Sikker behandling af personoplysninger

For AMC er det helt naturligt, at personoplysninger håndteres med en helt særlig opmærksomhed, og derfor hilser vi de nye EU-krav til sikkerhed (GDPR) velkommen.

I AMC har vi mange dygtige underleverandører tilknyttet. Leverandørernes standardprodukter indenfor APV-systemer, personlighedstest, blodprøvemålinger, krisehjælp, etc. gør det ofte muligt at levere rådgivningsydelser med endnu større værdi til vores kunder.

Netop for at sikre at ét led i kæden ikke er svagere end andre, forpligtes AMC i lovgivningen til at sikre, at både AMC, vores leverandører og deres underleverandører alle lever op til de samme høje krav.

Dette har AMC allerede sikret via faste aftaler med alle leverandører, som garanterer et højt sikkerhedsniveau i opgaver, hvor persondata behandles. Vilkår herfra er tværgående reflekteret i databehandleraftalen, som findes herunder.  Og vi er stolte af at kunne sige, aftalen giver vores kunder sikker grund under fødderne – samtidig med at vi fastholder muligheden for fortsat at kunne agere hurtigt i en dynamisk verden.

Hvis du har spørgsmål til databehandleraftalen, er du velkommen til at henvende dig til os på nedenstående e-mailadresse.

Måtte du anmode om ændringer, så vil en sådan anmodning skulle vurderes både kommercielt og juridisk af vores rådgivere, samt eventuelt af vores leverandører. Denne vurdering udføres efter regning til gældende timetakster.

konsulenter

Jannick Ajslev

Driftsdirektør • COO

Projekter og support

2018 3647 · ja@amcentret.dk

KONTAKT

Har du spørgsmål til databehandleraftalen, er du velkommen til at kontakte os.

HENT DATABEHANDLERAFTALE

Hent vores standard databehandleraftale som pdf, eller læs den på siden herunder.

Ønsker til ændringer af databehandleraftalen vurderes efter regning som anført ovenfor.

AMC's databehandleraftale

1. Formål og omfang
1.1 Denne databehandleraftale er et tillæg til opgaveaftale (Aftalen) mellem rekvirenten (Dataansvarlig) og ArbejdsmiljøCentret A/S (Databehandler) og er gældende for de i Aftalen beskrevne produkter og ydelser.1.2 Databehandleraftalen definerer Databehandlerens behandling af personoplysninger ifølge instruks fra den Dataansvarlige, som led i den Dataansvarliges ønske om levering af produkter og ydelser i Aftalen.1.3 For at sikre, at parterne lever op til forpligtelser under nationale databeskyttelsesregler samt EU’s Persondataforordning 2016/679 (Forordningen), har parterne indgået denne databehandleraftale, som udgør instruksen fra den Dataansvarlige til Databehandleren.1.4 Aftalen og nedenstående instruks omfatter behandlingen af almindelige personoplysninger og helbredsmæssige personoplysninger (Personoplysninger) om den Dataansvarliges slutbrugere, medarbejdere, ledere, kunders medarbejdere og/eller borgere (de Registrerede), som eventuelt præciseret i Aftalen.1.5 Behandling af Personoplysninger på vegne af den Dataansvarlige, må foretages indenfor EU/EØS’s grænser. Databehandling udenfor disse områder kræver den Dataansvarliges skriftlige samtykke.

2. Instruks
2.1 Databehandleren handler alene efter dokumenteret instruks fra den Dataansvarlige. Dataansvarlige beder om behandling af Personoplysninger, såsom indsamling, lagring, rapportering, brug, søgning, fremsendelse og sletning. Databehandleren skal sikre, at Personoplysninger ikke benyttes til andre formål eller behandles på anden måde end beskrevet i databehandleraftalen.

2.2 Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de Registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante Personoplysninger behandles af Databehandleren.

3. Underdatabehandler
3.1 Denne aftale udgør den Dataansvarliges forudgående generelle og specifikke skriftlige godkendelse til Databehandlerens brug af underdatabehandlere til behandling af Personoplysninger på vegne af den Dataansvarlige. Databehandleren skal sikre, at underdatabehandlere skal overholde tilsvarende forpligtelser og krav, som er beskrevet i databehandleraftalen.

3.2 Databehandleren er ansvarlig overfor den Dataansvarlige for eventuelle underdatabehandlere på samme måde som for Databehandlerens egne handlinger og undladelser.

3.3 Den Dataansvarlige skal altid orienteres, inden udskiftning af en underdatabehandler, der behandler Personoplysninger på vegne af den Dataansvarlige.

3.4 Følgende underdatabehandler benyttes: Xtracon A/S, Hersegade 20, 4000 Roskilde, CVR 27033032, med data­behandling kun i Danmark. Eventuelle andre godkendte underdatabehandlere vil fremgå af Aftalen.

4. Fortrolighed og samtykke
4.1 Databehandleren og dennes ansatte skal holde Person­oplysningerne fortrolige, og må ikke uberettiget kopiere, udnytte eller videregive Personoplysningerne, medmindre sådan videregivelse følger af lovgivningen eller af en bindende anmodning fra en retsinstans eller en databeskyttelsesmyndighed, eller det fremgår af Aftalen.

4.2 Den Dataansvarlige indestår for at have fornøden hjemmel til behandling af Personoplysningerne, herunder at have indhentet samtykke til databehandlingen hos de Registrerede.

5. Sikkerhed mv.
5.1 Databehandleren skal træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at Personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.3.

5.2 Databehandleren er berettiget til at implementere nye sikkerhedsforanstaltninger under forudsætning af, at sådanne sikkerhedsforanstaltninger opfylder øvrige stillede krav til sikkerhed i databehandleraftalen.

5.3 Databehandleren skal omgående underrette den Dataansvarlige ved konstatering af brud på sikkerheden af betydning for Personoplysningerne.

5.4 Databehandleren skal efter nærmere aftale med den Dataansvarlige, så vidt muligt, bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i Forordningens artikel 32, 35 og 36.

5.5 Såfremt det i pkt. 5.4 anførte fører til skærpede sikkerhedsforanstaltninger i forhold til det i databehandleraftalen allerede aftalte, implementerer Databehandleren, så vidt det er muligt, sådanne foranstaltninger.

6. Tilsynsret
6.1 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige informationer til, at denne kan påse, at Databehandleren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger.

7. Varighed, varsel og vilkår
7.1 Databehandleraftalen er gældende, så længe Databehandler varetager Personoplysninger relateret til Aftalen for Dataansvarlige. Ved Aftalens udløb er Databehandleren berettiget til – og såfremt den Dataansvarlige giver instruks herom, forpligtet til – at slette alle Personoplysninger, eller tilbagelevere disse hvis muligt.

7.2 Databehandlerens samlede erstatningsansvar begrænses som følger af punkt 9.2-9.4 i de Almindelige Forretningsbetingelser. Ved direkte krav, der overstiger begrænsningerne, er Databehandleren berettiget til dækning.

7.3 Databehandleren er berettiget til at fakturere den Dataansvarlige for udgifter og medgået tid, herunder omkostninger til tredjeparts assistance og underdatabehandlere, som måtte følge af anmodning, instruks eller bistand jf. pkt. 2.2, 4.1, 5.4, 5.5, 6.1 og 7.1.

7.4 Den Dataansvarlige skal i disse tilfælde give rimelig varsel og mindst 30 dage, og i tilfælde af at informationer ønskes fra underdatabehandler tillægges varsel herfor.

Share This