Databehandlingsaftale

Kunden og Barma benævnes hver for sig en “Part” og tilsammen “Partnere”

1. BAGGRUND

1.1. Kunden og Barma har indgået aftale vedrørende levering af Barma LMS og Barma Academy til kunden.

1.2. Parterne har vurderet, at Aftalen har en sådan karakter, at Barma i den forbindelse behandler personoplysninger på vegne af kunden, således, at Barma er databehandler for kunden, bl.a. på baggrund af, at:

  • Barma er underlagt instruks fra kunden
  • kunden instruerer Barma om formålet med Barmas ydelse og de hjælpemidler, der skal anvendes af Barma i den forbindelse, jf. også Bilag 1-2.
  • Der i vidt omfang foretages elektronisk behandling af personoplysninger om kundens medarbejdere, som leveres via en IT-platform leveret af Barma
  • kunden kan kræve, at Barma ophører med behandling af personoplysningerne og sletter eventuelt opbevarede personoplysninger, jf. punkt 11
  • Barma ikke har noget selvstændigt behov for at modtage personoplysningerne, da Barma i princippet kan levere sin ydelse (Barma LMS og Barma Academy) uden at modtage de omhandlede personoplysninger
  • Barma skal varetage en opgave, som i princippet kunne være udført af kunden selv (elektronisk salgstræning/-optimering mv.)


1.3. På denne baggrund er nærværende aftale (herefter ”Databehandleraftalen”) indgået.

1.4. Formålet med Databehandleraftalen er at sikre, at Parterne til enhver tid overholder gældende persondatalovgivning i den forbindelse, herunder Databeskyttelsesloven (lov nr. 502 af 23. maj 2018) samt Databeskyttelsesforordningen (Europa-Parlamentets Og Rådets Forordning 2016/679 af 27. april 2016 – herefter ”Databeskyttelsesforordningen”).

1.5. Databehandleraftalen fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Barma foretager behandling af personoplysninger på vegne af kunden.

1.6. Databehandleraftalen følger betingelserne for opsigelse/ophævelse af Aftalen, jf. punkt 1.1 og de dertilhørende handelsbetingelser.

1.7.Handelsbetingelserne gælder generelt også i forhold til Databehandleraftalen. I tvivlstilfælde eller modstridende situationer har Databehandleraftalen forrang, medmindre andet følger konkret af Databehandleraftalen.

1.8. Til Databehandleraftalen hører Bilag 1-2. Bilagene fungerer som en integreret del af Databehandleraftalen.

1.9. Databehandleraftalen og bilag opbevares skriftligt, herunder elektronisk af begge parter.

2. INSTRUKS

2.1. Barma må kun behandle personoplysninger efter dokumenteret instruks fra kunden, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Barma er underlagt; i så fald underretter Barma kunden om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. Databeskyttelsesforordningen art. 28, stk. 3, litra a.

2.2.  Databehandleraftalen inklusiv bilag hertil udgør instruksen på underskriftstidspunktet.

2.3. Barma bemyndiges hermed til at foretage behandling af personoplysninger på vegne af kunden på vilkår fastsat i Databehandleraftalen samt tilhørende bilag.

2.4. Instruksen består af 2 (to) dele:

2.4.1. Denne Databehandleraftale inklusiv bilagene på underskriftstidspunktet.

2.4.2.De indtastninger og den behandling af personoplysninger, som finder sted via Barma LMS og Academy, udgør samtidig en instruks til Barma, idet Barma automatisk ud fra de informationer, indtastninger og uploads, der modtages fra kunden, herved foretager indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.  

2.5. Barma underretter omgående kunden, hvis en instruks efter Barmas mening er i strid med Databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

2.6. Hvis ikke andet følger af Databehandleraftalen, må Barma benytte alle relevante hjælpemidler, herunder IT-systemer.

2.7 Barma har og får forskellige rabatter og fordele, som Kunden og Kundens medarbejdere kan gøre brug af igennem Barma. Derfor giver Kunden Barma tilladelse til at indhente Kundens medarbejderes samtykke direkte, til skriftlige eller direkte henvendelser på e-mail, brev, sms og telefon med henblik på rådgivning, salg, statistikker, surveys, og markedsføring af produkter i Barmas produktportefølje eller samarbejdspartneres og/eller i forbindelse med optimering af/vejledning om ydelser. Medarbejderens accept af samtykket vil ske fuldstændig frivilligt og medarbejderen kan til enhver tid tilbagekalde sit samtykke.

3. GENERELT OM BEHANDLINGSSIKKERHED

3.1. Barma iværksætter løbende alle foranstaltninger, som kræves i henhold til Databeskyttelsesforordningens artikel 32.

3.2. I artikel 32 fremgår bl.a., at der skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risici forbundet med behandling af personoplysninger under hensyntagen til:

  • Det aktuelle sikkerhedsniveau
  • Implementeringsomkostningerne
  • Den pågældende behandlings karakter, omfang, sammenhæng og formål (herunder hensyntagen til kategorien af personoplysninger i Bilag 1)
  • Risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder

3.3. Parternehar foretaget en risikovurdering ud fra den pågældende databehandling og vurderet, at Barma i forbindelse med ovenstående som minimum skal iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nedenfor i punkt 4-6.  

3.4. Parterne er enige om, at disse tiltag er tilstrækkelige på tidspunktet for indgåelse af denne Databehandleraftale til at imødegå risikoen for de registrerede personers rettigheder, idet bemærkes, at Barma i øvrigt har iværksæt øvrige foranstaltninger i interne procedurer

4. FYSISK SIKKERHED

4.1. Barma arbejder i lokaler, hvortil alene et begrænset antal personer har adgang. Barma sikrer, at der ikke sker uberettiget fysisk adgang til Barmas udstyr. Lokalerne er endvidere sikret overordnet ved, at bygningen og adgangsveje til lokalerne er overvåget via alarmsystem uden for åbningstid.

5. ORGANISATORISK SIKKERHED

5.1. Barma har og får forskellige rabatter og fordele, som kunden og kundens medarbejdere kan gøre brug af igennem Barma. Derfor bekræfter kunden, at det er nødvendigt Barma indhenter Kundens medarbejderes samtykke, til skriftlige eller direkte henvendelser på e-mail, brev, sms og telefon med henblik på rådgivning, salg, statistikker, surveys, og markedsføring af produkter i Barmas produktportefølje eller samarbejdspartneres og/eller i forbindelse med optimering af/vejledning om ydelser. Medarbejderens accept af samtykket vil ske fuldstændig frivilligt kan til enhver tid tilbagekalde sit samtykke

5.2. Alle medarbejdere er orienteret om og underlagt interne procedurer for, hvordan sikkerhedsbrud håndteres.

6. TEKNISK SIKKERHED

6.1. Barma anvender udelukkende hard- og software af høj kvalitet, der løbende opdateres, herunder antivirussoftware, antispamsoftware og firewalls.

6.2. Al kommunikation til/fra Systemet foregår krypteret.

6.3.  Adgang til Barmas interne IT-systemer sker via krypterede login-oplysninger, som sikrer, at uvedkommende ikke kan få adgang. Barma skifter med passende intervaller kodeord i interne IT-systemer, som ultimativt giver adgang til kundens personlysninger.

7. UNDERRETNING OM BRUD PÅ PERSONDATASIKKERHEDEN

7.1. Barma underretter uden unødig forsinkelse kunden efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Barma eller en eventuel Underdatabehandler.

7.2. Et sådant sikkerhedsbrud omfatter ethvert brud, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for kunden (”Sikkerhedsbrud”).

7.3. Barma skal føre og opbevare intern dokumentation over alle Sikkerhedsbrud. Dokumentationen skal indeholde minimum de faktiske omstændigheder omkring Sikkerhedsbruddet, virkningerne og de trufne afhjælpningsforanstaltninger.

8. ANVENDELSE AF UNDERDATABEHANDLERE

8.1. Barma skal opfylde de betingelser, der er omhandlet i Databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden Databehandler (Underdatabehandler).

8.2. Parterne har aftalt, at Barma generelt kan anvende Underdatabehandlere, jf. Bilag 2, hvor også de allerede godkendte Underdatabehandlere er anført.

8.3. Barma skal underrette kunden om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre Databehandlere og derved give kunden mulighed for at gøre indsigelse mod sådanne ændringer.

8.4. Barma pålægger Barmas Underdatabehandlere minimum samme niveau af sikkerhedskrav og databeskyttelse som dem, der er fastsat i denne Databehandleraftale gennem en kontrakt eller andet retligt dokument, således at kravene til tekniske og organisatoriske foranstaltninger i Databeskyttelsesforordningen og/eller anden relevant gældende regulering til enhver tid overholdes.

8.5. Hvis Barmas Underdatabehandlere ikke opfylder sine databeskyttelsesforpligtelser, forbliver Barma fuldt ansvarlig over for kunden for opfyldelsen af Underdatabehandleres forpligtelser.

9. OVERFØRSEL AF OPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

9.1. Barma må alene behandle personoplysninger efter dokumenteret instruks fra kunden, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre undtagelserne hertil i Databeskyttelsesforordningen og/eller anden relevant gældende regulering er opfyldt.

9.2. Kundens eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, skal fremgå af Bilagene (alternativt via angivelse af Underdatabehandlere) eller særskilt skriftlig instruks.

9.3. Hvis kunden ikke i Bilagene eller i særskilt instruks har angivet en instruks eller godkendelse vedrørende overførsel af personoplysninger til et tredjeland eller internationale organisationer, må Barma ikke foretage en sådan overførsel.

9.4. I det omfang, der sker overførsel til et tredjeland, bistår kunden uden vederlag herfor Barma ved indgåelse af nødvendige aftaler, eller kunden udsteder bemyndigelse til at indgå de fornødne aftaler på kundens vegne og for dennes regning.

10. BISTAND TIL KUNDEN

10.1. Barma bistår, under hensyntagen til behandlingens karakter, så vidt muligt kunden ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af kundens forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel 3.  

10.2.  Barma bistår kunden med at sikre overholdelse af kundens forpligtelser i medfør af Databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Barma, jf. Databeskyttelsesforordningen art. 28, stk. 3, litra f.

10.3.  Parternes aftale om betaling for Barmas bistand til kunden herfor fremgår af punkt 12.  

11. SLETNING OG TILBAGELEVERING

11.1. Barma sletter ikke kundens personoplysninger (eller andre data) under Aftalens løbetid, medmindre kunden instruerer Barma herom.

11.2. Ved ophør af Samarbejdet og tilhørende behandling af personoplysninger skal Barma, efter kundens valg, slette eller tilbagelevere alle personoplysninger til kunden, samt slette eksisterende kopier og kodeord, som eventuelt måtte være lagret hos Barma efter instruks fra kunden, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

12. TILSYN OG REVISION

12.1. Barma stiller uden unødig forsinkelse alle oplysninger, der er nødvendige for at påvise Barmas overholdelse af Databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for kunden på anfordring af denne.

12.2.  Barma giver bl.a. mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af kunden eller en anden sagkyndig (f.eks. revisor eller IT-specialist), som er bemyndiget hertil af kunden.

12.3. Barma skal – såfremt kunden ønsker det – én gang årligt indhente en sædvanlig og anerkendt erklæring (f.eks. revisionserklæring eller IT-erklæring) fra en uafhængig, sagkyndig tredjepart angående Barmas overholdelse af Databehandleraftalen med tilhørende bilag. Erklæringen udarbejdes for kundens regning og Barma er berettiget til at modtage kopi af erklæringen til forevisning for andre af Barmas kunder. Såfremt en erklæring er udarbejdet i lignende anledning inden for de seneste 12 måneder, kan Barma tilbyde kunden at modtage kopi af denne i stedet.

12.4. Kunden eller en repræsentant for kunden har herudover adgang til at føre tilsyn, herunder fysisk tilsyn, hos Barma, når kunden ønsker det.

12.5. Tilsyn varsles med minimum én måned. Sammen med varslet skal kunden sende en detaljeret plan med beskrivelse af omfang, varighed og startdato for tilsynet. Barma er forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig for, at kunden kan gennemføre sit tilsyn.

12.6. Barmas udgifter i forbindelse med revision og/eller anden form for tilsyn (herunder intern tid) afholdes af kunden og afregnes i forhold til det af Barma medgåede tidsforbrug.

12.7. Dette gælder ligeledes, såfremt kunden begærer dokumenter eller andet materiale udleveret fra Barma med henblik på at kontrollere, at Databehandleraftalen overholdes.

13. MISLIGHOLDELSE

13.1. Reguleringen af misligholdelsesbeføjelser følger de til Aftalen tilhørende handelsbetingelser, jf. punkt 1.1.

14. ANSVAR OG ANSVARSBEGRÆNSNINGER

14.1.Reguleringen af ansvar og ansvarsbegrænsninger reguleres af Aftalen, jf. punkt 1.1 og tilhørende handelsbetingelser.

15. ÆNDRING

15.1. Barma kan med 1 måneds varsel og uden omkostninger foretage ændring af Databehandleraftalen.

16. VARIGHED OG OPHØR

16.1. Databehandleraftalen kan erstattes af en anden gyldig Databehandleraftale. Databehandleraftalen kan ikke opsiges eller ophæves særskilt i Aftalens løbetid.

16.2. Uanset Databehandleraftalens ophør skal aftalens punkt 5.3 (medarbejderes fortrolighed), 11 (sletning/tilbagelevering), 14 (ansvar og ansvarsbegrænsning) og 17 (tvister) have virkning efter Databehandleraftalens ophør.

16.3. Barma må fortsat behandle personoplysningerne i op til tre måneder efter Databehandleraftalens ophør i det omfang, det er nødvendigt for at foretage nødvendige lovpligtige foranstaltninger, jf. i øvrigt punkt 11.2. I samme periode er Barma berettiget til at lade personoplysningerne indgå i Barmas sædvanlige backupprocedure. Barmas behandling i denne periode anses for fortsat at ske under overholdelse af instruksen i Databehandleraftalen.

17. TVISTER

17.1. Håndtering af tvister relateret til Databehandleraftalen følger Aftalens vilkår.

17.2. Er intet aftalt, er Databehandleraftalen underlagt dansk ret og Parterne er berettiget til at kræve tvisten afgjort ved de almindelige domstole. Retten i Aarhus er valgt som værneting i første instans.

BILAG 1

1. Formål

1.1. Dette bilag uddyber indholdet i Databehandleraftalen for så vidt angår de konkrete personoplysninger, der behandles på vegne af kunden.

2. TYPER AF PERSONOPLYSNINGER

2.1. ftalen indebærer, at Barma behandler følgende kategorier af personoplysninger:

  • Navn
  • E-mailadresse
  • Telefonnummer
  •  Adresse
  • Stillingsbetegnelse
  • Ansættelsesperiode

3. BEHANDLINGEN OMFATTER FØLGENDE KATEGORIER AF PERSONER Kundens medarbejdere