MShost databehandleraftale

Databehandler:
MShost ApS
Herstedvang 7A, 2. th.
2620 Albertslund
CVR nr. 35527702
(herefter kaldet “Databehandleren”)

Dataansvarlig:
Hostingkunde hos MShost ApS
(herefter kaldet “Kunden”)

Databehandleren og Kunden kaldes hver for sig “Part” eller tilsammen “Parterne”.

Baggrund og formål
Med indgåelse af databehandleraftalen får Databehandleren adgang til Kundens data, herunder personoplysninger, hvilket betyder at Databehandleren bliver databehandler for kunden i henhold til persondatalovgivningen.

Ved brug af hosting eller andre ydelser via Databehandleren vil Kunden være ansvarlig for sin behandling af personoplysninger hos Databehandleren.

For at få reguleret Databehandlerens omgang med Kundens data har Parterne indgået denne databehandleraftale.

Generelle bestemmelser
Hver Part overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger.

Kunden er ansvarlig for overholdelse af lovgivningen om behandling af personoplysninger for egne data, som Kunden instruerer Databehandleren om at behandle.

Databehandleren behandler alene Kundens data som databehandler, når Databehandleren foretager behandling af Kundens data som en del af leveringen af de aftalte ydelser.

Behandling af Kundens data
Ved Kundens data forstås alle personlige informationer, som Kunden modtager/indsamler/er ansvarlig for, herunder særligt alle de informationer, som indgår i driften af Kundens forretning, men også informationer om medarbejdere m.v., som Databehandleren kommer til at behandle.

Databehandleren må uden yderligere instruks foretage sådanne behandlinger af Kundens data som er nødvendige for at kunne levere aftalte ydelser til Kunden.

Databehandleren må ikke foretage yderligere behandlinger af Kundens data uden forudgående udtrykkelig dokumenteret instruks fra Kundens hertil bemyndigede medarbejdere.

Hvis Databehandleren er af den opfattelse, at udførelsen af modtagende instruks fra Kunden højst sandsynlig vil være i strid med gældende regler, skal Databehandleren straks underrette Kunden herom. Såfremt Kunden fastholder, at instruksen er i overensstemmelse med gældende regler, kan Databehandleren udføre instruksen uden at ifalde ansvar herfor.

Ved levering af remote-/on-sitesupport til Kunden skal Databehandleren i samarbejde med Kunden forsøge at begrænse adgangen til Kundens data mest muligt, herunder i fællesskab påse, at brugersupport leveres ved behandling af færrest mulige af Kundens data.

Databehandleren må ikke uden forudgående skriftlig tilladelse overføre Kundens Data til et tredjeland, medmindre overførslen sker til en af Kunden godkendt underdatabehandler (se afsnittet om underdatabehandlere længere nede).

Databehandleren skal i sine interne retningslinjer fastsætte regler, der sikrer, at Databehandlerens medarbejdere kun har adgang til de af Kundens data, som er nødvendige for medarbejdernes udførelse af deres arbejdsopgaver.

Databehandleren skal sikre, at alle medarbejdere, der behandler Kundens data, er underlagt en fortrolighedsforpligtelse.

Sikkerhed
Hvis Databehandleren konstaterer et brud på persondatasikkerheden, skal Kunden straks underrettes herom. Dette gælder, uanset om der er tale om et hackerangreb, ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse, lagring af Kundens data uden grundlag, eller hvis Databehandleren på anden måde mister kontrollen over Kundens data.
Underretningen skal opfylde de til enhver tid gældende lovkrav, men skal mindst indeholde:
– Beskrivelse af karakteren af bruddet på persondatasikkerheden.
– Kategorierne af bruddet og antallet af berørte datasubjekter samt kategorierne og antallet af berørte registreringer.
– angivelse af kontaktoplysninger hvor yderligere oplysninger kan indhentes.
– beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden.
– beskrivelse af de foranstaltninger, som Kunden foreslår eller har iværksat for at begrænse dets mulige skadevirkninger.

Kan Databehandleren ikke give alle oplysninger samlet, kan Databehandleren give Kunden oplysningerne efterhånden som de indsamles, hvis oplysningerne gives til Kunden uden unødig forsinkelse.

Hvis Kunden kræver information eller assistance omkring sikkerhedsforanstaltninger, dokumentation eller information om, hvordan Databehandleren behandler personoplysninger generelt, og en sådan anmodning indeholder information, som går ud over, hvad der er nødvendigt ifølge gældende Databeskyttelseslovgivning, må Databehandleren kræve sædvanlig timebetaling for sådanne yderligere services.

Såfremt Kundens webløsning er opbygget i et Open Source CMS (Content Management System) er det kundens ansvar at denne er vedligeholdt med nyeste officielt understøttede version af kerne og plugins, så kendte sikkerhedshuller er lukket. Det er Kundens ansvar hvis brud på persondatasikkerheden sker på grund af ikke vedligeholdte webløsninger.

Ovenstående forpligtelser gælder, uanset om Databehandleren er ansvarlig for bruddet på persondatasikkerheden. Er Databehandleren ikke ansvarlig for bruddet, sker al bistand til sædvanlig timebetaling.

Den Dataansvarlige skal i tilfælde af et brud på persondatasikkerheden uden unødig forsinkelse og om muligt inden 72 timer foretage anmeldelse af bruddet til Datatilsynet.

Håndtering af henvendelser og sletning af data
Databehandleren skal, efter Kundens skriftlige instruks, og mod sædvanlig timebetaling, såfremt Kundens data er under Databehandlerens kontrol, og såfremt Kunden ikke selv kan foretage sletning af Kundens data, slette Kundens data effektivt og endeligt på en sådan måde, at de ikke med nogen på sletningstidspunktet kendt teknologi kan genskabes.

Kundens opsigelse af en aftale med Databehandleren udgør samtidig en dokumenteret instruks til Databehandleren om, at Databehandleren kan slette de af Kundens data, der behandles under den opsagte aftale, som anført i Databehandlerens slette procedure. Opsigelsen skal ske skriftligt.
Sletning skal ske på alle medier og i forbindelse med den første efterfølgende overskrivning på alle backups.

Databehandleren skal, mod sædvanlig timebetaling i relevant omfang assistere Kunden med håndtering af enhver henvendelse fra en registreret, herunder ved en anmodning om indsigt, berigtigelse, blokering eller sletning, hvis de relevante personoplysninger behandles af Databehandleren.

Endvidere skal Databehandleren så vidt muligt og lovligt underrette Kunden, hvis;

i) En anmodning om indsigt i Personoplysninger modtages direkte fra den Registrerede

ii) En anmodning om indsigt i Personoplysninger modtages direkte fra statslige myndigheder, herunder politiet.

Databehandleren må ikke besvare sådanne anmodninger fra Registrerede, medmindre denne er autoriseret af Kunden til at gøre det. Databehandleren vil endvidere ikke videregive information om denne Aftale til statslige myndigheder såsom politiet, herunder Personoplysninger, medmindre Databehandleren er forpligtet til det i medfør af lovgivningen, såsom ved en retskendelse eller lignende.

Udlevering af Kundens data
Databehandleren er, efter Kundens instruks, forpligtet til at udlevere samtlige af Kundens data til Kunden eller en af Kunden valgt tredjepart, såfremt Kundens data er under Databehandlerens kontrol, og såfremt Kunden ikke selv kan foretage eksport af Kundens data. Udlevering sker mod sædvanlig timebetaling og skal forespørges skriftligt.

Udlevering skal enten ske i et på forhånd aftalt dataformat eller i et generelt standardiseret læsbart dataformat, der muliggør, at Kunden hurtigt og effektivt kan anvende Kundens data hos en ny leverandør eller internt.

Underleverandør(er)
Som en del af driften af Hosting anvender Databehandleren underleverandører (“Underdatabehandlere”). Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere (se bilag). Databehandleren skal sikre sig, at dennes Underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i Aftalen.

Hvis en Underdatabehandler er etableret uden for, eller Personoplysninger opbevares uden for EU/EØS giver Kunden Databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af Personoplysninger til tredjeland, på vegne af Kunden, herunder ved anvendelse af EU Kommissionens Standardkontrakter eller i overensstemmelse med Privacy Shield.

Kunden skal orienteres, inden Databehandleren udskifter sine Underdatabehandlere. Kunden har dog kun ret til at protestere imod en ny Underdatabehandler, som behandler Personoplysninger på vegne af Kunden, hvis denne ikke behandler data i overensstemmelse med gældende databeskyttelseslovgivning. I en sådan situation skal Databehandleren demonstrere overensstemmelse ved at give Kunden adgang til Databehandlerens databeskyttelsesvurdering af Underdatabehandleren. Hvis der stadig er uenighed om anvendelsen af Underdatabehandleren kan Kunden skriftligt opsige sit abonnement på Hosting, til enhver tid gældende opsigelsesvarsel og hvor udlevering sker mod sædvanlig timebetaling, således at Kundens Personoplysninger ikke behandles af den pågældende Underdatabehandler.

Varighed og ophør
Medmindre andet skriftligt aftales forbliver Aftalen i kraft så længe Databehandleren behandler personoplysninger på vegne af Kunden eller frem til Aftalens ophør.

Denne Aftale vil automatisk ophøre ved udgangen af Kundens opsigelsesperiode i forhold til abonnement på hosting, med mindre denne forlænges efter skriftlig aftale mellem Kunden og Databehandleren.

Misligholdelse og ansvar
En Parts manglende overholdelse af denne aftale udgør væsentlig misligholdelse, medmindre den manglende overholdelse rettes op på, og senest inden for en af den anden Part fastsat rimelig frist. Den rimelige frist skal fastsættes under hensyntagen til den faktiske risiko, som den manglende overholdelse udgør og de realistiske muligheder for at sikre overholdelse.

Ansvar for handlinger i strid med bestemmelserne i denne Aftale reguleres af ansvars- og erstatningsbestemmelser i abonnementsvilkårene for hosting. Dette gælder ligeledes for enhver overtrædelse, som foretages af Databehandlerens Underdatabehandlere.

Betalinger og omkostninger
Begge Parter bærer selv samtlige omkostninger forbundet opfyldelsen af egne forpligtelser i henhold til denne Aftale, medmindre andet udtrykkeligt fremgår af de mellem parterne aftalte leverancer med tilhørende bilag.

Tvister
Håndtering af tvister relateret til Databehandleraftalen følger Abonnementets handelsbetingelser.

Er intet andet aftalt, er Databehandleraftalen underlagt dansk ret og Parterne er berettiget til at kræve tvisten afgjort ved de almindelige domstole. Retten i Glostrup er valgt som værneting i første instans.
Bilag – liste over underdatabehandlere
Databehandleren har ret til at benytte følgende virksomheder som underdatabehandlere:

Bilag – Følsomme persondata
Følgende bilag skal kun benyttes ved behandling af Følsomme persondata. For at bilaget skal være gyldigt, skal det underskrives af begge parter. Ved underskrift samtykker Kunden at Databehandleren behandler Følsomme persondata på vegne af Kunden.
Kunden forpligter sig til at kontakte Databehandleren ved tilføjelse af Følsomme persondata.
Eksempler på typer af Personfølsomme data
Kategorier af Følsomme persondata som behandles i henhold til Aftalen
Databehandleren skal på vegne af Kunden behandle én eller flere af nedenstående informationer om:
– Politisk, filosofisk eller religiøs overbevisning
– Fagforeningsmæssige tilhørsforhold
– Race eller etnisk oprindelse
– Helbredsoplysninger
– Oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
– Genetiske eller biometriske data med det formål entydigt at identificere en fysisk person