Databehandleraftale

Denne Databehandleraftale er indgået mellem Easy LMS B.V. ("Databehandler") og dennes klienter (klienter er den "Dataansvarlige"), for hvem Easy LMS B.V. behandler Personoplysninger som Databehandler;

Herefter hver især en "Part" og samlet "Parterne";

Baggrund:

A. Denne Databehandleraftale udgør en integreret del af Easy LMS' vilkår og betingelser ("Vilkår og Betingelser") samt aftalen mellem Databehandleren og den Dataansvarlige med hensyn til det online learning management system, som Databehandleren tilbyder den Dataansvarlige ("Service(r)");

B. Således den Dataansvarlige og dennes deltagere kan anvende Servicerne, skal Databehandleren behandle Personoplysninger ("Personoplysninger") om den Dataansvarliges medarbejdere og/eller andre deltagere (under ét: "Registrerede"), der anvender det indhold, som den Dataansvarlige har oprettet i Servicerne;

C. Kategorierne af Personoplysninger samt de øvrige detaljer vedrørende Behandlingen af Personoplysningerne er beskrevet i Bilag 1 til denne Databehandleraftale;

D. Den generelle forordning om databeskyttelse (EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF) ("GDPR") finder anvendelse på behandlingen af Personoplysningerne;

E. På grundlag af GDPR er Parterne forpligtet til at indgå denne Databehandleraftale.

1. Definitioner

1.1. Ud over de definerede termer med stort begyndelsesbogstav ovenfor, skal følgende termer med stort begyndelsesbogstav have følgende betydninger:

1.2. “DPA”: en kompetent Databeskyttelsesmyndighed.

1.3. "EØS": Det Europæiske Økonomiske Samarbejdsområde.

1.4. "Brud på Persondatasikkerheden": et brud på sikkerheden, som fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personoplysningerne.

1.5. "Behandling": de behandlingshandlinger, som udføres med Personoplysningerne som defineret i GDPR, herunder uden begrænsning lagring af dem, visning af dem, udsnit af dem, sletning af dem, ændring af dem, videresendelse af dem.

1.6. "Bilag": et bilag til denne Databehandleraftale.

1.7. "Serviceaftale": den aftale, på grundlag af hvilken Servicerne leveres, som kan bestå af Vilkår og Betingelser og/eller en anden type aftale.

1.8. "Underdatabehandler": en tredjepart, som Databehandleren helt eller delvist udliciterer Behandlingen af Personoplysningerne til.

2. Generelle forpligtelser

2.1. Med hensyn til Personoplysningerne træffer Databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre overholdelse af GDPR og beskyttelse af de Registreredes rettigheder.

2.2. Den Dataansvarlige erklærer, at denne overholder GDPR med hensyn til de Personoplysninger, som behandles af Databehandleren. Det er den Dataansvarliges ansvar at overholde den gældende persondatalovgivning med hensyn til de Personoplysninger, som oprettes i eller uploades til Servicen. Dette omfatter uden begrænsning at have et juridisk grundlag for Behandlingen (eksempelvis gyldigt samtykke, hvis det kræves) af Personoplysningerne, at informere de Registrerede om Behandlingen af deres Personoplysninger og at sikre, at de Registrerede har den lovlige alder for indsendelse af deres Personoplysninger, om relevant.

3. Behandling udelukkende efter den Dataansvarliges instruktioner

3.1. Formålet med Databehandlerens Behandling er at gøre det muligt for Databehandleren at levere Servicerne.

3.2. Databehandleren vil kun behandle Personoplysningerne efter den Dataansvarliges skriftlige instrukser, som er de Behandlingsaktiviteter, som er anført i Bilag 1 eller de rimelige instrukser, som den Dataansvarlige på anden måde har givet skriftligt (hvilket kan omfatte via email). Databehandleren må kun Behandle Personoplysningerne uden for den Dataansvarliges instrukser, hvis det er påkrævet for at overholde en gældende retlig forpligtelse. I dette tilfælde gælder artikel 3.3 nedenfor.

3.3. I tilfælde af at Databehandleren bliver retligt forpligtet i henhold til europæisk lovgivning til at videregive nogen af Personoplysningerne, skal Databehandleren straks underrette den Dataansvarlige og underrette det relevante retlige krav, medmindre det retlige krav forbyder Databehandleren at foretage en sådan underretning af hensyn til vigtige samfundsinteresser. Hvis det ikke er forbudt for Databehandleren at underrette den Dataansvarlige, afholder Databehandleren sig fra at videregive Personoplysninger, indtil den Dataansvarlige har taget skridt til at opnå en beskyttelsesordre eller anden passende løsning. Hvis en sådan beskyttelsesordre ikke opnås, skal Databehandleren kun udlevere de Personoplysninger, som den er blevet underrettet om er påkrævet ved rettidig skriftlig meddelelse fra den Dataansvarlige, eller, i mangel af en sådan rettidig meddelelse, vil Databehandleren udlevere de Personoplysninger, som den mener er påkrævet i henhold til det juridiske krav.

3.4. Databehandleren skal underrette den Dataansvarlige, hvis en instruks givet af den Dataansvarlige efter Databehandlerens opfattelse er i strid med GDPR, i hvilket tilfælde Databehandleren ikke behøver at efterkomme instruksen.

4. Assistance til den Dataansvarlige

4.1. Databehandleren skal yde den bistand, som den Dataansvarlige med rimelighed anmoder om til:

(i) under hensyntagen til Behandlingens karakter bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, for så vidt dette er muligt, til at opfylde de af den Dataansvarliges forpligtelser til at besvare de Registreredes anmodninger om udøvelse af deres rettigheder, for så vidt Databehandleren rent faktisk kan gøre dette i lyset af Servicerne. Hvis Databehandleren modtager en anmodning fra en Registreret, videresender den en sådan anmodning til den Dataansvarlige, og den Dataansvarlige håndterer anmodningen yderligere;

(ii) under hensyntagen til Behandlingens art og de oplysninger, som er tilgængelige for Databehandleren, bistå den Dataansvarlige med at overholde den Dataansvarliges forpligtelser vedrørende sikkerhed, anmeldelse af Brud på Persondatasikkerheden (se artikel 5.4), Datatilsynets undersøgelser, konsekvensanalyser vedrørende databeskyttelse og forudgående høring, hvis det er påkrævet.

5. Sikkerhedsforanstaltninger og Brud på Persondatasikkerheden

5.1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og Behandlingens art, omfang, sammenhæng og formål samt risikoen af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, implementerer Databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, som passer til den risiko, som er forbundet med Behandlingen.

5.2. Den Dataansvarlige garanterer, at denne ikke vil bede de Registrerede om at indsende Personoplysninger til Servicen, som betragtes som en særlig kategori eller følsomme Personoplysninger i henhold til gældende lovgivning. Dette vedrører eksempelvis: data relateret til sundhed, religiøs overbevisning, politiske meninger, race, etnisk baggrund, seksuel præference eller adfærd, fagforeningsmedlemskab, straffeattester, biometriske data til identifikationsformål, genetiske data. Servicens sikkerhedsforanstaltninger er ikke egnede til disse typer Personoplysninger.

5.3. Databehandleren har implementeret passende tekniske og organisatoriske foranstaltninger for at sikre, at Personoplysningerne kun kan tilgås af de personer i Databehandlerens organisation, der er nødvendige for at få adgang til dem med henblik på at levere Servicerne, eksempelvis ved at begrænse antallet af personer med adgangsrettigheder.

5.4. Databehandleren stiller på sin hjemmeside oplysninger om sine sikkerhedsforanstaltninger til rådighed. Derudover vil Databehandleren på den Dataansvarliges anmodning indsende en oversigt over de sikkerhedsforanstaltninger, som er på plads på tidspunktet for anmodningen. Den Dataansvarlige kan indsende en sådan anmodning en gang hvert kalenderår, medmindre der er en velbegrundet grund til at indsende anmodningen oftere eksempelvis i tilfælde af et Brud på Persondatasikkerheden.

5.5. Databehandleren skal underrette den Dataansvarlige uden unødig forsinkelse efter at være blevet bekendt med et Brud på Persondatasikkerheden. En sådan meddelelse skal:

(i) indeholde de tilgængelige oplysninger om Bruddet på Persondatasikkerheden, herunder, men ikke begrænset til, en beskrivelse af Bruddet på Persondatasikkerheden, årsagen hertil, kategorierne, arten og (den anslåede) mængde af berørte Personoplysninger og Registrerede samt omfanget af Bruddet på Persondatasikkerheden;

(ii) forklare effekten af Bruddet på Persondatasikkerheden for den Dataansvarlige og de relevante Registrerede;

(iii) forklare de korrigerende foranstaltninger, som er truffet eller skal træffes af Databehandleren, den Dataansvarlige og/eller de Registrerede, og tidsrammen for gennemførelsen af sådanne foranstaltninger.

5.6. Databehandleren vil yde det samarbejde, som den Dataansvarlige med rimelighed anmoder om, og fremlægge de oplysninger, som er inden for dennes kontrol, i forbindelse med anmeldelse af Bruddet på Persondatasikkerheden til Databeskyttelsesmyndighed og, hvis det er relevant, til de Registrerede.

5.7. Databehandleren kan ikke pålægges at anmelde et Brud på Persondatasikkerheden til Datatilsynet eller til de Registrerede, medmindre Databehandleren udtrykkeligt indvilliger i at gøre dette skriftligt i tilfælde af et specifikt Brud på Persondatasikkerheden.

5.8. For at kunne anvende Servicerne skal den Dataansvarlige anvende loginoplysninger for at få adgang til sin konto. Den Dataansvarlige skal opbevare disse logindoplysninger sikkert og fortroligt, da disse giver adgang til Personoplysningerne. Det er også den Dataansvarliges ansvar at sikre, at de Registrerede, der bruger Servicerne, holder deres egne loginoplysninger sikre og fortrolige, da disse giver adgang til deres egne Personoplysninger.

6. Fortrolighed

6.1. Databehandleren skal tage hensyn til fortrolighed med hensyn til Personoplysningerne.

6.2. Med hensyn til ovenstående må Databehandleren:

(i) ikke videregive Personoplysningerne til tredjepart, medmindre dette udtrykkeligt er tilladt i denne Databehandleraftale;

(ii) har implementeret passende tekniske og organisatoriske foranstaltninger for at sikre, at enhver person med adgang til Personoplysningerne, informeres om og er bundet af fortrolighed.

7. Underdatabehandlere

7.1. Databehandleren anvender Underdatabehandlere, der behandler Personoplysningerne. På den Dataansvarliges anmodning vil Databehandleren fremsende Underdatabehandlernes navne og placeringer. Hvis Databehandleren har til hensigt at ansætte en anden eller yderligere Underdatabehandlere til at behandle Personoplysningerne, skal Databehandleren underrette den Dataansvarlige herom på forhånd, herunder startdatoen for Underdatabehandlerens Behandlingsaktiviteter. Den Dataansvarlige kan gøre indsigelse mod ændringen eller tilføjelsen inden for syv (7) arbejdsdage efter meddelelsen. Hvis Behandlingen af Personoplysningerne ikke påvirkes negativt af en sådan ændring eller tilføjelse, vil den Dataansvarlige ikke med rimelighed gøre indsigelse, så Databehandleren kan fortsætte med at tilbyde Servicerne. Hvis den Dataansvarlige gør rettidig indsigelse, og Databehandleren ikke kan ændre Servicerne for at imødekomme den Dataansvarliges indsigelse inden for fjorten (14) dage efter en sådan indsigelse, kan den Dataansvarlige og/eller Databehandleren opsige Servicerne og Serviceaftalen, og Databehandleren skal refundere de gebyrer, som den Dataansvarlige har betalt forud, om nogen, for den resterende abonnementsperiode, hvor Servicen er ophørt. Per startdatoen for den nye Underdatabehandlers Behandlingsaktiviteter vil Bilag 2 blive opdateret (eller anses for opdateret) med de meddelte oplysninger om den nye Underdatabehandler; hvis dette er en Underdatabehandler, der behandler Personoplysninger uden for EØS, gælder artikel 8 også.

7.2. Databehandleren sikrer, at Underdatabehandlere:

(i) erklærer at have implementeret passende tekniske og organisatoriske foranstaltninger for at sikre overholdelse af GDPR og beskyttelse af de Registreredes rettigheder;

(ii) er bundet skriftligt til at overholde de samme forpligtelser som fastsat i denne Databehandleraftale, som er relevante i forhold til Underdatabehandlerens Behandlingsaktiviteter.

7.3. For at undgå tvivl: Hvis den Dataansvarlige anvender funktionalitet gennem Servicerne, hvor der skabes forbindelse til servicer, som tilbydes den Dataansvarlige af tredjeparter, er sådanne tredjeparter ikke Databehandlerens Underdatabehandlere; den Dataansvarlige har et direkte juridisk forhold til sådanne tredjeparter. Eksempelvis kan disse tredjeparter være sociale medieplatforme, emailudbydere og den Dataansvarliges serviceudbydere, hvor den Dataansvarlige har sin egen konto, der modtager data ved hjælp af integrationer i platformen.

8. Eksport af data (overførsel uden for EØS)

8.1. Databehandleren overfører Personoplysninger til det land eller de lande (om nogen), som anført i Bilag 2.

8.2. Databehandleren sikrer, at de lande eller parter, hvor Personoplysningerne overføres til, tilbyder et tilstrækkeligt beskyttelsesniveau. I mangel af dette, hvis den Dataansvarliges samarbejde er påkrævet, accepterer den Dataansvarlige at yde det samarbejde, som Databehandleren anmoder om, for at arrangere en af de overførselsmekanismer, som er fastsat i GDPR for overførsel til et sådant land uden et tilstrækkeligt beskyttelsesniveau, i hvilket tilfælde Databehandleren og/eller Underdatabehandleren, om nødvendigt, implementerer supplerende foranstaltninger for at beskytte Personoplysningerne.

9. Rapportering, revisionsrettigheder

9.1. Databehandleren giver den Dataansvarlige adgang til sin administration på de Vilkår og Betingelser, som er fastsat i denne artikel, således den Dataansvarlige kan føre tilsyn med Databehandlerens overholdelse af Vilkår og Betingelser i denne Databehandleraftale. Databehandleren giver ikke den Dataansvarlige adgang til Personoplysninger om andre Registrerede end de Registrerede.

9.2. Den Dataansvarlige kan udpege en tredjepart til at udføre revisionen. Den Dataansvarlige vil i så fald sikre, at tredjeparten er forpligtet til at holde Databehandlerens oplysninger, som tredjeparten har adgang til i forbindelse med revisionen, fortrolige og ikke videregive disse til nogen tredjepart.

9.3. Den Dataansvarlige må ikke gøre brug af sine revisionsrettigheder i henhold til denne bestemmelse mere end én gang per kalenderår. Den Dataansvarlige underretter Databehandleren mindst to uger før revisionen for at give Databehandleren mulighed for at forberede sig på den.

9.4. Hvis revisionen viser, at Databehandleren ikke overholder sine forpligtelser i henhold til denne Databehandleraftale, skal Databehandleren træffe de foranstaltninger, som den Dataansvarlige med rimelighed kan kræve for at overholde disse forpligtelser.

10. Løbetid og opsigelse

10.1. Denne Databehandlingsaftale skal have samme løbetid som Serviceaftalen. Denne Databehandleraftale ophører derfor, når Serviceaftalen ophører.

10.2. Hvis Serviceaftalen ikke giver mulighed for opsigelse heraf - og dermed efterfølgende af denne Databehandleraftale - gælder følgende opsigelsesgrunde: Hver Part er berettiget til at opsige denne Databehandleraftale for fremtiden, uden forpligtelse til at betale erstatning, i tilfælde:

(i) Den anden Part ansøger om konkursbeskyttelse, eller dette begæres af en tredjepart;

(ii) Den anden Part ansøger om eller får bevilget betalingsstandsning;

(iii) Den anden Part anmoder om insolvensbehandling eller lignende procedurer i henhold til gældende lovgivning, eller der udpeges en kurator for den;

(iv) Den anden Part ophører med at drive sin virksomhed.

10.3. Parterne kan til enhver tid i fællesskab beslutte at opsige denne Databehandleraftale ved skriftlig aftale.

11. Assistance ved opsigelse

11.1. Databehandleren vil behandle Personoplysningerne under den Dataansvarliges brug af Servicerne.

11.2. Den Dataansvarlige skal sikre, at denne har uddraget og slettet Personoplysningerne fra sin konto, inden Serviceaftalen opsiges. Hvis Databehandleren spærrer den Dataansvarliges konto på grund af manglende overholdelse af Serviceaftalen, vil Databehandleren på den Dataansvarliges anmodning, som skal fremsættes inden for en periode på ti (10) dage efter, at kontoen blev spærret, og efter betaling af eventuelle gebyrer, som stadig skal betales i henhold til Serviceaftalen, udlevere Personoplysningerne til den Dataansvarlige eller efter Databehandlerens skøn give den Dataansvarlige adgang til sin konto i en periode på tre (3) dage udelukkende for at udtrække og slette Personoplysningerne. Hvis den Dataansvarlige efter disse perioder ikke har slettet Personoplysningerne, forbeholder Databehandleren sig ret til ensidigt at gøre dette og vil slette Personoplysningerne efter to (2) år, medmindre Databehandleren i henhold til gældende lovgivning er forpligtet til at opbevare visse Personoplysninger. I sidstnævnte tilfælde sletter Databehandleren Personoplysningerne, når den lovbestemte opbevaringsperiode er udløbet.

12. Diverse

12.1. Bestemmelserne i Serviceaftalen gælder for Behandlingen af Personoplysningerne og har forrang med hensyn til de klausuler, som ikke vedrører databeskyttelse såsom ansvar. Hvis Serviceaftalen indeholder databeskyttelsesbestemmelser, har denne Databehandleraftale forrang for sådanne bestemmelser.

12.2. Hvis Databehandlerens aktiviteter i forbindelse med denne Databehandleraftale overstiger Databehandlerens normale aktiviteter for Servicerne, er Databehandleren berettiget til en rimelig kompensation baseret på Databehandlerens normale honorar på det pågældende tidspunkt. Databehandleren vil give en specifikation af den fakturerede kompensation.

12.3. Denne Databehandleraftale kan ændres eller modificeres af Databehandleren i henhold til bestemmelserne i Serviceaftalen.

12.4. Hvis en bestemmelse i denne Databehandleraftale erklæres ugyldig eller ikke kan håndhæves af en kompetent domstol, skal en sådan afgørelse på ingen måde påvirke gyldigheden eller håndhævelsen af nogen anden bestemmelse heri, og denne Databehandleraftale skal fortolkes, som om et sådant vilkår eller en sådan bestemmelse ikke var inkluderet i den.

12.5. Betragtningerne under "Baggrund" samt Bilagene udgør en integreret del af denne Databehandleraftale.

13. Gældende lov, tvistbilæggelse

13.1. Denne Databehandleraftale er udelukkende underlagt hollandsk lovgivning, med undtagelse af dens konfliktlove.

13.2. Tvistbilæggelsesklausulen i Serviceaftalen gælder for eventuelle tvister, der opstår mellem parterne.

BILAG 1 – Information Oplysninger om Databehandlingen

1. Beskrivelse af Servicerne og Behandlingsaktiviteterne:

Serviceart: online learning management system.

Behandlingsaktiviteter: opbevaring, adgang, ændring og sletning på den Dataansvarliges anmodning.

2. Kategorier af Personoplysninger:

Den Dataansvarlige kan vælge de typer af Personoplysninger, der anmodes om fra de Registrerede, eksempelvis:

navn
telefonnummer
jobtitel
køn
Fødselsdato
vejnavn
postnummer
by
land
medarbejder-ID
Den Registreredes svar på spørgsmål med fri tekst
Den Registreredes svar på dropdown-spørgsmål

De Registrerede har også selv mulighed for at oprette Personoplysninger som et resultat af tilgang til og anvendelse af indholdet oprettet af den Dataansvarlige i Easy LMS platformen såsom:

testresultater
eksamensresultater
kommentarer tilføjet i systemet
certifikater

Den Dataansvarlige må ikke bede de Registrerede om at indsende særlige kategorier af Personoplysninger eller uploade sådanne Personoplysninger, som vedrører: oplysninger om helbred, religiøs overbevisning, politiske holdninger, race, etnisk baggrund, seksuel præference eller adfærd, fagforeningsmedlemskab, straffeattester, biometriske data til identifikationsformål, genetiske data.

BILAG 2 – Underdatabehandlere

Personoplysningerne overføres til følgende Underdatabehandlere:

Underdatabehandlere
Underdatabehandler	Land	Land uden for EØS uden et tilstrækkeligt beskyttelsesniveau?:	Overførselsmekanisme / passende sikkerhedsforanstaltninger:
Amazon Web Services (AWS) (hosting og emailservicer)	Tyskland	Nej, EØS-land	Ikke relevant
Intercom (support-chat)	Irland	Nej, EØS-land	Ikke relevant

Dette Bilag anses for at være opdateret efter meddelelse om ændringerne i henhold til artikel 7.1.