Databehandleraftale kan rekvireres ved henvendelse til os.
DATABEHANDLERAFTALE
Mellem
Kunder som via underskrift på en ordrebekræftelse har accepteret databehandleraftale
(Herefter benævnt "Kunden")
og
Lund HR ApS
Sifhøj 27
9230 Svenstrup J
CVR Nr.: 38826662
(Herefter benævnt "Lund HR")
er der indgået nedenstående databehandleraftale (herefter "Aftalen") om Lund HRs behandling af personoplysninger på vegne af Kunden.
1 Generelt
1.1 Aftalen vedrører Lund HRs forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Lov nr. 429
af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven) § 42,
jf. § 41, stk. 3-5. Kravene er beskrevet i:
ii Vejledning nr. 37 af 02/04/2001 til bekendtgørelse nr. 528 af 15. juni 2000 om
sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den
offentlige forvaltning (Sikkerhedsvejledningen).
1.2 Den 25. maj 2018 erstattes Persondataloven af Europa-Parlamentets og Rådets forordning (EU)
2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen) således, at Aftalens pkt. 1.1
(i) - (ii) herefter erstattes med Databeskyttelsesforordningen.
1.3 I Aftalen er indarbejdet de krav, som såvel Persondataloven som de kommende regler i
Databeskyttelsesforordningen stiller til databehandleraftaler.
2 Formål
2.1 Lund HR behandler i medfør af aftale med Kunden personoplysninger for Kunden, hvor Lund HRs behandlinger og formålet med behandlingerne er beskrevet.
3 Kundens rettigheder og forpligtelser
3.1 Kunden er dataansvarlig for de personoplysninger, som Kunden instruerer Lund HR om at behandle.
Kunden har ansvaret for, at de personoplysninger, som Kunden instruerer Lund HR om at behandle,
må behandles af Lund HR, herunder at behandlingen er nødvendig og saglig i forhold til Kundens
opgavevaretagelse.
3.2 Kunden har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen,
jf. Aftalens pkt. 1.1 og 1.2.
3.3 Der kan i Aftalens Bilag A være opremset yderligere forpligtelser, som Kunden skal være
opmærksom på.
4 Lund HRs forpligtelser
4.1 Lund HR er databehandler for de personoplysninger, som Lund HR behandler på vegne af Kunden, jf. pkt. 6 og Bilag A. Lund HR har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og 1.2.
4.2 Lund HR behandler alene de overladte personoplysninger efter instruks fra Kunden, jf. pkt. 6 og Bilag
A, og alene med henblik på opfyldelse af Lund HR Aftalen.
4.3 Lund HR skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger,
som beskrevet i Sikkerhedsbekendtgørelsen og Sikkerhedsvejledningen (frem til 25. maj 2018) og
Databeskyttelsesforordningen (fra 25. maj 2018), jf. Bilag A - Sikkerhed.
4.4 Lund HR skal i overensstemmelse med Databeskyttelsesforordningen på opfordring fra Kunden bistå
med at opfylde Kundens forpligtelser i forhold til den registreredes rettigheder, herunder
besvarelse af anmodninger fra kandidater om indsigt i egne oplysninger, udlevering af kandidatens
oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af kandidatens
oplysninger, samt Kundens forpligtelser i forhold til underretning af den registrerede ved
sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningens kap. III samt artikel
34. Medmindre andet fremgår af Lund HR Aftalen er Lund HRs bistand særskilt betalbar.
4.5 Lund HR skal fra 25. maj 2018 i overensstemmelse med Databebekyttelsesforordningen bistå Kunden
med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36.
Medmindre andet fremgår af Lund HR Aftalen er Lund HRs bistand særskilt betalbar.
4.6 Lund HR garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til
at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Lund HRs
behandling af Kundens personoplysninger opfylder kravene i Databeskyttelsesforordningen og
sikrer beskyttelse af den registreredes rettigheder.
5 Underleverandør (underdatabehandler)
5.1 Ved underdatabehandler forstås en underleverandør, til hvem Lund HR har overladt hele eller dele af
den behandling, som Lund HR foretager på vegne af Kunden. Som underleverandør forstås også de partnere som er tilknyttet Lund HR – se Bilag C.
5.2 Lund HR må ikke uden udtrykkelig skriftlig godkendelse fra Kunden anvende andre
underdatabehandlere end dem, der er angivet i Bilag C, herunder foretage udskiftning af disse, til
at behandle de personoplysninger, som Kunden har overladt til Lund HR i medfør af Lund HR
Aftalen. Kunden kan ikke nægte at godkende tilføjelse eller udskiftning af en underdatabehandler
medmindre, der foreligger en konkret saglig begrundelse herfor.
5.3 Hvis Lund HR overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til
underdatabehandlere, skal Lund HR indgå en skriftlig (under)databehandleraftale med
underdatabehandleren.
5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme
databeskyttelsesforpligtelser, som Lund HR er pålagt efter Aftalen, herunder, at
underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ekspertise,
pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske
foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i
Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
5.5 Når Lund HR overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til
underdatabehandlere, har Lund HR over for Kunden ansvaret for underdatabehandlernes
overholdelse af disses forpligtelser, jf. pkt. 5.3.
5.6 Kunden kan til enhver tid forlange dokumentation fra Lund HR for eksistensen og indholdet af
underdatabehandleraftaler for de underdatabehandlere, som Lund HR anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kunden.
6 Instrukser
6.1 Lund HRs behandling af personoplysninger på vegne af Kunden sker udelukkende efter dokumenteret instruks, jf. Bilag A.
6.2 Lund HR giver fra 25. maj 2018 omgående besked til Kunden, hvis en instruks efter Lund HRs vurdering er i strid med lovgivningen, jf. pkt. 1.2
7 Tekniske og organisatoriske sikkerhedsforanstaltninger
7.1 Lund HR skal frem til 25. maj 2018, jf. Bilag A, træffe de fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger mod, at personoplysninger:
i. tilintetgøres, mistes, ændres eller forringes,
ii. kommer til uvedkommendes kendskab eller misbruges, eller
iii. i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1
7.2 Lund HR skal fra 25. maj 2018, jf. Bilag A, iværksætte alle sikkerhedsforanstaltninger, der kræves for
at sikre et passende sikkerhedsniveau.
7.3 Lund HR er forpligtet til straks at underrette Kunden om ethvert sikkerhedsbrud uanset, om dette sker hos Lund HR eller hos en underdatabehandler.
8 Overførsler til andre lande
8.1 Lund HRs overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via
en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Kundens instruks
herfor, jf. Bilag A.
8.2 Hvis Kundens personoplysninger overføres til en EU-medlemsstat, er det frem til 25. maj 2018
Lund HRs ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er
fastsat i lovgivningen i den pågældende medlemsstat, overholdes.
9 Tavshedspligt og fortrolighed
9.1 Lund HR skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder
ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed
eller er underlagt en passende lovbestemt tavshedspligt.
10 Kontroller og erklæringer
10.1 Lund HR er forpligtet til at give Kunden nødvendige oplysninger til, at Kunden kan sikre sig, at Lund HR overholder de krav, der følger af denne Aftale. Lund HRs forpligtelse i henhold til dette punkt 10.1 er vederlagsfri i det omfang det følger af Lund HR Aftalen eller Aftalens bestemmelser, at disse oplysninger leveres uden yderligere vederlag.
10.2 Kunden, en repræsentant for Kunden eller dennes revision (såvel intern som ekstern) har adgang
til at foretage inspektioner og revision i rimeligt omfang hos Lund HR, med henblik på at konstatere,
at Lund HR overholder de krav, der følger af denne Aftale. Lund HRs forpligtelse i henhold til dette punkt 10.2 er vederlagsfri, i det omfang det følger af Lund HR Aftalen eller Aftalens
bestemmelser, at Lund HR medvirker uden yderligere vederlag i forbindelse med inspektion og
revision.
10.3 Medmindre andet fremgår af Lund HR Aftalen, eller parterne særskilt aftaler udarbejdelse af
anden revisorerklæring, skal Lund HR alene udarbejde og fremsende revisionserklæringer som anført
i Bilag A. Udarbejdelsen af revisionserklæringer som anført i Bilag A sker vederlagsfrit.
11 Ændringer i Databehandleraftalen
11.1 Kunden kan til enhver tid, med et forudgående varsel på mindst 30 dage, foretage ændringer i
Aftalen og instruksen, jf. Bilag A. Ændringsprocessen og omkostningerne aftales skriftligt mellem
Kunden og Lund HR i Lund HR Aftalen. Lund HR skal ved sådanne ændringer uden ugrundet ophold sikre, at underdatabehandlerne tillige forpligtes af ændringerne.
11.2 I det omfang ændringer i lovgivningen, jf. pkt 1.1 og 1.2, eller tilhørende praksis, giver anledning
til dette, er hver part med et varsel på 90 dage berettiget til at foretage ændringer i Aftalen, I det
omfang ændringer i lovgivningen er dækket af et fast vederlag i medfør af Lund HR Aftalen,
modtager Lund HR ikke særskilt betaling herfor.
12 Sletning af data
12.1 Kunden træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af
personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Lund HR
Aftalen.
12.2 Kunden skal senest 30 dage inden Lund HR Aftalen ophør skriftligt meddele Lund HR, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Kunden. I det tilfælde, hvor
personoplysningerne tilbageleveres til Kunden, skal Lund HR ligeledes slette eventuelle kopier. Lund HR skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kundens meddelelse.
13 Misligholdelse og tvistigheder
13.1 Misligholdelse og tvistigheder er reguleret i Lund HR Aftalen.
14 Erstatning og forsikring
14.1 Erstatnings- og forsikringsspørgsmål er reguleret i Lund HR Aftalen.
15 Ikrafttræden og varighed
15.1 Aftalen indgås ved begge parters underskrift og løber indtil ophør af Lund HR Aftalen.
16 Formkrav
16.1 Aftalen foreligger elektronisk hos Lund HR og betragtes som godkendt af kunden ved underskrift af ordrebekræftelsen mellem en Partner i Lund HR og kunden.
Bilag:
Bilag A - Behandling og sikkerhedsforanstaltninger.
Bilag B - Oplysninger om lokationer for behandling.
Bilag C - Anvendte underdatabehandlere.
BILAG A - INSTRUKS OM BEHANDLING AF OPLYSNINGER, TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER I FORBINDELSE HERMED SAMT
ØVRIGE FORHOLD.
Dette bilag er en integreret del af Databehandleraftalen.
1 INSTRUKS
1.1 Beskrivelse og formålet med behandlingen
Lund HR anvender et IT-system, som Kunden tilgår via internettet, og som er hosted og drevet af virksomheden Emply. Lund HR hjælper med at håndtere Kundens proces i forbindelse med ansættelse af fremtidige medarbejdere.
Behandlingen af Kundens oplysninger sker i henhold til formålet i Lund HR Aftalen. Lund HR må ikke anvende oplysningerne til andre formål. Oplysninger må ikke behandles efter instruks fra andre end Kunden.
1.2 Kategorier af registrerede personer
Der behandles oplysninger om følgende kategorier af registrerede personer:
A) Kundens potentielle fremtidige medarbejdere, som søger stillinger hos Kunden via Lund HR
B) Kundens nuværende medarbejdere hvis Kunden indtaster informationer i Lund HR’s system.
1.3 Kategorier af personoplysninger
1. 3.1 Kategorier af personoplysninger
Almindelige personoplysninger (indtil 25. maj 2018, jf. Persondatalovens § 6, fra 25. maj
2018, jf. Databeskyttelsesforordningens artikel 6)
X Almindelige personoplysninger
Følsomme personoplysninger (indtil 25. maj 2018, jf. Persondatalovens § 7, fra 25. maj 2018,
jf. Databeskyttelsesforordningens artikel 9):
X Racemæssig eller etnisk baggrund
X Politisk overbevisning
X Religiøs overbevisning
X Filosofisk overbevisning
X Fagforeningsmæssige tilhørsforhold
X Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v.
X Seksuelle forhold
Oplysninger om enkeltpersoners rent private forhold (indtil 25. maj 2018, jf.
Persondatalovens § 8, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6 og 9):
X Strafbare forhold
X Væsentlige sociale problemer
X Andre rent private forhold, som ikke er nævnt ovenfor:
___________________________________________________________________________
Oplysninger om cpr-nummer (indtil 25. maj 2018, jf. Persondatalovens § 11, fra 25. maj 2018,
eventuelt national lovgivning, jf. Databeskyttelsesforordningens artikel 87)
X CPR-numre
2 TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER
2.1 Lund HR træffer de nedenfor beskrevne tekniske og organisatoriske sikkerhedsforanstaltninger i
forbindelse med behandlingen af personoplysningerne beskrevet i dette Bilag A.
2.2 Lund HR behandler personoplysningerne i overensstemmelse med nærværende Databehandleraftale
og de bestemmelser i henholdsvis persondataloven og databeskyttelsesforordningen, der er
gældende for databehandlere.
2.3 Ansatte og tilknyttede partnere (bilag C) hos Lund HR, der er beskæftiget med behandling af personoplysninger under Databehandleraftalen, er underlagt tavshedspligt. Alene personale, som autoriseres hertil, må have adgang til de personoplysninger, der behandles under Databehandleraftalen. Såfremt det følger af Aftalen, at særlige sikkerhedsgodkendelser er påkrævet for personale, der er
beskæftiget med behandling af Kundens personoplysninger, skal Lund HR sikre, at disse
godkendelser tilvejebringes.
2.4 Lund HR skal sikre, at Lund HRs medarbejdere og tilknyttede partnere modtager tilstrækkelig uddannelse og instruktioner.
2.5 Lund HR har begrænsninger på adgangsrettigheder til personoplysninger og et system til
adgangskontrol. Adgang til personoplysninger er begrænset til medarbejdere, og hvor det er
relevant. Adgang tilbagekaldes, når brugeren ikke længere opfylder kriterierne for at have
adgang. Lund HR varetager autorisation for Lund HRs medarbejdere, partnere og for Kundens medarbejdere.
2.5.1 Adgangsrettigheder gennemgås periodisk.
2.5.2 Lund HR anvender passende logiske autentifikationsmekanismer, eksempelvis adgangskoder,
biometri eller lignende. De anvendte autentifikationsmekanismer lever op til, hvad der kan
opfattes som god skik på området (eksempelvis krav til adgangskoders længde og kompleksitet).
2.6 Lund HR har passende tekniske foranstaltninger til at begrænse risikoen for uautoriseret adgang
og/eller installering af skadelig kode. Sådanne foranstaltninger kan omfatte, firewalls, anti-virus
software og malware-beskyttelse. Lund HR har formelle procedurer til sikring af, at
sikkerhedssystemerne holdes opdaterede.
3 ØVRIGE FORHOLD
3.1 Gældende lovgivning
Lund HRs behandling af personoplysninger er underlagt persondatalovgivningen i Danmark.
3.2 Support
Kunden giver Lund HR ret til at behandle alle relevante personoplysninger i det omfang det er nødvendigt for, at Lund HR kan opfylde de i Lund HR Aftalen fastsatte forpligtelser og andre relaterede opgaver, herunder i nødvendigt omfang i forbindelse med support, udvikling og vedligeholdelse inden for persondatarettens rammer.
BILAG B - OPLYSNINGER OM LOKATIONER FOR BEHANDLING
1. LOKATION(ER) FOR BEHANDUNG
1.1 NiaNet A/S, Ejby Industrivej l, 2600 Glostrup, København, Danmark
BILAG C - ANVENDTE UNDERDATABEHANDLERE
1. ANVENDTE UNDERDATABEHANDLERE
1.1 Til brug for Lund HR behandling af personoplysninger på vegne af Kunden anvendes følgende Underdata behandlere:
Ingen