Databehandleraftale | Jolstra Software

1. Parter og roller

Denne databehandleraftale er indgået mellem kunden som dataansvarlig og Jolstra Software, CVR-nr. 44586177, som databehandler.

Aftalen gælder, når Jolstra Software behandler personoplysninger på vegne af kunden i forbindelse med levering, drift, support, vedligeholdelse, sikkerhed, backup, fejlfinding og udvikling af Jolstra Softwares løsninger.

Kunden er dataansvarlig og fastlægger formål og hjælpemidler for behandlingen. Jolstra Software behandler alene personoplysninger efter kundens dokumenterede instruks, medmindre behandling kræves efter EU-ret eller national ret.

2. Formål og instruks

Formålet med behandlingen er at gøre det muligt for kunden at anvende Jolstra Softwares løsninger til kundens interne erhvervsmæssige formål.

Kundens instruks består af den samlede aftale mellem parterne, kundens konfiguration og kundens konkrete brug af løsningen.

Jolstra Software må behandle personoplysninger i det omfang, det er nødvendigt for at levere adgang til de valgte løsninger, drifte og sikre løsningerne, yde support og fejlretning, gennemføre backup og logning, hjælpe med opsætning, migrering og konfiguration samt opfylde lovmæssige forpligtelser, hvis sådanne gælder for Jolstra Software.

Hvis Jolstra Software vurderer, at en instruks er i strid med databeskyttelsesreglerne, skal Jolstra Software så vidt muligt informere kunden herom.

3. Behandlingens karakter og varighed

Behandlingen kan omfatte indsamling, registrering, strukturering, opbevaring, visning, ændring, søgning, brug, overførsel, begrænsning, sletning, backup og anden behandling, der er nødvendig for at levere løsningen.

Behandlingen varer, så længe kunden har en aktiv aftale med Jolstra Software, og i en rimelig periode derefter, i det omfang det er nødvendigt for backup, sletning, dokumentation, lovgivning, sikkerhed eller retskrav.

4. Typer af personoplysninger

Afhængigt af hvilke løsninger kunden anvender, kan behandlingen omfatte følgende typer almindelige personoplysninger:

navn, arbejdsmail, telefonnummer, stilling, afdeling eller rolle
kunde- og kontaktoplysninger
medarbejderoplysninger og brugeroplysninger
adgangsrettigheder, loginhistorik og aktivitetslogs
tickets, noter, kommentarer, servicehistorik og sagsoplysninger
formularsvar, dokumenter, filer og vedhæftninger
udstyrsoplysninger, aftaleoplysninger, tilbudsdata og historik
IP-adresse, tekniske metadata og sikkerhedslogs

Kunden må ikke indtaste følsomme oplysninger, CPR-numre eller oplysninger om strafbare forhold i løsningen, medmindre dette er udtrykkeligt aftalt, nødvendigt, lovligt og dækket af passende sikkerhedsforanstaltninger.

5. Kategorier af registrerede

Kategorier af registrerede kan blandt andet omfatte:

kundens medarbejdere og brugere
kundens kunder og kundeemner
kundens leverandører og samarbejdspartnere
kontaktpersoner hos virksomheder og organisationer
brugere af kundens portal, formularer eller selvbetjeningsløsninger
andre personer, som kunden vælger at registrere i løsningen

6. Kundens forpligtelser som dataansvarlig

Kunden er ansvarlig for, at behandlingen har et lovligt behandlingsgrundlag, at de registrerede modtager nødvendige oplysninger, og at de oplysninger, kunden indtaster i løsningen, er lovlige, relevante og korrekte.

Kunden er ansvarlig for at konfigurere løsningen korrekt, tildele passende brugerrettigheder, instruere egne brugere og sikre, at oplysninger ikke indtastes i løsningen i strid med aftalen eller databeskyttelsesreglerne.

Kunden er desuden ansvarlig for at håndtere anmodninger fra registrerede, medmindre andet er aftalt.

7. Tekniske og organisatoriske sikkerhedsforanstaltninger

Jolstra Software skal gennemføre passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse eller adgang.

Foranstaltninger kan blandt andet omfatte:

adgangskontrol og rollebaserede rettigheder
brugerstyring og begrænsning af adgang
logning af relevante hændelser
backup og mulighed for gendannelse
opdatering og vedligeholdelse af systemer
firewall, serverbeskyttelse og driftsmæssige sikkerhedstiltag
kryptering eller tilsvarende beskyttelse, hvor det er relevant og teknisk muligt
fortrolighedsforpligtelser for personer med adgang til oplysninger

Kunden er ansvarlig for sikkerhed på egne enheder, egne brugere, egne adgangskoder, interne arbejdsgange og korrekt tildeling af rettigheder i løsningen.

8. Fortrolighed

Jolstra Software skal sikre, at personer, der er autoriseret til at behandle personoplysninger på kundens vegne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

Fortrolighedsforpligtelsen gælder både under aftalen og efter aftalens ophør.

9. Underdatabehandlere

Kunden giver Jolstra Software generel tilladelse til at anvende underdatabehandlere, når det er nødvendigt for at levere, drifte, supportere, sikre eller udvikle løsningen.

Underdatabehandlere kan eksempelvis anvendes til hosting, backup, e-mail, betaling, sikkerhed, supportværktøjer, logning, fejlovervågning eller teknisk drift.

Jolstra Software skal sikre, at underdatabehandlere er underlagt databeskyttelsesforpligtelser, der i det væsentlige svarer til forpligtelserne i denne aftale.

Jolstra Software skal informere kunden om væsentlige ændringer vedrørende underdatabehandlere, så kunden har mulighed for at gøre indsigelse, hvis kunden har en saglig databeskyttelsesretlig grund.

10. Overførsel til tredjelande

Jolstra Software må ikke overføre personoplysninger til lande uden for EU/EØS uden et gyldigt overførselsgrundlag efter databeskyttelsesreglerne.

Hvis en leverandør eller underdatabehandler indebærer overførsel til tredjelande, skal Jolstra Software sikre, at der anvendes et relevant overførselsgrundlag, eksempelvis EU-Kommissionens standardkontraktbestemmelser, hvis dette er nødvendigt.

11. Bistand til kunden

Jolstra Software skal i rimeligt omfang bistå kunden med at opfylde kundens forpligtelser efter databeskyttelsesreglerne, når bistanden vedrører den behandling, Jolstra Software udfører på kundens vegne.

Bistand kan blandt andet vedrøre anmodninger om indsigt, sletning, berigtigelse eller begrænsning, oplysninger om sikkerhedsforanstaltninger, bistand ved brud på persondatasikkerheden, bistand ved konsekvensanalyse, eksport, sletning eller tilbagelevering af kundedata.

Jolstra Software kan kræve betaling for bistand, der går ud over almindelig support, medmindre bistanden skyldes forhold, som Jolstra Software er ansvarlig for.

12. Brud på persondatasikkerheden

Jolstra Software skal uden unødig forsinkelse underrette kunden, hvis Jolstra Software bliver opmærksom på et brud på persondatasikkerheden, der vedrører personoplysninger behandlet på kundens vegne.

Underretningen skal så vidt muligt indeholde relevante oplysninger om bruddets karakter, berørte data, mulige konsekvenser og foreslåede eller gennemførte afhjælpende foranstaltninger.

Kunden er ansvarlig for at vurdere, om bruddet skal anmeldes til Datatilsynet eller kommunikeres til de registrerede.

13. Ophør, sletning og tilbagelevering

Ved aftalens ophør skal Jolstra Software efter kundens valg slette eller tilbagelevere personoplysninger, medmindre fortsat opbevaring kræves efter lovgivning, dokumentationshensyn, sikkerhedshensyn eller retskrav.

Kunden kan anmode om eksport af relevante kundedata i et almindeligt anvendt format, hvis det er teknisk muligt og rimeligt.

Backupkopier kan eksistere i en begrænset periode efter ophør, indtil de overskrives eller slettes som led i Jolstra Softwares almindelige backupprocedurer.

14. Dokumentation, revision og tilsyn

Jolstra Software skal stille nødvendige oplysninger til rådighed for kunden for at dokumentere overholdelse af denne databehandleraftale, i det omfang det er rimeligt og relevant.

Kunden kan anmode om yderligere dokumentation for Jolstra Softwares sikkerhedsforanstaltninger. Jolstra Software kan afvise anmodninger, der er urimelige, uforholdsmæssige, sikkerhedsmæssigt uforsvarlige eller vedrører andre kunders data.

Eventuelle revisioner, tilsyn eller audits skal aftales på forhånd og gennemføres på en måde, der ikke unødigt forstyrrer Jolstra Softwares drift, sikkerhed eller øvrige kunder.

Jolstra Software kan kræve betaling for omfattende dokumentation, revision, tilsyn eller auditbistand, medmindre dette skyldes en dokumenteret fejl eller misligholdelse fra Jolstra Softwares side.

15. Ændringer i databehandleraftalen

Jolstra Software kan ændre databehandleraftalen, hvis det er nødvendigt som følge af ændret lovgivning, ændret praksis, nye sikkerhedskrav, ændringer i underdatabehandlere eller ændringer i de leverede løsninger.

Væsentlige ændringer varsles så vidt muligt skriftligt eller offentliggøres på denne side.

16. Kontakt

Henvendelser vedrørende databehandleraftalen, persondata, sikkerhed eller GDPR skal sendes skriftligt.

Jolstra Software CVR-nr. 44586177 E-mail: [email protected]