Sådan forpligter vi os overfor vores kunder

Her kan du se den databehandleraftale, der ligger til grund for behandling af persondata når du er kunde hos RelationsTjek (Annecto Survey Solutions). (Bemærk: kontaktinformationer udfyldes automatisk når du godkender aftalen i applikationen.)

 

DATABEHANDLERAFTALE

 

 

Parterne har indgået følgende databehandleraftale (’’Aftalen’’) om Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige:

Parterne kaldes i det følgende henholdsvis den “Dataansvarlige” og “Databehandleren”, og “Part” eller tilsammen “Parterne”.

 


1.  FORMÅL
 

1.1.        Formålet med nærværende aftale er at regulere Databehandlerens behandling af personlige oplysninger på vegne af den Dataansvarlige i forbindelse med benyttelse af Databehandlerens kundetilfredsheds-system, idet den Dataansvarlige ønsker Databehandlerens assistance med at gennemføre kundetilfredshedsmålinger ved benyttelse af Databehandlerens IT-system. I det omfang at lovgivningen påbyder det, påser den Dataansvarlige kundernes accept indhentet i forhold til den Dataansvarlige på, at kundeoplysninger også må benyttes til denne type kundeanalyser, som den Dataansvarlige får udført hos Databehandleren.

Databehandleren må efter procesbehandling ikke tilgå denne eller håndtere personlige oplysninger. Disse gemmes kun i nødvendigt omfang, og efter endt samarbejde slettes de straks. Den Dataansvarlige kan give instruks om, at kunder ønsker at blive slettet, og i så fald skal Databehandleren påse dette. Der påses dette i eget IT-systemet.

1.2.        Databehandleren skal overholde Persondataloven (lov nr. 429 af 31. maj 2000) med tilhørende bekendtgørelser. Fra den 25. maj 2018 skal databehandleren overholde Persondataforordningen (forordning 2016/679 af 27. april 2016) med tilhørende retsakter samt heraf afledt national lovgivning.

1.3.        Ved behandling af personlige oplysninger i henhold til nærværende Aftale, skal Databehandleren overholde god databehandlingsskik.

1.4.        Alle begreber i nærværende kontrakt skal forstås i overensstemmelse med den til enhver tid gældende persondatalovgivning.

 

2.  PERSONOPLYSNINGER OMFATTET AF AFTALEN

2.1.        Nærværende Aftale omfatter behandling af personoplysninger, som beskrevet i Aftalens bilag 1.

2.2.        Måderne hvorpå oplysningerne, som er omfattet af nærværende Aftale, behandles, er ligeledes beskrevet i bilag 1.

2.3.        Den Dataansvarlige indestår for at have fornøden hjemmel til behandling af de personoplysninger omfattet af nærværende Aftale og som beskrevet i bilag 1.

 

3.  GEOGRAFISKE AFGRÆNSNING

3.1.        Behandling af personoplysninger, som Databehandleren foretager i overensstemmelse med denne Aftale efter instruks fra den Dataansvarlige eller dennes underdatabehandlere, må foretages af Databehandleren i og uden for EU/EØS. Databehandlerens underleverandører er oplistet i den til enhver tid opdaterede liste over underdatabehandlere. Databehandleren skal sikre sig, at dennes underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i aftalen.

3.2.        Denne aftale udgør den dataansvarliges forudgående generelle og specifikke skriftlige godkendelse af databehandlerens brug af underdatabehandlere.

3.3.        Hvis en underdatabehandler er etableret uden for eller personoplysninger opbevares uden for EU/EØS giver den dataansvarlige databehandleren autorisation til at sikre et tilstrækkeligt grundlag for overførsel af personoplysninger til tredjeland på vegne af den dataansvarlige.

 

4.  DEN DATAANSVARLIGES INSTRUKS
 

4.1.      Databehandleren handler alene efter instruks fra den Dataansvarlige. Den Dataansvarlige afgør til hvilke formål og hvordan, der må foretages behandling af personoplysningerne omfattet af nærværende Aftale.

4.2.      Databehandleren behandler alene de typer af personoplysninger samt efter de behandlingsmåder, som er beskrevet i Aftalens bilag 1.

4.3.      Databehandleren må således ikke behandle personoplysningerne til egne formål og må ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den Dataansvarlige.

4.4.      Oplysninger må ikke videregives til tredjepart, medmindre det der følger af et lov- eller myndighedskrav. I så fald orienterer Databehandleren den Dataansvarlige herom uden ugrundet ophold.

4.5.      Databehandleren skal bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser i henhold til den enhver tid gældende persondataretlige lovgivning. Herunder skal Databehandleren bistå den Dataansvarlige med at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse og sletning, hvis de relevante personoplysninger behandles af Databehandleren. Modtager Databehandleren sådan henvendelse fra den registrerede, orienterer Databehandleren den Dataansvarlige herom snarest.

4.6.      Databehandleren skal bistå den Dataansvarlige ved udarbejdelse af konsekvensanalyser.

4.7.      Databehandleren hæfter for egne omkostninger ved sådan bistand som beskrevet under punkt 4.5, herunder til eventuelle underdatabehandlere. 

4.8.      Såfremt behandlingen af personoplysninger i overensstemmelse med nærværende Aftale sker ved anvendelse af fjernopkobling, herunder hjemmearbejdspladser, skal Databehandleren fastsætte retningslinjer herfor. Retningslinjerne skal opfylde de i nærværende Aftale stillede krav. Databehandleren orienterer den Dataansvarlige skriftligt om retningslinjerne. 

4.9.        Databehandleren samarbejder, efter anmodning, med tilsynsmyndigheden i forbindelse med udførelsen af Databehandlerens opgaver. Ligeledes bistår Databehandleren den Dataansvarlige ved kontrolbesøg fra Datatilsynet.

 

5.  DEN DATAANSVARLIGES FORPLIGTELSER
 

5.1.        Den dataansvarlige bekræfter ved indgåelse af denne aftale, at:

–          Den dataansvarlige skal ved brug af applikationen stillet til rådighed af databehandleren, udelukkende behandle personoplysninger i overensstemmelse med kravene i den gældende persondataforordning.

–          Den dataansvarlige har et lovligt grundlag for at behandle og videregive personoplysninger til databehandleren (herunder til underdatabehandlere som databehandleren anvender).

–          Den dataansvarlige har ansvaret for nøjagtigheden, integriteten, indholdet af pålideligheden og lovligheden af de personoplysninger som behandles af databehandleren.

–          Den dataansvarlige har opfyldt alle obligatoriske krav og pligter i forhold til anmeldelse hos eller opnåelse af tilladelse fra de relevante offentlige myndigheder for så vidt angår behandlingen af personoplysninger.

–          Den dataansvarlige har opfyldt sine oplysningsforpligtelser overfor de registrerede vedrørende behandlingen af personoplysninger i henhold til den gældende lovgivning på området.

–          Den dataansvarlige er enig i, at databehandleren har givet de relevante garantier for så vidt angår implementeringen af tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre de registreredes rettigheder og deres personoplysninger.

–          Den dataansvarlige skal ved brug af applikationen ikke behandle følsomme oplysninger, medmindre dette er specificeret i Bilag A til denne aftale.  

–          Den dataansvarlige skal have en opdateret liste over de kategorier af de personoplysninger, som denne behandler.

 

6.  SIKKERHED

6.1.      Databehandleren garanterer at træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger, at behandlingen i henhold til nærværende Aftale opfylder den til enhver tid gældende persondataretlige lovgivning og sikrer beskyttelse af den registrerede rettigheder. Databehandleren garanterer at træffe foranstaltninger for at sikre at personoplysninger ikke fortabes, misbruges, tilintetgøres samt mod at de ikke kommer til uvedkommendes kendskab eller behandles i strid med gældende lovgivning.

6.2.      Databehandleren skal efter nærmere aftale med den Dataansvarlige, så vidt muligt, bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i den til enhver tid gældende persondataretlige lovgivning. Den Dataansvarlige instruerer Databehandleren herom.

6.3.      Databehandleren skal til enhver tid opfylde de af den Dataansvarlige opstillede sikkerhedskrav i bilag 2.

6.4.      Databehandleren skal sikre, at alene de personer, som autoriseres hertil, har adgang til de personoplysninger, der behandles.

6.5.      Databehandleren garanterer, at nødvendig kopiering og backup af data i henhold til nærværende Aftale sker under fuldt betryggende forhold.

6.6.      Ovenstående sikkerhedsbestemmelser gælder ligeledes i det omfang Databehandleren gør brug af hjemmearbejdspladser.

 

7.  DOKUMENTATIONSKRAV

7.1.        Databehandleren skal efter anmodning fra den Dataansvarlige påvise overholdelse af den til enhver tid gældende persondataretlige lovgivning. Databehandleren skal i denne forbindelse stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene, til rådighed for den Dataansvarlige.

7.2.        Databehandleren skal straks underrette den Dataansvarlige, hvis en behandling efter vedkommendes mening er i strid med den til enhver tid gældende lovgivning.

7.3.        Databehandleren fører fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af den Dataansvarlige.

 

  8.  TILSYN
 

8.1.        Den Dataansvarlige kan til enhver tid påse, at Databehandleren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger.

8.2.        Såfremt den Dataansvarlige ønsker at foretage et tilsyn som beskrevet under punkt 8.1, skal den Dataansvarlige varsle tilsynet 4 uger forinden.

8.3.        Databehandleren kan én gang årligt foranledige, at en alment anerkendt og uafhængig tredjepart afgiver en sikkerhedsrevisionsrapport til dokumentation for overholdelse af kravene til sikkerhedsforanstaltninger. Hvis  omfang for revisionen følger en ISAE, ISO eller lignende certificeringsrapport udført af en kvalificeret tredjepartsrevisor inden for de forudgående tolv måneder, og Databehandleren bekræfter, at der ikke har været nogen materielle ændringer i de foranstaltninger, som har været under revision, skal den Dataansvarlige acceptere denne revision i stedet for at anmode om en ny revision af de foranstaltninger, som allerede er dækket

Under alle omstændigheder skal revision finde sted i normal kontortid på den relevante facilitet i overensstemmelse med Databehandlerens politikker og må ikke på urimelig vis forstyrre Databehandlerens sædvanlige kommercielle aktiviteter

Den Dataansvarlige er ansvarlig for alle omkostninger i forbindelse med anmodningen om revision. Databehandlerens assistance i forbindelse hermed, som overskrider den almindelige service som Databehandleren skal stille til rådighed som følge af gældende databeskyttelseslovgivning, afregnes særskilt.

8.4.        Den Dataansvarlige er tilmed berettiget til at få udleveret kopi af en årlig sikkerhedsrevisionsrapport, som beskriver sikkerhedsforholdene hos underdatabehandleren i overensstemmelse med punkt 8.3.

 

9.  BRUG AF UNDERDATABEHANDLERE

9.1.        Den Dataansvarliges skriftlige samtykke skal indhentes forinden Databehandleren overlader personoplysninger, der behandles i henhold til denne Aftale og i overensstemmelse med denne, til en eller flere underdatabehandlere.

9.2.        Ved brug af underdatabehandlere, er det Databehandlerens ansvar, at underdatabehandleren efterlever kravene i nærværende Aftale. Hvad angår Microsoft som underdatabehandler henvises til Microsofts beskrivelse af deres rolle som databehandler. Se bilag 3.

9.3.        Underdatabehandleren handler efter instruks fra Databehandleren. Den Dataansvarlige kan dog give direkte instruks til underdatabehandleren i tilfælde, hvor den Dataansvarlige finder det påkrævet.

9.4.        Databehandleren skal indgå en skriftlig databehandleraftaler med underdatabehandleren. Databehandleraftalen skal indeholde tilsvarende vilkår, som de krav, der stilles i medfør af denne Aftale samt gældende lovgivning. Hvad angår Microsoft som underdatabehandler henvises til Microsofts beskrivelse af deres rolle som databehandler. Se bilag 3.

9.5.        Omkostninger forbundet med etablering af aftaleforholdet til en underdatabehandler afholdes af Databehandleren.

9.6.        Databehandleren anvender de i Aftalens bilag 3 oplistede underdatabehandlere.

9.7.        Databehandleren er berettiget til at skifte underdatabehandlere. I så fald skal den nye underdatabehandler overholde tilsvarende betingelser som beskrevet i nærværende Aftale. Databehandleren skal senest 14 dage forinden orientere den Dataansvarlige herom og sende et opdateret bilag 3 til den Dataansvarlige.

9.8.      Ved brug af nye underdatabehandlere kan den Dataansvarlige forinden kræve, at Databehandleren over for den Dataansvarlige dokumenterer, at den nye underdatabehandler opfylder fornødne krav i henhold til nærværende Aftale.

9.9.      Underdatabehandlere er pålagt samme forpligtelse som Databehandleren som beskrevet under punkt 4.9. Hvad angår Microsoft som underdatabehandler henvises til Microsofts beskrivelse af deres rolle som databehandler. 

 

10.  SIKKERHEDSBRUD

10.1.      Såfremt Databehandleren måtte opleve brud på persondatasikkerheden, der medfører risiko for bl.a. tab, ændring i oplysninger og/eller tilintetgørelse eller lignende, skal Databehandleren uden unødig forsinkelse søge at lokalisere sådanne brud og søge at begrænse den opståede skade i videst muligt omfang, såfremt det er inden for Databehandlerens kontrol.

10.2.      Databehandleren er forpligtet til uden unødig forsinkelse at underrette den Dataansvarlige om brud på persondatasikkerheden. Databehandleren skal herefter uden unødig forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til den Dataansvarlige.

10.3.      Ved sikkerhedsbrud kontakter Databehandleren den oplyste kontaktperson hos den Dataansvarlige.

10.4.       Underdatabehandlere er på tilsvarende måde underlagt pligterne under punkt 9. Underdatabehandlere skal orientere Databehandleren og den Dataansvarlige samtidigt.

 

11.  TAVSHEDSPLIGT

11.1.      Databehandleren forpligter sig ved underskrift af nærværende Aftale til at holde personoplysningerne og behandlingen af disse fortrolige. 

11.2.      Databehandleren skal sikre, at dennes medarbejdere, som behandler personoplysninger i henhold til nærværende Aftale, er pålagt tavshedspligt.

11.3.      Databehandleren skal sikre skriftlig dokumentation for de i pkt. 10.2 nævnte aktørers tavshedspligt.

 

12.  MISLIGHOLDELSE AF AFTALEN

12.1.      Enhver væsentlig misligholdelse af nærværende Aftale fra Databehandlerens eller dennes underdatabehandleres side, berettiger den Dataansvarlige til ophævelse af Aftalen.

12.2.      I fald at Databehandleren eller dennes underdatabehandleren bliver pålagt påbud eller forbud fra Datatilsynet, er den Dataansvarlige ligeledes berettiget til at ophæve nærværende Aftale.

12.3.      Misligholdelse af andre aftaler Databehandleren og den Dataansvarlige imellem kan ligeledes medføre ophævelse af nærværende Aftale.

 

13.  HÅNDTERING AF HENVENDELSE FRA PRESSEN
 

13.1.      I fald af eksempelvis sikkerhedsbrud eller andre hændelser, hvori oplysninger, som behandles på vegne af den Dataansvarlige er involveret, og Databehandleren som følge heraf bliver kontaktet af pressen, må Databehandleren ikke udtale sig uden forudgående drøftelse og aftale med den Dataansvarlige.

 

14.0     Ikrafttræden, Varighed og ophør

14.1.      Aftalen træder i kraft ved begge Parters underskrift eller elektroniske accept.

14.2.      I tilfælde af at Databehandlerens virksomhed ophører, uanset årsag, ophører nærværende Aftale også.

14.3.      Nærværende aftale kan opsiges med 12 måneders varsel.

 

15.  TILBAGELEVERING OG SLETNING AF DATA
 

15.1.      I forbindelse med nærværende Aftales ophør, skal Databehandleren tilbagelevere og/eller slette alle personlige oplysninger i henhold til nærværende Aftale.  Den Dataansvarlige giver Databehandleren skriftlig instruks om proceduren herfor.

 

Bilag 1:              Beskrivelse af oplysningstyper og behandlingstyper

Bilag 2:              Beskrivelse af sikkerhedskrav

Bilag 3:              Fortegnelse over Databehandlerens underdatabehandlere

 


Bilag 1:  Beskrivelse af oplysningstyper samt behandlingsaktiviteter, som Databehandleren udfører efter instruks fra den Dataansvarlige

 

1.        Databehandleren behandler følgende særlige kategorier af oplysninger på vegne af den Dataansvarlige:

  • Dataansvarliges kunders navne, e-mail, telefonnummer samt medarbejders navn og e-mail.

 

2.       Databehandleren behandler strafbare oplysninger og oplysninger om lovovertrædelser på vegne af den Dataansvarlige.

  •  Nej.

 

3.      Databehandleren behandler cpr-numre på vegne af den Dataansvarlige:

  • Nej.

 

4.      Databehandleren behandler følgende ’’almindelige oplysninger’’ på vegne af den Dataansvarlige:

  • Se pkt. 1 ovenfor.

 

5.      Databehandleren behandler de i pkt. 1-4 nævnte oplysninger til følgende formål:
 

  • Annecto sætter et cloudbaseret program til rådighed for dataansvarlige. Programmets funktion er at udsende invitationer til den dataansvarliges kunder via e-mail for at indhente information om kundernes oplevelse af den dataansvarliges faglige kvalitet med henblik på at levere end bedre kundeydelse. Programmet understøtter dataansvarliges eget valg hvad angår måden invitationerne udsendes på, hvad enten det sker som integreret del af kundens IT systemer eller udsendes manuelt via systemets udsendelsesfunktion. Efter kundens besvarelse indsamler programmet kundernes besvarelser som præsenteres på systemets dash-board eller via udskrevne rapporter. Programmet har en funktion der giver kunden mulighed for at svare anonymt ligesom programmet også registrerer hvis en kunde ikke ønsker fremtidige henvendelser.

 

6.      Databehandleren behandler oplysningerne i henhold til nærværende aftale på følgende måde:
 

  • Programmet registrerer de i pkt. 1 nævnte oplysninger.
  • Registreringen sker med henblik på at kunne respektere kundernes fravalg af fremtidige henvendelser samt at kunne sikre en fastsat karensperiode før kunden igen vil modtage en henvendelse. Programmet kan ligeledes anvendes til at undersøge medarbejdertilfredshed.
  • Efter udløb af karensperiode slettes den registreredes oplysninger automatisk.
  • Registreredes e-mail opbevares såfremt vedkommende ikke ønsker henvendelser for at imødekomme dette ønske.

 


Bilag 2:  Beskrivelse af sikkerhedskrav

Følgende er en beskrivelse af de sikkerhedsforanstaltninger, som Databehandleren skal opfylde ved behandling af personoplysninger i overensstemmelse med nærværende Aftale.

 

1.       Fysisk sikkerhed

  • Systemet er et cloudbaseret system, der er placeret virtuelt hos Microsoft Azure – Irland.

 

2.       Teknisk sikkerhed

  • Den tekniske sikkerhed består af:
  • Firewall, kryptering. Samt backup for hver 24 timer
  • Hjemmearbejdspladser er beskyttet af password samt anerkendt antivirus software
  • Forbindelse til produktionsservermiljø forgår via krypterede forbindelse. Alle sessioner logges med source IP samt brugernavn

 

3.       Organisatorisk sikkerhed

  • Adgang til programmets administration er begrænset til et minimum, herunder følgende medarbejdere:
  • CTO samt udvikler/re der har adgang til programmets udvikling via password. Alle berørte har underskrevet tavshedserklæring.
  • CEO, CSO samt administration der har adgang i forbindelse med oprettelse af kunder samt support. De berørte har adgang via password har underskrevet en tavshedserklæring.

 

4.       Sletteprocedurer og procedurer ved tilbagelevering af data

  • Ved kundens henvendelse via kontakt@annecto.dk med ønske om at blive slette iværksættes sletning af data i Annecto og dennes backup og dette sker inden for 30 dage
  • Ved medarbejders henvendelse via kontakt@annecto.dk med ønske om tilbagelevering af data vil Annecto identificere data og returnere data til en af kunden oplyst e-mail adresse inden for 30 dage

 

5.       Andet

 


Bilag 3:  Fortegnelse over Databehandlerens underdatabehandler

1.       Databehandleren benytter følgende underdatabehandleren ved udførelsen af nærværende aftale: