Handelsbetingelser
Handelsbetingelser
1. Definitioner
Kunden
Kunden er den juridiske person, der i kontrakten er angivet som aftalepart.
Leverandøren
Leverandøren er SkoleRo ApS
Parterne
Partnerne forstås som Kunden og Leverandøren. Part angiver at det er én af disse.
Kontrakt
Kontrakt(en) forstås som denne Kontrakt med tilhørende bilag, tillæg og alle senere ændringer.
Løsningen
Løsningen er et samlet udtryk der beskriver de softwareapplikationer, som Leverandøren leverer ti Kunden for at opfylde Kontrakten.
Bruger
Bruger er den fagperson og/eller voksne som anvender af Løsningen.
Klient
Klient(en/erne) er de personer (borgere, børn og unge) som deltager i Brugerens anvendelse af Løsningen.
Ydelser
Løsningen og Indledende ydelser
2. Baggrund og Formål
Løsningen er et system designet til at understøtte Kunden deres mistrivselsindsat som skyldes fysiske eller mentale helbredsudfordringer for brugeren og klienten samt til at dokumentere brugerens og/eller klientens fremdrift. Leverandøren stiller Løsningen til rådighed, herunder udvikle, drifte, administrere, vedligeholde og supportere denne for den dataansvarlige, mod betaling af aftalte vederlag jf. Tilbud i Bilag 1 og eventuelle tilkøbte ydelser jf. Bilag 1 og Bilag 2. Denne Kontrakt regulerer Leverandørens og Kundens rettigheder og forpligtelser vedrørende levering af Ydelserne.
3. Ydelser
Leverandøren skal levere Ydelserne som angivet i Tilbuddet, jf. Bilag 1, og i overensstemmelse med denne Kontrakt.
Leverandøren skal levere Indledende Ydelser tilknyttet Løsningen i overensstemmelse med Bilag 1. Det overordnede formål med de Indledende Ydelser er at sikre, at Kunden kan benytte Løsningen fra det aftalte tidspunkt, jf. punkt 2.
Leverandøren skal levere Løbende Ydelser, herunder tilknyttede og/eller integrerede ydelser, som forudsat i Bilag 1.
Leverandøren skal, i det omfang disse ikke er inkluderet i de Indledende Ydelser eller i de Løbende Ydelser, jf. Bilag 1, levere Bestillingsydelser i relation til Løsningen.
Bestillingsydelser skal, på Kundens anmodning, leveres i overensstemmelse med det aftalte, og til de timepriser, som er anført Bilag 2. Bestillingsydelser er timebaserede ydelser. Leverandøren skal på Kundens anmodning fremlægge et estimat over den tid, der skal bruges på en Bestillingsydelse. Bestillingsydelsen kan påbegyndes, når Kunden har godkendt estimatet. Leverandøren er forpligtet til at opretholde en kvalificeret viden om Løsningen. Leverandøren er endvidere forpligtet til udelukkende at benytte kvalificerede underdatabehandlere. Leverandøren sikre et beredskab og en supportorganisation, der gør det muligt at levere en god og stabil drift af Løsningen, en kvalificeret support, samt overholdelse af de aftalte servicemål i Bilag 4. Leverandøren foretager dagligt backup af Løsningen og Kundens data. Det påhviler Leverandøren at sikre, at back up kopier opbevares sikkert og forsvarligt.
4. Levering
4.1 Leveringstidspunkt
Ydelserne anses for leveret når Ydelserne er gjort tilgængelige for Kunden.
4.2 Ansvar
Leverandøren har det totale ansvar for at levere Ydelserne. Leverandøren skal foretage enhver handling og levere enhver service, der er et naturligt eller nødvendigt led i leveringen af Ydelserne, uanset om den relevante handling eller service konkret er nævnt i Kontrakten.
4.3 Leveringssted
Ydelserne leveres via internettet som en software-as-a-service-ydelse (SaaS). Indledende Ydelser og kan leveres eksternt, f.eks. via fjernadgang, telefon, e-mail eller chat, i overensstemmelse med Bilag 2, medmindre andet fremgår af en skriftlig aftale mellem Parterne.
4.4 Tidsplan
Leverandøren skal levere Ydelserne fra Kontraktens indgåelse. Leverandøren skal levere Ydelserne i overensstemmelse med Kundens tidsplan eller det konkret aftalte, jf. Bilag 1.
5. Kundeansvar
Det er kundens ansvar at have internetadgang og løsning samt WIFI der er nødvendigt for at anvende Løsningen. Leverandøren anbefaler at Kunden har en 100Mbit internetløsning.
5.1 Superbruger
Ved køb af abonnement til flere Brugere udpeger Kunden en Superbruger, som selv varetager de øvrige brugeroprettelser og administration af adgangsrettigheder til Løsningen.
5.2 Support
Kunden varetager selv førstehåndshenvendedelser om support overfor Kundens Brugere af Løsningen, så kun kvalificerede henvendelser videresendes til Leverandøren.
Ved fejlrettelser og problemafhjælpning skal Kunden sørge for, at fejlen/problemet er tilstrækkeligt dokumenteret, så Leverandøren mest effektivt kan igangsætte problemafhjælpningen/fejlrettelsen. Dokumentationen skal bl.a. Indeholde en beskrivelse af hændelser/forhold, som førte til problemet/fejltilstanden, selve problemet/fejltilstanden, gerne inkl. screen dumps, logfiler, udskrifter m.m., samt fejlkonsekvenserne (reproducerbarhed, nedsat funktionalitet, følgefejl m.m.).
Kunden er forpligtet til selv at udpege Superbrugere, samt at vedligeholde en liste over Superbrugere i Kundens førstehåndshenvendelser om support. Det er Kundens ansvar at sikre sig, at Leverandøren altid er udstyret med en opdateret liste, således at Leverandøren kan sende eventuelle supportopgaver tilbage til Superbrugere, skulle Brugere henvende sig direkte til Leverandøren.
Fejlrapportering skal ske til info@skolero.dk, via chatfunktion eller telefon. Akutsituationer skal rapporteres til telefon +45 24 79 61 72.
6. Samarbejdsorganisation
Med henblik på levering af Ydelserne og for at fremme det nødvendige samarbejde skal Parterne deltage loyalt i den aftalte samarbejdsorganisation. Kommunikation skal gå gennem personerne og kontaktinformationerne anført i Bilag 5.
6.1 Meddelelse
Hvor der i Kontrakten stilles krav om skriftlig meddelelse, skal der benyttes anbefalet brev eller e-mail stilet til Kunden eller Leverandøren på de i Kontraktens Bilag 5 anførte adresser. Andre typer meddelelser er ikke at betragte som ”skriftlige meddelelser” i henhold til Kontrakten.
7. Immaterielle rettigheder
Kunden har alle rettigheder til alle data, som Kunden overlader til Leverandøren. Leverandøren må ikke anvende Kundens data til andet end opfyldelse af Kontrakten. Leverandøren kan kun benytte Kundens data vedrørende brugen af Løsningen med det formål at forbedre Ydelserne og under den betingelse, at data anonymiseres. Leverandøren anerkender, at data i henhold til denne bestemmelse betragtes som Kundens fortrolige oplysninger. Der sker ingen overdragelse af immaterielle rettigheder til Kunden.
Alt materiale, der forefindes på Leverandørens webside og software, tilhører Leverandøren. Det gælder både designs, tekster, funktionalitet og helhedsindtryk. Såfremt du ønsker at citere eller på anden måde omtale Leverandøren, bedes du forudgående anmode Leverandøren om skriftlig tilladelse. Alt data og information, der afgives fra leverandørens software, dog med undtagelse af Kundens data, der er omfattet af Databehandleraftalen, tilhører leverandøren og må beholdes, så længe det er i overensstemmelse med gældende lovgivning. Kunden er ikke berettiget til at anvende Løsningen efter Kontraktens udløb eller ophør, ej heller printet eller på anden måde gemt materiale.
Medmindre det er nødvendigt for Kundens anvendelse af Løsningen, i overensstemmelse med Kontrakten og den forudsatte brug, er Kunden ikke berettiget til at foretage kopiering eller ændre i Løsningen eller gøre løsningen tilgængelig for andre. Leverandøren indestår for, at Løsningen ikke krænker tredje mands rettigheder og skal friholde Kunden for krav fra tredjemand.
Kunden indestår for, at det materiale, der uploades, ikke krænker tredjemands rettigheder og ikke indeholder materiale, der kan virke stødende eller er i strid med relevant lovgivning eller anden regulering.
8. Bistand ved ophør, tilbageholdelsesret og sletning af data
I tilfælde af Kontraktens ophør, uanset årsag, skal Leverandøren bistå Kunden med udlevering af Kundens data fra Løsningen i op til 90 dage efter ophør. Leverandøren er berettiget til betaling herfor efter dokumenteret medgået tid og i henhold til priserne i Bilag 2. Leverandøren er på intet tidspunkt berettiget til at tilbageholde Kundens data. Leverandørenskal på anfordring udlevere alt der tilhører Kunden og er i Leverandørens besiddelse. Udlevering skal ske selvom Kunden måtte være i påstået eller aktuel misligholdelse, samt uanset art og omfang af en sådan misligholdelse. Udlevering og sletning af persondata reguleres i indgåede Databehandleraftale.
Hvor andet ikke er konkret aftalt med Kunden, skal Leverandøren i forbindelse med Kontraktens ophør, så hurtigt dette er praktisk muligt efter udlevering til Kunden, slette enhver kopi af Kundens data, herunder sletning i alle bagvedliggende databaser.
9. Vederlag
Betalingsbetingelserne er netto 30 dage fra fakturadatoen. Betalingen sker via fremsendelse af faktura. Der fremsendes én faktura pr. kontraktperiode, hvoraf en kontraktperiode er minimum 12 måneder.
Til offentlige kunder sendes faktura elektronisk (EAN).
Leverandøren er berettiget til vederlag for levering af Ydelserne i overensstemmelse med priserne i Bilag 4.
Vederlag for anvendelse af Løsningen kan ikke kræves refunderet i tilfælde af Kontraktens ophævelse.
Forsinkede betalinger forrentes med rentelovens sats. Undlader Kunden at betale et skyldigt vederlag vedrørende Løsningen trods forudgående skriftligt påkrav på mindst 10 dage, er Leverandøren endvidere berettiget til at lukke for Kundens adgang til Løsningen indtil betaling har fundet sted og/eller efter Leverandøren vælger at ophæve Kontrakten uden yderligere varsel pga. misligholdelse. Dog kan Kunden afværge en sådan lukning/ophævelse ved at deponere det krævede beløb i et anerkendt pengeinstitut.
Prisen for brugsretten og det årlige abonnement reguleres i overensstemmelse med nettoprisindekset hvert år med virkning pr. 1. januar. Leverandør kan i tillæg til ovenstående og med 90 dages varsel regulere priserne baseret på uforudset udvikling i Leverandørens driftsomkostninger, som ikke skyldes Leverandørens forhold. Prisreguleringen gives først virkning ved næstkommende fakturering.
10. Overdragelse
En Part kan med den anden Parts skriftlige samtykke overdrage sine rettigheder og forpligtelser efter Kontrakten til tredjemand.
Leverandøren er med Kundens samtykke berettiget til at benytte underleverandører, som led i Kontraktens opfyldelse. Leverandøren hæfter overfor Kunden for underleverandørens ydelser, på samme måde som for egne ydelser.
11. Varighed og opsigelse
Denne Kontrakt træder i kraft på datoen for den seneste underskrift, jf. punkt 15, og varer i minimum 12 måneder, og kan forlænges eller fornyes med 12 måneder ad gangen. Den aktuelle varighed fremgår af Bilag 1. Begge Parter kan opsige aftalen ved udgangen af en 12 måneders periode. Opsigelsen skal være Leverandøren eller Kunden skriftligt i hænde inden den 15. i første kalendermåned i en ny 12 måneders abonnementsperiode.
Såfremt en af Parterne væsentligt misligholder Kontrakten, og misligholdelsen ikke er afhjulpet senest 14 dage efter modtagelse af påkrav herom fra den ikke-misligholdende Part, er den ikke-misligholdende Part berettiget til at ophæve Kontrakten uden yderligere varsel. I tilfælde af en Parts væsentlige misligholdelse gælder dansk rets almindelige regler herom. Ophævelse kan alene ske med virkning for fremtiden (”ex nunc”).
12. Persondata
Leverandøren er forpligtet til at sikre, at den til enhver tid gældende persondatalovgivning i Danmark overholdes, for nuværende særligt Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen). Leverandøren er herunder endvidere forpligtet til at efterleve supplerende dansk lovgivning til databeskyttelsesforordningen, herunder lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
Leverandøren er ikke ansvarlig for at sikre, at Kunden overholder Kundens egne forpligtelser i henhold til gældende lov, herunder som dataansvarlig.
Såfremt Leverandørens udførelse af Ydelserne under Kontrakten indebærer behandling af persondata, skal Parterne indgå en databehandleraftale som overholder den til enhver tid gældende persondatalovgivning.
13. Ændringer
Kontrakten kan kun ændres ved skriftlig aftale mellem Parterne. Ændringer til Kontrakten nummereres fortløbende.
14. Fortolkning
Bestemmelser i udbudsmaterialet, i leverandørens tilbud, i forudgående korrespondance eller lignende, der ikke er gentaget i denne Kontrakt, kan ikke efterfølgende påberåbes som fortolkningsgrundlag.
15. Ansvarsbegrænsning
Leverandøren bestræber sig på at sikre, at Løsningen understøtter et Klientforløb, som er baseret på et dokumenteret videnskabeligt grundlag. Leverandøren er dog ikke ansvarlig for behandlingen, herunder hvorledes Kunden eller Brugerne anvender Løsningen i forhold til Klienten.
Materialet i Løsningen er ikke en erstatning for, men ment som et supplement til, professionel rådgivning og/eller indsats. Leverandøren kan på ingen måde drages til ansvar for, direkte eller indirekte, nogen skader eller gener, der måtte være konsekvensen af brugen eller misbrugen af materialet i Løsningen.
Leverandøren fraskriver sig alt ansvar for ethvert mulig krav, som måtte opstå ved brugen eller misbrugen af indholdet i Løsningen.
Parterne er ansvarlige efter dansk rets almindelige regler. Ingen af Parterne er dog ansvarlig for den anden Parts direkte eller indirekte tab eller følgeskader, herunder driftstab, tab af forventet indtjening, tab af avance eller tab af goodwill.
Leverandørens samlede erstatningsansvar for tab eller skade kan i intet tilfælde overskride et beløb, der svarer til Kundens abonnementsbetaling og løbende betalinger i medfør af Kontrakten for de seneste 12 måneder regnet fra kravets stiftelse.
16. Force Majeure
Ingen af Parterne skal i henhold til Kontrakten anses for ansvarlig overfor den anden part, for så vidt angår forhold, der ligger udenfor Parternes kontrol, og som Parten ikke ved Kontraktens indgåelse burde have taget i betragtning og ej heller burde have undgået eller overvundet.
17. Tvistigheder
Nærværende kontrakt er undergivet dansk ret.
Såfremt der opstår en uoverensstemmelse mellem Parterne i forbindelse med nærværende Kontrakt, skal Parterne med en positiv, samarbejdende og ansvarlig holdning søge at indlede forhandlinger med henblik på at løse tvisten. Om nødvendigt skal forhandlingerne søges løftet op på højt plan i Parternes organisationer.
Når det i andet afsnit beskrevne har været forsøgt, er hver af Parterne berettiget til at begære konflikten løst ved retten. Værneting i 1. instans er Københavns byret.
Bilag 1 Tilbud
Kontrakt mellem
Kundens Navn
Adresse 1
Adresse 2
CVR
Herefter kunden
OG
SkoleRo ApS
Lundebakken 9
6715 Esbjerg N
CVR 45136639
Herefter Leverandøren
Bilag 2 Øvrige priser
Standard priser
Akut support uden for supportaftale 1.500 kr./time
Yderligere implementeringsstøtte – online 800 kr./time
Yderligere implementeringsstøtte – fysisk 1.500 kr./time
Faglig undervisning og Foredrag inkl. forberedelse – online 2.200 kr./time
Faglig undervisning og Foredrag inkl. forberedelse – fysisk 3.400 kr./time
Transport opgjort i tid inkl. benzin og afgifter 500 kr./time
Konsulentbistand ift. udtræk af data fra platformen 1.500 kr./time
Alle priser er inklusiv moms.
Prisoversigt for gældende tilbud
Nedenstående priser er korrigeret i henhold til Kundens tilbud fra SkoleRo ApS.
Akut support uden for supportaftale 1.000 kr./time
Yderligere implementeringsstøtte – online 500 kr./time
Yderligere implementeringsstøtte – fysisk 1.000 kr./time
Faglig undervisning og Foredrag inkl. forberedelse – online 1.500 kr./time
Faglig undervisning og Foredrag inkl. forberedelse – fysisk 2.800 kr./time
Transport opgjort i tid inkl. benzin og afgifter 500 kr./time
Konsulentbistand ift. udtræk af data fra platformen 800 kr./time
Alle priser er inklusiv moms.
Bilag 3 Systembeskrivelse
Teknisk dokumentation og beskrivelse af SkoleRo ApS Løsningen.
1 Formålsbeskrivelse
SkoleRo fremmer fagpersoner og voksnes trivsel for at de kan fremme børn og unges trivsel der fører til bedre livsvilkår gennem en digital trivselsplatform, også kendt som en SaaS-løsning.
1.2 SkoleRos digitale trivselsplatform
SkoleRos digitale trivselsplatform understøtter fagpersoner og voksne med redskaber og viden til at optimere arbejdsprocesser for en lettere integration i praksis af trivselsindsatser.
SkoleRos digitale platform rummer alsidige redskaber til at planlægge og integrere forebyggende mistrivselsindsatser over for klienten og sig selv (Brugeren). Nedenfor er vist et diagram som viser Løsningens hovedfunktioner.
Figur 1 Diagram over hovedfunktioner i SkoleRos platform
2 Et typisk brug af SkoleRo
Brugeren deltager i et obligatorisk certificeringskursus inden Brugeren må anvende Løsningen. Brugeren opretter sig på platformen. Brugeren anvender det digitale planlægningsredskab og eller finder inspiration og materialer til en præventiv mistrivselsindsats til klienterne. Brugeren måler hver 14. dag sin egen trivsel og klienternes trivsel på gruppeniveau for at vurdere om der skal ske en mere målrettet mistrivselsindsats. Brugeren kan deltage valgfrit ved live webinarer eller se dem senere for at få ny viden og inspiration til aktuelle begivenheder i samfundet som kan påvirke mistrivsel. Brugeren anvender VoksenRo på ugentlig basis til at øge egen fysiske og mentale sundhed. Brugeren deltager videndeler og sparrer med fagfæller i det Faglige Netværk som er en online chatfunktion. Brugeren kan tilgå platformen via computer, tablet eller smartphone.
3 Sådan køber Kunden ind på Skolero
Kunden køber adgang til Løsningen via et 12 måneders abonnement. Abonnementet købes per institution/skole/kommune/virksomhed/uddannelsesinstitution. Abonnementet må ikke deles med tredje part med mindre andet er beskrevet i samarbejdsaftalen.
Der er én Superbruger til hvert domæne. Flere Brugere kan have adgang på samme domæne.
Superbrugeren kan oprette nye Brugere og administrere adgange. Det købte abonnement giver adgang til alle fagpersoner, ledelse og primære voksne tilknyttet Klienterne. Er Klienten over 18 år, har Klientens primære voksne ikke adgang medmindre andet er aftalt. De primære voksne får adgang gennem Klientens mail/profil i det pågældende system.
Leverandøren kan til enhver tid kontrollere korrekt brug af Løsningen. Det er Kundens ansvar at Løsningen anvendes korrekt i henhold til Kontrakten. Hvis Løsningen anvendes af Brugere til flere klienter end aftalt i Kontrakten, vil Leverandøren opjustere prisen på abonnementet med tilbagevirkende kraft i det aftalte abonnement. Hvis Kunden ønsker at opjustere antallet af klienter som Brugerne skal servicere med Løsningen, kan SkoleRo kontaktes på: info@skolero.dk eller telefn 24796172.
4 Funktionalitet
På de følgende linjer, vil I kunne se de funktioner som vil blive implementeret i forbindelse med dette tilbud
• Administrator (Systemejer)
Det er SkoleRo ApS der er systemejer, og som kan udstede domæner, licens og opretter administratorbrugeren (Superbrugeren) for Kunden. SkoleRo ApS bistår Superbrugeren med hjælp ved henvendelser om teknik.
• Administrator (Tenant)
Kunden udvælger en administrator som Superbruger. Det er denne som har rettighed til at administrere og rette adgang til Brugere på det tilknyttede domæne. Brugeren skal altid kontakte Superbrugeren ved teknik spørgsmål inden Leverandøren kontaktes.
Administratoren kan nulstille adgangskoder for Brugeren samt deaktivere og genaktivere Brugerprofiler. Er kontoen inaktiv skal Brugeren kontakte Administratoren med henblik på at få sin brugerprofil genaktiveret.
Administratoren kan redigere i eksisterende Brugeres e-mailadresse og telefonnummer. Administratoren kan redigere egen e-mailadresse, telefonnummer og adgangskode.
• Brugere
Fagpersoner og voksne oprettes som Brugere af Superbrugeren. Det er er Brugeren der anvender Løsningen i praksis. En Bruger kan ikke oprette nye Brugere. En Bruger kan redigere sin adgangskode og uploade sit profilbillede. En Bruger kan anvende Løsningen som aftalt i Kontrakten. Brugeren har retten til at blive glemt, og slette sin egen brugerprofil jf. GDPR.
• Klienter
Klienter er borgere, børn, unge og voksne. Det er muligt hvis og afhænger af aftalegrundlaget at hvis klienten over 18 år kan der oprettes en selvstændig brugerprofil af Superbrugeren, og Klienten overgår til en Brugerrolle. Er Klienten under 18 år kan der oprettes en Brugerprofil til dennes værge, det afhænger af aftalegrundlaget. Klienten har retten til at blive glemt, og slette sin egen brugerprofil jf. GDPR.
5 Domæner
Hver organisation får tildelt sit eget domæne under SkoleRo. Det er kun Superbrugeren og udvalgte Brugere tilknyttet det enkelte domæne som har adgang til gemte data på domænet. Leverandøren kan til enhver tid se og hente data fra domænet.
5.1 Teknisk overblik
Figur 2 Teknisk opbygning af SkoleRo Platformen
SkoleRo platformen er opbygget omkring en MYSQL-database. Back end er udviklet i ASP.NET Core som understøttes af Microsoft. Front end er udviklet i React som danner framework for SkoleRo platformen.
5.2 Hosting
SkoleRos back end, database og hjemmeside inkl. backup er hostet af Microsoft Azure. Systemet er opsat på Linux servere, og hostes i Nordtyskland.
5.3 Internethastighed
SkoleRo anbefaler en internethastighed på minimum 100Mbit. Kunden er selv ansvarlig for at have internetadgang og wi-fi til rådighed som understøtter Løsningen.
6 Platformen
6.1 Sikkerhed
Platformens Brugere kan sikkerhedsunderstøttes af to-faktor login.
6.2 Login
Når en Bruger bliver oprettet, bliver adgangskoden sendt til Brugerens angivne e-mailadresse. Brugernavnet er det samme som Brugerens e-mailadresse. Brugeren kan selv ændre sin adgangskode og opfordres til at ændre den efter første login og løbende.
Hvis adgangskoden bortkommer, kan den nulstilles ved at trykke på ”Glemt adgangskode?”. Brugeren får tilsendt et link til at danne ny adgangskode til Brugerens e-mail. Superbrugeren kan også̊ kontaktes for at nulstille adgangskoden.
Bilag 4 Support
1. Beskrivelse
Kunden udvælger en Superbruger som er Brugernes første kontakt i forbindelse med support af adgangskode, oprettelse, anvendelse af Løsningen, ændring i brugerprofil, ændring af klientprofil.
SuperBrugeren udvælger og sender supporthenvendelser videre til Leverandøren. Det er SuperBrugeren der har kontakten med Leverandøren.
Leverandørens support kan kontaktes hverdage mellem 7.00-17.00
På mail i hele tidsrummet 7.00-17.00
Chatfunktion 8.00-15.00
Telefontid 9.00-12.30
Akut kontakt som f.eks. overtrædelses af GDPR eller hacking SKAL Leverandøren kontaktes på akuttelefon: + 45 24 79 61 72. Er en akut opstået fejl opstået på baggrund af Kundens handlinger, så vil Kunden bliver faktureret for udbedring med en timepris som angivet i Bilag 1.
1.2 Opdateringer
Leverandøren informerer Kunden senest 5 dage inden en planlagt opdatering i Løsningen.
1.3 Supportaftale
Supportaftalen mellem Kunden og Leverandører indebærer
• Fejlrettelse
• Teknisk brug af SkoleRo platform – Kunden skal se introduktionsvideo til platformen
1.4 Servicedesk
Supporthenvendelser som Leverandøren kan løse via telefon, mail eller chat indgår ikke i nedenstående:
1.4.1 Kritisk support/fejl: Leverandøren skal påbegynde fejlrettelse senest 1 time efter bekræftet modtagelse af henvendelse
1.4.2 Betydelig support/fejl: Leverandøren skal påbegynde fejlrettelse senest 2 timer efter bekræftet modtagelse af henvendelse
1.4.3 Fejl der forhindrer brug af Løsningen: Leverandøren skal påbegynde fejlrettelse senest 2 timer efter bekræftet modtagelse af henvendelse
1.4.4 Fejl/forstyrrelser der ikke påvirker brug af Løsningen: Leverandøren skal påbegynde fejlrettelse senest 1 døgn efter bekræftet modtagelse af henvendelse
Henvendelser til Servicedesk uden for supporttid som angivet i afsnit 1. Beskrivelse, påregnes starttidspunktet den førstkomne arbejdsdag herefter bortset fra Akut tilfælde som ikke skyldes Kunden. Akut tilfælde som ikke skyldes kunden vil Leverandøren påbegyndes fejlrettelse senest 1 time efter modtagelse af henvendelse. Løsningen opdateres hver nat.
Bilag 5 Kontaktinformationer
Kunden
Kundens Navn:
Vej og husnummer:
Postnummer og by:
Telefonnummer:
Mail:
CVR:
Kontaktperson (Superbruger)
Navn:
Telefonnummer:
Mail:
Leverandør
SkoleRo ApS
Lundebakken 9
6715 Esbjerg N
+45 24 79 61 72
Mail: info@skolero.dk
CVR 45136639
SkoleRo Kontaktperson
Navn: Line Juncher Lysdahlgaard
+45 24 79 61 72
Mail: info@skolero.dk
Bilag 6 Abonnementsvilkår
Generelle abonnementsvilkår
Nedenstående vilkår gælder, hvis du tilmelder dig SkoleRo årsabonnment ved SkoleRo ApS. Som kunde har du adgang til de fordele, som fremgår af tilbuddet. SkoleRo ApS Handels- og leveringsbetingelser gælder også for dig som medlem.
Abonnementets prisniveau, fordele, indhold vil til enhver tid fremgå af hjemmesiden https://skolero.dk/. Køber du et abonnement ændres prisen for dit årsabonnement ikke, selvom nye abonnenter betaler en højere pris.
Du har adgang til Løsningen, så længe du er omfattet af et aktivt abonnement.
Tilmelder du dig SkoleRo årsabonnement, er der tale om en abonnementsaftale, der løber indtil den opsiges. Der er ingen binding, og aftalen kan opsiges efter det indgåede abonnement i aftalegrundlaget.
Opsigelse af abonnement
Opsigelse af SkoleRo årsabonnement skal ske til: info@skolero.dk. Ved opsigelse ved abonnementsaftalen ikke blive fornyet. Opsigelse skal ske inden den 15. i første måned i et nyt årsabonnement, herefter vil Kunden være forpligtet til at betale årsabonnementet. Ved opsigelse vil Kunden blive kontaktet af Leverandøren med henblik på at sikre en god offboarding og sende et spørgeskema som hjælper Leverandøren til at udvikle Løsningen.
Ved opsigelse slettes data i henhold til Kontraktens aftalegrundlag.
Cookiepolitik hos SkoleRo ApS
Introduktion
Når du besøger vores website indsamles der oplysninger om dig, som bruges til at tilpasse og forbedre vores indhold og til at øge værdien af de annoncer, der vises på siden. Hvis du ikke ønsker, at der indsamles oplysninger, bør du slette dine cookies (se vejledning) og undlade videre brug af websitet. Nedenfor har vi uddybet, hvilke informationer der indsamles, deres formål og hvilke tredjeparter, der har adgang til dem.
Cookies
Websitet anvender "cookies", der er en tekstfil, som gemmes på din computer, mobil el. tilsvarende med det formål at genkende den, huske indstillinger, udføre statistik og målrette annoncer. Cookies kan ikke indeholde skadelig kode som f.eks. virus.
Det er muligt at slette eller blokere for cookies. Se vejledning: http://minecookies.org/cookiehandtering
Hvis du sletter eller blokerer cookies vil annoncer kunne blive mindre relevante for dig og optræde hyppigere. Du kan desuden risikere at websitet ikke fungerer optimalt samt at der er indhold, du ikke kan få adgang til.
SkoleRo ApSs privatlivspolitik
Dataansvarlig
SkoleRo ApS er dataansvarlig for behandlingen af de personoplysninger, som vi behandler om vores kunder og samarbejdspartnere. Du finder vores kontaktoplysninger nedenfor.
SkoleRo ApS
Lundebakken 9, 6715 Esbjerg N
CVR-nr.: 45136639
Kontakt: info@skolero.dk
Vores behandling af persondata sker i overensstemmelse med gældende lovgivning om personoplysninger, herunder data¬beskyttelsesloven.
Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person. Det vil sige, at det er alle former for oplysninger, der direkte eller indirekte kan knytte sig til en person.
Formålene med behandlingen af dine personoplysninger
SkoleRo ApS behandler dine oplysninger til følgende formål:
Henvendelser
Når du henvender dig via hjemmesidens kontaktformular og chat, e-mail, sociale medier, eller telefon. Vi behandler kun den information, som du giver os i forbindelse med vores kommunikation.
Vi vil typisk behandle følgende almindelige oplysninger: navn, email, telefonnummer.
Vores hjemmel til at behandle disse personoplysninger afhænger af formålet med behandlingen. Når vi svarer på dine spørgsmål, så er vores hjemmel Databeskyttelsesforordningen artikel 6, stk. 1 litra f), og “Når du er kunde hos os”, så er hjemlen databeskyttelsesforordningen artikel 6, stk. 1 litra b).
Vi sletter vores gemte kommunikation med dig senest et ½ år efter vores seneste kontakt. Dette er gældende i almindelighed.
Skulle der i et særligt tilfælde opstå et behov for at opbevare dine personoplysninger i længere tid, så vil dette kunne være tilfældet.
Deltagelse i kursus, workshops, seminarer, uddannelse online eller fysisk
Gennemførelse af kursus, workshops, seminarer, uddannelse online eller fysisk
Når du deltager i et kursus hos os, så bliver vi nødt til at behandle nogle oplysninger om dig for at kunne passe vores forpligtigelser. Dette indebærer, at vi behandler følgende almindelige personoplysninger: navn, virksomhed, CVR-nummer, e-mail, telefonnummer, betalingsoplysninger.
I det omfang, at vi behandler personoplysninger om vores kursister, så er vores hjemmel hertil den aftale, som vi indgår jf. databeskyttelsesforordningen artikel 6, stk. 1 litra b).
Vi behandler personoplysningerne indtil det øjeblik, at kunderelationen ophører. Herefter, så vil vi slette personoplysninger når evt. udestående er afsluttet, hvilket typisk vil være cirka 1 måned efter at relationen er ophørt.
Dog er vi forpligtiget til at opbevare regnskabsbilag i minimum 5 år efter senest aflagte årsregnskab.
Før og efter deltagelsen
Når du tilmelder dig SkoleRo, så vil vi bede dig om at besvare et spørgeskema, så vi kan blive klogere på hvad dine ønsker og forventninger er. Ligeledes vil vi bede dig om at besvare et spørgeskema, så vi kan bruge dine erfaringer til at gøre SkoleRo bedre til fremtiden. Det er frivilligt at besvare disse spørgeskemaer, og hjemlen for at behandle personoplysninger i denne kontekst er derfor dit samtykke jf. databeskyttelsesforordningen artikel 6, stk. 1 litra a.
Når relationen er ophørt, så vil oplysningerne blive slettet umiddelbart efter, og så snart at kurset er evalueret.
Tilmeldelse af Nyhedsbrev
Vi har et nyhedsbrev, som det er frivilligt at tilmelde sig – og du kan altid framelde dig dette igen.
Formålet med nyhedsbrevet er at sende de tilmeldte mails med ny information fra SkoleRo, som kan omhandle ny viden, annoncering af vores ydelser, samt lignende markedsføring af vores forretning.
Vi vil gøre vores bedste for, at du har en god oplevelse ved at være tilmeldt vores nyhedsbrev.
Vi vil kun sende dig mails, hvis du har givet dit aktive samtykke til dette.
Det kræver i første omgang, at du angiver din e-mailadresse, som vi efterfølgende sender en mail til, således at du kan bekræfte tilmeldingen. På denne måde, så sikrer vi, at du rent faktisk selv har tilmeldt dig nyhedsbrevet dvs. afgivet aktivt samtykke.
Det er muligt for os at se via nyhedsbrevssystemet mailchimp, hvis du klikker på et link eller har læst vores nyhedsbrev.
Vores hjemmel til at behandle dine personoplysninger i forbindelse med nyhedsbrevet vil være databeskyttelsesforordningens artikel 6, stk. 1 litra a.
Vi vil behandle dine personoplysninger (e-mailadresse), så længe at du stadig er tilmeldt nyhedsbrevet. Ved afmeldelse af nyhedsbrevet, så stopper vi også med at sende dette til dig. Har vi ikke sendt dig et nyhedsbrev i 1 år, så bortfalder dit samtykke som følge af vores passivitet.
Ved framelding af nyhedsbrevet, så gemmer vi dit nu tidligere samtykke i 2 år efter, at det senest er anvendt pga. forældelseskrav jf. Forbrugerombudsmandens spamvejledning afsnit 11.3.
Når du tilmelder dig vores gratis webinar om trivsel
Vi tilbyder løbende gratis trivselswebinarer for fagpersoner og forældre, som det er frivilligt at tilmelde sig, og som altid kan frameldes igen, hvor der sendes link til at gense eller lytte til gratis webinar via e-mail.
Formålet med gratis webinar er at oplyse om SkoleRos trivselsfremme for fagpersoner, forældre og ledere i et struktureret forløb. Der kan også indgå reklame for vores andre services-
Vi vil kun sende dig mails som muliggør deltagelse, hvis du har givet dit aktive samtykke til dette.
Det kræver i første omgang, at du angiver din mailadresse, som vi efterfølgende sender en mail til, således at du kan bekræfte tilmeldingen. På denne måde, så sikrer vi, at du rent faktisk selv har tilmeldt dig nyhedsbrevet dvs. afgivet aktivt samtykke.
Det er muligt for os at se via nyhedsbrevssystemet mailchimp, hvis du klikker på et link eller har læst vores nyhedsbrev.
Vores hjemmel til at behandle dine personoplysninger i forbindelse med gratis webinar vil være databeskyttelsesforordningens artikel 6, stk. 1 litra a “samtykke”.
Vi vil behandle dine personoplysninger, så længe at du stadig er tilmeldt gratis webinar. Ved framelding af gratis webinar, så stopper vi også med at sende dette til dig. Har du fået tilsendt mails om gratis webinar i 1 år, så bortfalder dit samtykke hertil, som følge af vores passivitet.
Ved framelding af gratis webinar, så gemmer vi dit nu tidligere samtykke i 2 år som dokumentation efter, at det senest er anvendt pga. forældelseskrav jf. Forbrugerombudsmandens spamvejledning afsnit 11.3 (ja, reglerne er lidt indviklede på dette område).
Når du besøger SkoleRos hjemmeside
Se mere om hvordan vi anvender cookies i vores cookiepolitik. Anvendelse af cookies sker med hjemmel i cookiebekendtgørelsen.
Vi har eksterne leverandører (og databehandlere) til at udføre opgaver på vegne af os.Det er vores ansvar at sikre, at dine personoplysninger behandles ordentligt. Derfor stiller vi høje krav til vores samarbejdspartnere, og vores partnere skal garantere, at dine personoplysninger er beskyttet.
Vi indgår aftaler herom med alle samarbejdspartnere og leverandører, der håndterer personoplysninger på vores vegne for at højne sikkerheden af dine personoplysninger.
Videregivelse af personoplysninger
Vi videregiver ikke personoplysninger.
Tredjelande
Dine personoplysninger behandles hos os. Vi gør dog også brug af leverandører, som er både selvstændigt dataansvarlige og databehandlere.
Vi har pligt til at oplyse dig, som vi behandler personoplysninger på vegne af, om at data kan blive overført til tredjelande.
Behandlingssikkerhed
Vi behandler dine personoplysninger ifølge databeskyttelseslovgivningen, samt lovgivning på virksomhedens forretningsområde.
Det er afgørende for os, at passe godt på vores kunders oplysninger. Derfor har vi implementeret tekniske og organisatoriske foranstaltninger, så vi kan efterleve vores dataansvar.
Tekniske og organisatoriske foranstaltninger
Mennesker begår fejl, og derfor uddanner vi alle medarbejdere i vores retningslinjer for god databehandlingsskik for at mindske antallet af fejl, og for at skabe løbende forbedringer i vores databehandling. Herudover har vi indført en it-sikkerhedspoltitik, som sætter retningen for virksomhedens overordnede sikkerhed.
Vi har indført adgangsbegrænsninger, så medarbejdere kun har adgang til personoplysninger, hvis dette er relevant for deres arbejdsfunktion.
Vi vil løbende vurdere behovet for at anvende kryptering eller pseudonymisering af personlige oplysninger, som et risikobegrænsende initiativ.
For at sikre vores data, så anvender vi antivirusprogrammer, fornyer vores adgangskoder jævnligt, opdaterer vores systemer, og så holder vi løbende ajour med it-udviklingen, så vi kan sikre os mod sårbare it-systemer og aktuelle it-trusler.
Dine rettigheder
Du har efter databeskyttelsesforordningen en række rettigheder i forhold til vores behandling af oplysninger om dig.
Hvis du vil gøre brug af dine rettigheder, skal du kontakte os via e-mail info@skolero.dk.
Du har ret til at få indsigt i de oplysninger, som vi behandler om dig, samt en række yderligere oplysninger.
Du har ret til at få urigtige oplysninger om dig selv rettet.
I særlige tilfælde har du ret til at få slettet oplysninger om dig, inden tidspunktet for vores almindelige generelle sletning indtræffer.
Du har i visse tilfælde ret til at få behandlingen af dine personoplysninger begrænset. Hvis du har ret til at få begrænset behandlingen, må vi fremover kun behandle oplysningerne – bortset fra opbevaring – med dit samtykke, eller med henblik på at retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en person eller vigtige samfundsinteresser.
Du har i visse tilfælde ret til at gøre indsigelse mod vores ellers lovlige behandling af dine personoplysninger. Du kan også gøre indsigelse mod behandling af dine oplysninger til direkte markedsføring.
Du har i visse tilfælde ret til at modtage dine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format samt at få overført disse personoplysninger fra én dataansvarlig til en anden uden hindring.
Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du finder på www.datatilsynet.dk.
Du har ret til at indgive en klage til Datatilsynet, hvis du er utilfreds med den måde, vi behandler dine personoplysninger på. Du finder Datatilsynets kontaktoplysninger på www.datatilsynet.dk.
Vi vil generelt opfordre dig til at læse mere om disse regler og den nye persondataforordning.
SkoleRo's Håndtering af GDPR Overtrædelser
Indledning
SkoleRo er dybt engageret i at beskytte personoplysninger og overholde GDPR-reglerne. I tilfælde af en GDPR-overtrædelse har vi etableret klare procedurer for at reagere hurtigt og effektivt for at minimere skaden og sikre, at sådanne hændelser ikke gentager sig.
1. Identifikation og vurdering af overtrædelsen
• Opmærksomhed på hændelsen: Enhver medarbejder eller bruger, der bliver opmærksom på en potentiel overtrædelse, skal straks rapportere det til SkoleRo's databeskyttelsesansvarlige.
• Initial vurdering: Den databeskyttelsesansvarlige vurderer omgående hændelsens omfang og natur for at fastslå, om der er sket en faktisk overtrædelse af GDPR.
2. Indberetning af overtrædelsen
• Indberetning: Hvis det fastslås, at der er sket en overtrædelse, der kan udgøre en risiko for de berørte personers rettigheder og friheder, indberetter SkoleRo hændelsen til relevante myndigheder, Datatilsynet, hurtigst muligt.
• Berørte personer: Hvis overtrædelsen sandsynligvis medfører en høj risiko for de berørtes rettigheder og friheder, informerer SkoleRo de berørte personer uden unødig forsinkelse. Informationen vil indeholde klare oplysninger om overtrædelsen og anbefalinger til, hvordan de kan beskytte sig selv.
3. Afhjælpende foranstaltninger
• Øjeblikkelige handlinger: SkoleRo vil straks iværksætte foranstaltninger for at begrænse skaden, herunder, men ikke begrænset til isolering af berørte systemer, ændring af adgangskoder, og blokering af uautoriseret adgang.
• Langsigtede tiltag: Efter den umiddelbare reaktion, vil SkoleRo gennemføre en dybdegående analyse for at identificere årsagen til overtrædelsen og implementere langsigtede tiltag for at forhindre lignende hændelser i fremtiden. Dette kan inkludere forbedring af tekniske sikkerhedsforanstaltninger og yderligere træning af medarbejdere.
4. Dokumentation og rapportering
• Intern dokumentation: SkoleRo dokumenterer alle GDPR-overtrædelser, herunder fakta om hændelsen, dens virkninger og de afhjælpende foranstaltninger, der er truffet. Denne dokumentation er vigtig både for intern læring og for at kunne demonstrere overholdelse af GDPR.
• Rapport til ledelsen: En detaljeret rapport om overtrædelsen og de trufne foranstaltninger fremlægges for SkoleRo's ledelse for at sikre, at alle niveauer af organisationen er opmærksomme og involverede i databeskyttelsesprocesserne.
5. Læring og forbedring
• Efterhændelsesanalyse: Efter at overtrædelsen er håndteret, gennemfører SkoleRo en grundig evaluering for at lære af hændelsen. Dette inkluderer en vurdering af, om de eksisterende sikkerhedsforanstaltninger er tilstrækkelige og om der er behov for yderligere forbedringer.
• Opdatering af politikker: Baseret på evalueringen vil SkoleRo opdatere sine GDPR-politikker og procedurer for at sikre, at de forbliver effektive og aktuelle i forhold til nye trusler og teknologiske udviklinger.
Afslutning
SkoleRo tager GDPR-overtrædelser meget alvorligt og er forpligtet til at reagere hurtigt og effektivt på enhver sådan hændelse. Vores mål er at beskytte vores brugeres personoplysninger og sikre, at vores processer og procedurer altid overholder de højeste standarder for databeskyttelse.
Privatlivspolitik SkoleRo Platform
Dataetik
Løsningen drives og ejes af SkoleRo ApS.
Løsningen er målrettet at fremme trivsel der giver bedre vilkår:
• Kommunal: institutioner, grundskoler, ansatte
• Stat: ungdomsuddannelser, professionshøjskoler, handelshøjskoler, universiteter, ministerier, styrelser
• Privat: institutioner, skoler, virksomheder
Det er kun muligt at få adgang til Løsningen når der er indgået en Kontrakt mellem Kunden og Leverandøren, herunder en abonnementsaftale og en databehandleraftale.
SkoleRo ApS er Databehandler i abonnementsaftalen, og håndterer Kundens data, også de personhenførbare oplysninger, i henhold til gældende persondatalovgivning.
Kunden er Dataansvarlig for samtlige oplysninger, også personhenførbare, som Brugerne indsamler, anvender og opbevarer i Løsningen.
1.2 Dataetisk ansvar
SkoleRo ApS driver og udvikler en digital løsning, fordi vi ønsker at fremme trivsel som giver bedre vilkår, herunder også at fagpersoner og voksne kan hjælpe og udvikle børn og unges fysiske og mentale sundhed. I SkoleRo ApS behandler vi derfor data, også personhenførbare data, på en ansvarlig måde. Der er ingen overvågning, profilering eller algoritmer til at forudsige eller begrænse Brugerens/Klientens muligheder eller handlinger. SkoleRo platformen er en selvstændig digital platform som ikke er integreret med andre systemer.
1.3 Konstruktiv anvendelser
I SkoleRo ApS anvender vi kun Kundens data i henhold til de indgåede abonnements- og databehandleraftale.
Kunden bliver tilbudt et introduktionskursus til korrekt brug af Løsningen og har en videoguide samt en Superbruger til at hjælpe sig med brug af Løsningen. Det er obligatorisk for udvalgte Brugere at deltage i et certificeringskursus inden der gives adgang til Løsningen, dette afhænger af de indgåede abonnementsvilkår i Kontrakten.
Kunden bliver informeret om deres pligt som dataansvarlig.
Dataformål
SkoleRo ApS drives af et ønske om at alle oplever glæden ved livet, at de har de bedste redskaber med til at klare sig fysisk og mentalt godt for at klare sig fagligt godt, og opnå bedre livsvilkår.
SkoleRo ApS er udviklet i samarbejde med fagpersoner for at indfri det ønske.
Enhver institution, skole, arbejdsplads både offentlig og privat har brug for at kende til brugernes fysiske og mentale sundhed for at målrette indsatser der fremmer trivsel. Det er grundlaget for at anvende en digital trivselsløsning som forebygger mistrivsel, og er i overensstemmelse med gældende privatlivslovgivning.
2.1 Samtykke
Samtykke kan anvendes som behandlingsgrundlag, når der ikke er andet grundlag for behandlingen jf. gældende regler i Datatilsynets vejledning om brug af samtykke.
Kunden har som dataansvarlig oplysningspligt over for klienten og brugeren vedrørende samtlige personhenførbare oplysninger, som de registrerer, det vil sige indsamling, behandling og opbevaring af oplysninger, både som hardcopy og softcopy.
Databeskyttelse
SkoleRo ApS tager sine forhåndsregler for god håndtering af persondata både som dataansvarlig og databehandler. Vi vurderer og tilpasser løbende sikkerhedsforanstaltninger for at begrænse risici mod uautoriseret eller ulovlig behandling, hændeligt tab, tilintetgørelse eller beskadigelse af personoplysninger.
3.1 Revisorerklæring
SkoleRo ApS for årligt foretaget ekstern revision af virksomhedens tekniske og organisatoriske sikkerhedsniveau. Erklæringen er gældende i henhold til ISAE-standard. Første erklæring udarbejdes ultimo 2025. Den seneste erklæring er tilgængelig på SkoleRo ApS hjemmeside.
3.2 Databeskyttelse – Kunden som dataansvarlig
SkoleRo ApS har udarbejdet en liste med punkter som skal opfyldes for at hjælpe kunden (dataansvarlig) til at leve op til god databeskyttelse. SkoleRo ApS fraskriver sig dog al ansvar for databeskyttelse som er placeret ved kunden.
• SkoleRo ApS udarbejder en databehandleraftale i forlængelse af abonnementskontrakten. Det gælder også kunder som deltager i en prøveperiode, de skal også indgå i en databehandleraftale.
• Kunden bør foretage følgende personværns analyser:
o DPIA/Konsekvensanalyse (Personværn-konsekvensanalyse)
o ROS-analyse (Teknisk analyse)
o Informationsmateriale til Brugeren/Klienten
Onboarding arbejdsplads, institution, skole, uddannelsesstart
Information kan findes på platformens bibliotek
Kunden får information til eget intranet/hjemmeside
o Oplæring af brugere – videomanual
Databehandleraftale
i henhold til artikel 28, stk. 3, i forordning 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger
mellem
[NAVN]
CVR [CVR-NR]
[ADRESSE]
[POSTNUMMER OG BY]
[LAND]
herefter ”den dataansvarlige”
og
[NAVN]
CVR [CVR-NR]
[ADRESSE]
[POSTNUMMER OG BY]
[LAND]
herefter ”databehandleren”
der hver især er en ”part” og sammen udgør ”parterne”
HAR AFTALT følgende standardkontraktsbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder
Præambel
1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.
2. Disse bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).
3. I forbindelse med leveringen af [TJENESTE] behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.
4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
5. Der hører fire bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige har godkendt brugen af.
8. Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
9. Bilag D indeholder bestemmelser vedrørende andre aktiviteter, som ikke af omfattet af Bestemmelserne.
10. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
11. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.
Den dataansvarliges rettigheder og forpligtelser
1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.
3. Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.
Databehandleren handler efter instruks
1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.
2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
[NOTE: PARTERNE BØR FORUDSE OG OVERVEJE KONSEKVENSERNE, DER KAN FØLGE AF EN POTENTIELT ULOVLIG INSTUKS, SOM DEN DATAANSVARLIGE HAR GIVET OG REGULERE DETTE I EN AFTALE MELLEM PARTERNE.]
Fortrolighed
1. Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
2. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
Behandling
Behandlingssikkerhed
1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.
Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
a. Pseudonymisering og kryptering af personoplysninger
b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
2. Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
Anvendelse af underdatabehandlere
1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2, og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden forudgående [VALG 1] specifik skriftlig godkendelse / [VALG 2] generel skriftlig godkendelse fra den dataansvarlige.
3. [VALG 1 FORUDGÅENDE SPECIFIK GODKENDELSE] Databehandleren må kun gøre brug af underdatabehandlere med den dataansvarliges forudgående specifikke skriftlige godkendelse. Databehandleren skal indgive anmodningen om en specifik godkendelse mindst [ANGIV TIDSPERIODE] inden anvendelsen af den pågældende underdatabehandler. Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B.
[VALG 2 FORUDGÅENDE GENEREL GODKENDELSE] Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst [ANGIV TIDSPERIODE] varsel og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e). Længere varsel for underretning i forbindelse med specifikke behandlingsaktiviteter kan angives i bilag B. Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B.
4. Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen.
Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes – efter den dataansvarliges anmodning herom – i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
6. [VALGFRI] Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige som begunstiget tredjemand, således at den dataansvarlige i tilfælde af at databehandleren faktisk eller retligt set er ophørt med at eksistere eller i tilfælde af databehandlerens konkurs, har ret til at opsige underdatabehandleraftalen og instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
7. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den dataansvarlige og databehandleren, herunder underdatabehandleren.
Overførsel til tredjelande eller internationale organisationer
1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
3. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser:
a. overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
b. overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
c. behandle personoplysningerne i et tredjeland
4. Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.
5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
Bistand til den dataansvarlige
1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III.
Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
a. oplysningspligten ved indsamling af personoplysninger hos den registrerede
b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede
c. indsigtsretten
d. retten til berigtigelse
e. retten til sletning (”retten til at blive glemt”)
f. retten til begrænsning af behandling
g. underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
h. retten til dataportabilitet
i. retten til indsigelse
j. retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering
2. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6.3., bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med:
a. den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, [ANGIV KOMPETENT TILSYNSMYNDIGHED], medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
b. den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder
c. den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
d. den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, [ANGIV KOMPETENT TILSYNSMYNDIGHED], inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
3. Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 9.1. og 9.2.
Underretning om brud på persondatasikkerheden
1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest [ANTAL TIMER] efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
3. I overensstemmelse med Bestemmelse 9.2.a skal databehandleren bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:
a. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
b. de sandsynlige konsekvenser af bruddet på persondatasikkerheden
c. de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
4. Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
Sletning og returnering af oplysninger
1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er databehandleren forpligtet til at [VALG 1] slette alle personoplysninger, der er blevet behandlet på vegne af den dataansvarlige og bekræfte over for den dataansvarlig, at oplysningerne er slettet / [VALG 2] tilbagelevere alle personoplysningerne og slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.
2. [HVIS RELEVANT] Følgende regler i EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne efter ophør af tjenesterne vedrørende behandling af personoplysninger:
a. […]
Databehandleren forpligter sig til alene at behandle personoplysningerne til de(t) formål, i den periode og under de betingelser, som disse regler foreskriver.
Revision, herunder inspektion
1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmeret angivet i Bilag C.7. og C.8.
3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivningen har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
Parternes aftale om andre forhold
1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behandling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelsesforordningen.
Ikrafttræden og ophør
1. Bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.
2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.
3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.
4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstemmelse med Bestemmelse 11.1 og Bilag C.4, kan Bestemmelserne opsiges med skriftlig varsel af begge parter.
5. Underskrift
På vegne af den dataansvarlige
Navn [NAVN]
Stilling [STILLING]
Telefonnummer [TELEFONNUMMER]
E-mail [E-MAIL]
Underskrift
På vegne af databehandleren
Navn [NAVN]
Stilling [STILLING]
Telefonnummer [TELEFONNUMMER]
E-mail [E-MAIL]
Underskrift
Kontaktpersoner hos den dataansvarlige og databehandleren
1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner.
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner.
Navn [NAVN]
Stilling [STILLING]
Telefonnummer [TELEFONNUMMER]
E-mail [E-MAIL]
Navn [NAVN]
Stilling [STILLING]
Telefonnummer [TELEFONNUMMER]
E-mail [E-MAIL]
Bilag A Oplysninger om behandlingen
[BEMÆRK: I TILFÆLDE AF FLERE BEHANDLINGSAKTIVITETER, SKAL DISSE OPLYSNINGER FREMGÅ FOR HVER ENKELT BEHANDLINGSAKTIVITET]
A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige
[BESKRIV FORMÅLET MED BEHANDLINGEN]
A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen)
[BESKRIV KARAKTEREN AF BEHANDLINGEN]
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
[BESKRIV TYPEN AF PERSONOPLYSNINGER DER BEHANDLES]
[EKSEMPELVIS]
”Navn, e-mailadresse, telefonnummer, adresse, personnummer, betalingskortoplysninger, medlemsnummer, type af medlemskab, fremmøde i fitnesscenter og tilmelding til konkrete fitnesshold.”
[BEMÆRK: BESKRIVELSEN BØR VÆRE SÅ SPECIFIK SOM MULIGT, OG UNDER ALLE OMSTÆNDIGHEDER, SKAL TYPEN AF PERSONOPLYSNINGER PRÆCISERES YDERLIGERE END BLOT ”PERSONOPLYSNINGER SOM DEFINERET I DATABESKYTTELSESFORORDNINGENS ARTIKEL 4, NR. 1” ELLER HVILKEN KATEGORI AF OPLYSNINGER (”ARTIKEL 6, 9 ELLER 10”) DER BEHANDLES.]
A.4. Behandlingen omfatter følgende kategorier af registrerede
[BESKRIV KATEGORIERNE AF REGISTREREDE]
A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed
[BESKRIV VARIGHEDEN AF BEHANDLINGEN]
Bilag B Underdatabehandlere
B.1. Godkendte underdatabehandlere
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere
NAVN CVR ADRESSE BESKRIVELSE AF BEHANDLING
Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet. Databehandleren må ikke – uden den dataansvarliges skriftlige godkendelse – gøre brug af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.
B.2. Varsel for godkendelse af underdatabehandlere
[VALGFRIT] [HVIS RELEVANT, BESKRIV VARSLINGSPERIODEN FOR GODKENDELSE AF UNDERDATABEHANDLER]
Bilag C Instruks vedrørende behandling af personoplysninger
C.1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
[BESKRIV BEHANDLINGEN, SOM DATABEHANDLEREN INSTRUERES I AT FORETAGE]
C.2. Behandlingssikkerhed
Sikkerhedsniveauet skal afspejle:
[BESKRIV – UNDER HENSYNTAGEN TIL BEHANDLINGENS KARAKTER, OMFANG, SAMMEHÆNG OG FORMÅL SAMT RISICIENE AF VARIERENDE SANDDSYNLIGHED OG ALVOR FOR FYSISKE PERSONERS RETTIGHEDER OG FRIHEDSRETTIGHEDER – ELEMENTERNE, SOM ER AFGØRENDE FOR SIKKERHEDSNIVEAUET]
[EKSEMPELVIS]
”BEHANDLINGEN OMFATTER EN STØRRE MÆNGDE PERSONOPLYSNINGER OMFATTET AF DATABESKYTTELSESFORORDNINGENS ARTIKEL 9 OM ”SÆRLIGE KATEGORIER AF PERSONOPLYSNINGER”, HVORFOR DER SKAL ETABLERES ET ”HØJT” SIKKERHEDSNIVEAU.”]
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau.
Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige:
[BESKRIV KRAVENE TIL PSEUDONYMISERING OG KRYPTERING AF PERSONOPLYSNINGER]
[BESKRIV KRAVENE VEDRØRENDE EVNEN TIL AT SIKRE VEDVARENDE FORTROLIGHED, INTEGRITET, TILGÆNGELIGHED OG ROBUSTHED AF BEHANDLINGSSYSTEMER OG –TJENESTER]
[BESKRIV KRAVENE VEDRØRENDE EVNEN TIL RETTIDIGT AT GENOPRETTE TILGÆNGELIGHEDEN AF OG ADGANGEN TIL PERSONOPLYSNINGER I TILFÆLDE AF EN FYSISK ELLER TEKNISK HÆNDELSE]
[BESKRIV KRAVENE VEDRØRENDE PROCEDURER FOR REGELMÆSSIG AFPRØVNING, VURDERING OG EVALUERING AF EFFEKTIVITETEN AF DE TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER TIL SIKRING AF BEHANDLINGSSIKKERHEDEN]
[BESKRIV KRAVENE VEDRØRENDE ADGANG TIL OPLYSNINGERNE VIA INTERNETTET]
[BESKRIV KRAVENE VEDRØRENDE BESKYTTELSE AF OPLYSNINGER UNDER TRANSMISSION]
[BESKRIV KRAVENE VEDRØRENDE BESKYTTELSE AF OPLYSNINGER UNDER OPBEVARING]
[BESKRIV KRAVENE VEDRØRENDE FYSISK SIKRING AF LOKALITETER, HVOR DER BEHANDLES OPLYSNINGER]
[BESKRIV KRAVENE VEDRØRENDE ANVENDELSE AF HJEMME-/FJERNARBEJDSPLADSER]
[BESKRIV KRAVENE VEDRØRENDE LOGNING]
C.3 Bistand til den dataansvarlige
Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med Bestemmelse 9.1 og 9.2 ved at gennemføre følgende tekniske og organisatoriske foranstaltninger:
[BESKRIV OMFANG OG UDSTRÆKNING AF BISTANDEN SOM SKAL YDES AF DATABEHANDLEREN]
[BESKRIV DE SPECIFIKKE TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER SOM DATABEHANDLEREN SKAL GENNEMFØRE MED HENBLIK PÅ AT BISTÅ DEN DATAANSVARLIGE]
C.4 Opbevaringsperiode/sletterutine
[BESKRIV EVENTUEL OPBEVARINGSPERIODE/SLETTERUTINE FOR DATABEHANDLEREN]
[EKSEMPELVIS]
”Personoplysninger opbevares i [ANGIV TIDSPERIODE], hvorefter de slettes hos databehandleren.
Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal databehandleren enten slette eller tilbagelevere personoplysningerne i overensstemmelse med bestemmelse 11.1, medmindre den dataansvarlige – efter underskriften af disse bestemmelser – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til bestemmelserne.”
C.5 Lokalitet for behandling
Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende:
[ANGIV, HVOR BEHANDLINGEN FINDER STED] [ANGIV, HVILKEN DATABEHANDLER ELLER UNDERDATABEHANDLER, DER ANVENDER ADRESSEN]
C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande
[BESKRIV INSTRUKSEN VEDRØRENDE OVERFØRSEL AF PERSONOPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER]
[ANGIV GRUNDLAGET FOR OVERFØRSLEN SOM OMHANDLET I DATABESKYTTELSESFORORDNINGENS KAPITEL V]
Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.
C.7 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren
[BESKRIV PROCEDURERNE FOR DEN DATAANSVARLIGES REVISIONER, HERUNDER INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVERLADT TIL DATABEHANDLEREN]
[EKSEMPELVIS]
”Databehandleren skal [ANGIV TIDSPERIODE] for [EGEN/DEN DATAANSVARLIGES] regning indhente en [REVISIONSERKLÆRING/INSPEKTIONSRAPPORT] fra en uafhængig tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Der er enighed mellem parterne om, at følgende typer af [REVISIONSERKLÆRINGER/INSPEKTIONSRAPPORT] kan anvendes i overensstemmelse med disse Bestemmelser:
[BESKRIV AFTALTE REVISIONSERKLÆRINGER/INSPEKTIONSRAPPORTER]
[REVISIONSERKLÆRINGEN/ INSPEKTIONSRAPPORTER] fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rammerne for og/eller metoden i [ERKLÆRINGEN/RAPPORTEN] og kan i sådanne tilfælde anmode om en ny [REVISIONSERKLÆRING/ INSPEKTIONSRAPPORT] under andre rammer og/eller under anvendelse af anden metode.
Baseret på resultaterne af [ERKLÆRINGEN/RAPPORTEN], er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Den dataansvarlige eller en repræsentant for den dataansvarlige har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når den dataansvarlige finder det nødvendigt.”
[ELLER]
”Den dataansvarlige eller en repræsentant for den dataansvarlige foretager [ANGIV TIDSPERIODE] en fysisk inspektion af lokaliteterne, hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Ud over det planlagte tilsyn, kan den dataansvarlige gennemføre en inspektion hos databehandleren, når den dataansvarlige finder det nødvendigt.”
[OG, HVIS RELEVANT]
”Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.”
C.8 [HVIS RELEVANT] Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til underdatabehandlere
[BESKRIV PROCEDURERNE FOR DATABEHANDLERENS REVISIONER, HERUNDER INSPEKTIONER, MED BEHANDLINGEN AF PERSONOPLYSNINGER, SOM ER OVERLADT TIL UNDERDATABEHANDLEREN]
[EKSEMPELVIS]
”Databehandleren skal [ANGIV TIDSPERIODE] for [EGEN/UNDERDATABEHANDLERENS] regning indhente en [REVISIONSERKLÆRING/INSPEKTIONSRAPPORT] fra en uafhængig tredjepart vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Der er enighed mellem parterne om, at følgende typer af [REVISIONSERKLÆRINGER/INSPEKTIONSRAPPORTER] kan anvendes i overensstemmelse med disse bestemmelser:
[BESKRIV AFTALTE REVISIONSERKLÆRINGER/INSPEKTIONSRAPPORTER]
[REVISIONSERKLÆRINGEN/INSPEKTIONSRAPPORT] fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rammerne for og/eller metoden i [ERKLÆRINGEN/RAPPORTEN] og kan i sådanne tilfælde anmode om en ny [REVISIONSERKLÆRING/INSPEKTIONSRAPPORT] under andre rammer og/eller under anvendelse af anden metode.
Baseret på resultaterne af [ERKLÆRINGEN/RAPPORTEN], er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelsen af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Databehandleren eller en repræsentant for databehandleren har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når databehandleren (eller den dataansvarlige) finder det nødvendigt.
Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rammerne for og/eller metoden af inspektionen og kan i sådanne tilfælde anmode om gennemførelsen af en ny inspektion under andre rammer og/eller under anvendelse af anden metode.”
[ELLER]
”Databehandleren eller en repræsentant for databehandleren foretager [ANGIV TIDSPERIODE] en fysisk inspektion af lokaliteterne, hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Ud over det planlagte tilsyn, kan databehandleren gennemføre en inspektion med underdatabehandleren, når databehandleren (eller den dataansvarlige) finder det nødvendigt.
Dokumentation for sådanne inspektioner fremsendes uden unødig forsinkelse til den dataansvarlige til orientering. Den dataansvarlige kan anfægte rammerne for og/eller metoden af inspektionen og kan i sådanne tilfælde anmode om gennemførelsen af en ny inspektion under andre rammer og/eller under anvendelse af anden metode.
Baseret på resultaterne af tilsynet, er den dataansvarlige berettiget til at anmode om gennemførelse af yderligere foranstaltninger med henblik på at sikre overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.”
[OG, HVIS RELEVANT]
“Den dataansvarlige kan – hvis det findes nødvendigt – vælge at initiere og deltage på en fysisk inspektion hos underdatabehandleren. Dette kan blive aktuelt, hvis den dataansvarlige vurderer, at databehandlerens inspektion hos underdatabehandleren ikke har givet den dataansvarlige tilstrækkelig sikkerhed for, at behandlingen hos underdatabehandleren sker I overensstemmelse med databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.
Den dataansvarliges eventuelle deltagelse i en inspektion hos underdatabehandleren ændrer ikke ved, at databehandleren også herefter har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.”
[OG, HVIS RELEVANT]
”Databehandlerens og underdatabehandlerens eventuelle udgifter i forbindelse med en fysisk inspektion af underdatabehandlerens lokaliteter er den dataansvarlige uvedkommende – uanset om den dataansvarlige har initieret og deltaget i en sådan inspektion.”
Bilag D Parternes regulering af andre forhold
Udgiver
Websitet ejes og publiceres af:
SkoleRo ApS
CVR 45136639
Lundebakken 9
6715 Esbjerg N
Telefon: 24796172
E-mail: info@skolero.dk