Databehandleraftale
Aftale om Databehandling
INTRODUKTION
Den Dataansvarlige og Databehandleren har indgået en rammeaftale om brug af EcoMobility Vehicle Intelligence-løsninger, EcoMobility Route-løsninger og/eller EcoMobility Education-tjenester, alt efter hvad der er relevant (herefter kaldet “Tjenesterne” og “Rammeaftalen for Tjenester”).
Den Dataansvarlige instruerer Databehandleren i at behandle personoplysninger på den Dataansvarliges vegne som led i leveringen af Tjenesterne under Rammeaftalen for Tjenester.
Den Dataansvarlige har udpeget Databehandleren til at levere Tjenesterne og har fastlagt formål og væsentlige midler for den databehandling, som Databehandleren skal udføre på den Dataansvarliges vegne.
Parterne indgår denne aftale for at definere deres respektive rettigheder og forpligtelser i forbindelse med Databehandlerens behandling af personoplysninger i overensstemmelse med artikel 28 i forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter “GDPR”, Databeskyttelsesforordningen).
Artikel 1 – Genstand og definitioner
1.1 Denne aftale fastlægger parternes rettigheder og forpligtelser vedrørende behandling af personoplysninger, som Databehandleren udfører på vegne af den Dataansvarlige.
1.2 Medmindre andet udtrykkeligt er aftalt, eller sammenhængen tilsiger andet, har de anvendte termer den betydning, der er tillagt dem i GDPR.
Artikel 2 – Beskrivelse af dataprocessering udført af databehandleren
2.1 Databehandleren instrueres af den Dataansvarlige til at behandle personoplysninger som led i de Tjenester, Databehandleren leverer i henhold til Rammeaftalen for Tjenester.
Kategorier af personoplysninger og kategorier af registrerede, der indgår i behandlingen, er angivet i Bilag 1.
2.2 Databehandleren behandler kun personoplysninger i overensstemmelse med den Dataansvarliges instrukser. Instrukser gives som led i den kontraktuelle aftale mellem parterne.
2.3 Den Dataansvarlige forpligter sig til skriftligt at bekræfte alle instrukser til Databehandleren vedrørende behandling af personoplysninger – herunder via ordreformularen for Tjenesterne og indstillingerne i den relevante løsning eller det relevante system – og til at dokumentere disse instrukser.
2.4 Databehandleren forpligter sig til kun at behandle personoplysninger i overensstemmelse med den Dataansvarliges instrukser som led i leveringen af Tjenesterne. Under alle omstændigheder må Databehandleren ikke behandle personoplysninger til andre formål end levering af Tjenesterne for den Dataansvarlige og opfyldelse af sine retlige forpligtelser.
Artikel 3 – Parternes forpligtelser
3.1 Den Dataansvarlige har fastlagt formål(et) med databehandlingen, før Tjenesterne bestilles hos Databehandleren. Behandlingens karakter og formål(et) er beskrevet i Bilag 1.
3.2 Den Dataansvarlige har tillige fastlagt de væsentlige midler for databehandlingen, herunder hvilke personoplysninger der indsamles ved at specificere de køretøjer, der skal overvåges, identiteten på de personer, der er autoriseret til at få adgang til personoplysninger i systemet, disse brugeres adgangsrettigheder samt opbevaringsperioden for personoplysningerne. Den Dataansvarlige har givet Databehandleren instrukser herom ved underskrift af Rammeaftalen for Tjenester. De væsentlige midler fastlægges af den Dataansvarlige og kan til enhver tid ændres ved skriftlig henvendelse til Databehandleren eller ved at ændre relevante indstillinger i den relevante løsning eller det relevante system.
3.3 For så vidt angår formål(et) med databehandlingen, bekræfter og garanterer den Dataansvarlige, at brugen og behandlingen af personoplysninger samt instruksen til Databehandleren ikke er i strid med GDPR eller anden gældende lovgivning.
3.4 Databehandleren vil i rimeligt omfang informere den Dataansvarlige, hvis Databehandleren efter sin opfattelse mener, at den Dataansvarliges instrukser er i strid med GDPR, under hensyntagen til den information, den Dataansvarlige har givet. Hvis Databehandleren vurderer, at instrukserne er ulovlige, kan Databehandleren suspendere udførelsen af disse, indtil lovligheden er verificeret og skriftligt bekræftet af den Dataansvarlige og – efter Databehandlerens anmodning – også af den Dataansvarliges eksterne rådgiver. Den Dataansvarlige er dog fortsat ansvarlig for at verificere og sikre lovligheden af databehandlingen.
3.5 Under hensyntagen til teknikkens stand, implementeringsomkostninger, behandlingens karakter og risici samt relevante branchestandarder forpligter Databehandleren sig til at implementere passende tekniske og organisatoriske foranstaltninger til at sikre beskyttelsen af personoplysninger og behandlingen heraf. Parterne er enige om implementeringen af de tekniske og organisatoriske foranstaltninger, der er angivet i Bilag 2, af Databehandleren.
3.6 Den Dataansvarlige forpligter sig til udtrykkeligt og skriftligt at underrette Databehandleren, hvis behandlingen af personoplysninger i forbindelse med Tjenesterne indebærer en særlig høj risiko – fx pga. høj værdi af varer, der transporteres af køretøjer overvåget via geolokation. En sådan underretning skal gives rettidigt før behandlingens påbegyndelse. I disse tilfælde forpligter den Dataansvarlige sig til at begrænse brugeres adgangsrettigheder i løsningen/systemet til et begrundet “need-to-know”. Derudover kan den Dataansvarlige anmode Databehandleren om at skærpe interne adgangsbegrænsninger over for visse medarbejdere.
3.7 Under aftalens opfyldelse kan den Dataansvarlige anmode Databehandleren om et tilbud på implementering af yderligere tekniske eller organisatoriske foranstaltninger. Databehandleren oplyser, om sådanne foranstaltninger er teknisk og organisatorisk mulige og – hvis ja – de forbundne omkostninger. Accepterer den Dataansvarlige tilbuddet, implementerer Databehandleren foranstaltningerne på de aftalte vilkår.
3.8 For at sikre bedst mulig beskyttelse af personoplysningerne kan Databehandleren – efter eget skøn og i overensstemmelse med artikel 12.2 i denne aftale – tilpasse og ændre Bilag 2 for at implementere yderligere tekniske eller organisatoriske foranstaltninger eller ændre eksisterende foranstaltninger under aftalens løbetid. Databehandleren skal i den forbindelse opretholde et passende beskyttelsesniveau. Væsentlige ændringer dokumenteres og meddeles den Dataansvarlige i overensstemmelse med artikel 12.2.
3.9 Databehandleren forpligter sig til løbende at gennemgå, om de tekniske og organisatoriske foranstaltninger giver et tilstrækkeligt beskyttelsesniveau.
3.10 Databehandleren forpligter sig til ikke at behandle personoplysninger vedrørende den Dataansvarlige til andre formål end levering af Tjenesterne og udelukkende i overensstemmelse med den Dataansvarliges instrukser, medmindre Databehandleren er retligt forpligtet hertil eller i forbindelse med en mulig retstvist, fx vedrørende leveringen af Tjenesterne.
Artikel 4 – Registreredes rettigheder
4.1 Den Dataansvarlige forpligter sig til at informere de registrerede om behandlingen og at opfylde øvrige lovlige krav vedrørende registreredes rettigheder efter GDPR.
4.2 Hvis en registreret fremsætter anmodning til Databehandleren om udøvelse af sine rettigheder, videresender Databehandleren anmodningen til den Dataansvarlige inden for rimelig tid og senest syv (7) arbejdsdage.
Artikel 5 – Brud på persondatabeskyttelse
5.1 Databehandleren forpligter sig til at underrette den Dataansvarlige om brud på persondatasikkerheden i GDPR’s forstand, når Databehandleren bliver bekendt hermed.
5.2 Som led i underretningen til den Dataansvarlige giver Databehandleren følgende oplysninger:
en beskrivelse af bruddets karakter, herunder om muligt kategorier og omtrentligt antal berørte registrerede, berørte datakategorier samt omtrentligt antal berørte poster;
en beskrivelse af de sandsynlige konsekvenser;
en beskrivelse af trufne eller foreslåede afhjælpende foranstaltninger samt – hvis relevant – foranstaltninger til at begrænse mulige negative virkninger;
kontaktoplysninger på databeskyttelsesrådgiver (DPO) eller anden kontaktperson.
Hvis og i det omfang oplysninger ikke kan gives samtidig, gives de uden unødig forsinkelse og senest 24 timer efter, at bruddet blev konstateret.
5.3 Den Dataansvarlige forpligter sig til at indberette bruddet til relevant tilsynsmyndighed og – hvis påkrævet – til de registrerede i overensstemmelse med GDPR eller anden lovgivning. Den Dataansvarlige informerer Databehandleren før indberetningen og tager i videst muligt omfang hensyn til Databehandlerens bemærkninger til udkastet.
5.4 Efter skriftlig instruks fra den Dataansvarlige kan Databehandleren acceptere at indsende indberetningen til tilsynsmyndigheden og – hvis relevant – til de registrerede på den Dataansvarliges vegne. Roller og ansvar for DPO, IT, Legal og Kommunikation ved håndtering af brud følger den Dataansvarliges interne “Data Breach Response Plan”.
Artikel 6 – Støtte og kontrol
6.1 Databehandleren bistår den Dataansvarlige i rimeligt omfang med at opfylde forpligtelser vedrørende konsekvensanalyser (DPIA) og eventuel forhåndshøring hos tilsynsmyndigheden.
6.2 Databehandleren stiller nødvendig information og dokumentation til rådighed for at demonstrere overholdelse af denne aftale og GDPR. Dette omfatter førelse af en hændelseslog over alle brud på persondatasikkerheden – uanset om de indberettes til myndigheden – som opbevares i mindst fem (5) år. Den Dataansvarlige er berettiget til at gennemføre kontrol af den databehandling, Databehandleren udfører på den Dataansvarliges vegne.
Parterne aftaler skriftligt rimelige vilkår for en sådan kontrol. Kontrollen skal altid opfylde Databehandlerens rimelige krav til sikkerhed, fortrolighed og beskyttelse af forretningshemmeligheder. Hvis en tredjepart gennemfører kontrollen for den Dataansvarlige, må denne ikke være konkurrent til Databehandleren og skal underskrive en fortrolighedsaftale, udover øvrige rimelige vilkår fra Databehandleren.
Kontrollen må ikke unødigt forstyrre Databehandlerens normale drift. Den Dataansvarlige varsler som udgangspunkt skriftligt mindst to uger før en kontrol.
Kontrolresultaterne vurderes og drøftes mellem parterne. Eventuelle yderligere tiltag implementeres hurtigst muligt af den relevante part.
6.3 Hvis nødvendigt, og hvis den Dataansvarlige ikke har direkte adgang til de relevante oplysninger, vil Databehandleren bestræbe sig på at bistå den Dataansvarlige med at besvare legitime anmodninger fra registrerede om deres rettigheder efter GDPR.
6.4 Udgifter til kontrol og anden bistand fra Databehandleren afholdes af den Dataansvarlige.
6.5 I det omfang loven tillader det, forpligter den Dataansvarlige sig til straks at underrette Databehandleren om tilsyn, inspektioner eller andre skridt fra datatilsynsmyndighed eller anden kompetent myndighed vedrørende databehandling omfattet af denne aftale. Underretningen skal være vederlagsfri og indeholde de væsentligste elementer om myndighedens skridt. Parterne samarbejder om besvarelse.
Artikel 7 – Overførsel af personoplysninger uden for EU
7.1 Medmindre den Dataansvarlige udtrykkeligt instruerer skriftligt herom, eller det er retligt påkrævet, overfører Databehandleren ikke personoplysninger uden for Den Europæiske Union (“EU”).
7.2 Hvis den Dataansvarlige instruerer Databehandleren om at overføre personoplysninger uden for EU, skal den Dataansvarlige skriftligt bekræfte, at overførslen er i overensstemmelse med GDPR’s begrænsninger, og vedlægge relevant dokumentation for lovligheden, før overførslen finder sted.
7.3 Hvis Databehandleren retligt pålægges at overføre personoplysninger uden for EU, vil Databehandleren bestræbe sig på at informere den Dataansvarlige herom forud, medmindre loven forbyder det.
Artikel 8 – Erklæringer, garantier og ansvar
8.1 Parterne bekræfter og garanterer i deres kontraktforhold at overholde deres respektive forpligtelser efter GDPR.
8.2 Databehandleren er alene ansvarlig for at sikre bedst mulig behandling i overensstemmelse med denne aftale. Databehandleren kan ikke garantere, at tekniske og organisatoriske sikkerhedsforanstaltninger er effektive under alle omstændigheder, men vil gøre sit yderste for at sikre et passende beskyttelsesniveau i overensstemmelse med artikel 3.
8.3 Den Dataansvarlige er ansvarlig for, at den behandling, Databehandleren udfører i henhold til instrukserne, er lovlig og proportional. Den Dataansvarlige bekræfter og garanterer, at den påtænkte behandling er lovlig, ikke strider mod gældende lov og ikke krænker tredjemands rettigheder (herunder immaterielle rettigheder). Især er overførsel uden for EU efter instruks i henhold til artikel 7.1 og 7.2 alene den Dataansvarliges ansvar. Databehandleren er desuden ikke ansvarlig for behandling, den Dataansvarlige selv udfører, eller for tredjemands behandling efter den Dataansvarliges instruks.
Artikel 9 – Brug af under-databehandlere
9.1 Den Dataansvarlige bemyndiger hermed generelt Databehandleren til at overlade visse databehandlingsaktiviteter til underdatabehandlere (“Underdatabehandlere”). Forudgående udtrykkelig godkendelse kræves ikke i så fald.
9.2 Ved anvendelse af en Underdatabehandler gælder: Databehandleren informerer skriftligt den Dataansvarlige mindst tredive (30) dage før planlagt udpegning eller udskiftning. Forudgående meddelelse skal beskrive den berørte behandling og identificere Underdatabehandleren. Den Dataansvarlige kan inden for femten (15) dage og af legitime databeskyttelsesmæssige grunde gøre indsigelse.
9.3 Databehandleren forpligter sig til at pålægge Underdatabehandleren databeskyttelsesforpligtelser i en skriftlig, bindende aftale, som i det væsentlige svarer til denne aftale. Særligt skal Underdatabehandleren pålægges passende tekniske og organisatoriske foranstaltninger, der i det væsentlige svarer til Bilag 2, under hensyntagen til de konkrete behandlinger.
9.4 Den Dataansvarlige er orienteret om, at de i Bilag 3 anførte Underdatabehandlere behandler personoplysninger som led i leveringen af Tjenesterne.
9.5 Parterne er enige om, at “Underdatabehandler” alene omfatter leverandører, der leverer databehandlingsydelser i egenskab af databehandler. Begrebet omfatter ikke leverandører, der leverer accessoriske ydelser som dataansvarlige (fx telekommunikation, post, vedligehold mv.), som Databehandleren kan anvende ved levering af Tjenesterne.
9.6 Databehandleren fremlægger på anmodning en kopi af underdatabehandleraftalen og efterfølgende ændringer. I det omfang det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan Databehandleren redigere teksten, før en kopi udleveres.
9.7 Databehandleren er fuldt ud ansvarlig over for den Dataansvarlige for Underdatabehandlerens opfyldelse af sine forpligtelser og underretter den Dataansvarlige, hvis en Underdatabehandler misligholder.
Artikel 10 – Fortrolighed
10.1 Databehandleren bekræfter, at alle medarbejdere, der behandler personoplysninger, er underlagt en fortrolighedsforpligtelse og er informeret om GDPR’s principper. Databehandleren sikrer også, at alle medarbejdere årligt modtager træning i databeskyttelse og håndtering af brud, i overensstemmelse med den Dataansvarliges “Data Breach Response Plan”.
10.2 Parterne forpligter sig til at opretholde fortrolighed om denne aftales indhold. Hver part begrænser intern videregivelse til ledelse og/eller medarbejdere med et begrundet behov og må ikke videregive til tredjemand uden den anden parts forudgående skriftlige samtykke. Parterne kan videregive aftalen til kompetente myndigheder, hvis loven kræver det, eller i tilfælde af retstvist. Den Dataansvarlige bekræfter vigtigheden af at opretholde fortroligheden af oplysninger, særligt i Bilag 2 og Bilag 3, og forpligter sig til at træffe passende foranstaltninger. Fortrolighedsforpligtelsen består efter aftalens ophør.
Artikel 11 – Løbetid og ophør
11.1 Denne aftale gælder i Rammeaftalens løbetid. Hvis ingen løbetid er angivet, gælder aftalen så længe parternes forretningsforhold består.
11.2 Hvis Databehandleren ikke opfylder sine forpligtelser efter aftalen, kan den Dataansvarlige – uden præjudice for GDPR – instruere Databehandleren om at suspendere behandlingen, indtil overholdelse er genoprettet. Databehandleren informerer straks den Dataansvarlige, hvis overholdelse ikke er mulig.
11.3 Den Dataansvarlige kan opsige databehandleraftalen, hvis:
behandlingen er suspenderet efter artikel 11.2, og overholdelse ikke er genoprettet inden rimelig tid, dog senest 3 måneder efter suspension;
Databehandleren væsentligt eller gentagne gange overtræder aftalen eller ikke opfylder sine forpligtelser efter GDPR;
Databehandleren ikke efterkommer en bindende afgørelse fra domstol eller tilsynsmyndighed vedrørende denne aftale eller GDPR.
11.4 Databehandleren kan opsige databehandleraftalen, hvis den Dataansvarlige fastholder instrukser, efter at Databehandleren har oplyst, at disse strider mod gældende ret.
11.5 Efter afslutning af Tjenesterne vedrørende behandlingen af personoplysninger er parterne enige om, at Databehandleren som udgangspunkt sletter de personoplysninger, der er behandlet på den Dataansvarliges vegne, hurtigst muligt. Alternativt kan den Dataansvarlige anmode om en kopi mod betaling af de af Databehandleren fastsatte gebyrer i henhold til særskilt skriftlig aftale.
I alle tilfælde er Databehandleren berettiget til at opbevare en kopi, så længe det er nødvendigt af bevis- eller lovpligtige opbevaringshensyn.
Artikel 12 – Øvrige bestemmelser
12.1 Denne aftale med bilag erstatter alle tidligere mundtlige og skriftlige aftaler mellem parterne om emnet og udgør den fuldstændige aftale herom. Databehandlerens generelle vilkår om databeskyttelse og datalagring erstattes af nærværende aftale med bilag.
12.2 Aftalen kan kun ændres skriftligt med udtrykkelig henvisning til denne aftale. Databehandleren kan ændre aftalen med skriftligt varsel på tredive (30) dage. Særligt kan Bilag 2 og Bilag 3 ændres efter Databehandlerens skøn fra tid til anden med 30 dages skriftligt varsel og på følgende vilkår:
Bilag 2 må ikke ændres på en måde, der væsentligt og bevidst forringer beskyttelsesniveauet, som de tekniske og organisatoriske foranstaltninger sikrede ved aftalens ikrafttræden.
Bilag 3 kan ændres i overensstemmelse med artikel 9.2.
12.3 Parterne giver hinanden alle meddelelser og kommunikation skriftligt.
12.4 Aftalens gyldighed, fortolkning og opfyldelse er underlagt norsk ret, uanset lovvalgsregler, der måtte føre til anvendelse af et andet lands materielle ret.
12.5 Eksklusivt værneting for krav, sager eller tvister, der udspringer af eller vedrører denne aftale, er de kompetente domstole i Norge.
BILAG 1 – TYPE OG FORMÅL MED DATABEHANDLING
KATEGORIER AF PERSONOPLYSNINGER OG BERØRTE PERSONER
Type databehandling for Vehicle Intelligence-kunder
Levering af Vehicle Intelligence-løsninger til geolokation af køretøjer og objekter som entreprenørmaskiner, containere og byggematerialer, inkl. tilknyttede personoplysninger.
Administrering af autoriserede brugere af Vehicle Intelligence-løsningerne.
Den Dataansvarlige skal skriftligt angive formål(ene) med sin databehandling i kundens indsamling-/oplysningsskema.
Kategorier af personoplysninger
Køretøjers registreringsnumre.
SIM-kortnummer til transmission af geolokaliseringsdata.
Standard lokaliseringsdata som køretøjets position (dato, klokkeslæt, længdegrad, breddegrad, hastighed, kørselsretning) og statusinformation (fx kørsel/standset, tænding til/fra, privat/arbejde).
Supplerende geolokaliseringsdata efter særlige kundekrav, fx tekniske køretøjsdata, temperatur på lasten, aktiveret SOS-knap, førerinformation.
Data afledt af standard og supplerende geolokaliseringsdata, fx kørt rute, tilbagelagt distance, gennemsnitshastighed, antal og varighed af stop, start og slut på køretøjsbrug, brændstofforbrug.
E-mailadresser og telefonnumre på personer, der skal varsles via e-mail, SMS eller taleopkald ved alarm.
Data om hastighedsovertrædelser behandles ikke af Databehandleren.
Brugerdata for Vehicle Intelligence-løsninger: navn, e-mailadresse, telefonnummer.
Kategorier af berørte personer
EcoMobility behandler data vedrørende køretøjers registreringsnumre.
Kunder kan, efter behov og som led i administration af egen vognpark og tjenester, indtaste føreres navne direkte i Vehicle Intelligence-løsningerne. EcoMobility behandler kun brugerdata, som er stillet til rådighed af den Dataansvarlige.
Varighed af databehandlingen
EcoMobilitys kunde kan angive varigheden af databehandlingen i kundens indsamling-/oplysningsskema. Varigheden kan til enhver tid justeres af den Dataansvarlige i løsningens/systemets konfiguration/indstillinger eller efter anmodning.
Type databehandling for EcoMobility Route-kunder
Oplysninger om ture leveret af kunden, fx rute/stoppesteder, ankomsttider, fører og køretøj for turene, supplerende information, kundeinformation, fakturainformation, afdeling, turstatus.
Oplysninger om chauffører, fx loginoplysninger, e-mailadresse, telefonnummer, fødselsdato, personnummer, billede, ansættelsesdato, §56-sygeindikator, afdeling, sprog, oplysninger om kontroldokumenter (fx kørekort, børnetilladelse, Tacho førerkort), Tacho-information, tidsregistrering.
Oplysninger om køretøjer som telefonnummer, rengøringsstatus, GPS-tracker-information, antal passagerer, kilometertæller, køretøjstype, filer vedhæftet køretøjet, vedligeholdelsesinformation, anvendte reservedele.
Oplysninger om kunder, fx navn, betalingsbetingelser, betalingstype og forfaldsdatoer.
Kundens kundedata (slutkunder/passagerer), fx navn, adresse, geolokation af adressen, telefonnummer, e-mail, fødselsdato, fakturamodtager for en tur, ansvarlig institution, eventuelle særlige behov.
BILAG 2 – TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER
(jf. DPR artikel 28 og 32)
SIKKERHED OG REGELMÆSSIG GENNEMGANG | |
Sikkerhedskoncept (art. 32 GDPR) og foranstaltninger til gennemgang | Foranstaltninger:
|
FORTROLIGHED | |
Adgangskontrol
| Foranstaltninger:
|
Adgangskontrol (systemadgang) | Foranstaltninger:
|
Datatilgangskontrol / intern brugerkontrol
| Foranstaltninger:
|
Adskillelseskontrol
| Foranstaltninger:
|
Pseudonymisering | Foranstaltninger:
|
INTEGRITET | |
Transportkontrol
| Foranstaltninger:
|
Indtastnings- og behandlingskontrol | Foranstaltninger:
|
TILGÆNGELIGHED OG ROBUSTHED | |
Tilgængelighedskontrol
| Foranstaltninger:
|
Sikkerhedshændelser og brud på databeskyttelsen | Foranstaltninger:
|
Disaster Recovery (genopretning efter hændelser) | Foranstaltninger:
|
