1. gsgroup.dk
  2. Vilkår og betingelser
  3. Databehandleraftale
Til innholdet

 

GSGroups vilkår for beskyttelse af personlige oplysninger – databehandleraftale

 

I medfør af artikel 28, stk. 3 i forordning 2016/679 (GDPR) INDGÅS

mellem

Kunde, som angivet i aftalen mellem parterne

(den dataansvarlige)

og

GSGroup AS

963 299 850

Nordre Kullerød 5B

3241 Sandefjord

Norge*

(databehandleren)

hver for sig benævnt "part" og samlet "parterne"

følgende databehandleraftale for at opfylde kravene i GDPR og for at sikre beskyttelsen af den registreredes rettigheder.

* og datterselskaberne: GSGroup Danmark AS (27047599), GSGroup AB (556445-6704), GSGroup Deutschland GmbH (DE258074748), GSGroup Finland Oy (0973454-5), GSGroup Innovation Centre Zrt (25416866-2-43), GSGroup MyFleet Zrt (01-10-048455), Guard Systems Estonia OU (11165968), Guard Systems Latvia SIA (40003797354), UAB Guard Systems (300574578), Flextrack ApS (19670546), GSGroup DK ApS (41551526). 

1.Indholdsfortegnelse

2. Præambel

3. Den dataansvarliges rettigheder og forpligtelser 

4. Databehandleren handler i overensstemmelse med instrukser 

5. Fortrolighed 

6. Behandlingssikkerhed

7. Anvendelse af underdatabehandlere 

8. Overførsel af data til lande uden for EØS eller internationale organisationer 

9. Bistand til den dataansvarlige 

10. Anmeldelse af brud på datasikkerheden

11. Sletning og tilbagelevering af data 

12. Revision og inspektion 

13. Skadesløsholdelse og ansvarsbegrænsning 

14. Ikrafttrædelse og ophør 

15. Den dataansvarliges og databehandlerens kontakter/kontaktpunkter

Bilag A: GSGroup Sensor Solutions – Oplysninger om behandlingen 

Bilag B: GSGroup Field Service Solutions – Information om behandlingen 

2. Præambel

1. Nærværende databehandleraftale (DBA) fastlægger den dataansvarliges og databehandlerens rettigheder og forpligtelser i forbindelse med behandling af personoplysninger på vegne af den dataansvarlige som en del af GSGroup Services.

2. Nærværende DBA er udarbejdet for at sikre, at parterne overholder artikel 28, stk. 3, i EuropaParlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse). Nærværende DBA er baseret på en standard, der er godkendt af de norske og danske tilsynsmyndigheder.

3. I forbindelse med og med henblik på levering af GSGroup Services, der skal leveres til kunden fra tid til anden i medfør af aftalen mellem parterne (aftalen), behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med nærværende DBA. Nærværende DBA udgør en integreret del af aftalen.

4. Nærværende DBA har forrang for alle lignende bestemmelser i andre aftaler mellem parterne.

5. Der er to bilag til nærværende DBA, og de udgør en integreret del af nærværende DBA.

6. Bilag A indeholder følgende vedrørende GSGroup Sensor Solutions: a. Beskriver i detaljer behandlingen af personoplysninger, herunder formålet med og karakteren af behandlingen, typen af personoplysninger, kategorier af registrerede og behandlingens varighed. b. Adresserer databehandlerens brug af underdatabehandlere. c. Indeholder de aftalte minimumssikkerhedsforanstaltninger, der skal implementeres af databehandleren, og det sted, hvor behandlingen skal udføres.

7. Bilag B indeholder følgende vedrørende GSGroup Field Service Solutions: a. Beskriver i detaljer behandlingen af personoplysninger, herunder formålet med og karakteren af behandlingen, typen af personoplysninger, kategorier af registrerede og behandlingens varighed. b. Adresserer databehandlerens brug af underdatabehandlere. c. Indeholder de aftalte minimumssikkerhedsforanstaltninger, der skal implementeres af databehandleren, og det sted, hvor behandlingen skal udføres.

8. Nærværende DBA med bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.

9. Nærværende DBA fritager ikke databehandleren for forpligtelser, som databehandleren er underlagt i henhold til den generelle forordning om databeskyttelse (GDPR) eller anden lovgivning.

3.Den dataansvarliges rettigheder og forpligtelser

1.Den dataansvarlige er den dataansvarlige, og databehandleren er databehandler med henblik på GDPR og relaterede EU- og EØS-medlemsstaters databeskyttelseslovgivning.

2.Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger finder sted i overensstemmelse med GDPR (jf. artikel 24 i GDPR), de gældende databeskyttelsesbestemmelser i EU- eller EØS-medlemsstaterne og nærværende DBA.

3.Den dataansvarlige har ret og pligt til at træffe beslutninger om formålet med og midlerne til behandling af personoplysninger.

4.Den dataansvarlige er bl.a. ansvarlig for at sikre, at behandlingen af personoplysninger, som databehandleren har fået til opgave at udføre, har et retsgrundlag. I det omfang, det er nødvendigt i henhold til gældende lovgivning, eller hvis samtykke påberåbes som retsgrundlag for behandlingen af personoplysninger, er den dataansvarlige ansvarlig for at sikre, at de berørte registrerede har givet et informeret, frit, udtrykkeligt og utvetydigt samtykke forud for enhver behandling, samt for at sikre, at den dataansvarlige er i stand til at dokumentere, at et sådant samtykke er givet.

4.Databehandleren handler i overensstemmelse med instrukser

1.Databehandleren behandler kun personoplysninger efter dokumenterede instrukser fra den dataansvarlige, medmindre det er påkrævet i medfør af EU-retten eller EØS-medlemsstaternes nationale ret, som databehandleren er underlagt. Sådanne instrukser skal specificeres i bilag A og B.Efterfølgende instrukser kan også gives af den dataansvarlige under hele varigheden af behandlingen af personoplysninger, men sådanne instrukser skal altid dokumenteres og opbevares skriftligt, herunder elektronisk, i forbindelse med nærværende DBA.

2.I det omfang, at en tredjepartsudbyder af integrationstjenester er ansat til at sikre, at den dataansvarlige er i stand til at gøre brug af GSGroup Services, instruerer den dataansvarlige hermed databehandleren i at behandle personoplysninger i forbindelse med tjenesterne fra en sådan tredjepartsudbyder af integrationstjenester med henblik på at levere GSGroup Services. Databehandleren er ikke ansvarlig for eventuelle konsekvenser af handlinger, udeladelser eller fejl begået af tredjepartsudbyderen af integrationstjenester. For at undgå tvivl ansættes en sådan tredjepartsudbyder af integrationstjenester som den dataansvarliges egen databehandler og ikke som databehandlerens underdatabehandler, medmindre parterne på anden måde skriftligt aftaler det.

3.Databehandleren underretter straks den dataansvarlige, hvis instrukser fra den dataansvarlige efter databehandlerens opfattelse er i strid med GDPR eller de gældende databeskyttelsesbestemmelser i EU- eller EØS-medlemsstaterne, for så vidt databehandleren er bekendt med eller med rimelighed kan forventes at være bekendt med en sådan overtrædelse. I sådanne tilfælde er databehandleren ikke forpligtet til at følge den dataansvarliges instrukser, medmindre den dataansvarlige giver databehandleren en juridisk udtalelse fra et velrenommeret advokatfirma, der bekræfter, at sådanne instrukser er i overensstemmelse med GDPR og alle andre gældende databeskyttelsesbestemmelser.

4.I tilfælde af ændringer af den gældende databeskyttelseslovgivning har den dataansvarlige ret til at ændre instrukserne i nærværende DBA ved at give et forudgående skriftligt varsel på 30 dage, når de nye skriftlige instrukser gives til databehandleren.

5. Databehandleren kan behandle anonymiserede data til statistiske, analytiske og andre formål. Sådanne andre formål kan omfatte forbedring, support og drift af GSGroup Services. Sådanne data må ikke være i en form, der gør det muligt at identificere eller reidentificere dem.

5.Fortrolighed

1.Databehandleren må kun give adgang til de personoplysninger, der behandles på vegne af den dataansvarlige, til personer under databehandlerens myndighed, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt og kun på et need-to-know-grundlag. Listen over personer, til hvem databehandleren har givet adgang, tages regelmæssigt op til revision. På grundlag af denne revision kan en sådan adgang til personoplysninger trækkes tilbage, hvis der ikke længere er behov for adgang, og personoplysninger skal derfor ikke længere være tilgængelige for disse personer.

2.Databehandleren skal efter anmodning fra den dataansvarlige demonstrere, at de berørte personer under databehandlerens myndighed er underlagt ovennævnte fortrolighed.

3.Databehandleren er ikke på nogen måde ansvarlig for den dataansvarliges tildeling af adgang til fortrolige oplysninger til andre personer.

6.Behandlingssikkerhed

1.I henhold til artikel 32 i GDPR skal den dataansvarlige og databehandleren under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

2.Den dataansvarlige skal vurdere de risici, som en behandling indebærer for fysiske personers rettigheder og frihedsrettigheder, og gennemføre foranstaltninger, der kan begrænse disse risici.

3.I henhold til artikel 32 i GDPR skal databehandleren også – uafhængigt af den dataansvarlige vurdere de risici for fysiske personers rettigheder og frihedsrettigheder, der er forbundet med behandlingen, og gennemføre foranstaltninger, der kan begrænse disse risici. Med henblik herpå skal den dataansvarlige give databehandleren alle de oplysninger, der er nødvendige for at identificere og vurdere sådanne risici.

4.Endvidere skal databehandleren bistå den dataansvarlige i at sikre, at den dataansvarliges forpligtelser i henhold til artikel 32 i GDPR overholdes ved bl.a. at oplyse den dataansvarlige om de tekniske og organisatoriske foranstaltninger, der allerede er gennemført af databehandleren i henhold til artikel 32 i GDPR, samt alle øvrige oplysninger, der er nødvendige for, at den dataansvarlige kan overholde den dataansvarliges forpligtelse i henhold til artikel 32 i GDPR.

5.Hvis en afgrænsning af de identificerede risici efterfølgende – efter den dataansvarliges vurdering kræver, at databehandleren gennemfører yderligere foranstaltninger end dem, databehandleren allerede har gennemført i henhold til artikel 32 i GDPR, skal den dataansvarlige skriftligt angive disse yderligere foranstaltninger, der skal gennemføres. Databehandleren er ikke forpligtet til at følge en anmodning om sådanne yderligere foranstaltninger fra den dataansvarlige, medmindre de yderligere foranstaltninger, som den dataansvarlige anmoder om, er rimelige og forholdsmæssige under alle omstændigheder.

7.Anvendelse af underdatabehandlere

1.Databehandleren skal opfylde kravene i artikel 28, stk. 2 og 4 i GDPR for at ansætte en anden databehandler (en underdatabehandler).

2.Databehandleren må derfor ikke ansætte en anden databehandler (underdatabehandler) til opfyldelse af nærværende DBA uden forudgående generel skriftlig tilladelse fra den dataansvarlige.

3.Databehandleren har den dataansvarliges generelle tilladelse til at ansætte underdatabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle påtænkte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere mindst 14 dage i forvejen, således at den dataansvarlige får mulighed for at gøre indsigelse mod sådanne ændringer, inden den eller de pågældende underdatabehandlere ansættes. Listen over underdatabehandlere, der allerede er godkendt af den dataansvarlige, findes på databehandlerens websted. Hvis databehandleren ansætter en underdatabehandler til at udføre specifikke behandlingsaktiviteter på vegne af den dataansvarlige, pålægges den pågældende underdatabehandler de samme databeskyttelsesforpligtelser som fastsat i nærværende DBA i henhold til en kontrakt eller anden retsakt i henhold til EU-retten eller EØS-medlemsstaternes nationale ret, der i særdeleshed giver tilstrækkelige garantier for implementering af passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i nærværende DBA og GDPR. Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum opfylder de forpligtelser, som databehandleren er underlagt i henhold til nærværende DBA og GDPR.

4.En kopi af en sådan underdatabehandleraftale og efterfølgende ændringer skal – efter anmodning fra den dataansvarlige – forelægges den dataansvarlige, hvilket giver den dataansvarlige mulighed for at sikre, at underdatabehandleren pålægges de samme databeskyttelsesforpligtelser som dem, der er fastsat i nærværende DBA. Punkter vedrørende forretningsrelaterede spørgsmål, som ikke påvirker det juridiske databeskyttelsesindhold i underdatabehandleraftalen, kræver ikke forelæggelse for den dataansvarlige.

5.Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ud ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette berører ikke de registreredes rettigheder i henhold til GDPR – navnlig dem, der omhandles i artikel 79 og 82 i GDPR – over for den dataansvarlige og databehandleren, herunder underdatabehandleren.

6.Tjenester, som tilvejebringes af databehandleren, og som er accessoriske eller perifere i forhold til databehandlerens tjenester ydet til den dataansvarlige, betragtes ikke som underdatabehandling i henhold til nærværende punkt

7. Disse omfatter f.eks. telekommunikationstjenester, vedligeholdelses- og brugerservice, rengøring, revisorer, advokater, bortskaffelse af datalagringsmedier, virksomhedsressourceplanlægning og regnskabstjenester (NetSuite og Visma Netvisor) og backoffice-/administrationssystemer. Databehandleren er imidlertid forpligtet til at indgå passende kontraktlige aftaler med sådanne tredjepartsleverandører af hjælpetjenester og til at sikre beskyttelse og sikkerhed af data, der behandles på vegne af den dataansvarlige.

8.Overførsel af data til lande uden for EØS eller internationale organisationer

1.Databehandlerens overførsel af personoplysninger til lande uden for EØS eller internationale organisationer må kun ske på grundlag af dokumenterede instrukser fra den dataansvarlige og skal altid finde sted i overensstemmelse med kapitel V i GDPR.

2.Hvis overførsler til lande uden for EØS eller internationale organisationer, som databehandleren ikke er blevet pålagt at udføre af den dataansvarlige, er påkrævet i henhold til EU-retten eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette lovkrav forud for behandlingen, medmindre den pågældende lov forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

3.Uden dokumenterede instrukser fra den dataansvarlige kan databehandleren derfor ikke inden for rammerne af denne DBA: a.overføre personoplysninger til en dataansvarlig eller en databehandler i et land uden for EØS eller i en international organisation b.overføre behandlingen af personoplysninger til en underdatabehandler i et land uden for EØS c.få personoplysningerne behandlet af databehandleren i et land uden for EØS

4.Den dataansvarliges instrukser vedrørende overførsel af personoplysninger til et land uden for EØS, herunder i givet fald overførselsværktøjet i henhold til kapitel V i GDPR, som de er baseret på, skal angives skriftligt.

5.Nærværende DBA må ikke forveksles med standardbestemmelser om databeskyttelse som omhandlet i artikel 46, stk. 2, litra c) og d) i GDPR, og nærværende DBA kan ikke af parterne påberåbes som et overførselsværktøj i henhold til kapitel V i GDPR.

9.Bistand til den dataansvarlige

1.Under hensyntagen til behandlingens karakter bistår databehandleren den dataansvarlige ved så vidt muligt at træffe passende tekniske og organisatoriske foranstaltninger for at opfylde den dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af den registreredes rettigheder i henhold til kapitel III i GDPR.

Dette indebærer, at databehandleren så vidt muligt bistår den dataansvarlige med at sikre, at den dataansvarlige overholder:

a.retten til at blive informeret, når der indsamles personoplysninger fra den registrerede

b.retten til at blive informeret, når der ikke er indhentet personoplysninger fra den registrerede

c.den registreredes ret til indsigt

d.retten til berigtigelse

e.retten til sletning ("retten til at blive glemt")

f.retten til begrænsning af behandlingen

g.underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling

h.retten til dataportabilitet

i.retten til at gøre indsigelse

j.retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering

2.Ud over databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til punkt 6.3 skal databehandleren desuden under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, bistå den dataansvarlige med at sikre, at:

a.Den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer efter at være blevet bekendt hermed, at underrette den kompetente tilsynsmyndighed om bruddet på persondatasikkerheden, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder;

b.den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om bruddet på persondatasikkerheden, når bruddet på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder;

c.den dataansvarliges forpligtelse til at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelsen af personoplysninger (en konsekvensanalyse vedrørende databeskyttelse);

d.den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed forud for behandlingen, hvis en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til en høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.

10.Anmeldelse af brud på datasikkerheden

1.I tilfælde af brud på persondatasikkerheden skal databehandleren uden unødig forsinkelse efter at være blevet opmærksom på bruddet på persondatasikkerheden underrette den dataansvarlige herom.

2.Databehandlerens anmeldelse til den dataansvarlige skal om muligt finde sted senest 36 timer efter, at databehandleren er blevet opmærksom på bruddet på persondatasikkerheden, således at den dataansvarlige kan opfylde den dataansvarliges forpligtelse til at underrette den kompetente tilsynsmyndighed om bruddet på persondatasikkerheden, jf. artikel 33 i GDPR.

3.I overensstemmelse med punkt 9.2. a. skal databehandleren bistå den dataansvarlige med at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, hvilket betyder, at databehandleren er forpligtet til at bistå med at indhente de oplysninger, som er anført nedenfor, og som i henhold til artikel 33, stk. 3, i GDPR skal anføres i den dataansvarliges anmeldelse til den kompetente tilsynsmyndighed:

a.Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger;

b.de sandsynlige konsekvenser af bruddet på persondatasikkerheden;

c.de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

11.Sletning og tilbagelevering af data

1.Ved aftalens ophør er databehandleren forpligtet til efter skriftlig anmodning herom til databehandleren at tilbagelevere alle personoplysninger til den dataansvarlige og slette eksisterende kopier, medmindre EU-retten eller EØS-medlemstaternes nationale ret foreskriver opbevaring af personoplysningerne.

12.Revision og inspektion

1.Databehandleren stiller alle de oplysninger til rådighed for den dataansvarlige, der er nødvendige for at påvise, at forpligtelserne i artikel 28 og nærværende DBA overholdes, og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

2.Databehandleren giver tilsynsmyndighederne, som i henhold til gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der handler på vegne af sådanne tilsynsmyndigheder, adgang til databehandlerens fysiske faciliteter mod fremvisning af passende identifikation.

13.Skadesløsholdelse og ansvarsbegrænsning

1.Den dataansvarlige holder databehandleren skadesløs og forsvarer for egen regning databehandleren mod alle omkostninger, krav, skader eller udgifter, som databehandleren har pådraget sig, eller for hvilke databehandleren kan blive gjort ansvarlig på grund af fejl eller undladelse fra den dataansvarliges eller dennes ansattes/agenters side med hensyn til at overholde forpligtelserne i henhold til gældende lovgivning eller nærværende DBA.

2.Databehandleren holder den dataansvarlige skadesløs og forsvarer for egen regning den dataansvarlige mod alle omkostninger, krav, skader eller udgifter, som den dataansvarlige har pådraget sig, eller for hvilke databehandleren kan blive gjort ansvarlig på grund af fejl eller undladelse fra databehandlerens eller dennes ansattes/agenters side med hensyn til at overholde forpligtelserne i henhold til gældende lovgivning eller nærværende DBA.

3.De ansvarsbegrænsninger, der er fastsat i GSGroups generelle forretningsbetingelser, påvirkes ikke af betingelserne i nærværende DBA og finder fuldt ud anvendelse. Databehandlerens ansvar overstiger under ingen omstændigheder det beløb, som den dataansvarlige har betalt for GSGroup Services til databehandleren i de 12 måneder, der går umiddelbart forud for et brud på aftalen eller nærværende DBA, eller 100.000 euro, alt efter hvilket beløb der er lavest.

14.Ikrafttrædelse og ophør

1.Nærværende DBA træder i kraft på datoen for den dataansvarliges accept af aftalen eller nærværende DBA, alt efter hvad der kommer først. Nærværende DBA behøver ikke at blive underskrevet for at være i kraft.

2.Databehandleren har ret til at ændre nærværende DBA, hvis ændringer af lovgivningen, praktiske hensyn til nærværende DBA eller andre overholdelsesrelaterede hensyn skulle give anledning til et behov for en sådan ændring.

3.Nærværende DBA gælder i aftalens gyldighedsperiode. I aftalens gyldighedsperiode kan nærværende DBA ikke opsiges, medmindre parterne har indgået en anden databehandleraftale vedrørende aftalen.

4.Hvis aftalen opsiges, og personoplysningerne slettes i henhold til punkt 11.1., kan nærværende DBA opsiges ved skriftlig meddelelse fra en part.

15.Den dataansvarliges og databehandlerens kontakter/kontaktpunkter

1.Parterne kan kontakte hinanden ved hjælp af deres kontakter/kontaktpunkter. Den dataansvarlige skal give databehandleren mindst to kontakt-/kontaktpunkter på tidspunktet for indgåelse af en aftale vedrørende levering af GSGroup Services. Databehandlerens kontaktpunkt vedrørende spørgsmål relateret til nærværende DBA er: privacy@onegsgroup.com. Parterne er løbende forpligtet til at underrette hinanden om ændringer i kontakter/kontaktpunkter og har ret til at kontakte hinanden med rimelige mellemrum for at sikre, at de har korrekte kontakter/kontaktpunkter.

 

 

The future is IN SIGHT