Databehandleraftale

5/9/2018 2:19:28 PM
De til enhver tid værende kunder
hos TNM IT ApS
med de
oplysninger og
CVR-nr.: som følger af ordrebekræftelse
(den “ Dataansvarlige”)

TNM IT ApS
Hvidkærvej 29
5250 Odense SV
Danmark
CVR-nr.: 25136640
(“ Databehandleren”)

1. Indledning

1.1 Denne aftale vedrørende behandling af personoplysninger (”Databehandleraftalen”)
regulerer Databehandlerens behandling af personoplysninger på vegne af den
Dataansvarlige og er et bilag til salgs- og leveringsbetingelser sammen med
ordrebekræftelsen (”Hovedaftalen”), hvori parterne har aftalt de nærmere vilkår for
Databehandlerens levering af ydelser (”Hovedydelserne”).
1.2 Hvis der er uoverensstemmelser mellem forpligtelserne under Hovedaftalen og
Databehandleraftalen, skal Databehandleraftalen have forrang.

2. Lovgivning

2.1 Databehandleraftalen har til formål at sikre, at Databehandleren overholder den til
enhver tid gældende persondataretlige regulering (”Databeskyttelseslovgivningen”),
herunder navnlig
2.2 Europa-Parlamentets og Rådets Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse
af fysiske personer i forbindelse med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger som gennemført i persondataloven (lov 2000-05-31
nr. 429 med senere ændringer), og
2.3 Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om
beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og
om fri udveksling af sådanne oplysninger, som trådte i kraft den 25. maj 2016 og finder
anvendelse den 25. maj 2018 (“GDPR“), herunder ved vedtagelsen af
databeskyttelsesloven.

3. Behandling af personoplysninger

3.1 I forbindelse med levering af Hovedydelserne behandler Databehandleren
personoplysninger på vegne af den Dataansvarlige.
3.2 ”Personoplysninger” omfatter “ enhver form for information om en identificeret eller
identificerbar fysisk person”, der behandles i forbindelse med Databehandleraftalen,
som defineret i GDPR, artikel 4, stk. 1, nr. 1 (”Personoplysningerne”).
Personoplysningerne, kategorierne af registrerede, formålene med behandlingen,
behandlingsaktiviteterne og lokationerne for behandlingen er angivet i underbilag A,
Parterne skal opdatere underbilag A, når der indtræder ændringer, der nødvendiggør
dette.
3.3 Databehandleren skal have og ajourføre en eller flere fortegnelser i overensstemmelse
med GDPR, artikel 30, stk. 2.
3.4 Databehandleren behandler muligvis personoplysninger om den Dataansvarliges
medarbejdere i forbindelse med Databehandlerens salg, markedsføring og
produktudvikling. Disse personoplysninger er ikke omfattet af denne
Databehandleraftale, fordi Databehandleren er dataansvarlig for disse
personoplysninger, og der henvises i stedet til Databehandlerens persondatapolitik,
som kan findes på Databehandlerens hjemmeside eller efter anmodning.

4. Instruks

4.1 Databehandleren må alene behandle Personoplysningerne efter dokumenteret
instruks fra den Dataansvarlige (” Instruksen”), medmindre Databehandleren er
forpligtet til at behandle Personoplysningerne anderledes for at overholde EU-ret eller
EU-medlemsstaternes nationale ret, som Databehandleren er underlagt. I så fald skal
Databehandleren straks give den Dataansvarlige besked om afvigelsen fra Instruksen
og årsagen hertil. Instruksen på underskriftstidspunktet er, at Databehandleren må
behandle og opbevare Personoplysningerne med henblik på, og i det omfang det er
nødvendigt for, levering af Hovedydelserne og i øvrigt i overensstemmelse med denne
Databehandleraftale, herunder inden for rammerne specificeret i underbilag A.
4.2 Den Dataansvarlige er ansvarlig for, at Personoplysningerne, som overlades til
Databehandleren, behandles og overlades i overensstemmelse med
Databeskyttelseslovgivningen og eventuelle senere ændringer, herunder
Databeskyttelseslovgivningens regler om behandlingshjemmel og oplysningspligt over
for de registrerede.
4.3 Hvis den Dataansvarlige bliver bekendt med, at Databehandleren behandler
Personoplysningerne i strid med denne Databehandleraftale, kan den Dataansvarlige
instruere Databehandleren i at stoppe behandling af Personoplysningerne med
omgående effekt.
4.4 Databehandleren skal omgående informere den Dataansvarlige, hvis Databehandleren
mener, at den gældende Instruks overtræder Databeskyttelseslovgivningen eller
anden lovgivning.

5. 5. Databehandlerens forpligtelser

5.1 Fortrolighed
5.1.1 Databehandleren skal behandle Personoplysningerne strengt fortroligt.
Personoplysningerne må ikke kopieres, videregives eller på anden måde behandles
uden for Instruksen uden den Dataansvarliges udtrykkelige og forudgående tilladelse.
5.1.2 Databehandlerens medarbejdere, som behandler Personoplysningerne, skal have
påtaget sig en fortrolighedsforpligtelse, som indebærer, at de er underlagt
tavshedspligt om alle forhold vedrørende Personoplysningerne.

5.2 Sikkerhed
5.2.1 Databehandleren gennemfører de nødvendige tekniske og organisatoriske
foranstaltninger for at sikre databeskyttelse i overensstemmelse med
Databeskyttelseslovgivningen og i overensstemmelse med GDPR, artikel 32.
5.2.2 Databehandlerens sikkerhedsforanstaltninger er nærmere beskrevet i underbilag B .
5.2.3 Databehandleren udleverer efter skriftlig anmodning herom fra den Dataansvarlige
dokumentation for Databehandlerens sikkerhedsforanstaltninger.

5.3 Konsekvensanalyser og forudgående høring
5.3.1 Hvis Databehandlerens bistand er nødvendig og relevant, skal Databehandleren bistå
den Dataansvarlige med udarbejdelsen af eventuelle lovpligtige konsekvensanalyser i
overensstemmelse med GDPR, artikel 35, samt eventuelle forudgående høringer i
overensstemmelse med GDPR, artikel 36.

5.4 De registreredes rettigheder
5.4.1 Hvis den Dataansvarlige modtager en anmodning om udøvelsen af personers
rettigheder efter Databeskyttelseslovgivningen, og korrekt besvarelse af
anmodningen kræver bistand fra Databehandleren, skal Databehandleren bistå den
Dataansvarlige med nødvendige og relevante oplysninger og dokumentation samt
passende tekniske og organisatoriske sikkerhedsforanstaltninger.
5.4.2 Hvis den Dataansvarlige vil have hjælp til at besvare en anmodning fra en registreret
person, skal den Dataansvarlige sende skriftlig anmodning herom til
Databehandleren, og Databehandleren skal som svar herpå levere den nødvendige
hjælp eller dokumentation senest 7 kalenderdage efter modtagelse af anmodning
herom.
5.4.3 Hvis Databehandleren modtager en anmodning om udøvelsen af personers
rettigheder efter Databeskyttelseslovgivningen fra andre end den Dataansvarlige, og
anmodningen vedrører Personoplysningerne, skal Databehandleren uden
unødvendig forsinkelse videresende anmodningen til den Dataansvarlige.

5.5 Sikkerhedsbrud
5.5.1 Databehandleren skal underrette den Dataansvarlige om brud på
persondatasikkerheden hos Databehandleren eller Underdatabehandlere, der
potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret
videregivelse af eller adgang til Personoplysningerne (” Sikkerhedsbrud”).
Sikkerhedsbrud skal meddeles straks og senest 12 timer efter det tidspunkt, hvor
Databehandleren er blevet bekendt med Sikkerhedsbruddet.
5.5.2 Databehandleren skal vedligeholde en eller flere fortegnelser over alle
Sikkerhedsbrud. Fortegnelserne skal som minimum dokumentere følgende for hvert
Sikkerhedsbrud:
5.5.2.1 De faktiske omstændigheder omkring Sikkerhedsbruddet, herunder, hvis
muligt, kategorierne og antallet af berørte registrerede personer og
kategorier af Personoplysninger berørt af Sikkerhedsbruddet.
5.5.2.2 Sikkerhedsbruddets faktiske og potentielle virkninger og effekter.
5.5.2.3 Beskrivelser af de trufne afhjælpningsforanstaltninger, som er gennemført
for at begrænse Sikkerhedsbruddets eventuelle negative konsekvenser.
Fortegnelserne over Sikkerhedsbrud skal efter skriftlig anmodning stilles til rådighed
for den Dataansvarlige eller tilsynsmyndighederne.
5.5.3 Databehandleren skal efter anmodning fra den Dataansvarlige bistå den
5.5.4 Dataansvarlige i forhold til afklaring af sikkerhedsbruddet, herunder i forbindelse
med eventuel anmeldelse til tilsynsmyndigheder og/eller de berørte registrerede
personer.

5.6 Dokumentation af overholdelse af Databehandleraftalen
5.6.1 Databehandleren skal på skriftlig anmodning dokumentere overfor den
Dataansvarlige, at Databehandleren
5.6.1.1 overholder sine forpligtelser efter denne Databehandleraftale og Instruksen,
og
5.6.1.2 overholder bestemmelserne i Databeskyttelseslovgivningen, for så vidt angår
Personoplysningerne, som behandles på den Dataansvarliges vegne.
5.6.2 Databehandlerens dokumentation heraf skal sendes til den Dataansvarlige inden for
rimelig tid efter modtagelsen af anmodningen herom.
5.6.3 Databehandleren skal derudover give mulighed for og bidrage til revisioner og
inspektionerhver 12. måned, der foretages af revisorer udpeget af den
Dataansvarlige, de offentlige myndigheder i Danmark eller af anden kompetent
jurisdiktion, i det omfang det er nødvendigt for at kontrollere, at Databehandleren
overholder Databehandleraftalen og gældende Databeskyttelseslovgivning. Den
pågældende revisor skal være underlagt fortrolighed i henhold til lov eller aftale. Den
Dataansvarlige skal skriftligt varsle revisioner som beskrevet med 14 kalenderdage.

5.7 Placering af Personoplysningerne
5.7.1 Personoplysningerne behandles kun af Databehandleren på de lokationer, som er
angivet i underbilag A. Databehandleren overfører ikke Personoplysningerne til
tredjelande eller internationale organisationer i tredjelande.
5.7.2 Overførsel af Personoplysninger må i alle tilfælde kun ske som foreskrevet i denne
Databehandleraftale, på den Dataansvarliges instruks, og i det omfang det er tilladt i
medfør af Databeskyttelseslovgivningen.

6. Underdatabehandlere

6.1 Ved Databehandlerens brug af tredjeparter til behandling af Personoplysningerne for
den Dataansvarlige (såkaldte ” Underdatabehandlere”) gælder følgende:
Databehandleren har generel tilladelse til at gøre brug af Underdatabehandlere uden
at indhente yderligere skriftligt samtykke fra den Dataansvarlige, forudsat at
Databehandleren skriftligt underretter den Dataansvarlige om identiteten på den
potentielle Underdatabehandler (og dennes eventuelle databehandlere) minimum 7
kalenderdage inden indgåelse af aftale med de pågældende Underdatabehandlere,
hvorved den Dataansvarlige får mulighed for at gøre indsigelse mod ændringer eller
tilføjelser. Den Dataansvarlige kan ikke med rette gøre indsigelse mod tilføjelse eller
udskiftning af en Underdatabehandler, medmindre der foreligger en konkret saglig
begrundelse herfor. Hvis den Dataansvarlige ikke har gjort indsigelse over for den
navngivne Underdatabehandler inden for 7 kalenderdage efter underretningen fra
Databehandleren herom, skal den manglende indsigelse anses som et stiltiende
samtykke.
6.2 Databehandleren skal indgå skriftlig aftale med eventuelle Underdatabehandlere, som
pålægger Underdatabehandlerne de samme databeskyttelsesforpligtelser, som
påhviler Databehandleren i medfør af denne Databehandleraftale. Databehandleren
skal ligeledes føre løbende kontrol med sine Underdatabehandlere, og dokumentation
herfor skal kunne forevises den Dataansvarlige.
6.3 Databehandleren er direkte ansvarlig for Underdatabehandlernes behandling af
Personoplysningerne på samme vis, som var behandlingen foretaget af
Databehandleren selv.
6.4 Databehandleren benytter på tidspunktet for indgåelsen af Databehandleraftalen de
Underdatabehandlere, der fremgår af underbilag C. Ved Databehandlerens benyttelse
af nye Underdatabehandlere, skal disse tilføjes under punkt 2 i underbilag C.

7. Vederlag og omkostninger

7.1 Den Dataansvarlige skal betale Databehandleren vederlag for medgået tid i henhold til
Databehandlerens gældende timepriser til opfyldelse af følgende punkter i
Databehandleraftalen: 5.3, 5.4 .
7.2 Databehandleren har krav på vederlag for medgået tid og materiale brugt til
gennemførelse af den Dataansvarliges eventuelle ændringer af Instruksen, herunder
implementeringsomkostninger og forøgede omkostninger til levering af
Hovedydelserne.
7.3 Hver part afholder egne omkostninger forbundet med ændringer i
Databeskyttelseslovgivningen, herunder fortolkningerne heraf og vejledninger hertil.

8. Misligholdelse og ansvar

8.1 Databehandleren er ikke ansvarlig for manglende levering eller forsinkelse af
Hovedydelserne i det omfang, at levering heraf vil være i strid med den ændrede
Instruks, eller levering i overensstemmelse med den ændrede Instruks er umulig.
Dette kan eksempelvis være tilfældet, (i) hvor ændringerne ikke teknisk, praktisk eller
juridisk kan implementeres eller (ii) hvor den Dataansvarlige eksplicit meddeler, at
ændringerne skal være gældende, før implementeringen er mulig.
8.2 Uanset modstridende bestemmelser i denne Databehandleraftale skal Hovedaftalens
regulering af misligholdelse og ansvarsbegrænsning finde anvendelse også for denne
Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.
Parternes ansvar for alle kumulerede krav i henhold til denne Databehandleraftale er
dog begrænset til de samlede forfaldne vederlag i henhold til Hovedydelserne for den
12 måneders periode, der går umiddelbart forud for en eventuel skadegørende
omstændighed. Hvis Databehandleraftalen ikke har været i kraft i 12 måneder,
opgøres beløbet forholdsmæssigt på baggrund af perioden, hvor
Databehandleraftalen har været i kraft. Ansvarsbegrænsningen omfatter ikke tab som
følge af den anden Parts groft uagtsomme eller forsætlige handlinger eller udgifter og
ressourceforbrug ved opfyldelse af en Parts forpligtigelser over for en
tilsynsmyndighed.

9. Varighed

9.1 Databehandleraftalen er gældende, så længe Databehandleren eller dennes
Underdatabehandlere behandler Personoplysningerne.

10. Ophør

10.1 Databehandlerens bemyndigelse til at behandle Personoplysningerne på vegne af
den Dataansvarlige bortfalder ved Databehandleraftalens ophør, uanset årsag.
10.2 Databehandleren må fortsat behandle Personoplysningerne i op til tre måneder efter
Databehandleraftalens ophør, i det omfang dette gøres for at fortage nødvendige
lovpligtige foranstaltninger. I samme periode er Databehandleren berettiget til at lade
Personoplysningerne indgå i Databehandlerens sædvanlige backupprocedure.
Databehandlerens behandling i denne periode anses fortsat for at ske under
overholdelse af Instruksen.
10.3 Databehandleren og dennes Underdatabehandlere skal efter den Dataansvarliges
valg slette eller tilbagelevere alle Personoplysningerne til den Dataansvarlige ved
Databehandleraftalens ophør, i det omfang den Dataansvarlige ikke allerede er i
besiddelse af Personoplysningerne. Databehandleren er efter den Dataansvarliges
skriftlige valg forpligtet til at tilbagelevere eller slette alle Personoplysningerne,
medmindre andet følger af EU-retten eller medlemsstaternes nationale ret. Den
Dataansvarlige kan anmode om fornøden dokumentation for, at dette er sket.

11. Kontakt

11.1 Kontaktoplysninger for den Dataansvarlige og Databehandleren følger af
Hovedaftalen.

12. Accept

12.1 Både Databehandleren og den Dataansvarlige indestår for, at Databehandleraftalen
indgås og accepteres af en person fra hver part, der har den fornødne fuldmagt og
mandat til at forpligte hver respektive part.

Underbilag A

1. 1. Personoplysninger

1.1 Databehandleren behandler følgende typer personoplysninger som led i levering af
Hovedydelserne:
navn, adresse, telefonnummer, e-mail, brugernavn til et eller flere systemer,
adgangskode til et eller flere systemer, købshistorik, fakturerings- og bogføringsbilag,
regning status (saldo, kundepoint el.), oplysninger til tracking af forsendelse (fx et
tracking-nr.), IP-adresse, GPS-lokation(er) ved log-in, oplysninger om brugeres
anvendte device

2. Formål

2.1 Personoplysningerne behandles med følgende formål:
Korrekt leverance af varer
Korrekt leverance og drift af it-ydelser.
Remote support.
On-site support og konsulentydelser.

3. Registrerede

3.1 Databehandleren behandler personoplysninger om følgende kategorier af
registrerede på vegne af den Dataansvarlige:
kunder (hvor kunderne er forbrugere eller enkeltmandsvirksomheder), kunders
ansatte (hvor kunderne er virksomheder)

4. Databehandlingsaktiviteter

4.1 Databehandleren behandler Personoplysningerne ved følgende
databehandlingsaktiviteter:
Hosting og storage (som formidler), it-support (on-site og remote) og forsendelser af
varer.

5. Lokationer

5.1 Databehandleren behandler Personoplysningerne på følgende lokationer:
TNMit ApS, Hvidkærvej 29, 5250 Odense SV.
Tekniske medarbejdere fra: Engdraget 4, 9240 Nibe.

Underbilag B

1. Indledning

1.1 Denne beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
(herefter ” Sikkerhedsbeskrivelsen”) er udarbejdet med henblik på at dokumentere
Databehandlerens etablerede sikkerhedsforanstaltninger, der er implementeret i medfør af
GDPR, artikel 32, eller som etableres inden behandlingen af Personoplysningerne.

2. Organisatorisk sikkerhed

2.1 Virksomheden har etableret følgende organisatoriske sikkerhedsforanstaltninger:
2.1.1
2.1.2 a) Alle Databehandlerens medarbejdere er underlagt fortrolighedsforpligtelser,
der gælder for alle behandlede personoplysninger.
b) Databehandlerens medarbejderes adgang til personoplysninger er
begrænset, så kun de relevante medarbejdere har adgang til de nødvendige
personoplysninger.
c) Databehandleren har en it-sikkerhedspolitik.
d) Databehandleren har en fast proces, der sikrer, at der ved reparation,
service og kassation af hardware sørges for sletning eller fortsat fortrolighed
vedrørende personoplysninger på det berørte hardware.
2.1.3

3. Teknisk og logisk sikkerhed

3.1 Virksomheden har etableret følgende tekniske og logiske sikkerhedsforanstaltninger:
a) Logisk adgangskontrol med brugernavn og adgangskode eller anden entydig
autorisation
b) Regelmæssig backup
c) Firewall, som opdateres jævnligt
d) Antivirus programmer, som opdateres jævnligt
e) Databehandlerens websites anvender HTTPS (Hyper Text Transfer Protocol
Secure), så alt kommunikation på det åbne internet er krypteret peer-to-peer
f) Logning og kontrol af uautoriserede eller gentagne mislykkede forsøg på login
3.1.1
3.1.2

4. Fysisk sikkerhed

4.1 Virksomheden har etableret følgende fysiske sikkerhedsforanstaltninger:
4.1.1 a) Databehandlerens udstyr (herunder PC’er, eventuelle servere mv.) er sikret
bag låste døre
b) Alarmsystem til at opdage og forhindre indbrud
c) Brandalarm og røgdetektorer
4.1.2

Underbilag C

1. Godkendte Underdatabehandlere

1.1 Følgende Underdatabehandlere er godkendt på tidspunktet for Databehandleraftalens
indgåelse på de betingelser, der følger af Databehandleraftalen og
Databeskyttelseslovgivningen:
Microsoft Danmark, Kanalvej 7, 2800 Lyngby, Danmark (CVR 13612870) (hosting,
storage og Office 365)
MB Solution, Bugattivej 8, 7100 Vejle (CVR 27424317) (backup)
Itadel, Sletvej 30, 8310 Tranbjerg J (CVR 37032034) (hosting og Office 365)
IP Nordic A/S, Nygade 17, 6300 Gråsten (CVR 33577591) (ip- og mobiltelefoni)
KeepIT, Per Henrik Lings Allé 4, 4. sal, 2100 København Ø (CVR 30806883) (backup)

2. Nye Underdatabehandlere

2.1 Nye Underdatabehandlere kan tages i brug af Databehandleren ved at tilføje og
opdatere disse i et separat dokument i forlængelse af dette underbilag, som sendes til
orientering eller godkendelse hos den Dataansvarlige før en ny Underdatabehandler
tages i brug.