovgivning, opbevarer de omhandlede persondata vedr. hver enkelt forsendelse, i op til 5 år efter forsendelsesåret. Herefter slettes de personhenførebare data, idet der herefter alene sker en arkivering af varens type, værdi/pris og modtagerlandet, mens øvrige oplysninger (modtagernavn og postadresse) slettes.
- Ikrafttræden og ophør
10.1 Denne aftale træder i kraft ved begge parters underskrift.
10.2 Aftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i aftalen giver anledning hertil.
10.3 Parternes eventuelle regulering/aftale om vederlæggelse, betingelser eller lignende i forbindelse med ændringer af denne aftale vil fremgå af parternes Kundeaftale.
10.4 Opsigelse af databehandleraftalen kan ske i henhold til de opsigelsesvilkår, inkl. Opsigelsesvarsel, som fremgår af Kundeaftale.
10.5 Aftalen er gældende, så længe behandlingen består. Uanset Kundeaftalens og/eller databehandleraftalens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos Databehandleren.