Her kan du læse SMTP.dk´s Databehandleraftale. 

Hent som PDF

Ønsker du en aftale udfyldt med dine egne firma detaljer, send venligst en mail til: support@smtp.dk indeholdende:

Firma navn
Adresse
E-mail
Navn på data ansvarlig

Så får du en PDF udfyldt til underskrift og returnering

 

Databehandleraftale

SMTP.dk

OG

KUNDEN

 

INDHOLDSFORTEGNELSE


  1.  AFTALENS BAGGRUND OG FORMÅL 
  2.  DATAANSVARLIGS RETTIGHEDER OG FORPLIGTELSER 
  3.  DATABEHANDLERS FORPLIGTELSER 
  4.  DATABEHANDLERS BRUG AF UNDERLEVERANDØRER 
  5.  INSTRUKSER
  6.  TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER 
  7.  OVERFØRSLER TIL ANDRE LANDE
  8.  TAVSHEDSPLIGT OG FORTROLIGHED 
  9.  KONTROLLER OG ERKLÆRINGER 
  10.  ÆNDRINGER I DATABEHANDLERAFTALE
  11.  SLETNING ELLER DESTRUKTION AF PERSONOPLYSNINGER 
  12.  MISLIGHOLDELSE OG ANSVAR
  13.  IKRAFTTRÆDELSE OG VARIGHED  
  14.  LOVVALG OG VÆRNETING

 

BILAGSOVERSIGT


Appendiks 1: De behandlede oplysninger
Appendiks 2: Underdatabehandlere
Appendiks 3: Sikkerhedsbilag

 

DEFINITIONER


 

”Aftalen” betyder den hovedaftale, som danner grundlag for indgåelsen af denne Databehandleraftale.
”Databeskyttelseslovgivningen” betyder Europa-Parlamentet og Rådets direktiv 95/46/EF, persondataloven (lov 2000-05-31 nr. 429 med senere ændringer) og efter 25. maj 2018 forordning (EU) 2016/679 samt fremtidig lovgivning, der regulerer behandlingen af personoplysninger.
”Databehandleraftalen” betyder betyder nærværende databehandleraftale.

 

 

Denne aftale er indgået mellem

SMTP.dk ApS

Flæsketorvet 75

1711 København V

CVR-nr.: 29849439

(herefter ”Databehandler”)

og

Kunden

 

(herefter ”Dataansvarlig”)

(hver for sig en ”Part” eller ”Parten” og sammen ”Parter” eller ”Parterne”)

 

1  AFTALENS BAGGRUND OG FORMÅL


1.1  Denne aftale har til formål at sikre, at Databeskyttelseslovgivningen overholdes. Formålet med, at Databehandler behandler persondata på vegne af Dataansvarlig er angivet i Appendiks 1.

1.2 Såfremt der er modstrid mellem denne Databehandleraftale og Aftalen, har denne Databehandleraftale forrang, med mindre andet følger direkte af Aftalen. 

1.3  Hvis der er forhold i Databehandleraftalen og tilhørende instrukser, der senere bliver kendt ugyldig eller viser sig i strid med Databeskyttelseslovgivningen, kan Parterne ikke, uanset punkt 1.1, påberåbe sig dette. Databehandleraftalen skal i øvrigt bestå, og Partnerne indleder om nødvendigt forhandling med henblik på at afklare, supplere eller revidere de pågældende forhold.

 

2  DATAANSVARLIGS RETTIGHEDER OG FORPLIGTELSER


2.1  Dataansvarlig er dataansvarlig for de personoplysninger, som Databehandler behandler på Dataansvarligs vegne.

2.2  Dataansvarlig har ansvaret for, at Databehandler må behandle personoplysningerne på vegne af Dataansvarlig, herunder at behandlingen er lovlig. Dataansvarlig har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af Databeskyttelseslovgivningen.

 

3  DATABEHANDLERS FORPLIGTELSER


3.1  Databehandler indestår for udelukkende at behandle persondata på Dataansvarligs vegne på vilkår angivet i Databehandleraftalen eller såfremt der foreligger en dokumenteret instruks fra Dataansvarlig, jf. afsnit 5.

3.2  Databehandler hjælper og bistår Dataansvarlig, på dennes anmodning, med levering af relevant information og dokumentation med henblik på, at Dataansvarlig kan dokumentere overholdelse af Dataansvarligs lovgivningsmæssige forpligtelser, herunder f.eks. indsigtsret, konsekvensanalyser mv. For gennemførelsen af sådan bistand til Dataansvarlig, samt for ændringer og/eller udvidelser af instruksen, kan Databehandler kræve vederlag efter medgået tid samt for sine øgede omkostninger. Timeprisen herfor fremgår af DKK 650 ekskl. Moms 25%.

3.3  Hvis en registreret kontakter Databehandler med henblik på at udøve sine rettigheder efter Databeskyttelseslovgivningen over for Dataansvarlig sender Databehandler en sådan henvendelse uden unødigt ophold videre til Dataansvarlig til dennes ekspedition. Databehandler bistår Dataansvarlig i medfør af afsnit 3.2.

 

4  DATABEHANDLERS BRUG AF UNDERLEVERANDØRER


4.1  Databehandler anvender underleverandører (underdatabehandlere) til brug for levering af ydelser efter Databehandleraftalen. Dataansvarlig har ved underskrivelsen af nærværende aftale godkendt, at de i Appendiks 2 anførte underdatabehandlere benyttes.

4.2  Dataansvarlig giver Databehandler en generel godkendelse til at anvende underdatabehandlere såfremt følgende vilkår er opfyldt

  • Databehandler underretter altid Dataansvarlig om eventuelle planlagte tilføjelser eller udskiftninger af underdatabehandlere, og giver Dataansvarlig mulighed for, inden for rimelig frist, at gøre indsigelse mod sådanne ændringer. Underretningen skal ledsages af en beskrivelse i henhold til de oplysninger, der er indeholdt i Appendiks 2 for allerede godkendte underdatabehandlere, som giver den Dataansvarlige grundlag for at vurdere forholdet.

  • Brug af underdatabehandlere sker på basis af en skriftlig aftale indgået mellem Databehandler og underdatabehandlere, der pålægger denne de samme forpligtelser, som påhviler Databehandler i medfør af Databehandleraftalen, samt Databeskyttelseslovgivningen, således at den registreredes rettigheder sikres. Databehandler påser aktivt og sikrer, at underdatabehandleren overholder sådanne forpligtelser.

  • Dataansvarlig kan til enhver tid forlange dokumentation for underdatabehandleraftalens eksistens og indhold, med undtagelse af forhold, der er af fortrolig, kommerciel karakter mellem Databehandler og underdatabehandleren.

4.3  Medmindre andet er særskilt aftalte varetages al form for kommunikation med underdatabehandleren af Databehandler. Dataansvarlig kan nægte anvendelse af underdatabehandlere, hvis disse ikke lever op til en instruks. Desuden er Databehandler direkte ansvarlig for underdatabehandlerens behandling af Dataansvarligs personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.

4.4  Databehandler overfører aktuelt ikke Dataansvarligs personoplysninger til lande udenfor EU/EØS. Databehandler er, uanset punkt 4.2, ikke berettiget til at anvende underleverandører i usikre tredjelande uden forudgående skriftlig godkendelse fra Dataansvarlig. Anvendelse af underleverandører beliggende i usikre tredjelande skal ske på et i henhold til Databeskyttelseslovgivningen gyldigt overførselsgrundlag. I sin skriftlige godkendelse tager Dataansvarlig tillige aktiv stilling til, om Databehandler efter fuldmagt skal sikre, at der indgås standardkontrakter direkte mellem Dataansvarlig og underdatabehandler eller om Dataansvarlig selv ønsker at gennemføre dette.

 

5  INSTRUKSER


5.1  Databehandler behandler alene personoplysninger i henhold til og i overensstemmelse med Dataansvarligs til enhver tid gældende instruktioner. Dataansvarligs instruks omfatter enhver behandling, som er nødvendig for Databehandlers levering af ydelserne til Dataansvarlig.

5.2  Databehandler underretter Dataansvarlig, hvis en instruks efter Databehandlers opfattelse strider imod Databeskyttelseslovgivningen.

5.3  Det er ikke tilladt for Databehandler at nægte at adlyde Dataansvarligs instrukser som følge af manglende betalinger af Databehandlers regninger mv., og Databehandler har på intet tidspunkt tilbageholdelsesret eller lign. over Dataansvarligs persondata.

5.4  Databehandleren kan alene behandle personoplysninger udenfor instruksen, hvor det kræves af EU- eller national ret, som Databehandleren er undergivet. Databehandleren underretter den Dataansvarlige om årsagen hertil, med mindre sådan underretning vil være i strid med EU- eller national ret.

 

6  TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER


6.1  Databehandler skal, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemføre passende tekniske og organisatoriske foranstaltninger for at bl.a. at forhindre

  • hændelig eller ulovlig tilintetgørelse, tab, ændring

  • uautoriseret videregivelse, adgang eller misbrug

  • anden ulovlig behandling, jf. sikkerhedsbilag vedlagt som Appendiks 3

6.2  Databehandler skal kunne påvise over for Dataansvarlig, at Databehandler har de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Parterne er enige om, at de afgivne garantier anført i appendiks 3 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandleraftale.

6.3  Uden ugrundet ophold og senest 24 timer efter, at Databehandler bliver bekendt med et sikkerhedsbrud, underretter Databehandler skriftligt Dataansvarlig. Denne orientering indeholder som minimum, og så vidt det er muligt i lyset af hændelsens karakter, følgende: 1) oplysninger om arten af det konstaterede sikkerhedsbrud, 2) hvilke kategorier af registrerede, som er omfattet, 3) omtrentligt berørt antal registrerede, herunder kategorier af omfattede personoplysninger og antal, samt hvilke eliminerende og/eller mitigerende foranstaltninger Databehandler har truffet i anledning af det konstaterede sikkerhedsbrud.

6.4  Fortegnelserne skal efter skriftlig anmodning stilles til rådighed for den Dataansvarlige eller tilsynsmyndighederne.

 

7  OVERFØRSLER TIL ANDRE LANDE


7.1  Persondata må ikke med på grundlag af Databehandlers accept eller med dennes godkendelse, overføres til tredjelande, medmindre Dataansvarlig har godkendt en sådan overførsel. Databehandler skal forinden sikre, at overførslen af pågældende persondata lovligt kan ske i overensstemmelse med Databeskyttelseslovgivningen.

7.2  Såfremt personoplysninger overføres til en EU-medlemsstat, er det Databehandlers ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes.

 

8  TAVSHEDSPLIGT OG FORTROLIGHED


8.1  Behandling af personoplysninger sker under fuld fortrolighed mellem Databehandler og Dataansvarlig. Ansatte hos Databehandler, tredjeparter (f.eks. reparatører) samt underdatabehandlere, der er beskæftiget med behandling af personoplysninger under nærværende Databehandleraftale, skal være undergivet tavshedspligt. Alene ansatte hos Databehandler, som autoriseres hertil, må have adgang til de personoplysninger, der behandles under Databehandleraftalen. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

8.2  Uanset punkt 13 gælder bestemmelser om tavshedspligt og fortrolighed uden tidsbegrænsning.

 

9  KONTROLLER OG ERKLÆRINGER


9.1  For at sikre, at Dataansvarlig kan påse, at Databehandler har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger kan Databehandler årligt stille en relevant erklæring til rådighed for Dataansvarlig. Denne kan være udarbejdet af Databehandlers egen interne revision eller af tredjepart. Erklæringen fremsendes efter anmodning fra Dataansvarlig.

9.2  Dataansvarlig er berettiget til, for egen regning, at lade Databehandlers behandling af personoplysninger for Dataansvarlig underkaste en inspektion og/eller revision af en uafhængig tredjepart. Databehandler er berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed. Timeprisen herfor fremgår af DKK 650 ekskl. Moms 25%.

 

10  ÆNDRINGER I DATABEHANDLERAFTALEN


10.1  Såfremt lovgivningsændringer eller praksisændringer giver anledning til ændringer af Databehandleraftalen, er Dataansvarlig med et varsel på 7 dage berettiget til at foretage disse ændringer omkostningsfrit.

10.2  Såfremt ændringerne i stedet beror på Dataansvarligs forhold, herunder Dataansvarligs ønske til et persondatabeskyttelsesniveau, der overstiger det lovpligtige og/eller det sikkerhedsmæssige relevante niveau, kan Databehandler kræve vederlag efter medgået tid samt for sine øgede omkostninger.

10.3  Databehandler skal sikre, at underdatabehandlere uden ugrundet ophold tilmed forpligtes af ændringer i medfør af punkt 10.1 og 10.2.

 

11  SLETNING ELLER DESTRUKTION AF PERSONOPLYSNINGER


11.1  Ved Aftalens udløb eller ophør ophører samtidig nærværende Databehandleraftale. Parterne træffer aftale om sletning, tilbagelevering eller destruktion af alle personoplysninger, som behandles af Databehandler på vegne af Dataansvarlig. Databehandler sletter endvidere alle kopier af oplysninger, herunder fra backup, i overensstemmelse med Databehandlers planlagte og systematiske overskrivning af backups.

11.2  Uanset 11.1 er Databehandler berettiget til, i det omfang det er nødvendigt for at kunne dokumentere levering af ydelserne efter Aftalen, eller forsvare sig mod retskrav, at gemme en kopi af Dataansvarligs personoplysninger. Dataansvarligs personoplysninger må i så fald udelukkende behandles til de anførte formål, og ophører, når disse ikke længere består.

11.3  Databehandler skal ligeledes sikre, at eventuelle underdatabehandlere ikke behandler persondata efter ophøret af Aftalen, med mindre afsnit 11.2 finder anvendelse.

 

12  MISLIGHOLDELSE OG ANSVAR


12.1  Aftalens bestemmelser om misligholdelse og ansvar gælder også for Databehandleraftalen.

 

13  IKRAFTTRÆDELSE OG VARIGHED


13.1  Nærværende databehandleraftale træder i kraft ved begge parters underskrift, og løber indtil ophør af Aftalen.

13.2  Uanset 13.1 fortsætter nærværende Databehandleraftale så længe Databehandler er i besiddelse af nogen af Dataansvarligs persondata.

13.3  Dataansvarlig er for egen regning berettiget til, med bistand fra uafhængig tredjepart, at påse, at sletning mv. er sket som oplyst fra Databehandler. Databehandler er berettiget til vederlag for tidsforbrug og omkostninger forbundet hermed.

 

14  LOVVALG OG VÆRNETING


14.1  Databehandleraftalen reguleres af dansk ret.

14.2  Det er aftalt, at alle krav og enhver tvist, der udspringer af Databehandleraftalen, skal afgøres ved Retten i København.

 

Appendiks 1

De behandlede oplysninger

De personoplysninger, som Databehandler behandler på vegne af Dataansvarlig, vedrører de kategorier af persondata, som er afleveret af Dataansvarlig til Databehandler i dokumentet:

  • genstanden for og varigheden af behandlingen,

    • Det af Dataansvarlig uploadede data benyttes til alle former for Dataansvarligs e-mailkommunikation til tredjeparter. Data opbevares på systemet i 30 dage

  • behandlingens karakter og formål,

    • Afsendelse af Dataansvarligs e-mails til alle former for kommunikation, der foregår med Databehandlers sendeprotokol

  • typen af personoplysninger

    • Almindelige oplysninger, som databehandleren skal behandle på vegne af dataansvarlig

      • E-mailadresser, emnefelt samt modtager navn

    • kategorierne af registrerede

      • Afsenderen af e-mails samt e-mailadresser for disses kunder

    • den fysiske lokation (af servere etc.) hvor persondata bliver behandlet|]

      • FAB-IT Hosting,Ejby Industrivej 1, 2600 Glostrup

 

Appendiks 2

Underdatabehandlere

FAB-IT Flæsketorvet 75   1711 København V

  • genstanden for og varigheden af behandlingen,

    • Hosting af e-mailafsendelsessystemet. Live-transmission. E-mails opbevares i 30 dage.

  • behandlingens karakter og formål,

    • Afsende e-mails

  • typen af personoplysninger

    • Almindelige oplysninger, som databehandleren skal behandle på vegne af dataansvarlig

      • E-mailadresser, emnefelt samt modtager navn

    • kategorierne af registrerede

      • Afsenderen af e-mails samt e-mailadresser for disses kunder

 

Appendiks 3

Sikkerhedsbilag

  • Følsomme oplysninger er krypteret i transit via en sikker filoverførselsløsning i overensstemmelse med branchestandarder 

  • Databehandler benytter sig af antivirusprogrammer

  • Databehandler har implementeret firewalls

  • Databehandler sikrer kritiske netværksadgangspunkter, og at systemer løbende testes for svagheder

  • Alle ansatte hos Databehandler, eller som arbejder for Databehandler, er tildelt en unik konto, som ikke må deles, og skal holdes fortrolig  

  • Alle kunder får tildelt en automatisk genereret kode ved første login.

  • Adgangskodekonfigurationer bliver håndhævet for at sikre en minimumskonfiguration af:

    • Minimum 8 karakterer

    • Skal indeholde 2 tal

  • Nye brugere skal adgangsautoriseres af brugere med rettigheder hertil, før der gives adgang til systemer

  • Alle adgangs- og nøglebegivenheder bliver logget og er tilgængelige for Databehandler, hvis nødvendigt 

  • Fjernadgang sker via krypteret forbindelse