XiliumFå kortlagt setup

Privatlivspolitik og databehandleraftale

Denne side beskriver, hvordan Xilium ERP behandler personoplysninger, beskytter kundedata og arbejder med GDPR, informationssikkerhed og databehandlerforpligtelser.

Privatlivspolitik

Til brug for artikel 28, stk. 3 i forordning 2016/679 (GDPR)

Hos Xilium er vi forpligtet til at beskytte privatliv og sikre personoplysningers fortrolighed, integritet og tilgængelighed. Denne privatlivspolitik beskriver, hvordan vi indsamler, anvender, videregiver og beskytter data i forbindelse med brugen af Xilium ERP.

Xilium A/S, CVR 39538849, Horsensvej 584, 7120 Vejle, Danmark, fungerer som databehandler.

Brugeren af Xilium ERP fungerer som dataansvarlig.

Hver part benævnes en “part” og samlet “parterne”. Parterne har indgået følgende kontraktbestemmelser baseret på Datatilsynets standardbestemmelser fra december 2019 med henblik på at opfylde kravene i GDPR og sikre beskyttelsen af de registreredes rettigheder.

Indledning

Disse kontraktbestemmelser (”Bestemmelserne”) fastsætter den dataansvarliges og databehandlerens rettigheder og forpligtelser ved behandling af personoplysninger på vegne af den dataansvarlige.

Bestemmelserne er udarbejdet med henblik på at sikre parternes overholdelse af artikel 28, stk. 3 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen).

I forbindelse med leveringen af Xilium ERP vil databehandleren behandle personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse bestemmelser.

Bestemmelserne har forrang frem for eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.

Fem bilag er knyttet til bestemmelserne og udgør en integreret del heraf.

Bilag A indeholder oplysninger om behandlingen af personoplysninger, herunder formål og karakter af behandlingen, typer af personoplysninger, kategorier af registrerede samt varigheden af behandlingen.

Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere samt en liste over godkendte underdatabehandlere.

Bilag C indeholder den dataansvarliges instrukser vedrørende behandlingen af personoplysninger, de minimumssikkerhedsforanstaltninger der skal implementeres af databehandleren samt hvordan audit af databehandleren og eventuelle underdatabehandlere skal gennemføres.

Bilag D indeholder bestemmelser om øvrige forhold, som ikke er dækket af disse bestemmelser.

Bestemmelserne fritager ikke databehandleren for forpligtelser, som databehandleren er underlagt i henhold til databeskyttelsesforordningen (GDPR) eller anden lovgivning.

Den dataansvarliges rettigheder og forpligtelser

Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med GDPR (jf. artikel 24), gældende EU-ret, medlemsstatsret samt disse bestemmelser.

Den dataansvarlige har ret og pligt til at træffe beslutninger om formålene med og midlerne til behandlingen af personoplysninger.

Den dataansvarlige er blandt andet ansvarlig for at sikre, at behandlingen af personoplysninger, som databehandleren instrueres i at udføre, har et lovligt behandlingsgrundlag.

Databehandleren handler efter instruks

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre behandlingen er påkrævet i henhold til EU-ret eller medlemsstatsret, som databehandleren er underlagt. Sådanne instrukser skal fremgå af bilag A og C.

Den dataansvarlige kan løbende give yderligere instrukser i hele perioden, hvor personoplysninger behandles, men sådanne instrukser skal altid dokumenteres og opbevares skriftligt, herunder elektronisk, i forbindelse med disse bestemmelser.

Databehandleren skal straks underrette den dataansvarlige, hvis en instruks efter databehandlerens vurdering er i strid med GDPR eller gældende EU-ret eller medlemsstatsret.

Hvis den dataansvarlige giver en instruks, som er i strid med databeskyttelsesreglerne, EU-ret eller national ret, og databehandleren ikke er bekendt med, at instruksen er i strid hermed, kan databehandleren ikke holdes ansvarlig i henhold til bestemmelse 12, og den dataansvarlige er dermed ikke berettiget til erstatning.

Fortrolighed

Databehandleren må kun give adgang til de personoplysninger, der behandles på vegne af den dataansvarlige, til personer under databehandlerens instruktionsbeføjelse, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det omfang det er nødvendigt (“need to know”-princippet).

Listen over personer, der har fået adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger tilbagekaldes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.

Databehandleren skal efter anmodning fra den dataansvarlige kunne dokumentere, at de pågældende personer under databehandlerens instruktionsbeføjelse er underlagt den ovennævnte fortrolighed.

Den dataansvarlige skal behandle alle fortrolige oplysninger modtaget fra databehandleren fortroligt og må ikke anvende, udnytte eller videregive disse oplysninger til andre end medarbejdere, der har behov for oplysningerne for at opfylde formålet med denne aftale.

Behandlingssikkerhed

I henhold til artikel 32 i GDPR skal den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger, behandlingens karakter, omfang, sammenhæng og formål samt risikoen for fysiske personers rettigheder og frihedsrettigheder, gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen.

Den dataansvarlige skal vurdere de risici for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, og implementere foranstaltninger til at imødegå disse risici.

Databehandleren skal ligeledes – uafhængigt af den dataansvarlige – vurdere risiciene og implementere passende foranstaltninger. Til dette formål skal den dataansvarlige stille alle nødvendige oplysninger til rådighed for databehandleren, så disse risici kan identificeres og vurderes.

Databehandleren skal endvidere bistå den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i henhold til artikel 32 GDPR, herunder ved at stille oplysninger til rådighed om de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren har implementeret, samt andre relevante oplysninger.

Databehandleren er berettiget til at fakturere den dataansvarlige for de faktiske timer og omkostninger, der er forbundet med denne bistand, baseret på en rimelig og tidssvarende timepris.

Hvis den dataansvarlige vurderer, at der er behov for yderligere sikkerhedsforanstaltninger end dem, databehandleren allerede har implementeret, skal disse yderligere foranstaltninger specificeres i bilag C. Databehandleren er berettiget til at fakturere den dataansvarlige for de faktiske timer og omkostninger forbundet med implementeringen af sådanne yderligere foranstaltninger.

Brug af underdatabehandlere

Databehandleren skal opfylde kravene i artikel 28, stk. 2 og 4 i GDPR for at kunne anvende en anden databehandler (underdatabehandler).

Databehandleren må derfor ikke anvende en anden databehandler til opfyldelse af disse bestemmelser uden forudgående specifik skriftlig godkendelse fra den dataansvarlige.

Databehandleren må alene anvende underdatabehandlere efter specifik forudgående godkendelse fra den dataansvarlige. Databehandleren skal fremsende anmodning om godkendelse senest 60 timer før anvendelsen af den pågældende underdatabehandler. Listen over allerede godkendte underdatabehandlere fremgår af bilag B.

Når databehandleren anvender en underdatabehandler til at udføre konkrete behandlingsaktiviteter på vegne af den dataansvarlige, skal de samme databeskyttelsesforpligtelser, som fremgår af disse bestemmelser, pålægges underdatabehandleren gennem en kontrakt eller anden retlig aftale efter EU-ret eller medlemsstatsret, herunder især krav om tilstrækkelige garantier for implementering af passende tekniske og organisatoriske sikkerhedsforanstaltninger, således at behandlingen opfylder kravene i disse bestemmelser og GDPR.

Databehandleren er ansvarlig for at sikre, at underdatabehandleren som minimum overholder de forpligtelser, som databehandleren selv er underlagt i henhold til disse bestemmelser og GDPR.

En kopi af en sådan underdatabehandleraftale samt efterfølgende ændringer skal – efter anmodning fra den dataansvarlige – fremsendes til den dataansvarlige, således at denne kan sikre, at de samme databeskyttelsesforpligtelser er pålagt underdatabehandleren. Bestemmelser om forretningsmæssige forhold, som ikke påvirker det juridiske databeskyttelsesindhold, skal ikke fremsendes.

Databehandleren skal indgå en tredjemandsbegunstigende bestemmelse med underdatabehandleren, således at den dataansvarlige – i tilfælde af databehandlerens konkurs – bliver tredjemandsbegunstiget i underdatabehandleraftalen og har ret til at håndhæve aftalen direkte over for underdatabehandleren, herunder at kunne instruere denne om at slette eller tilbagelevere personoplysninger.

Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder i henhold til GDPR, herunder rettighederne i artikel 79 og 82, over for den dataansvarlige, databehandleren og underdatabehandleren.

Overførsel til tredjelande eller internationale organisationer

Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer foretaget af databehandleren må kun ske på baggrund af dokumenteret instruks fra den dataansvarlige og skal altid ske i overensstemmelse med kapitel V i GDPR.

Hvis overførsel til tredjelande eller internationale organisationer, som databehandleren ikke er instrueret i af den dataansvarlige, er påkrævet i henhold til EU-ret eller medlemsstatsret, som databehandleren er underlagt, skal databehandleren informere den dataansvarlige om dette krav inden behandlingen, medmindre lovgivningen forbyder sådan information af hensyn til væsentlige samfundsinteresser.

Uden dokumenteret instruks fra den dataansvarlige må databehandleren derfor ikke inden for rammerne af disse bestemmelser:

Den dataansvarliges instrukser vedrørende overførsel af personoplysninger til tredjelande, herunder eventuelt anvendt overførselsgrundlag i henhold til kapitel V i GDPR, skal fremgå af bilag C.6.

Disse bestemmelser må ikke forveksles med standardbestemmelser for databeskyttelse i henhold til artikel 46, stk. 2, litra c og d i GDPR og kan ikke anvendes som overførselsgrundlag efter kapitel V i GDPR.

Bistand til den dataansvarlige

Under hensyntagen til behandlingens karakter skal databehandleren bistå den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, i det omfang det er muligt, med at opfylde den dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til kapitel III i GDPR.

Dette indebærer, at databehandleren i det omfang det er muligt skal bistå den dataansvarlige med at sikre overholdelse af følgende rettigheder:

Ud over ovenstående skal databehandleren, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, bistå den dataansvarlige med at sikre overholdelse af følgende forpligtelser:

Parterne skal i bilag C fastlægge de konkrete tekniske og organisatoriske foranstaltninger samt omfanget af databehandlerens bistand.

Underretning om brud på persondatasikkerheden

I tilfælde af et brud på persondatasikkerheden skal databehandleren uden unødig forsinkelse efter at være blevet bekendt med bruddet underrette den dataansvarlige om bruddet.

Databehandlerens underretning til den dataansvarlige skal, hvis muligt, ske inden for 24 timer efter, at databehandleren er blevet bekendt med bruddet, så den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet til den kompetente tilsynsmyndighed, jf. artikel 33 i GDPR.

I overensstemmelse med bestemmelse 9(2)(a) skal databehandleren bistå den dataansvarlige med anmeldelsen af bruddet til den kompetente myndighed, herunder ved at bidrage med følgende oplysninger, som skal indgå i anmeldelsen i henhold til artikel 33, stk. 3 i GDPR:

Parterne fastlægger i bilag C de nærmere elementer, som databehandleren skal levere i forbindelse med bistanden til anmeldelse af brud på persondatasikkerheden.

Sletning og tilbagelevering af data

Ved ophør af levering af behandlingstjenester skal databehandleren være forpligtet til at tilbagelevere alle personoplysninger til den dataansvarlige og slette eksisterende kopier af alle personoplysninger, medmindre EU-ret eller medlemsstatsret kræver opbevaring af personoplysningerne.

Revision og tilsyn

Databehandleren skal stille alle nødvendige oplysninger til rådighed for den dataansvarlige med henblik på at dokumentere overholdelse af artikel 28 i GDPR og disse bestemmelser samt give mulighed for og bidrage til revisioner, herunder inspektioner, foretaget af den dataansvarlige eller en anden revisor udpeget af den dataansvarlige.

Procedurer for den dataansvarliges revisioner, herunder inspektioner af databehandleren og underdatabehandlere, fremgår af bilag C.7 og C.8.

Databehandleren skal give tilsynsmyndigheder, der i henhold til gældende lovgivning har adgang til den dataansvarliges og databehandlerens faciliteter, eller repræsentanter, der handler på vegne af sådanne myndigheder, adgang til databehandlerens fysiske faciliteter mod forevisning af behørig legitimation.

Erstatning og skadesløsholdelse

Den dataansvarlige er berettiget til erstatning fra databehandleren i overensstemmelse med artikel 82 i GDPR samt de almindelige erstatningsregler i dansk ret for tab, der skyldes databehandlerens behandling af personoplysninger i strid med aftalen eller gældende lovgivning.

Databehandleren forpligter sig til at holde den dataansvarlige skadesløs for dokumenterede direkte tab, sanktioner eller erstatningskrav, som den dataansvarlige påføres som følge af databehandlerens krænkelse af tredjemands rettigheder, medmindre dette skyldes den dataansvarliges forhold eller instrukser.

Uanset ovenstående er databehandlerens samlede ansvar begrænset til maksimalt DKK 1.000.000 pr. skade og maksimalt DKK 1.000.000 pr. år.

Ikrafttrædelse og ophør

Bestemmelserne træder i kraft på datoen for begge parters underskrift.

Begge parter kan kræve genforhandling af bestemmelserne, hvis ændringer i lovgivningen eller uhensigtsmæssigheder i bestemmelserne nødvendiggør dette.

Bestemmelserne gælder i hele perioden, hvor behandlingstjenester leveres, og kan ikke opsiges i denne periode, medmindre der er indgået andre bestemmelser om behandlingen mellem parterne.

Hvis behandlingen ophører, og personoplysninger slettes eller tilbageleveres i overensstemmelse med bestemmelse 11.1 og bilag C.4, kan bestemmelserne opsiges skriftligt af begge parter.

Bilag A – Oplysninger om behandlingen

A.1. Formål

Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er drift og anvendelse af Xilium ERP, herunder indsamling, behandling og videregivelse af forretningsrelaterede data som er nødvendige for virksomhedens drift, administration og beslutningsgrundlag.

Dette omfatter blandt andet håndtering af kunder, leverandører, ordrer, fakturering, lagerstyring samt integrationer med tredjepartssystemer.

A.2. Behandlingens karakter

Databehandlerens behandling af personoplysninger består primært i behandling af forretnings- og administrationsdata gennem systematiske og automatiserede processer i ERP-systemet, herunder registrering, strukturering, lagring, analyse og anvendelse af data til støtte for virksomhedens daglige drift.

A.3. Typer af personoplysninger

A.4. Kategorier af registrerede

A.5. Varighed
Databehandlerens behandling af personoplysninger kan finde sted fra tidspunktet for aftalens ikrafttrædelse og fortsætter løbende indtil aftalens ophør.

Bilag B – Godkendte underdatabehandlere

B.1. Godkendte underdatabehandlere

Ved aftalens ikrafttrædelse godkender den dataansvarlige anvendelsen af følgende underdatabehandlere:

Navn: DigitalOcean

Adresse: EU-baserede datacentre

Behandling: Hosting, lagring og drift af Xilium ERP

Navn: SendGrid

Behandling: E-mail kommunikation

Navn: Cloudinary

Behandling: Mediehåndtering og filopbevaring

Den dataansvarlige godkender ved aftalens indgåelse anvendelsen af ovenstående underdatabehandlere til den beskrevne behandling. Databehandleren må ikke uden den dataansvarliges udtrykkelige skriftlige godkendelse anvende en underdatabehandler til en anden behandling end den aftalte eller lade en anden underdatabehandler udføre den beskrevne behandling.

Bilag C – Instruks vedrørende behandling af personoplysninger

C.1. Instruks for behandlingen

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige skal udføres ved, at databehandleren foretager følgende:

Den dataansvarlige instruerer databehandleren i at behandle personoplysninger i overensstemmelse med denne aftale. Dette omfatter blandt andet følgende aktiviteter:

C.2. Behandlingssikkerhed

Sikkerhedsniveauet skal tage højde for behandlingens karakter og risikoen for de registreredes rettigheder og frihedsrettigheder.

Databehandleren er berettiget og forpligtet til at træffe beslutninger om de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nødvendige for at opretholde et passende sikkerhedsniveau.

Databehandleren skal som minimum sikre:

Underdatabehandlere skal årligt kunne dokumentere ekstern revision af datacentre, procedurer og sikkerhedsforanstaltninger i henhold til ISAE 3402 type 2 og ISO 27001.

Adgangskontrol

Adgang til personoplysninger er begrænset til medarbejdere med et arbejdsbetinget behov. Kun autoriserede personer må få adgang.

Fysisk sikkerhed

Datacentre er sikret mod uautoriseret adgang og beskyttet mod fysiske risici såsom brand, vand og strømsvigt.

Vedligeholdelse af sikkerhed

Databehandleren opretholder organisatoriske og tekniske foranstaltninger for at forhindre tab, misbrug eller uautoriseret adgang til data.

Netværkssikkerhed

Systemer beskyttes via firewall og relevante teknologier. Adgang logges.

Der sikres løbende fortrolighed, integritet og tilgængelighed af systemerne.

Adgang til data genskabes hurtigt ved tekniske eller fysiske hændelser.

Personoplysninger må ikke være direkte tilgængelige for tredjepart via internettet.

Data beskyttes under transmission og adgang logges for sporbarhed.

Fjernarbejde er tilladt under overholdelse af sikkerhedsinstrukser.

Databehandleren logger medarbejderes adgang til systemer.

C.3. Opbevaring og sletning

Personoplysninger opbevares indtil aftalens ophør.

Ved ophør slettes eller returneres data i henhold til aftalen.

C.4. Behandlingslokation

Behandling må kun finde sted på godkendte lokationer angivet i bilag E.

C.5. Overførsel til tredjelande

Overførsel må kun ske efter forudgående godkendelse fra den dataansvarlige.

C.6. Revision og audit

Databehandleren kan efter anmodning fremlægge auditrapporter.

Den dataansvarlige kan anmode om yderligere foranstaltninger og databehandleren kan fakturere for dette arbejde.

Få kortlagt jeres setup