Kontakt os

Databehandlerpolitik

Nedenstående er 9altitudes Danmarks databehandlerpolitik. Ønskes en underskrevet databehandlerpolitik, bedes du tage kontakt til 9altitudes Danmark.

1. Baggrund og formål

Parterne har aftalt levering af konsulent- og udviklingsydelser fra 9altitudes (herunder 'Databehandleren') til den dataansvarlige kunde (herefter 'Dataansvarlige'), som nærmere beskrevet i Parternes særskilte aftale herom (Leverancevilkår) beskrevet i bilag 1 til denne aftale (”Primær ydelser”).

I den forbindelse behandler Databehandleren personoplysninger på vegne af den Dataansvarlige, hvorfor Databehandler har udformet denne databehandlerpolitik med underliggende bilag.

  1. Databehandlerpolitikken har til formål at sikre, at Databehandleren overholder den ved Leveranceaftalens indgåelse gældende persondataretlige regulering, dvs.:
    1. Persondataloven (lov 2000-05-31 nr. 429 med senere ændringer)
    2. Persondataforordningen (Europaparlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016), når denne får virkning 25. maj 2018.

2. Omfang

1. Databehandleren bemyndiges til at fortage behandling af personoplysninger på den Dataansvarliges vegne på vilkårene fastsat i Databehandlerpolitikken.
2. Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige (”Instruks”). Denne Databehandlerpolitik inkl. bilag udgør Instruksen.
3. Instruksen kan til enhver tid ændres eller konkretiseres nærmere af den Dataansvarlige. Sådanne ændringer foretages i henhold til den mellem Parterne aftalte ændringshåndteringsproces, bestemmelserne i Leverancevilkår samt dertilhørende salgs- & leveringsbetingelser for Konsulent- og udviklingsydelser.
4. Databehandleren må, i det omfang andet ikke følger af Databehandlerpolitikken, benytte alle relevante hjælpemidler, herunder IT-systemer.
5. Databehandleren handler alene efter dokumenteret instruks fra den dataansvarlige. Databehandleren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af den dataansvarliges instruks.

3. Varighed

1. Databehandlerpolitikken gælder indtil enten (a) samarbejdsforhold ophører eller (b) Dataansvarlige indgår en individuel databehandlerpolitik.


4. Databehandlerens forpligtelser

4.1. Tekniske og organisatoriske sikkerhedsforanstaltninger

1. Databehandleren har ansvaret for at gennemføre fornødne (a) tekniske og (b) organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau. Foranstaltningerne skal gennemføres under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammensætning og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Databehandleren skal bl.a. tage kategorien af personoplysninger beskrevet i Bilag 1 i betragtning ved fastlæggelsen af disse foranstaltninger.
2. Databehandleren skal uanset punkt 4.1.1 gennemføre de tekniske og organisatoriske sikkerhedsforanstaltninger som fremgår af (a) bilag 2 til denne Databehandlerpolitik samt (b) Hovedkontrakten.
3. Databehandleren garanterer over for den Dataansvarlige, at Databehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at Databehandlerens behandling af personoplysninger opfylder kravene i den ved indgåelsen gældende persondataretlige regulering.
4. Parterne er enige om, at de afgivne garantier anført i Bilag 2 er tilstrækkelige på tidspunktet for indgåelsen af denne Databehandlerpolitik.

4.2. Medarbejderforhold

1. Databehandleren skal sikre, at medarbejdere, der behandler personoplysninger for Databehandleren, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4.3. Dokumentation for overholdelse af forpligtelser

1. Databehandleren skal på skriftlig anmodning dokumentere over for den Dataansvarlige, at Databehandleren:Overholder sine forpligtelser efter denne Databehandlerpoltik og Instruksen.

  • Overholder bestemmelserne i den til enhver tid gældende persondataretlige regulering, for så vidt angår de personoplysninger, som behandles på den Dataansvarliges vegne
  • Databehandlerens dokumentation heraf skal ske inden rimelig tid.

2. Databehandlerens dokumentation heraf skal ske inden rimelig tid.
3. Det nærmere indhold af forpligtelserne under punkt 4.3.1 er beskrevet i Bilag 3 til denne Databehandlerpolitik.

4.4. Fortegnelse over behandlingsaktiviteter

1. Såfremt Databehandleren i henhold til Persondataforordningen er forpligtet til løbende at føre en fortegnelse over behandlingen af personoplysningerne udarbejdes denne på baggrund af den Dataansvarliges tilsvarende fortegnelse. Hvorvidt en fortegnelse lovpligtigt skal udarbejdes, fremgår af Bilag 1.

4.5. Sikkerhedsbrud

1. Databehandleren skal underrette den Dataansvarlige om brud på persondatasikkerheden, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).
Sikkerhedsbrud skal meddeles til den Dataansvarlige uden unødig forsinkelse.

4.6. Bistand

1. Databehandleren skal i fornødent og rimeligt omfang bistå ved den Dataansvarliges opfyldelse af dennes forpligtelser ved behandling af personoplysningerne, der er omfattet af denne Databehandlerpoltik, herunder ved:

  • besvarelser til registrerede ved udøvelse af disses rettigheder,
  • sikkerhedsbrud,
  • konsekvensanalyser, og
  • forudgående høringer fra tilsynsmyndighederne.

2. Databehandleren har krav på betaling efter medgået tid og forbrugte materialer for bistand i medfør af dette punkt 4.6. Vederlag afregnes i henhold til Databehandlerens standard timepriser, medmindre andre timepriser er aftalt i Leverancevilkår.