Spring menu over og gå til indholdVend tilbage til forsidenGå til vores guide for tilgængelighed

Databehandleraftale

Følgende er FlowTwo's databehandler aftale for backup og hosting af hjemmesider. Brug af vores service sker udelukkende under accept af disse forudsætninger.

 

1. BAGGRUND OG FORMÅL

  1. Parterne har aftalt levering af visse ydelser fra FlowTwo til den Dataansvarlige, som nærmere beskrevet i Parternes særskilte aftale herom, samt i punkt 4 (“Hovedydelsen”).
  2. I den forbindelse behandler FlowTwo personoplysninger på vegne af den Dataansvarlige, hvorfor Parterne har indgået denne aftale (”Databehandleraftalen”).
  3. Databehandleraftalen har til formål at sikre, at FlowTwo overholder den til enhver tid gældende persondataretlige regulering, herunder navnlig
    Persondataloven (lov 2000-05-31 nr. 429 med senere ændringer) og
    Persondataforordningen (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), med virkning fra d. 25 maj 2018 jf. Art. 28, stk. 3.

2. OMFANG

  1. FlowTwo bemyndiges til at foretage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandleraftalen.
  2. FlowTwo behandler alene personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”). Denne Databehandleraftale og partneres aftale om Hovedydelsen udgør Instruksen.
  3. Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige. Dette foregår gennem en særskilt aftale, som lægges som bilag til den gældende aftale om Hovedydelsen.
  4. FlowTwo må, i det omfang andet ikke følger af Databehandleraftalen, benytte alle relevante hjælpemidler, herunder IT-systemer.
  5. Uanset Databehandleraftalens ophør skal aftalens punkt 17 vedrørende fortrolighed samt punkt 15, 18.4 og 19 fortsat have virkning efter Databehandleraftalens ophør.

3. VARIGHED

Databehandleraftalen gælder indtil enten (a) aftale(r)n(e) om levering af Hovedydelserne ophører eller (b) Databehandleraftalen opsiges eller ophæves.

4. HOVEDYDELSEN

  1. FlowTwo leverer hosting- og backup-services af Partnerens hjemmeside. Dette udgør Hovedydelsen.
  2. Som hostingleverandør behandler FlowTwo den data, Partneren som ejer af en hjemmeside vælger at opbevare. FlowTwo laver ingen ekstra dataopsamling på persondata, udover at logge IP-adresser på brugere, der forsøger at tiltvinge sig adgang uden korrekt password.
  3. I forbindelse med rollen som hostingleverandør kan disse typer persondata typisk forekomme i FlowTwos backup af hostede hjemmesider:
    1. Navne
    2. Adresser
    3. Telefonnumre
    4. Mailadresser
    5. Fotografier
    6. IP-adresser
    7. Ordrehistorik
    8. Kommunikation mellem bruger og Partner
    9. Andet som er muligt at indtaste gennem hjemmesidens formularer.
  4. Såfremt dette “andet” indeholder typer af persondata, der ikke er inkluderet af ovenstående liste, bedes Partneren gøre opmærksom på dette.

5. FYSISK PLACERING AF DATA OG PRINCIPPER FOR ANVENDELSE AF BACKUPS

  1. FlowTwos hosting er fysisk placeret hos iTadel i Aarhus, Danmark.
  2. Hver dag foretages en backup af FlowTwos data og sendes til FlowTwos Dropbox-mappe. De hjemmesider som FlowTwo hoster foretages yderligere en backup af og gemmes på en server i Danmark. Backup-filerne gemmes i ni måneder, hvorefter de slettes.
  3. I tilfælde af et systemnedbrud kan FlowTwo gendanne systemet fra en backup.
  4. Hvis personer efter eget ønske er blevet glemt i tiden mellem foretagelse af backup og systemnedbrud, slettes persondata på disse ved upload af backup’en ud fra den Glemt-liste, FlowTwo gemmer i ni måneder fra registrering af ønske om at blive glemt.

6. DATABEHANDLERENS FORPLIGTELSER

6.1. Tekniske og organisatoriske sikkerhedsforanstaltninger

  1. FlowTwo har ansvaret for at have implementeret fornødne tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne er gennemført under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risici af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. FlowTwo har bl.a. taget kategorien af personoplysninger beskrevet i punkt 4 (“Hovedydelsen”) i betragtning ved fastlæggelsen af disse foranstaltninger.
  2. FlowTwo har uanset punkt 6.1.1 gennemført de tekniske og organisatoriske sikkerhedsforanstaltninger som fremgår af punkt 7 til denne Databehandleraftale samt aftale(r)n(e) om levering af Hovedydelserne.
  3. FlowTwo garanterer over for den Dataansvarlige, at man har gennemført de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at FlowTwos behandling af personoplysninger opfylder kravene i den til enhver tid gældende persondataretlige regulering.
  4. Parterne er enige om, at de afgivne garantier anført i punkt 7 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandleraftale.

6.2 Medarbejderforhold

  1. FlowTwo garanterer, at medarbejdere, der behandler personoplysninger for FlowTwo har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  2. FlowTwo garanterer, at adgangen til personoplysningerne er begrænset til de medarbejdere, for hvem det er nødvendigt at behandle personoplysninger for at kunne opfylde FlowTwos forpligtelser over for den Dataansvarlige.
  3. FlowTwo garanterer at medarbejdere, der behandler personoplysninger for FlowTwo kun behandler disse i overensstemmelse med Instruksen.

6.3 Dokumentation for overholdelse af forpligtelser

  1. FlowTwo vil på skriftlig anmodning dokumentere over for den Dataansvarlige, at FlowTwo:
    Overholder sine forpligtelser efter denne Databehandleraftale og Instruksen.
    Overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne.
  2. FlowTwos dokumentation heraf vil ske inden for fem arbejdsdage.
  3. Det nærmere indhold af forpligtelserne under punkt 6.3.1 er beskrevet i denne Databehandleraftales punkt 7.

6.4 Fortegnelser over behandlingsaktiviteter

  1. FlowTwo fører løbende en fortegnelse over behandlingen af personoplysningerne.
  2. Fortegnelsen indeholder følgende oplysninger:
    1. Kategorier af behandlinger, der foretages på vegne af den Dataansvarlige.
    2. FlowTwos medarbejdere og fast tilknyttede partnere, der foretager databehandling af personoplysningerne.
    3. Hvor relevant, Underdatabehandlere (som defineret i punkt 9) og disses medarbejdere, der foretager databehandling af personoplysningerne.
    4. En generel beskrivelse af tekniske og organisatoriske foranstaltninger, der foretages i forbindelse med behandlingen,
    5. Det juridiske grundlag for behandlingen, værende den særskilte kontrakt om hovedydelsen.
    6. Hvor relevant, angivelse af tredjelande eller internationale organisationer, hvortil personoplysningerne overføres, samt dokumentation for passende garantier.
    7. Kontaktoplysninger på FlowTwos og Underdatabehandlerens kontaktperson eller databehandlingsrådgiver (hvis udpeget).
  3. FlowTwo stiller inden rimelig tid efter anmodning fortegnelserne til rådighed for den Dataansvarlige eller enhver relevant tilsynsmyndighed.

6.5 Sikkerhedsbrud

  1. FlowTwo underretter den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
  2. Sikkerhedsbrud meddeles til den Dataansvarlige uden unødig forsinkelse.
  3. FlowTwo vedligeholder en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen dokumenterer følgende:
    De faktiske omstændigheder omkring Sikkerhedsbruddet,
    Sikkerhedsbruddets virkninger, og
    de trufne afhjælpningsforanstaltninger.
  4. Fortegnelsen stilles efter skriftlig anmodning til rådighed for den Dataansvarlige eller tilsynsmyndighederne.

6.6 Bistand

  1. FlowTwo bistår i fornødent og rimeligt omfang ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandleraftale, herunder ved:
    1. besvarelser til registrerede ved udøvelse af disses rettigheder,
      sikkerhedsbrud,
    2. konsekvensanalyser, og
    3. forudgående høringer fra tilsynsmyndighederne.
  2. FlowTwo fremskaffer herunder de oplysninger, der skal indgå i en anmeldelse til tilsynsmyndigheden, i det omfang FlowTwo er den nærmeste hertil.
  3. Bistand, forespørgsler og henvendelser, der ikke kan håndteres indenfor 10 minutter afregnes efter den til enhver tid gældende timetakst for support.

7. DOKUMENTATION FOR OVERHOLDELSE AF FORPLIGTELSER

7.1 Generel dokumentation til den dataansvarlige

FlowTwos overholdelse af Persondataforordningen er dokumenteret i en intern standardprocedure. På skriftlig anmodning vil FlowTwo fremsende dokumentation til den Dataansvarlige.

7.2 Tekniske og organisatoriske foranstaltninger

  1. FlowTwo benytter kun software uden kendte sikkerhedshuller og sørger hele tiden for at holde anvendt software opdateret. Al trafik til og fra serverne, som kører hjemmeside for FlowTwos kunder, går gennem firewalls administreret af FlowTwo.
  2. Trafik, mellem FlowTwos kunder og kunders hjemmesider hostet af FlowTwo, i forbindelse med administration, samt mellem brugere af hjemmeside hostet af FlowTwo, krypteres så vidt muligt med HTTPS efter officielt anerkendte anbefalinger.
  3. Al data er placeret i Danmark, i datacentre hos betroede samarbejdspartnere, samt i Dropbox.
  4. Backups bliver foretaget hver nat og opbevares krypteret i et separat datacenter. Backups gemmes som udgangspunkt i ni måneder.
  5. Kun udvalgte nøglemedarbejdere har adgang til rådata på FlowTwos servere. FlowTwos medarbejdere har kun de fornødne rettigheder, til at kunne udføre deres daglige arbejde.

7.3 Audit

FlowTwo vil på skriftlig anmodning bidrage til og give adgang til audit. Hver part betaler egne udgifter i forbindelse med et audit.

7.4 Øvrigt

FlowTwo er ikke forpligtet til at følge en anmodning fra den Dataansvarlige i henhold til dette punkt 7, hvis anmodningen strider mod den persondataretlige regulering. FlowTwo underretter den Dataansvarlige i det omfang, det er FlowTwos vurdering, at dette er tilfældet.

8. DEN DATAANSVARLIGES FORPLIGTELSER

Den Dataansvarlige har følgende forpligtelser:

  1. at sikre sig, at personoplysningerne er ajourførte
  2. at sikre sig, at Instruksen er lovlig set i forhold til den til enhver tid gældende persondataretlige regulering
  3. at Instruksen er hensigtsmæssig set i forhold til denne Databehandleraftale og Hovedydelsen.
  4. at der er indgået gyldige databehandleraftaler med øvrige databehandlere og tredjepartssystemer, der benyttes i forbindelse med håndtering af personoplysninger for den Dataansvarlige.

9. UNDERDATABEHANDLERE

  1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden databehandler (underdatabehandler).
  2. FlowTwo gør kun brug af en tredjepart til behandlingen af personoplysninger for den Dataansvarlige (”Underdatabehandler”) i det omfang der er modtaget skriftlig godkendelse fra den Dataansvarlige.
  3. Den Dataansvarlige har mulighed for at gøre indsigelser gældende mod en sådan Underdatabehandler i det omfang, der er en rimelig grund hertil.
  4. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.
  5. FlowTwo og Underdatabehandleren indgår en skriftlig aftale, som pålægger Underdatabehandleren de samme databeskyttelsesforpligtelser, som påhviler FlowTwo (herunder i medfør af denne Databehandleraftale).
  6. Underdatabehandleren handler herudover ligeledes alene på Instruks fra den Dataansvarlige.
  7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver FlowTwo fuldt ansvarlig over for den dataansvarlige for opfyldelsen af FlowTwos forpligtelser.

10. OVERFØRSEL TIL TREDJELANDE OG INTERNATIONALE ORGANISATIONER

  1. FlowTwo overfører kun personoplysninger til tredjelande eller internationale organisationer såfremt:
    Personoplysninger ikke underkastes behandling af FlowTwo eller en Underdatabehandler i et land uden for den Europæiske Union eller EØS (et ”Tredjeland”), eller en international organisation, medmindre den Dataansvarlige giver konkret tilladelse hertil.
    FlowTwo underretter den Dataansvarlige om overførslen, inden den finder sted.
    FlowTwo modtager særlig instruks fra den Dataansvarlige.
  2. Overførsel af personoplysninger sker i alle tilfælde kun i det omfang, det er tilladt ifølge den til enhver tid gældende persondataretlige regulering.
  3. I det omfang der sker overførsel af personoplysninger til et tredjeland, skal den Dataansvarlige sikre at der er indgået de fornødne aftaler. Den Dataansvarlige kan også bemyndige FlowTwo til at indgå de fornødne aftaler på den Dataansvarliges vegne mod vederlag.

11. DATABEHANDLING UDEN FOR INSTRUKSEN

FlowTwo kan behandle personoplysninger uden for Instruksen i tilfælde, hvor det kræves af EU-retten eller national ret, som FlowTwo er underlagt.

Ved behandling af personoplysninger uden for Instruksen underretter FlowTwo den Dataansvarlige om årsagen hertil. Underretningen vil ske inden behandlingen foretages og skal indeholde en henvisning til de retlige krav, der ligger til grund for behandlingen.

Underretning skal ikke ske, hvis underretning vil være i strid med EU-retten eller den nationale ret.

12. VEDERLAG OG OMKOSTNINGER

  1. Parterne har alene krav på betaling for opfyldelse af denne Databehandleraftale, hvis dette konkret er angivet heri eller i aftale(r)n(e) om levering af Hovedydelserne.
  2. Bistand, forespørgsler og henvendelser, der ikke kan håndteres indenfor 10 minutter afregnes efter den til enhver tid gældende timetakst for support.
  3. En Part har uanset ovenstående ikke krav på betaling for assistance eller implementering af ændringer i det omfang sådan assistance eller ændring er en direkte følge af Parternes misligholdelse af denne Databehandleraftale.

13. ÆNDRING AF INSTRUKSEN

  1. Forud for ændringer af Instruksen skal Parterne i videst muligt omfang drøfte, og om muligt aftale, implementeringen af ændringerne, inkl. implementeringstiden og omkostningerne.
  2. Ændringer af Instruksen skal ske skriftligt. FlowTwo er ansvarlig for at udføre ændringerne uden unødig forsinkelse. Kopi af den gældende Instruks sendes til Databehandleren når disse er implementeret. Evt. omkostninger afregnes efter §12.2.

14. MISLIGHOLDELSE

Reguleringen af misligholdelse i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal gældende rets almindelige misligholdelsesbeføjelser finde anvendelse på denne Databehandleraftale.

15. ANSVAR OG ANSVARSBEGRÆNSNINGER

Reguleringen af ansvar og ansvarsbegrænsninger i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

16. FORCE MAJEURE

Reguleringen af force majeure i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

17. FORTROLIGHED

  1. Reguleringen af fortrolighed i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette punkt 17 finde anvendelse på denne Databehandleraftale.
  2. Information vedrørende indholdet af denne Databehandleraftale, de underliggende Hovedydelser, den anden Parts forretning, der enten i forbindelse med overgivelsen til den modtagende Part er angivet som fortrolig information, eller som efter sin natur eller i øvrigt klart må opfattes som fortrolig, skal behandles fortroligt og med mindst samme omhu og diskretion som partens egne fortrolige informationer. Data, herunder persondata, udgør altid fortrolige informationer.
  3. FlowTwo sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
  4. Efter anmodning fra den dataansvarlige vil FlowTwo påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.

18. OPSIGELSE OG OPHØR

  1. Databehandleraftalen kan alene opsiges eller ophæves i overensstemmelse med bestemmelserne om opsigelse og ophævelse i aftale(r)n(e) om levering af Hovedydelserne.
  2. FlowTwos bemyndigelse til at behandle personoplysninger på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens ophør, uanset årsag.
  3. FlowTwo må fortsat behandle personoplysningerne i op til tre måneder efter Databehandleraftalens ophør, i det omfang dette er nødvendigt for at foretage nødvendige lovpligtige foranstaltninger. I samme periode er FlowTwo berettiget til at lade personoplysningerne indgå i FlowTwos sædvanlige backup-procedure. FlowTwos behandling i denne periode anses fortsat for at ske under overholdelse af Instruksen.
  4. FlowTwo og dennes Underdatabehandlere skal tilbagelevere alle personoplysninger, som FlowTwo har behandlet under denne Databehandleraftale, til den Dataansvarlige ved Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i besiddelse af personoplysningerne. FlowTwo er herefter forpligtet til at slette alle personoplysninger fra den Dataansvarlige. Backup-filerne gemmes i ni måneder, hvorefter de slettes. Den Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.

19. TVISTLØSNING

  1. Reguleringen af tvistløsning, inkl. lovvalg og værneting, i aftale(r)n(e) om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf. I tilfælde af, at aftale(r)n(e) om levering af Hovedydelserne ikke tager stilling hertil, skal bestemmelserne i dette punkt 19 finde anvendelse på denne Databehandleraftale.
  2. Databehandleraftalen er underlagt dansk ret med undtagelse af (a) regler, der fører til anvendelse af anden lov end dansk lov samt (b) FN konventionen om internationale løsørekøb (CISG).
  3. Opstår der uoverensstemmelser i forbindelse med Databehandleraftalen eller dens gennemførelse, skal Parterne med en positiv, samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten. Om nødvendigt skal forhandlingerne søges løftet op på direktionsniveau i Parternes organisationer.
  4. Kan Parterne ikke opnå en løsning ved forhandling, er Parterne berettiget til at kræve tvisten afgjort endeligt ved retssag ved de almindelige domstole. Københavns Byret er valgt som værneting. Retsplejelovens henvisningsregler til Landsret og Sø- og Handelsret skal dog fortsat finde anvendelse.

20. FORRANG

Såfremt der er modstrid mellem denne Databehandleraftale og aftale(r)n(e) om levering af Hovedydelserne, har Parternes særskilte aftale forrang, med mindre andet følger direkte af Databehandleraftalen.

Gældende fra: 23. maj 2018.

Senest opdateret: 23. maj 2018