I henhold til artikel 28, stk. 3 i Europa-Parlamentet og Rådets Forordning (EU) 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger, som indgået mellem kunden, som den dataansvarlige,
og
Mydesk Aps
CVR 41545518
Struergade 24
2630 Taastrup
Denmark
Parterne er hver især en “part” og sammen udgør de “parterne”.
Parterne har aftalt følgende standardkontraktbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder.
A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige
Levering, support og drift af abonnementsløsningen; MyDesk – hosted in Microsoft’s Cloud Platform inden for EU.
A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen)
Medarbejder tidsregistrering.
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
Navn og e-mailadresse.
A.4. Behandlingen omfatter følgende kategorier af registrerede
Brugere af MyDesk løsningen – dvs. medarbejdere.
A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed
Behandlingen gælder så længe abonnementsaftalen af MyDesk mellem Parterne er i kraft.
B.1. Godkendte underdatabehandlere
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere
NAVN | CVR | ADRESSE | BESKRIVELSE AF BEHANDLING |
MICROSOFT IRELAND OPERATIONS | 20812842 | Opbevaring af data + hosting af Applikation og Databaser (Region North – Ireland). | |
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uden den dataansvarliges skriftlige godkendelse – gøre brug af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.
C.1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
Afvikling af MyDesk applikationen
C.2. Behandlingssikkerhed
Sikkerhedsniveauet skal afspejle:
Behandlingen omfatter en begrænset mængde personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et passende sikkerhedsniveau.
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau.
Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige:
C.3 Bistand til den dataansvarlige
Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelse 9.1 og 9.2. ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:
På den dataansvarliges specifikke anmodning bistår databehandleren under hensyntagen til behandlingens karakter så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i persondatalovgivningen.
Hvis en registreret fremsætter anmodning om udøvelse af sine rettigheder over for databehandleren, giver databehandleren uden ugrundet ophold meddelelse herom til den dataansvarlige.
Under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, bistår databehandleren efter specifik anmodning også den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i forhold til:
C.4 Opbevaringsperiode/sletterutine
Data vedrørende tidsregistreringer i MyDesk opbevares på ubestemt tid eller indtil det tidspunkt Kunden ikke længere ønsker at bevare disse. Permanent sletning udføres i samråd med MyDesk
Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal databehandleren enten slette eller tilbagelevere personoplysningerne i overensstemmelse med bestemmelse 11.1, medmindre den dataansvarlige – efter underskriften af disse bestemmelser – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til bestemmelserne.”
C.5 Lokalitet for behandling
Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende:
Databehandlingen udføres på: Struergade 22, 2630 Taastrup.
Data opbevares hos Microsoft inden for Region North i Ireland.
C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande
Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.
C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren
Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databehandleraftalen, til rådighed for den dataansvarlige. Databehandleren giver herunder mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
Databehandleren kan for egen regning indhente en revisionserklæring/inspektionsrapport fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Der er enighed mellem parterne om, at følgende typer af revisionserklæring/inspektionsrapport kan anvendes i overensstemmelse med disse Bestemmelser:
– selvevaluering baseret på udfyldelse af audit spørgeskema fra den dataansvarlige og/eller
– revisionserklæring af typen ISAE 3000 type 2
Revisionserklæringen/ inspektionsrapporten fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rammerne for og/eller metoden i erklæringen/rapporten og kan i sådanne tilfælde anmode om en ny revisionserklæring/inspektionsrapport under andre rammer og/eller under anvendelse af anden metode.
Baseret på resultaterne af erklæringen/rapporten, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt.”
C.8 Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til underdatabehandlere
Databehandleren eller en repræsentant for databehandleren foretager tilsyn med underdatabehandlere med afsæt i den specifikke behandling som underdatabehandleren foretager med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Efter den dataansvarliges skriftlige anmodning fremsendes dokumentation for udført tilsyn med relevante underdatabehandlere til den dataansvarlige.
I det omfang resultaterne af et tilsyn viser, at de sikkerhedsforanstaltninger, som underdatabehandleren har implementeret, er utilstrækkelige, kan den dataansvarlige anmode om gennemførsel af yderligere foranstaltninger for at sikre overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller Medlemsstaternes databeskyttelsesbestemmelser og klausulerne.