Log ind
Prøv gratis

Databeskyttelse

1. Indledning, Formål og Definitioner

Når opfyldelse af «Aftalen» (se definition i punkt 1 i Leverandørens (dvs. Catacloud Services) brugsvilkår) vil indebære behandling af personoplysninger, vil sådan behandling være underlagt lovbestemmelser og forpligtelser i henhold til gældende databeskyttelseslovgivning.

Leverandøren, herefter “Databehandler”, og Kunden, herefter “Behandlingsansvarlig”, har indgået denne Databehandleraftale for at regulere Databehandlerens rettigheder og pligter, med hensyn til al behandling af personoplysninger på vegne af Behandlingsansvarlig under Aftalen, herunder under denne databehandlingsaftale, for at sikre, at al behandling af personoplysninger udføres i overensstemmelse med gældende databeskyttelsesregler.

Denne Databehandleraftale skal sikre, at Behandlingsansvarliges personoplysninger behandles i overensstemmelse med:

  • EU-forordningen 2016/679 («General Data Protection Regulation» eller «GDPR») som ændret fra tid til anden og al relevant national lovgivning, herunder nationale implementeringer af GDPR.

Denne Databehandleraftale er ment at opfylde kravene i GDPR. Parterne er enige om, at hvis love, forskrifter eller retningslinjer fra tilsynsmyndighederne ændres i væsentlig grad, skal vilkårene i denne Databehandleraftale revideres i god tro, med sådan intention om, at bestemmelserne og indholdet i Databehandleraftalen, løbende, skal opfylde kravene, der følger af databeskyttelsesforordningen.

Denne Databehandleraftale gælder i tillæg til Databehandlerens databeskyttelseserklæring.

«Personoplysninger» skal betyde enhver oplysning om en identificeret eller identificerbar fysisk person, som nærmere defineret i GDPR artikel 4 (1).

«Behandling af personoplysninger» skal betyde enhver operation eller række af operationer, der gøres med personoplysninger, enten automatiseret eller ikke, f.eks. indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, som nærmere defineret i GDPR artikel 4 (2).

«Underdatabehandler» skal betyde enhver anden databehandler eller tredjepart, der behandler Personoplysninger på Databehandlerens initiativ, viden eller utilsigtet, for at udføre specifikke behandlingsaktiviteter på vegne af Behandlingsansvarlig, herunder softwareenheder og tilknyttede selskaber.

Med «Tredjeland» menes lande uden for EU/EØS-området.

Denne Aftale inkluderer:

  • Bilag A: Information om behandlingen
  • Bilag B: Autoriseret Underdatabehandlere

Databehandleren og den Behandlingsansvarlige vil herefter samlet blive refereret til som «Parterne» eller hver for sig som en «Part».

2. Den Behandlingsansvarliges Rettigheder og Pligter

Behandlingsansvarlig er ansvarlig for at sikre, at behandlingen af Personoplysninger sker i overensstemmelse med GDPR (jf. GDPR artikel 24), herunder gældende national databeskyttelseslovgivning og denne Databehandleraftale.

Den Behandlingsansvarlige har ret og pligt til at træffe beslutninger om formål og midler, der skal benyttes ved behandling af Personoplysninger.

Behandlingsansvarlig skal være ansvarlig for, at Databehandler til enhver tid har tilstrækkelige instrukser og information for at opfylde sine pligter i henhold til Databehandleraftalen og databeskyttelsesreglerne.

Behandlingsansvarlig skal informere de aktuelle registrerede (datasubjekterne) om behandlingsaktiviteterne, som Databehandler vil udføre på vegne af Behandlingsansvarlig under denne Databehandleraftale.

Behandlingsansvarlig skal iværksætte tilstrækkelige tekniske og organisatoriske foranstaltninger for at sikre og demonstrere overholdelse af GDPR.

Den Behandlingsansvarlige skal varsle eventuelle brud på persondatasikkerheden til relevante myndigheder og om nødvendigt de registrerede uden unødig forsinkelse i overensstemmelse med gældende lov.

3. Instrukser fra Behandlingsansvarlig

Databehandleren skal kun behandle Personoplysninger i henhold til dokumenterede instrukser fra Behandlingsansvarlig, medmindre andet er påkrævet i EU- eller national lovgivning, som Databehandleren er underlagt. Aftalen (jf. definition i punkt 1 i Leverandørens brugsvilkår) udgør instrukserne på datoen for indgåelse af denne Databehandleraftale. Instrukser kan også være givet efter tidspunkt for aftaleindgåelse af Aftalen og Databehandleraftalen. Databehandler skal til enhver tid kunne dokumentere sådanne instrukser.

Medmindre andet er specificeret i Databehandleraftalen, kan Databehandler benytte alle relevante tekniske hjælpemidler (inkl. IT-systemer og software) for at opfylde forpligtelserne, der påhviler Databehandleren.

Er Databehandler af den opfattelse, at en instruks fra Behandlingsansvarlig er i strid med databeskyttelsesreglerne, skal Databehandler umiddelbart underrette Behandlingsansvarlig om dennes opfattelse.

4. Fortrolighed

Databehandleren skal sikre, at ansatte og andre, der har adgang til Personoplysninger, er autoriseret til at behandle sådanne Personoplysninger på Databehandlerens vegne. Hvis en sådan autorisation udløber eller trækkes tilbage, skal adgangen til Personoplysningerne ophøre uden unødig forsinkelse.

Databehandler skal sikre, at personer, der er autoriseret til at behandle Personoplysningerne, har forpligtet sig til at behandle oplysningerne fortroligt eller er underlagt en egnet lovfæstet tavshedspligt. Denne bestemmelse gælder også efter Databehandleraftalens ophør. Databehandleren skal på forespørgsel fra Behandlingsansvarlig kunne dokumentere det samme.

5. Sikkerhed ved Behandlingen

Hensyntagen til den tekniske udvikling og gennemførelsesomkostningerne, behandlingens art, omfang, formål og i hvilken sammenhæng den udføres, ud over den varierende sandsynligheds- og alvorlighedsgrad for fysiske personers rettigheder og friheder, skal Behandlingsansvarlig og Databehandler vurdere at gennemføre et eller flere af følgende tekniske og organisatoriske foranstaltninger:

  • pseudonymisering og kryptering af Personoplysninger;
  • evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemerne og -tjenesterne;
  • evne til at genoprette tilgængeligheden og adgangen til Personoplysninger i rette tid, hvis der opstår en fysisk eller teknisk hændelse;
  • en proces for regelmæssig test, analyse og vurdering af, hvor effektive behandlingens tekniske og organisatoriske sikkerhedsforanstaltninger er.

I henhold til GDPR artikel 32 skal Databehandleren også – uafhængigt af Behandlingsansvarlig – vurdere risikoen for fysiske personers rettigheder og friheder i forbindelse med behandlingen og iværksætte foranstaltninger for at reducere disse risici. Til dette formål skal Behandlingsansvarlig give Databehandleren al information, der er nødvendig for at identificere og evaluere sådanne risici.

Videre skal Databehandleren bistå Behandlingsansvarlig med at sikre overholdelse af Behandlingsansvarliges forpligtelser i henhold til GDPR artikel 32, ved blandt andet at give Behandlingsansvarlig information om de tekniske og organisatoriske foranstaltninger, der er implementeret af Databehandleren i henhold til GDPR artikel 32 sammen med anden information, der er nødvendig for Behandlingsansvarlig at have adgang til for at overholde Behandlingsansvarliges forpligtelse i henhold til GDPR artikel 32.

Yderligere sikkerhedsforanstaltninger vil blive implementeret af Databehandleren i overensstemmelse med Databehandlerens sikkerhedsretningslinjer.

6. Brug af Underdatabehandlere

Databehandleren skal opfylde kravene i GDPR artikel 28 (2) og (4) for at engagere en anden databehandler (en Underdatabehandler).

Databehandler har ved tidspunktet for indgåelsen af Databehandleraftalen den Behandlingsansvarliges generelle autorisation til at engagere Underdatabehandlere. Databehandleren skal skriftligt informere Behandlingsansvarlig om eventuelle tilsigtede ændringer vedrørende tilføjelse eller udskiftning af Underdatabehandlere mindst fjorten (14) dage i forvejen og dermed give Behandlingsansvarlig mulighed for at modsætte sig sådanne ændringer, før den aktuelle Underdatabehandler engageres. Godkendte Underdatabehandlere ved Databehandleraftalens indgåelse er specificeret i bilag B til Databehandleraftalen.

Underdatabehandlere skal være gjort bekendt med Databehandlerens forpligtelser efter denne Databehandleraftale og reglerne, der regulerer behandling af Behandlingsansvarliges Personoplysninger, og skal pålægges de samme forpligtelser med hensyn til beskyttelse af Personoplysninger, som er fastsat i denne Databehandleraftale, hvor Underdatabehandler skal give tilstrækkelige garantier for, at der vil blive gennemført tekniske og organisatoriske foranstaltninger, der sikrer, at behandlingen opfylder lovmæssige krav. Databehandleren skal forblive fuldt ansvarlig over for Behandlingsansvarlig for udførelsen af Underdatabehandlerens forpligtelser i henhold til dens kontrakt med Databehandleren. Databehandleren skal varsle Behandlingsansvarlig om eventuelle mangler ved Underdatabehandlerens opfyldelse af dets kontraktsforpligtelser.

Behandlingsansvarlig har også ret til, efter skriftlig forespørgsel, at modtage kopier af de relevante vilkår i Databehandlerens aftale med Underdatabehandlere, der skal behandle personoplysninger på vegne af Behandlingsansvarlig, med de begrænsninger, der eventuelt måtte følge af lov eller forskrift. Rent kommercielle vilkår kan uanset ikke kræves fremlagt.

Databehandleren skal indgå en klausul om begunstigelse af tredjepart med Underdatabehandleren, således at – i tilfælde af at Databehandleren faktisk er fjernet, ophørt med at eksistere juridisk eller er blevet insolvent – Behandlingsansvarlig skal have ret til at opsige kontrakten med Underdatabehandleren og instruere Underdatabehandleren til at slette eller returnere Personoplysningerne.

7. Overførsel af Personoplysninger til Tredjeland eller Internationale Organisationer

Enhver overførsel af Personoplysninger til Tredjeland eller Internationale Organisationer skal kun ske på grundlag af dokumenterede instrukser fra Behandlingsansvarlig og skal altid ske i overensstemmelse med GDPR kapitel V.

I tilfælde af overførsler til Tredjeland eller Internationale Organisationer, som Databehandleren ikke er blevet instrueret om at udføre af Behandlingsansvarlig, er påkrævet i henhold til EU- eller national lovgivning, som Databehandleren er underlagt, skal Databehandleren informere Behandlingsansvarlig om det juridiske grundlag, før overførslen finder sted, medmindre loven forbyder dette af vigtige hensyn til almen interesse.

Den Behandlingsansvarliges instrukser angående overførsel af Personoplysninger til et Tredjeland, herunder, hvis relevant, overførselsgrundlaget under GDPR kapitel V, som overførslen er baseret på, skal angives i bilag B.1.

Denne Databehandleraftale skal ikke forveksles med standard databeskyttelsesbestemmelser i henhold til GDPR artikel 46 (2) (c) og (d), og denne Databehandleraftale kan ikke anses som et overførselsgrundlag under GDPR kapitel V.

8. Bistand til Behandlingsansvarlig

Hensyntagen til behandlingens art skal Databehandler bistå Behandlingsansvarlig med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt, med at opfylde Behandlingsansvarliges forpligtelser til at svare på anmodninger om at udøve den registreredes rettigheder i henhold til GDPR kapitel III.

Dette indebærer, at Databehandler, så vidt dette er muligt, skal bistå Behandlingsansvarlig i Behandlingsansvarliges overholdelse af:

  • retten til at blive informeret, når Personoplysninger indsamles fra den registrerede
  • retten til at blive informeret, når Personoplysninger ikke er indhentet fra den registrerede
  • den registreredes ret til indsigt
  • ret til berigtigelse
  • ret til sletning («retten til at blive glemt»)
  • ret til begrænsning af behandling
  • underretningspligt i forbindelse med berigtigelse eller sletning af Personoplysninger eller begrænsning af behandling
  • ret til dataportabilitet
  • ret til at gøre indsigelse
  • ret til ikke at være genstand for en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering

Ud over Databehandlerens pligt til at bistå den Behandlingsansvarlige efter pkt. 5, skal Databehandleren videre, hensyntagen til behandlingens art og informationen, der er tilgængelig for Databehandleren, bistå Behandlingsansvarlig med at sikre overholdelse af:

  • Den Behandlingsansvarliges pligt til uden unødig forsinkelse og, hvor det er muligt, senest 72 timer efter at have fået kendskab til det, at anmelde bruddet til vedkommende tilsynsmyndighed, medmindre bruddet sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og friheder;
  • Behandlingsansvarliges forpligtelse til uden unødig forsinkelse at informere om bruddet til den registrerede, når bruddet sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder;
  • Behandlingsansvarliges forpligtelse til at gennemføre konsekvensanalyser vedrørende databeskyttelse (Data Protection Impact Assessment);
  • Behandlingsansvarliges forpligtelse til at konsultere den kompetente tilsynsmyndighed før behandling, hvor en konsekvensanalyse vedrørende databeskyttelse indikerer, at en behandling vil resultere i en høj risiko i fravær af foranstaltninger fra Behandlingsansvarlig for at reducere den identificerede risiko.
  • Behandlingsansvarliges forpligtelse til at sikre, at Personoplysningerne er nøjagtige og opdaterede, ved at informere Behandlingsansvarlig uden unødig forsinkelse, hvis Databehandleren bliver opmærksom på, at Personoplysningerne, der behandles, er unøjagtige eller udgået.

9. Meddelelse om brud på persondatasikkerheden

I tilfælde af et brud på persondatasikkerheden opstår, skal Databehandleren, uden unødig forsinkelse efter at have fået kendskab til det, varsle Behandlingsansvarlig om bruddet på persondatasikkerheden.

Databehandlerens varsling til Behandlingsansvarlig skal om muligt ske senest inden 48 timer efter, at Databehandler har fået kendskab til bruddet på persondatasikkerheden for at tilrettelægge for, at Behandlingsansvarlig kan overholde Behandlingsansvarliges pligt til at anmelde bruddet på persondatasikkerheden til kompetent tilsynsmyndighed, jf. GDPR artikel 33.

I overensstemmelse med punkt 8 skal Databehandleren bistå Behandlingsansvarlig med at varsle om brud på persondatasikkerheden til den kompetente tilsynsmyndighed, det indebærer, at Databehandleren er pålagt at bistå med at indhente informationen som beskrevet nedenfor, i henhold til artikel GDPR 33 (3):

  • beskrivelse af arten af bruddet på persondatasikkerheden, herunder, når det er muligt, kategorierne af og omtrentligt antal registrerede, der er berørt, og kategorierne af og omtrentligt antal registreringer af personoplysninger, der er berørt;
  • navnet på og kontaktoplysningerne til databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor mere information kan indhentes;
  • beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden;
  • beskrive de foranstaltninger, som den Behandlingsansvarlige har truffet eller foreslår at træffe for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at reducere eventuelle skadevirkninger som følge af bruddet.

Hvis ikke alle oplysninger kan gives i første meddelelse, skal oplysningerne gives successivt, så snart de foreligger, uden unødig forsinkelse.

10. Sletning og Returnering af Personoplysninger

Parterne er enige om, at ved opsigelse af Aftalen (jf. punkt 3 i Leverandørens brugsvilkår), vil denne Databehandleraftale også anses som ophørt.

Ved opsigelse af Aftalen er Databehandleren forpligtet til at returnere alle Personoplysningerne til Behandlingsansvarlig og slette eksisterende kopier efter aftale med Behandlingsansvarlig ophører, medmindre Parterne bliver enige om noget andet, og medmindre EU- eller national lovgivning kræver opbevaring af Personoplysningerne.

For at undgå tvivl skal intet i denne Databehandleraftale forpligte Databehandleren til at slette kopier af Personoplysninger, som den har på egne vegne som Behandlingsansvarlig (hvis nogen). Videre skal intet i denne Databehandleraftale forpligte Databehandler til at slette data, som ikke er Personoplysninger (hverken direkte eller indirekte), såsom, men ikke begrænset til, tilstrækkeligt aggregerede og/eller tilstrækkeligt anonymiserede statistikdata vedrørende Behandlingsansvarliges brug og Behandlingsansvarliges slutbrugeres brug af det skybaserede regnskabssystem Catacloud, som tilbydes under Aftalen.

11. Revision og Inspektion

Databehandleren skal gøre tilgængelig for Behandlingsansvarlig al information, der er nødvendig for at demonstrere overholdelse af forpligtelserne fastsat i GDPR artikel 28 og denne Databehandleraftale, og bidrage til revisioner, herunder inspektioner, udført af Behandlingsansvarlig selv eller af en revisor på opdrag af den Behandlingsansvarlige med rimelige mellemrum, eller hvis der er indikationer på manglende overholdelse.

Databehandler er pålagt at give tilsynsmyndighederne, som i henhold til gældende lovgivning har adgang til Behandlingsansvarliges og Databehandlerens faciliteter, eller repræsentanter, der optræder på vegne af sådanne tilsynsmyndigheder, adgang til Databehandlerens fysiske faciliteter mod fremvisning af passende identifikation.

12. Øvrige Pligter og Rettigheder

Øvrige pligter og rettigheder mellem Parterne er fastsat i Aftalen (jf. definition i punkt 1 i Leverandørens brugsvilkår).

De samme kontaktpersoner under Aftalen vil være kontaktpersonerne under denne Databehandleraftale.

Begge Parter erkender, at denne Databehandleraftale ikke skal udvide Behandlingsansvarliges sanktionsmuligheder, herunder erstatningsansvar for Databehandleren, ud over det, der følger af Aftalen (jf. punkt 13.3 i Leverandørens brugsvilkår), eller GDPR. Parterne erkender, at nogle af forpligtelserne og ansvarsområderne i henhold til GDPR er forskellige fra sanktionsmulighederne i Leverandørens brugsvilkår.

Ved overførsel af Aftalen til andre parter (jf. punkt 5 i Leverandørens brugsvilkår), vil Databehandleraftalen anses som overført samtidig.

13. Tvist og Jurisdiktion

Denne Databehandleraftale skal fortolkes i sin helhed i overensstemmelse med norsk lov, med undtagelse af ufravigelige bestemmelser i gældende databeskyttelseslovgivning.

Enhver tvist vedrørende Databehandleraftalen, eller tvist, der opstår som følge af denne Databehandleraftale, skal i første omgang løses af Parterne gennem forhandlinger.

Hvis en tvist ikke kan løses gennem forhandlinger, skal en tvist være underlagt Oslo Tingrett, medmindre ingen anden obligatorisk jurisdiktion gælder i gældende databeskyttelseslovgivning.

Bilag A. Information om behandlingen

A.1. Formålet med Databehandlerens behandling af Personoplysninger på vegne af Behandlingsansvarlig er:

Databehandler vil få adgang til og behandle Personoplysninger på vegne af Behandlingsansvarlig, med det formål at opfylde sine forpligtelser i henhold til Aftalen (jf. definition i punkt 1 i Leverandørens brugsvilkår)

Databehandler vil ikke behandle eller opbevare Personoplysninger i større grad end det, der er nødvendigt for at kunne levere de aftalte tjenester.

A.2. Databehandlerens behandling af Personoplysninger på vegne af Behandlingsansvarlig skal i hovedsag gælde (behandlingens art):

Behandlingens art vil kunne variere. Behandlingens art vil inkludere, men er ikke begrænset til, indsamling af Personoplysninger, strukturering af Personoplysninger, opbevaring af Personoplysninger, tilpasning eller ændring af Personoplysninger, overførsel af Personoplysninger, analyse af personoplysninger, eller kombinationer af disse.

Andre behandlingsaktiviteter kan udføres af Databehandleren med det formål at opfylde Databehandlerens forpligtelser i henhold til Aftalen (jf. definition i punkt 1 i Leverandørens brugsvilkår).

A.3. Behandlingen inkluderer følgende typer Personoplysninger om registrerede personer:

  • Kontaktinformation som navn, e-mailadresser, telefonnumre og fysiske adresser.
  • Slutbrugeres ansættelsesdetaljer / information (og relateret information hertil) som fødselsdato, personnummer / nationalt identifikationsnummer, nationalitet, køn, stillingstitel, afdeling, startdato, bankkontodetaljer for lønudbetalinger, grundløn, overtidstimer og satser, bonus- eller incitamentinformation, fradrag og bidrag (skatter, forsikringspræmier, pensionsordninger), anmodninger om orlov og godkendelser, fremmøderegistrering (arbejdstid, fravær, forsinkelser).
  • System- og brugsdata som IP-adresse, enhedsinformation, logfiler.
  • Dokumentmetadata som dokumenttitler, forfatterinformation, dato og klokkeslæt for dokumentoprettelse eller -ændring, nøgleord eller koder knyttet til dokumenter.
  • Finansiel information i den grad det er nødvendigt for at udføre compliance-processer som afslutning af regnskab, skatteindberetning og revision.

I tilfælde af at det bliver nødvendigt at behandle flere Personoplysninger end de, der er opført ovenfor, vil sådan behandling ske i overensstemmelse med instrukser fra Behandlingsansvarlig, og/eller fordi sådan behandling er nødvendig for at opfylde Databehandlerens forpligtelser i henhold til Aftalen (jf. definition i punkt 1 i Leverandørens brugsvilkår).

A.4. Behandling inkluderer følgende kategorier af registrerede:

  • Behandlingsansvarliges (Kundens) ansatte
  • Behandlingsansvarliges (Kundens) slutbrugere
  • Alle andre personer / individer / brugere, der interagerer med det skybaserede regnskabssystem Catacloud, på instruks og autorisation af Behandlingsansvarlig, for at uploade, få adgang til og behandle dokumenter og data. Dette inkluderer for eksempel, men er ikke begrænset til, Forhandlere, der sælger adgang til systemet og løsningen Catacloud for egen regning og optræder som en uafhængig forretningsdrivende over for både Leverandøren og Forhandlerens slutkunder.

I tilfælde af at det bliver nødvendigt at behandle Personoplysninger om flere kategorier af registrerede personer end de, der er opført ovenfor, vil sådan behandling finde sted i overensstemmelse med instrukser fra Behandlingsansvarlig, og/eller fordi sådan behandling er nødvendig for at opfylde Databehandlerens forpligtelser i henhold til Aftalen (jf. definition i punkt 1 i Leverandørens brugsvilkår).

A.5. Databehandlerens behandling af Personoplysninger på vegne af Behandlingsansvarlig igangsættes, når denne aftale træder i kraft. Behandlingen har følgende varighed:

For hele varigheden/perioden af Aftalen (jf. punkt 3 i Leverandørens brugsvilkår).

Bilag B. Autoriseret underdatabehandlere.

B.1. Godkendte underdatabehandlere.

Ved tidspunktet for indgåelsen af Aftalen (jf. definition i punkt 1 i Leverandørens brugsvilkår) og denne Databehandleraftale har Behandlingsansvarlig godkendt brugen af følgende Underdatabehandlere:

Navn på Underdatabehandler

Selskabsadresse

Lokation for databehandlingen

Beskrivelse af formål med behandlingen

Catacloud

Rolfsbuktveien 2
1364 Fornebu, Norway

Al behandling udføres inden for EU/EØS

Ejer løsningen/regnskabssystemet, som er tilgængeligt på app.catacloud.com og som benyttes af kunden.

ZTL

Kristian IVs gate 15, 0164 Oslo, Norway

Al behandling udføres inden for EU/EØS

Gør det muligt for brugere at starte sikre og praktiske betalingstransaktioner direkte fra deres konti.

Nets (Master Card)

Nets Branch Norway
Haavard Martinsensvei 54
0978 Oslo

Al behandling udføres inden for EU/EØS

Faciliterer sikre og effektive betalingstransaktioner mellem forhandlere, kortholdere og udstedende banker.

ECIT Digital

Stadionveien 4, 7898 Limingen, Norway

Al behandling udføres inden for EU/EØS

Administrere og organisere dokumenter i et digitalt format, hvilket muliggør nem opbevaring, hentning og sporing.

Intect

Hørkær 12A

2730 Herlev,

Danmark

Al behandling udføres inden for EU/EØS

Administration af vederlags- og lønudbetalingsprocesser til ansatte på en nøjagtig og effektiv måde.

Amazon Web Services

One Burlington Plaza, Burlington Road, Dublin 4, Do4 Rh96, Ireland

Al behandling udføres inden for EU/EØS

Hosting og opbevaring af personoplysninger på en sikker og skalerbar måde.

Den Behandlingsansvarlige har ved påbegyndelsen af Aftalen og denne Databehandleraftale godkendt brugen af de ovennævnte Underdatabehandlere for behandlingen, som er beskrevet for den parten.

B.2. Generel autorisation af Behandlingsansvarlig

Med forbehold for de begrænsninger, der eksplicit er nævnt i denne Databehandleraftale, og underlagt gældende begrænsninger i henhold til GDPR, giver Behandlingsansvarlig et generelt samtykke til, at Databehandler kan, i løbet af Aftalens løbetid (jf. punkt 3 i Leverandørens brugsvilkår), bruge standardsoftware(r) fra Amazon og de andre Underdatabehandlere, som er opført under bilag B, punkt B.1, for at opfylde Databehandlerens forpligtelser i henhold til Aftalen (jf. definition i punkt 1 i Leverandørens brugsvilkår). Videre samtykker Behandlingsansvarlig til, at sådan behandling understøttes af servere i Tredjeland.

De aftalte tidsperioder for forudgående varsel for autorisation til at tilføje og/eller ændre Underdatabehandlere er mindst fjorten (14) dage. Behandlingsansvarlige har mulighed for at modsætte sig sådanne ændringer inden nævnte frist. Hvis ingen indsigelse fra den Behandlingsansvarlige er modtaget senest inden fristen nævnt ovenfor, skal den aktuelle Underdatabehandler anses som accepteret af den Behandlingsansvarlige.