Databehandlingsaftale Skillhabit
De engelske og tyske versioner af dette dokument er juridisk bindende. Oversættelser til andre sprog er kun for nemheds skyld.
1. Baggrund
1.1
Denne databehandlingsaftale ("DPA") indgås på ikrafttrædelsesdatoen for hovedaftalen (defineret nedenfor) af og mellem TicTac Learn AB, reg.nr. 556567-7266, Dockplatsen 1, 211 19 Malmö ("databehandler") og kunden (som defineret i hovedaftalen), der accepterer hovedaftalen ("dataansvarlig").
1.2
Den dataansvarlige og databehandleren (samlet benævnt "parterne") har indgået en aftale om databehandlerens levering af en cloudbaseret platform kaldet Skillhabit ("Skillhabit"), som anvendes af den dataansvarlige til at distribuere og følge op på viden digitalt ("hovedaftalen"). Inden for rammerne af hovedaftalen vil databehandleren som databehandler behandle personoplysninger, som den dataansvarlige er dataansvarlig for i henhold til databeskyttelseslove og -forordninger ("behandling").
1.3
Formålet med denne DPA er at sikre, at behandlingen finder sted i overensstemmelse med databeskyttelseslove og -forordninger, den dataansvarliges instruktioner, og hvad der ellers er aftalt mellem parterne. Denne DPA anses for at være en integreret del af hovedaftalen.
1.4
I tilfælde af uoverensstemmelser mellem bestemmelserne i denne DPA og hovedaftalen har denne DPA forrang.
2. Gældende lov og definitioner
2.1
Databeskyttelseslove og -forordninger gælder for behandlingen.
2.2
"Databeskyttelseslove og -forordninger" betyder alle gældende love, forordninger og regler, der gælder for behandling af personoplysninger, herunder, men ikke begrænset til, EU's generelle databeskyttelsesforordning 2016/679/EF og eventuelle ændringer af, tilføjelser til eller forordninger, der erstatter sådanne love, forordninger og regler.
2.3
Medmindre andet er angivet i denne DPA, skal begreber, der anvendes i denne DPA, have den betydning, der er anvendt i databeskyttelseslove og -forordninger.
3. Den dataansvarliges ansvarsområder
3.1
I forhold til de registrerede personer er den dataansvarlige ansvarlig for at sikre, at de juridiske krav til behandlingen opfylder kravene i databeskyttelseslove og -forordninger.
3.2
Den dataansvarlige bekræfter, at behandlingen er i overensstemmelse med de formål, hvortil de personoplysninger, der er omfattet af behandlingen, er blevet indsamlet.
3.3
Det er den dataansvarliges ansvar at sikre, at databehandleren til enhver tid er informeret om den dataansvarliges aktuelle instrukser, såsom dem i bilag A og andre skriftlige instrukser fra den dataansvarlige vedrørende behandlingen. I tilfælde af, at den dataansvarlige udsteder nye instrukser vedrørende behandlingen, som afviger fra dem, der følger af tjenesterne i henhold til hovedaftalen, og disse instrukser kræver mere af databehandleren og er mere vidtrækkende, end det er foreskrevet i databeskyttelseslovene og -forordningerne eller den svenske myndighed Integritetsskyddsmyndighetens (IMY) råd og udtalelser, skal databehandleren overveje, men er ikke forpligtet til at acceptere, sådanne instrukser. Hvis sådanne yderligere instruktioner væsentligt ændrer omfanget af de tjenester, der udføres af databehandleren i henhold til hovedaftalen, skal sagen primært behandles i henhold til hovedaftalen.
3.4
Alle instruktioner fra den dataansvarlige skal være skriftlige eller på anden måde dokumenterede.
4. Databehandlerens ansvarsområder
4.1
Behandlingen er beskrevet mere detaljeret i bilag A. Databehandleren forpligter sig til kun at behandle personoplysninger på den måde og til de formål, der er nødvendige for at opfylde sine forpligtelser i henhold til hovedaftalen, denne DPA eller i overensstemmelse med de dokumenterede instruktioner, som den dataansvarlige har givet i bilag A, og som er godkendt af databehandleren. Databehandleren kan også behandle personoplysninger med det formål at levere eventuelle yderligere tjenester, som den dataansvarlige fra tid til anden bestiller.
4.2
Efter at have modtaget skriftlige instrukser vedrørende behandlingen fra den dataansvarlige, som f.eks. dem i bilag A, skal databehandleren træffe passende foranstaltninger inden for en rimelig tid for at sikre, at behandlingen tilpasses i overensstemmelse med instrukserne. For sådanne handlinger vedrørende behandlingen, som ikke udtrykkeligt er blevet specificeret af den dataansvarlige på tidspunktet for indgåelsen af hovedaftalen og denne databehandlingsaftale, har databehandleren ret til at anmode om særlig kompensation.
4.3
Databehandleren forpligter sig til at sikre, at enhver fysisk person, der udfører arbejde under dennes ledelse, og som har adgang til personoplysninger, informeres om indholdet af denne databehandlingsaftale og kun behandler personoplysningerne i overensstemmelse med databehandlingsaftalen og den dataansvarliges dokumenterede instruktioner.
4.4
Databehandleren skal med rimelighed bistå den dataansvarlige gennem passende tekniske og organisatoriske foranstaltninger i det omfang, det er nødvendigt for, at den dataansvarlige kan opfylde sine forpligtelser til at reagere på anmodninger fra registrerede om registerudtræk eller berigtigelse, blokering eller sletning af personoplysninger.
4.5
Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse fra det tidspunkt, hvor databehandleren er blevet opmærksom på et brud på persondatasikkerheden. Databehandleren skal i rimeligt omfang bistå den dataansvarlige med de oplysninger, som den dataansvarlige har brug for til at opfylde sine forpligtelser vedrørende anmeldelse af bruddet på persondatasikkerheden til den relevante tilsynsmyndighed og, hvor det er aktuelt, informere de registrerede om bruddet på persondatasikkerheden.
4.6
Databehandleren forpligter sig til at hjælpe den dataansvarlige med at udføre konsekvensanalyser i forhold til databeskyttelse, med forudgående konsultationer og til at hjælpe med at undersøge brud på persondatasikkerheden hos de relevante tilsynsmyndigheder.
4.7
Databehandleren har ret til et rimeligt vederlag for det arbejde, der udføres i forbindelse med de forpligtelser, der er anført i punkt 4.4 og 4.6.
5. Overførsel af personoplysninger
5.1 Overførsel til lande uden for EU/EØS
5.1.1
Databehandleren forpligter sig til ikke at overføre personoplysninger til steder uden for EU/EØS uden forudgående skriftligt samtykke fra den dataansvarlige.
5.1.2
Hvis overførsel af personoplysninger til modtagere uden for EU/EØS er tilladt ved lov, når der er indgået en særlig aftale (eller truffet andre foranstaltninger) med henblik på at opretholde et tilstrækkeligt beskyttelsesniveau, og databehandleren kan påvise, at der findes en sådan aftale (eller at der er truffet sådanne foranstaltninger), har den dataansvarlige ikke ret til at nægte en sådan overførsel.
5.2 Overførsel til tredjeparter
5.2.1
Databehandleren må ikke videregive personoplysninger til tredjeparter uden forudgående skriftligt samtykke fra den dataansvarlige, medmindre videregivelse er påkrævet i henhold til gældende lovgivning eller myndighedsbeslutning. Databehandleren har dog altid ret til at videregive personoplysninger til underleverandører i overensstemmelse med afsnittet "Ansættelse af underdatabehandlere" nedenfor og til parter, hvis tjenester databehandleren distribuerer.
5.2.2
Hvis databehandleren af en domstol eller myndighed pålægges at videregive personoplysninger eller træffe andre foranstaltninger som følge af behandlingen, har databehandleren ret til rimelig kompensation for det udførte arbejde. Databehandleren har også ret til et rimeligt vederlag for videregivelse af personoplysninger til andre end den dataansvarlige og for foranstaltninger i forbindelse med en sådan videregivelse.
6. Anvendelse af underdatabehandlere
6.1
Den dataansvarlige anerkender og accepterer, at databehandleren vil anvende underleverandører til udførelse af behandlingen ("underdatabehandler"). Overførslen af personoplysninger til underdatabehandleren sker på databehandlerens risiko og medfører ingen ændringer i den ansvarsfordeling, der gælder mellem databehandleren og den dataansvarlige.
6.2
Databehandleren forpligter sig til at informere den dataansvarlige skriftligt, før en underdatabehandler involveres. Den dataansvarlige skal have mulighed for at gøre indsigelse mod databehandlerens valg af underdatabehandler inden for fem (5) dage efter at have modtaget databehandlerens meddelelse herom. Databehandleren må ikke anvende den valgte underdatabehandler, hvis den dataansvarlige har fremsat rimelige indsigelser. Parterne er enige om, at den dataansvarlige kan anses for at være blevet underrettet om, at databehandleren har til hensigt at anvende den underdatabehandler, der er anført i bilag B.
6.3
Hvis databehandleren anvender en underdatabehandler til at udføre behandlingen, forpligter databehandleren sig til at indgå en skriftlig aftale om behandling af personoplysninger med underdatabehandleren, hvorved underdatabehandleren er underlagt de samme forpligtelser som i henhold til denne aftale.
7. Tekniske og organisatoriske sikkerhedsforanstaltninger
7.1
Databehandleren skal træffe de tekniske og organisatoriske foranstaltninger, der kræves i henhold til databeskyttelseslove og -forordninger for at sikre et sikkerhedsniveau, der matcher risikoen, især i forhold til risici i forbindelse med uautoriseret adgang til, destruktion og ændring af de personoplysninger, der er omfattet af behandlingen. Databehandleren beslutter, hvordan sådanne foranstaltninger skal implementeres for at opnå det krævede beskyttelsesniveau.
7.2
Hvis den dataansvarlige sandsynliggør, at en ny sikkerhedsforanstaltning er påkrævet, eller at de eksisterende sikkerhedsforanstaltninger skal tilpasses for at opfylde lovkrav om et passende sikkerhedsniveau eller for at overholde regeringsbeslutninger, skal parterne drøfte implementeringen af en sådan foranstaltning eller ændringen af den eksisterende sikkerhedsforanstaltning. Udvidede eller yderligere sikkerhedsforanstaltninger kræver skriftlig aftale mellem parterne. I et sådant tilfælde har databehandleren ret til særlig kompensation for de trufne sikkerhedsforanstaltninger.
8. Fortrolighed
8.1
Databehandleren forpligter sig til ikke at videregive oplysninger til tredjeparter, som databehandleren har modtaget som databehandler fra den dataansvarlige, eller oplysninger, som databehandleren i øvrigt har behandlet som databehandler for den dataansvarlige. Databehandleren forpligter sig til at sikre, at de personer, der arbejder under dennes ledelse, har forpligtet sig til at overholde fortrolighed i overensstemmelse med dette afsnit med titlen "Fortrolighed". Fortrolighedsforpligtelser gælder dog ikke for oplysninger, der:
i) er offentligt kendt eller kommer til offentlighedens kendskab på anden måde end gennem overtrædelser af denne DPA;
ii) oplysninger, som databehandleren kan påvise, at databehandleren var i besiddelse af, før databehandleren modtog oplysningerne fra den dataansvarlige i forbindelse med denne databehandlingsaftale;
iii) oplysninger, som databehandleren retmæssigt modtager fra tredjeparter uden for dette kontraktforhold uden begrænsning; eller
iv) oplysninger, som parten er juridisk forpligtet til at give på grund af obligatorisk lovgivning, retskendelser eller beslutninger fra en anden myndighed.
9. Revisioner
9.1
Den dataansvarlige har ret til, med tredive (30) dages varsel og for egen regning, selv eller gennem denne autoriserede tredjepart ("revisoren") at udføre revisioner (herunder inspektioner) for at kontrollere, at databehandleren overholder denne databeskyttelsesaftale.
9.2
Ved udpegning af revisor skal den dataansvarlige tage hensyn til konkurrenceaspekter i relation til forretningsforbindelser mellem databehandleren og den påtænkte revisor. I denne henseende skal revisoren godkendes af databehandleren. En sådan godkendelse må dog ikke uden rimelig grund nægtes af databehandleren.
9.3
Databehandleren forpligter sig til at give den dataansvarlige eller revisoren adgang til den dokumentation, der er nødvendig for at påvise, at databehandleren har opfyldt sine forpligtelser i henhold til databeskyttelsesforordningen, og skal også på anden vis bistå den dataansvarlige eller revisoren med at gennemføre revisionen og inspektionen. Revisioner og inspektioner kan udføres inden for almindelig kontortid på hverdage mellem kl. 9.00 og 17.00.
9.4
Databehandleren kan give revisoren begrænset adgang til databehandlerens lokaler, hvor behandlingen udføres. Når en sådan inspektion udføres, skal revisoren overholde databehandlerens rimelige arbejdsregler, sikkerhedskrav og andre regler, der gælder på arbejdspladsen, og må ikke gribe ind i databehandlerens daglige drift. Revisoren må ikke have adgang til fortrolige oplysninger om databehandlerens andre kunder eller andre personoplysninger, der ikke behandles i henhold til denne databehandlingsaftale.
10. Erstatning og ansvar over for tredjeparter
10.1
En part forpligter sig til at holde den anden part skadesløs i tilfælde af, at den anden part lider skade som følge af den første parts behandling af personoplysninger i strid med databeskyttelseslove og -forordninger eller denne DPA. En sådan skade kan omfatte, men er ikke begrænset til, forpligtelsen til at betale erstatning til en registreret eller til at betale administrative bøder, der er besluttet af den relevante tilsynsmyndighed.
10.2
En part er ikke forpligtet til at betale erstatning for indirekte skader som f.eks. tabt fortjeneste i henhold til denne DPA.
11. Periode og foranstaltninger ved opsigelse af aftalen
11.1
DPA'en gælder fra det tidspunkt, hvor begge parter underskriver den, og så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige. Bestemmelser om opsigelse findes i hovedaftalen.
11.2
Medmindre den dataansvarlige udtrykkeligt instruerer databehandleren om, at personoplysningerne skal returneres, forpligter databehandleren sig til at slette alle personoplysninger, der er omfattet af behandlingen, fra systemer, der anvendes til behandlingen, på tidspunktet for opsigelsen af denne DPA, medmindre en sådan procedure er uforenelig med gældende national lovgivning eller EU-lovgivning. Anmodningen om tilbagelevering af personoplysninger skal være skriftlig og sendes til databehandleren senest i forbindelse med opsigelsen af hovedaftalen.
11.3
Hvis hovedaftalen ophører, og der indgås en ny sådan aftale, som også omfatter behandling af personoplysninger, uden at der indgås en databehandleraftale, gælder denne DPA også for behandling af personoplysninger, der finder sted som en del af de tjenester, der leveres i henhold til den nye aftale.
12. Lovvalg og tvistløsning
12.1
Denne DPA skal styres af og konstrueres i overensstemmelse med de materielle love i Sverige.
12.2
Tvister i forbindelse med denne DPA skal afgøres endeligt ved en almindelig domstol med Malmö tingsrätt som første instans.
Bilag
BILAG A
Instruktioner til udførelse af behandlingen
Ud over hvad der er angivet i databeskyttelsesforordningen, skal nedenstående instruktioner gælde og overholdes af databehandleren i forbindelse med udførelsen af behandlingen.
Formålet med behandlingen
Behandlingen må kun udføres med henblik på at levere de tjenester, der er fastsat i hovedaftalen, dvs. hovedsageligt med henblik på at levere den cloud-baserede platform Skillhabit til digital distribution og opfølgning af viden. Personoplysningerne må ikke behandles eller anvendes af databehandleren til egne eller andre formål.
Behandlingstyper
Databehandleren kan anvende de behandlingstyper til behandling af personoplysninger, der er nødvendige for at levere de tjenester, der er beskrevet i hovedaftalen, herunder registrering, organisering, opbevaring, ændring, brug og/eller sletning.
Personoplysningstyper
Databehandleren må kun behandle følgende personoplysningstyper: CPR-nummer, navn, adresse, telefonnummer, arbejdsgiver, uddannelseshistorik. Databehandleren kan også behandle andre personoplysninger, hvis det er nødvendigt for at levere de tjenester, der leveres i henhold til hovedaftalen.
Kategorier af registrerede
Behandlingen skal kun omfatte de kategorier af registrerede personer, der fra tid til anden leveres af den dataansvarlige inden for rammerne af Skillhabit, fortrinsvis interne og eksterne brugere og administratorer (som beskrevet i hovedaftalen).
Behandlingens varighed
Personoplysningerne skal slettes af databehandleren ved udløbet af databeskyttelsesaftalen som angivet i databeskyttelsesaftalen. Personoplysninger skal også slettes af databehandleren efter en konkret vurdering i den enkelte sag i overensstemmelse med den dataansvarliges skriftlige instruktioner.
Kontaktoplysninger til databehandlerens repræsentant
E-mail: gdpr@tictac.se
Telefonnummer: +46 40 631 88 30
BILAG B
Godkendte underdatabehandlere
Den dataansvarlige anerkender og accepterer, at databehandleren anvender følgende underleverandører i overensstemmelse med andet afsnit i afsnittet "Anvendelse af underdatabehandlere" i denne DPA:
- Virksomheder, der fra tid til anden er en del af den koncern, som databehandleren er medlem af, forudsat at et sådant koncernselskab er etableret inden for EU/EØS.
- Skillhabit AB (559287-8879), platformsudviklingsselskabet, der ejes af TicTac Group.
- GleSYS (556647-9241) bruges som underleverandør til server, hosting og back-up.