Vereinbarung zur ausgelagerten Verarbeitung personenbezogener Daten gemäß Artikel 28 EU-Datenschutz-Grundverordnung (DSGVO)
Inhalt
- Präambel
- Rechte und Pflichten des Verantwortlichen
- Der Auftragsverarbeiter handelt weisungsgebunden
- Vertraulichkeit
- Sicherheit der Verarbeitung
- Einsatz von Unterauftragsverarbeitern
- Übermittlung an Drittländer oder internationale Organisationen
- Unterstützung des Verantwortlichen
- Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten
- Löschung und Rückgabe von Daten
- Prüfung inklusive Inspektion
- Haftung und Haftungsbeschränkung
- Die Führung von Verzeichnissen durch den Auftragsverarbeiter
- Änderungen der Datenverarbeitungsbedingungen
- Die Vereinbarung der Parteien zu anderen Angelegenheiten
- Inkrafttreten und Ende
- Kontaktdaten der Parteien
Anhang A Informationen zur Verarbeitung
Anhang B Unterauftragsverarbeiter
Anhang C Weisung bezüglich der Verarbeitung personenbezogener Daten
1. Präambel
- Der Verantwortliche und die Auftragsverarbeiter haben eine Vereinbarung über den Zugriff des Verantwortlichen auf den Evovia-Cloud-Dienst und dessen Nutzung geschlossen (Hauptvertrag/Abonnementvertrag). Evovia ist eine digitale Managementplattform, die als Cloud-Dienst (SaaS) angeboten wird.
- Die Bestimmungen bilden einen integrierten Bestandteil des Hauptvertrags/Abonnementvertrags.
- Die Bestimmungen legen die Rechte und Pflichten des Auftragsverarbeiters fest, wenn er personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- Die Bestimmungen wurden im Hinblick auf die Einhaltung von Artikel 28 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (die Datenschutz-Grundverordnung) durch die Parteien gestaltet.
- Im Zusammenhang mit der Bereitstellung des Evovia-Cloud-Dienstes verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen gemäß diesen Bestimmungen.
- Die Bestimmungen haben Vorrang vor etwaigen entsprechenden Bestimmungen in anderen Vereinbarungen zwischen den Parteien.
- Zu diesen Bestimmungen gibt es drei Anhänge, die integraler Bestandteil der Bestimmungen sind.
- Anhang A enthält detaillierte Informationen zur Verarbeitung personenbezogener Daten, einschließlich des Zwecks und der Art der Verarbeitung, der Art der personenbezogenen Daten, der Kategorien der betroffenen Personen und der Dauer der Verarbeitung.
- Anhang B enthält die Bedingungen des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter sowie eine Liste der Unterauftragsverarbeiter, deren Einsatz der Verantwortliche genehmigt hat.
- Anhang C enthält die Anweisungen des Verantwortlichen hinsichtlich der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter, eine Beschreibung der Sicherheitsmaßnahmen, die der Auftragsverarbeiter mindestens umsetzen muss, und wie der Auftragsverarbeiter und etwaige Unterauftragsverarbeiter überwacht werden.
- Die Bestimmungen mit dazugehörigen Anhängen sind von beiden Parteien schriftlich, auch elektronisch, aufzubewahren.
- Diese Bestimmungen entbinden den Auftragsverarbeiter nicht von Verpflichtungen, die ihm aufgrund der Datenschutz-Grundverordnung oder anderer Gesetze auferlegt werden.
- Diese Bestimmungen entbinden den Verantwortlichen ebenfalls nicht von Verpflichtungen, die ihm aufgrund der Datenschutz-Grundverordnung oder anderer Gesetze auferlegt werden.
2. Rechte und Pflichten des Verantwortlichen
- Der Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (siehe Artikel 24 der Verordnung), den Datenschutzbestimmungen anderer EU-Rechtsvorschriften oder dem nationalen Recht der Mitgliedstaaten* und diesen Bestimmungen erfolgt.
- Der Verantwortliche hat das Recht und die Pflicht, darüber zu entscheiden, zu welchem Zweck und mit welchen Mitteln personenbezogene Daten verarbeitet werden dürfen.
- Der Verantwortliche ist unter anderem dafür verantwortlich, sicherzustellen, dass eine Verarbeitungsgrundlage für die Verarbeitung personenbezogener Daten vorliegt, mit deren Durchführung der Auftragsverarbeiter beauftragt wird.
- Der Verantwortliche ist daher gegenüber dem Auftragsverarbeiter insbesondere dafür verantwortlich und gewährleistet, dass:
- der Verantwortliche über die erforderliche Befugnis zur Verarbeitung verfügt und es dem Auftragsverarbeiter und seinen Unterauftragsverarbeitern zu überlassen, die vereinbarte Verarbeitung der personenbezogenen Daten durchzuführen, die im Zusammenhang mit der Erbringung der vereinbarten Dienstleistungen verarbeitet werden.
- die Anweisungen des Verantwortlichen, wie sie in diesen Bestimmungen und anderen Vereinbarungen zum Ausdruck kommen, rechtsgültig sind.
- der Verantwortliche dem Auftragsverarbeiter keine anderen Arten personenbezogener Daten zur Verarbeitung überlässt als die, die sich aus den Anweisungen des Verantwortlichen ergeben, und dass sich die anvertrauten personenbezogenen Daten nicht auf andere Kategorien von betroffenen Personen als die in den Anweisungen genannten beziehen.
*Bezugnahmen auf „Mitgliedstaat“ in diesen Bestimmungen sind als Bezugnahmen auf „EWR-Mitgliedstaaten“ zu verstehen.
3. Der Auftragsverarbeiter handelt weisungsgebunden
- Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, die der Auftragsverarbeiter akzeptiert hat, sofern dies nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verlangt wird. Diese Weisung muss in den Anhängen A und C angegeben werden. Nachfolgende Weisungen können vom Verantwortlichen diesbezüglich erteilt werden, dass der Auftragsverarbeiter die weitere Verarbeitung einstellen muss, was dazu führt, dass der Auftragsverarbeiter die Daten des Verantwortlichen löscht, wie unter dem Punkt „Löschung und Rückgabe von Daten“ weiter unten angegeben, die Weisungen müssen jedoch stets schriftlich, auch elektronisch, zusammen mit diesen Bestimmungen dokumentiert und aufbewahrt werden.
- Der Verantwortliche kann den Auftragsverarbeiter auch nachträglich auffordern, weitere Weisungen für die Verarbeitung personenbezogener Daten für den Verantwortlichen zu empfangen, wobei der Auftragsverarbeiter frei entscheiden kann, ob er solche weiteren Weisungen annimmt oder ablehnt.
- Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls eine Weisung seiner Ansicht nach gegen die Datenschutz-Grundverordnung oder Datenschutzbestimmungen in anderem EU-Recht oder dem nationalen Recht der Mitgliedstaaten verstößt.
- Wenn nach angemessener Einschätzung des Auftragsverarbeiters die Weisung des Verantwortlichen mit einer gewissen Wahrscheinlichkeit rechtswidrig sind, kann der Auftragsverarbeiter, ohne gegen diese Bestimmungen oder den abgeschlossenen Hauptvertrag/Abonnementvertrag zu verstoßen, jede weitere Verarbeitung mit Ausnahme der Speicherung einstellen, bis der Verantwortliche eine zusätzliche Weisung erteilt, dass die verarbeiteten personenbezogenen Daten rechtmäßig verarbeitet werden dürfen, oder dass die Informationen ausgehändigt oder gelöscht werden müssen.
4. Vertraulichkeit
- Der Auftragsverarbeiter darf die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten nur solchen Personen zugänglich machen, die Weisungsbefugnissen des Auftragsverarbeiters unterliegen, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Schweigepflicht unterliegen, und zwar nur im notwendigen Umfang. Die Liste der Personen, denen Zugang erteilt wurde, muss fortlaufend überprüft werden. Aufgrund dieser Prüfung kann der Zugang zu personenbezogenen Daten gesperrt werden, wenn der Zugang nicht mehr erforderlich ist und die personenbezogenen Daten diesen Personen dann nicht mehr zugänglich sein dürfen.
- Auf Verlangen des Verantwortlichen muss der Auftragsverarbeiter nachweisen können, dass die betreffenden Personen, die den Weisungsbefugnissen des Auftragsverarbeiters unterliegen, der oben genannten Schweigepflicht unterliegen.
5. Sicherheit der Verarbeitung
- Artikel 32 der Datenschutz-Grundverordnung besagt, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der betreffenden Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der Verantwortliche muss die durch die Verarbeitung entstehenden Risiken für die Rechte und Freiheiten natürlicher Personen beurteilen und Maßnahmen zur Bewältigung dieser Risiken ergreifen. Abhängig von ihrer Relevanz kann dies Folgendes umfassen:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Robustheit von Verarbeitungssystemen und -diensten fortlaufend sicherzustellen
- die Fähigkeit, eine rechtzeitige Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten im Falle eines physischen oder technischen Ereignisses sicherzustellen
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
- Gemäß Artikel 32 der Verordnung muss der Auftragsverarbeiter – unabhängig vom Verantwortlichen – auch die Risiken für die Rechte natürlicher Personen bewerten, die die dem Auftragsverarbeiter anvertraute Verarbeitung mit sich bringt, und der Auftragsverarbeiter muss Maßnahmen ergreifen, um diesen Risiken zu begegnen. Zum Zweck der Risikobewertung durch den Auftragsverarbeiter muss der Verantwortliche dem Auftragsverarbeiter die erforderlichen Informationen zur Verfügung stellen, die es ihm ermöglichen, solche Risiken zu erkennen und zu bewerten.
- Darüber hinaus muss der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der Pflicht des Verantwortlichen gemäß Artikel 32 der Datenschutz-Grundverordnung unterstützen, indem er z. B. dem Verantwortlichen die notwendigen Informationen über die technischen und organisatorischen Sicherheitsmaßnahmen zur Verfügung stellt, die der Auftragsverarbeiter gemäß Artikel 32 der Verordnung bereits umgesetzt hat, und – gegen gesonderte Zahlung – alle anderen Informationen, die der Verantwortliche zur Einhaltung seiner Verpflichtung gemäß Artikel 32 der Datenschutz-Grundverordnung benötigt. Erfordert die Bewältigung der identifizierten Risiken, die sich aus der vereinbarten Verarbeitung personenbezogener Daten ergeben, nach Einschätzung des Verantwortlichen die Umsetzung zusätzlicher Maßnahmen als die Maßnahmen, die der Auftragsverarbeiter bereits umgesetzt hat, muss der Verantwortliche gegenüber dem Auftragsverarbeiter die zu ergreifenden zusätzlichen Maßnahmen angeben. Die Parteien müssen dann eine gesonderte Vereinbarung über die Umsetzung dieser zusätzlichen Sicherheitsmaßnahmen treffen, einschließlich des Zeitplans und der Vergütung des Auftragsverarbeiters. Können sich die Parteien nicht auf eine solche Vereinbarung einigen, muss der Verantwortliche den Auftragsverarbeiter anweisen, die weitere Verarbeitung einzustellen und die übermittelten personenbezogenen Daten gemäß dem nachstehenden Punkt „Löschung und Rückgabe von Daten“ zu löschen. Der Verantwortliche kann dann den Abonnementvertrag gemäß den darin vereinbarten Kündigungsbedingungen kündigen.
6. Einsatz von Unterauftragsverarbeitern
- Der Auftragsverarbeiter muss die in Artikel 28 Absatz 2 und 4 der Datenschutz-Grundverordnung genannten Bedingungen erfüllen, um einen anderen Auftragsverarbeiter (einen Unterauftragsverarbeiter) einzusetzen.
- Daher darf der Auftragsverarbeiter einen Unterauftragsverarbeiter nicht ohne vorherige allgemeine schriftliche Zustimmung des Verantwortlichen zur Erfüllung dieser Bestimmungen einsetzen.
- Der Auftragsverarbeiter hat die allgemeine Zustimmung des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter muss den Verantwortlichen mit einer Frist von mindestens 30 Tagen schriftlich über alle geplanten Änderungen hinsichtlich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informieren und dem Verantwortlichen dabei die Möglichkeit geben, solchen Änderungen vor dem Einsatz des/der betreffenden Unterauftragsverarbeiter(s) zu widersprechen. Längere Fristen für die Benachrichtigung im Zusammenhang mit bestimmten Verarbeitungstätigkeiten können in Anhang B festgelegt werden. Kann der Auftragsverarbeiter seine Lieferverpflichtungen aus dem Abonnementvertrag während einer solchen Ankündigungsfrist nicht sofort oder ohne unverhältnismäßig hohe Kosten erfüllen, ist der Auftragsverarbeiter von der Haftung für eine solche Nichterfüllung befreit.
- Der Verantwortliche akzeptiert auch, dass es Sonderfälle geben kann, in denen ein konkreter Bedarf für eine kurzfristigere oder sofortige Änderung der Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters besteht. In solchen Fällen wird der Auftragsverarbeiter den Verantwortlichen so schnell wie möglich über die Änderung informieren.
- Wenn der Verantwortliche Einwände gegen geplante Änderungen hinsichtlich der Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters hat, kann der Verantwortliche den Abonnementvertrag durch Kündigung zu den im Abonnementvertrag genannten Bedingungen beenden und sicherstellen, dass die personenbezogenen Daten des Verantwortlichen vor der Durchführung der geplanten Änderung bezüglich der Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters gelöscht werden. Abgesehen von der Kündigung des Abonnementvertrags hat der Verantwortliche in dieser Situation keine weiteren Befugnisse gegenüber dem Auftragsverarbeiter. Wird der Vertrag gemäß dieser Bestimmung gekündigt, bleibt die Zahlungsverpflichtung des Verantwortlichen ansonsten bis zur Beendigung des Abonnementvertrags bestehen. Die Liste der Unterauftragsverarbeiter, die der Verantwortliche bereits genehmigt hat, geht aus Anhang B hervor.
- Wenn der Auftragsverarbeiter im Zusammenhang mit der Durchführung bestimmter Verarbeitungstätigkeiten im Namen des Verantwortlichen auf einen Unterauftragsverarbeiter zurückgreift, muss der Auftragsverarbeiter durch eine Datenverarbeitungsvereinbarung dem Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen auferlegen, die in diesen Bestimmungen festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden, dass der Unterauftragsverarbeiter die technischen und organisatorischen Maßnahmen so umsetzt, dass die Verarbeitung den Anforderungen in diesen Bestimmungen und der Datenschutz-Grundverordnung entspricht. Der Auftragsverarbeiter muss daher bei der Beauftragung eines Unterauftragsverarbeiters sicherstellen, dass mit dem Unterauftragsverarbeiter eine schriftliche Vereinbarung getroffen wird, durch die sichergestellt wird,
- dass die hinreichenden Garantien geboten werden, dass der Unterauftragsverarbeiter die entsprechenden technischen und organisatorischen Maßnahmen so umsetzt, dass die Verarbeitung den Anforderungen in diesen Bestimmungen und der Datenschutz-Grundverordnung entspricht
- dass der Unterauftragsverarbeiter den gleichen Datenschutzverpflichtungen unterliegt, wie sie in diesen Bestimmungen festgelegt sind, was bedeutet, dass die Anforderungen in Artikel 28 Absatz 3 der Datenschutz-Grundverordnung eingehalten werden müssen, sowie
- dass der Unterauftragsverarbeiter die anvertrauten personenbezogenen Daten in dem Umfang verarbeitet, in dem dies zur Erfüllung der Lieferverpflichtungen erforderlich ist, die der Unterauftragsverarbeiter gegenüber dem Auftragsverarbeiter übernommen hat, und dass die Verarbeitung gemäß den vereinbarten Weisungen erfolgt.
- Die Unterauftragsverarbeitervereinbarung(en) und alle späteren Änderungen hierzu werden – auf Verlangen des Verantwortlichen – in Kopie an den Verantwortlichen gesendet, der dadurch die Möglichkeit hat, sicherzustellen, dass entsprechende, sich aus diesen Bestimmungen ergebende Datenschutzverpflichtungen dem Unterauftragsverarbeiter auferlegt werden. Bestimmungen über Geschäftsbedingungen, die den datenschutzrechtlichen Inhalt der Unterauftragsverarbeitervereinbarung nicht berühren, müssen nicht an den Verantwortlichen übermittelt werden.
7. Übermittlung an Drittländer oder internationale Organisationen
- Der Auftragsverarbeiter muss die Daten des Verantwortlichen innerhalb der EU speichern, soweit nichts anderes von der Weisung des Verantwortlichen umfasst ist.
- Eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen darf durch den Auftragsverarbeiter nur auf der Grundlage einer dokumentierten Weisung des Verantwortlichen erfolgen und muss stets im Einklang mit Kapitel V der Datenschutz-Grundverordnung erfolgen.
- Sofern eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, zu deren Durchführung der Auftragsverarbeiter nicht durch den Verantwortlichen angewiesen wurde, nach dem Recht der Union oder dem nationalen Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, erforderlich ist, muss der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, das betreffende Gesetz verbietet eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses.
- Ohne dokumentierte Weisung des Verantwortlichen kann der Auftragsverarbeiter im Rahmen dieser Bestimmungen nicht:
- personenbezogene Daten an einen Verantwortlichen oder Auftragsverarbeiter in einem Drittland oder einer internationalen Organisation übermitteln
- die Verarbeitung personenbezogener Daten einem Unterauftragsverarbeiter in einem Drittland anvertrauen
- die personenbezogenen Daten in einem Drittland verarbeiten
- Die Weisung des Verantwortlichen zur Übermittlung personenbezogener Daten in ein Drittland einschließlich der eventuellen Übermittlungsgrundlage in Kapitel V der Datenschutz-Grundverordnung, auf der die Übermittlung beruht, ist in Anhang C.6 anzugeben.
8. Unterstützung des Verantwortlichen
- Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf schriftliche Anfrage des Verantwortlichen folgende Unterstützung zu leisten:
- Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der anvertrauten Verarbeitung so weit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtung, auf Anfragen zur Ausübung der Rechte der betroffenen Person wie in Kapitel III der Datenschutz-Grundverordnung festgelegt zu antworten. Dies bedeutet, dass der Auftragsverarbeiter den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Sicherstellung der Einhaltung von Folgendem unterstützen muss:
- Informationspflicht bei der Erhebung personenbezogener Daten bei der betroffenen Person
- Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden
- das Auskunftsrecht
- das Recht auf Berichtigung
- das Recht auf Löschung („das Recht auf Vergessenwerden“)
- das Recht auf Einschränkung der Verarbeitung
- die Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
- das Recht auf Datenübertragbarkeit
- das Recht auf Widerspruch
- das Recht, nicht ausschließlich einer, auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden
- Der Auftragsverarbeiter unterstützt den Verantwortlichen außerdem dabei, die Einhaltung der Verpflichtungen des Verantwortlichen gemäß den Artikeln 32-36 der Datenschutz-Grundverordnung unter Berücksichtigung der Art der dem Auftragsverarbeiter anvertrauten Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden personenbezogenen Daten sicherzustellen. Zusätzlich zu der Verpflichtung des Auftragsverarbeiters, den Verantwortlichen gemäß Bestimmung 5.3 zu unterstützen, umfasst dies auch die Unterstützung des Auftragsverarbeiters für den Verantwortlichen bei:
- der Verpflichtung des Verantwortlichen, der zuständigen Aufsichtsbehörde, der dänischen Datenschutzbehörde, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst spätestens 72 Stunden nach Kenntniserlangung zu melden, es sei denn, es ist unwahrscheinlich, dass die Verletzung der Sicherheit personenbezogener Daten ein Risiko für die Rechte oder Freiheiten natürlicher Personen beinhaltet
- der Pflicht des Verantwortlichen, die betroffene Person unverzüglich über eine Verletzung des Schutzes personenbezogener Daten zu informieren, wenn die Verletzung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt
- der Pflicht des Verantwortlichen, vor der Verarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (eine Datenschutz-Folgenabschätzung) durchzuführen
- der Pflicht des Verantwortlichen zur Konsultation der zuständigen Aufsichtsbehörde, der dänischen Datenschutzbehörde, vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
- Die Parteien legen in Anhang C die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest. Dies gilt für die Pflichten, die sich aus Bestimmung 8.1 und 8.2 ergeben.
- Der Auftragsverarbeiter hat Anspruch auf eine gesonderte Vergütung für die Unterstützung, die er bei der Erfüllung der Anfragen des Verantwortlichen gemäß diesem Punkt 8 leistet. Die Vergütung bemisst sich nach dem vom Auftragsverarbeiter in Anspruch genommenen Zeitaufwand und dem für diese Tätigkeit allgemein gültigen Stundensatz des Auftragsverarbeiters.
- Im Hinblick auf die Unterstützung bei der Erfüllung der Pflichten des Verantwortlichen gemäß Artikel 33-34 der Datenschutz-Grundverordnung hat der Auftragsverarbeiter jedoch keinen Anspruch auf eine Vergütung.
9. Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten
- Wenn der Auftragsverarbeiter feststellt, dass beim Auftragsverarbeiter oder einem eingesetzten Unterauftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten in Bezug auf die personenbezogenen Daten stattgefunden hat, die der Verantwortliche dem Auftragsverarbeiter zur Verarbeitung anvertraut hat, muss der Auftragsverarbeiter den Verantwortlichen unverzüglich über die Verletzung des Schutzes personenbezogener Daten benachrichtigen, nachdem er Kenntnis davon erlangt hat, dass eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat.
- Die Benachrichtigung kann per E-Mail an die vom Verantwortlichen im Abonnementvertrag angegebene Kontaktadresse gesendet werden. Der Auftragsverarbeiter muss unverzüglich nachdem er Kenntnis davon erlangt hat, dass eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat, angemessene und verhältnismäßige Maßnahmen ergreifen, um den durch die Verletzung verursachten Schaden zu begrenzen.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Meldung der Verletzung an die dänische Datenschutzbehörde oder eine andere zuständige Aufsichtsbehörde. Dies bedeutet, dass der Auftragsverarbeiter bei der Bereitstellung der folgenden Informationen behilflich sein muss, die gemäß Artikel 33 Absatz 3 der Datenschutz-Grundverordnung aus der Meldung des Verantwortlichen über die Verletzung des Schutzes an die zuständige Aufsichtsbehörde hervorgehen müssen:
- die Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
- die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
- die von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
- Ist es für den Auftragsverarbeiter nicht möglich, die Informationen zur gleichen Zeit bereitzustellen, können die Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung gestellt werden. Die Meldung des Auftragsverarbeiters an den Verantwortlichen muss nach Möglichkeit so rechtzeitig erfolgen, dass die vollständigen Informationen so bereitgestellt werden, dass der Verantwortliche die vollständige Meldung an die Aufsichtsbehörde innerhalb der in Artikel 33 der Datenschutz-Grundverordnung für die Meldung von Verletzungen des Schutzes personenbezogener Daten erforderlichen Fristen vornehmen kann.
- In Fortsetzung der ersten Meldung an den Verantwortlichen muss der Auftragsverarbeiter daher bei Bedarf die Informationen an den Verantwortlichen kontinuierlich aktualisieren und vervollständigen, damit dieser bei Bedarf eine Meldung über eine Verletzung des Schutzes personenbezogener Daten bei der Aufsichtsbehörde aktualisieren kann.
- Die Benachrichtigung des Auftragsverarbeiters über eine Verletzung des Schutzes personenbezogener Daten stellt kein Eingeständnis der Schuld oder Haftung im Zusammenhang mit der aufgetretenen Verletzung des Schutzes personenbezogener Daten dar.
- Der Auftragsverarbeiter unterstützt auf Anfrage des Verantwortlichen diesen außerdem dabei, die Einhaltung der Verpflichtungen des Verantwortlichen gemäß Artikel 34 der Datenschutz-Grundverordnung unter Berücksichtigung der Art der anvertrauten Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen sicherzustellen.
10. Löschung und Rückgabe von Daten
- Bei Beendigung der vereinbarten Dienstleistungen bezüglich der Verarbeitung personenbezogener Daten im Rahmen des Abonnementvertrags ist der Auftragsverarbeiter verpflichtet, alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, zu löschen und dem Verantwortlichen zu bestätigen, dass die Daten gelöscht wurden, es sei denn, das EU-Recht oder das nationale Recht der Mitgliedstaaten schreibt die Speicherung der personenbezogenen Daten vor.
- Der Auftragsverarbeiter kann jedoch die vom Verantwortlichen anvertrauten personenbezogenen Daten auch nach Beendigung des Abonnementvertrags und der darin vereinbarten Dienstleistungen zur Verarbeitung personenbezogener Daten weiterhin speichern, wenn für den Auftragsverarbeiter eine gesetzliche Verpflichtung besteht, die vorschreibt, dass der Auftragsverarbeiter eine solche Speicherung der personenbezogenen Daten des Verantwortlichen durchführen muss. Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten nur für den/die Zweck(e), während des Zeitraums und unter den in diesen Regeln vorgeschriebenen Bedingungen zu verarbeiten.
- Der Verantwortliche kann den Auftragsverarbeiter auch anweisen, vor Beendigung des Abonnementvertrags eine Kopie der personenbezogenen Daten auszuhändigen. In diesem Fall wird das Medium und das Format, in dem die Aushändigung erfolgen soll, vereinbart. Der Auftragsverarbeiter hat Anspruch auf eine Vergütung für die im Zusammenhang mit der Aushändigung ausgeführten Arbeiten nach Zeitaufwand und zum allgemein gültigen Stundensatz des Auftragsverarbeiters für diese Arbeiten sowie für alle im Zusammenhang mit der Arbeit anfallenden Kosten und Auslagen. Der Auftragsverarbeiter ist berechtigt, für die Entgegennahme einer Weisung bezüglich der Aushändigung eine Anzahlung zu verlangen.
- Wenn der Verantwortliche den Auftragsverarbeiter anweist, personenbezogene Daten auszuhändigen, stellt dies auch eine Anweisung dar, dass der Auftragsverarbeiter die personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, erst löschen soll, wenn die Aushändigung abgeschlossen und vom Verantwortlichen bestätigt wurde.
- Die Umsetzung der Anweisungen des Verantwortlichen zur Löschung der personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter erfolgt gemäß den Bestimmungen der Datenschutz-Grundverordnung und so schnell wie praktisch möglich.
- Im Abonnementvertrag ist vorgesehen, dass der Auftragsverarbeiter ein Backup erstellt. Die im Rahmen des Abonnementvertrags vereinbarten Dienstleistungen zur Verarbeitung personenbezogener Daten sind, soweit es sich um personenbezogene Daten handelt, in einem Backup enthalten und werden daher erst mit der Vernichtung des Backups gemäß dem Backup-Verfahren des Auftragsverarbeiters beendet. Standardmäßig löscht Evovia Kundendaten 14 Tage nach Ende des Abonnementvertrags aus der Betriebsumgebung. Der Kunde akzeptiert hiermit, dass die Daten des Kunden für 90 Tage in ein Backup-Verfahren einbezogen werden, wonach alle Kopien der Daten des Kunden gelöscht werden.
11. Prüfung inklusive Inspektion
- Auf Verlangen des Verantwortlichen stellt der Auftragsverarbeiter dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und dieser Bestimmungen erforderlich sind, und ermöglicht und leistet einen Beitrag zu Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem von ihm ermächtigen Prüfer durchgeführt werden.
- Die Inspektion kann nur durch eine Person erfolgen, die sich den allgemeinen Sicherheitsmaßnahmen des Auftragsverarbeiters unterwirft und direkt mit dem Auftragsverarbeiter eine Vertraulichkeitsklausel zu üblichen Bedingungen vereinbart.
- Der Auftragsverarbeiter kann gegen eine vom Verantwortlichen mit der Durchführung einer Inspektion beauftragte Person Einspruch erheben, wenn die beauftragte Person nach angemessener Einschätzung des Auftragsverarbeiters nicht für die Durchführung der Inspektion geeignet oder qualifiziert ist, einschließlich der Tatsache, dass die Person (1) nicht unabhängig ist, (2) mit einem direkten Konkurrenten des Auftragsverarbeiters verbunden ist oder Beziehungen zu diesem unterhält oder (3) aus anderen offensichtlichen Gründen für die Erfüllung der Aufgabe ungeeignet ist.
- Erhebt der Auftragsverarbeiter Einspruch gegen die beauftragte Person, muss der Verantwortliche eine andere Person mit der Durchführung der Inspektion beauftragen.
- Die Aufsicht über die vom Auftragsverarbeiter eingesetzten Unterauftragsverarbeiter erfolgt durch den Auftragsverarbeiter. Das Verfahren ist in Anhang C dargelegt. Der Verantwortliche kann sich jedoch dafür entscheiden, eine physische Inspektion auch beim Unterauftragsverarbeiter einzuleiten und daran teilzunehmen, wenn der Unterauftragsverarbeiter dies zulässt. Die Aufsicht muss in Übereinstimmung mit den vom Unterauftragsverarbeiter festgelegten Inspektionsbedingungen erfolgen.
- Die Verfahren für die Prüfungen des Verantwortlichen, einschließlich Inspektionen, beim Auftragsverarbeiter und den Unterauftragsverarbeitern sind in Anhang C.7 und C.8 detailliert beschrieben.
- Der Auftragsverarbeiter ist verpflichtet, Aufsichtsbehörden, die nach geltendem Recht Zugang zu den Räumlichkeiten des Verantwortlichen oder des Auftragsverarbeiters haben, oder Vertretern, die im Namen der Aufsichtsbehörde handeln, gegen ordnungsgemäße Identifizierung Zutritt zu den physischen Einrichtungen des Auftragsverarbeiters zu gewähren.
- Der Auftragsverarbeiter hat Anspruch auf eine Vergütung für die Überwachung und Prüfung durch den Verantwortlichen. Die Vergütung errechnet sich auf der Grundlage der aufgewendeten Arbeitszeit, der geltenden Stundensätze des Auftragsverarbeiters zuzüglich etwaiger anfallender positiver Kosten, einschließlich der vom Auftragsverarbeiter zu tragenden Kosten für die Unterstützung von Unterauftragsverarbeitern.
12. Haftung und Haftungsbeschränkung
- Für die Zahlung von Schadensersatz an Personen aufgrund einer rechtswidrigen Verarbeitungstätigkeit oder einer anderen Verarbeitung, die gegen die Datenschutz-Grundverordnung und das Datenschutzgesetz verstößt, gilt § 40 des Datenschutzgesetzes. Unabhängig von Artikel 82 Absatz 5 der Datenschutz-Grundverordnung kann eine Partei, die einen Schadensersatzbetrag an einen Geschädigten gezahlt hat, der nicht der vollen Entschädigung entspricht, diesen nach dem Grundsatz des Artikel 82 Absatz 5 zurückfordern.
- Die Parteien vereinbaren, dass die gleiche Regelung in jedem Fall auch für sonstige Entschädigungen für immaterielle Schäden gilt, soweit es um die interne endgültige Verantwortungsverteilung zwischen dem Auftragsverarbeiter und dem Verantwortlichen geht.
- Die Parteien können gegenüber der anderen Partei keine Regress- oder Schadensersatzansprüche für Bußgelder oder andere Strafen gemäß § 41 des Datenschutzgesetzes sowie für gemäß § 42 des Datenschutzgesetzes akzeptierte Bußgelder geltend machen.
- Zusätzliche Haftungsbeschränkungen oder Haftungsausschlüsse können im Abonnementvertrag enthalten sein.
13. Die Führung von Verzeichnissen durch den Auftragsverarbeiter
- Der Auftragsverarbeiter ist gemäß Artikel 30 Absatz 2 der Datenschutz-Grundverordnung verpflichtet, Verzeichnisse über die Kategorien der für den Verantwortlichen durchgeführten Verarbeitungstätigkeiten zu führen. Der Verantwortliche ist verpflichtet, dem Auftragsverarbeiter den Namen und die Kontaktdaten seines eventuellen Vertreters und Datenschutzbeauftragten mitzuteilen und diese Informationen zu aktualisieren, damit die Verzeichnisse vom Auftragsverarbeiter ordnungsgemäß geführt werden können.
14. Änderungen der Datenverarbeitungsbedingungen
- Der Auftragsverarbeiter kann den Verantwortlichen schriftlich und mit einer Frist von 30 Tagen zum Ende eines Kalendermonats über Änderungen der Bestimmungen informieren.
- Informationen über geplante Änderungen werden per E-Mail an den Ansprechpartner des Verantwortlichen gesendet.
- Wenn der Verantwortliche Evovia nach Inkrafttreten der mitgeteilten Änderungen der Bestimmungen weiterhin nutzt, hat der Verantwortliche damit die Änderung der Bestimmungen akzeptiert.
- Wenn der Verantwortliche angekündigte Änderungen der Bestimmungen nicht akzeptieren möchte, kann der Verantwortliche seinen Abonnementvertrag gemäß den darin vereinbarten Kündigungsbedingungen kündigen. Der Verantwortliche muss dann sicherstellen, dass alle personenbezogenen Daten von Evovia gelöscht werden, bevor die Änderungen in Kraft treten.
15. Die Vereinbarung der Parteien zu anderen Angelegenheiten
- Die Parteien können im Rahmen des Abonnementvertrags für Evovia weitere Bestimmungen zur Verarbeitung personenbezogener Daten vereinbaren, sofern diese weiteren Bestimmungen nicht direkt oder indirekt gegen die Datenschutzgesetzgebung verstoßen oder die sich aus der Datenschutz-Grundverordnung ergebenden Grundrechte und Grundfreiheiten der betroffenen Personen beeinträchtigen .
16. Inkrafttreten und Ende
- Die Bestimmungen treten am Tag der Unterzeichnung durch beide Parteien oder eines anderen Beitritts beider Parteien in Kraft.
- Beide Parteien können eine Neuverhandlung der Bestimmungen verlangen, wenn Gesetzesänderungen oder Unzulänglichkeiten der Bestimmungen Anlass dazu geben.
- Die Bestimmungen gelten so lange, wie die Verpflichtungen des Auftragsverarbeiters aus dem Abonnementvertrag hinsichtlich der Verarbeitung personenbezogener Daten bestehen. Während dieses Zeitraums können die Bestimmungen nicht gekündigt werden, es sei denn, zwischen den Parteien werden andere Bestimmungen zur Erbringung der Dienstleistung hinsichtlich der Verarbeitung personenbezogener Daten vereinbart.
17. Kontaktdaten der Parteien
Anfragen des Verantwortlichen an den Auftragsverarbeiter bezüglich des Datenschutzes, einschließlich Anfragen zur Aufsicht und Inspektion, sind zu übermitteln an
Evovia ApS
Finderupvej 5
8000 Aarhus C.
oder per E-Mail: gdpr@evovia.com
Die Kontaktperson des Verantwortlichen ist auf der Registerkarte „Bedingungen“ auf der eigenen Seite des Kunden auf der Managementplattform von Evovia aufgeführt.
Die Parteien sind verpflichtet, sich gegenseitig laufend über Änderungen bezüglich der Kontaktpersonen zu informieren.
Version Dezember 2022
Anhang A Informationen zur Verarbeitung
A.1. Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen
Der Verantwortliche und der Auftragsverarbeiter haben eine Vereinbarung über den Zugriff des Verantwortlichen auf den Evovia-Cloud-Dienst und dessen Nutzung geschlossen (Hauptvertrag/Abonnementvertrag). Evovia ist eine digitale Managementplattform, die als Cloud-Dienst (SaaS) angeboten wird.
A.2. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen betrifft in erster Linie (die Art der Verarbeitung)
Indem der Auftragsverarbeiter dem Verantwortlichen den Evovia-Cloud-Dienst bereitstellt, werden personenbezogene Daten gemäß den Zwecken verarbeitet, die zur Erbringung der im Abonnementvertrag festgelegten Dienstleistungen erforderlich sind, einschließlich Speicherung, Erfassung, Registrierung, Systematisierung, Verknüpfung, Löschung, Archivierung usw.
A.3. Die Verarbeitung umfasst die folgenden Arten personenbezogener Daten über die betroffenen Personen
Die anvertraute Verarbeitung umfasst die Arten von Daten, die der Verantwortliche in den Evovia-Cloud-Dienst eingibt und einliest. Dazu gehören standardmäßig Namen, E-Mail-Adressen und die Position der Mitarbeiter in der Organisation sowie der Name des unmittelbaren Vorgesetzten.
Darüber hinaus weitere personenbezogene Daten, die der Mitarbeiter und seine Führungskraft selbst in den Cloud-Dienst eingeben, z. B. vorbereitende Notizen, Punktestände, Kommentare zu Vereinbarungen und Aktionsplänen mit Fristen bei MUS, APV etc. Da hier Eingaben in Freitextfelder erfolgen können, kann die Art der Daten sensibel sein. In diesem Zusammenhang verpflichtet sich der Auftragsverarbeiter, die Sicherheitsanforderungen in Bezug auf die Verarbeitung eventueller sensibler Daten zu erfüllen, die in C.2 näher beschrieben werden.
A.4. Die Verarbeitung umfasst die folgenden Kategorien von betroffenen Personen
Die betroffenen Personen umfassen die Kategorien, die der Verantwortliche für die Nutzung von Evovia zulässt, insbesondere die Mitarbeiter des Verantwortlichen.
Möchte der Verantwortliche die Evovia-Funktion „360-Grad-Managementbewertung“ nutzen, die auch Beiträge externer Interessenten einbezieht, umfassen die Kategorien der betroffenen Personen auch solche externen Interessenten.
Entsprechendes gilt, wenn der Verantwortliche eine GRUS-Gruppe nutzen möchte, die einen oder mehrere externe Interessenten umfasst.
A.5. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen kann nach Inkrafttreten dieser Bestimmungen beginnen. Die Verarbeitung hat folgende Dauer
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen so lange, wie Evovia gemäß dem Abonnementvertrag zur Verarbeitung verpflichtet ist, und für einen Zeitraum danach, bis der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen gemäß dem Backup-Verfahren des Auftragsverarbeiters löscht.
Anhang B Unterauftragsverarbeiter
Mit Inkrafttreten der Bestimmungen hat der Verantwortliche den Einsatz der folgenden Unterauftragsverarbeiter genehmigt
- Traels.it, Bøgevej 32, 5200 Odense V, CVR 22001884: Hauptverantwortung für die technische Entwicklung der gesamten Evovia-Plattform und somit voller Zugriff.
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, CVR DE 812871812: Hosting von Daten
- Hetzner Finland Oy, Huurrekuja 10, 04360 Tuusula, Finnland, CVR 2720758-9: Hosting von Daten
- Scannet, Højvangen 4, 8660 Skanderborg, Dänemark, CVR. 29412006: Hosting von Daten
- Cloud Factory A/S, Vestergade 4, 6800 Varde, Dänemark, CVR-Nr. 35393692: Hosting von Daten
- SMTP.dk, Refshalevej 163A, 1.tv., 1432 Kopenhagen K., Dänemark, CVR. 29849439: Verantwortung für den Versand von Automails von der Evovia-Plattform
Mit Inkrafttreten der Bestimmungen hat der Verantwortliche den Einsatz der oben genannten Unterauftragsverarbeiter für die beschriebene Verarbeitungstätigkeit genehmigt. Der Auftragsverarbeiter darf – ohne Zustimmung des Verantwortlichen – keinen Unterauftragsverarbeiter für eine andere als die beschriebene und vereinbarte Verarbeitungstätigkeit einsetzen und auch keinen anderen Unterauftragsverarbeiter für diese Verarbeitungstätigkeit einsetzen.
B.2. Frist zur Genehmigung von Unterauftragsverarbeitern
Der Auftragsverarbeiter muss den Verantwortlichen mit einer Frist von mindestens 30 Tagen, sofern dies unmittelbar möglich ist, schriftlich über alle geplanten Änderungen hinsichtlich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informieren und dem Verantwortlichen dabei die Möglichkeit geben, solchen Änderungen vor dem Einsatz des/der betreffenden Unterauftragsverarbeiter(s) zu widersprechen.
Anhang C Weisung bezüglich der Verarbeitung personenbezogener Daten
C.1. Gegenstand/Weisung der Verarbeitung
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen erfolgt, indem der Auftragsverarbeiter Folgendes durchführt:
Jede Verarbeitung, die erforderlich ist, damit der Auftragsverarbeiter die im Abonnementvertrag festgelegten Verpflichtungen erfüllen kann. Hierzu zählen insbesondere Verarbeitungstätigkeiten, die erforderlich sind, um dem Verantwortlichen die Evovia-Cloud-Plattform zur Verfügung zu stellen.
C.2. Sicherheit der Verarbeitung
Das Sicherheitsniveau muss Folgendes widerspiegeln:
Der Auftragsverarbeiter initiiert und implementiert geeignete technische und organisatorische Maßnahmen, um ein Sicherheitsniveau zu gewährleisten, das den Risiken entspricht, die mit den Verarbeitungstätigkeiten verbunden sind, die der Auftragsverarbeiter für den Verantwortlichen durchführt.
Die technischen und organisatorischen Maßnahmen werden unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Zusammenhangs und des Zwecks der Verarbeitung sowie der Risiken unterschiedlicher Wahrscheinlichkeit und Schwere in Bezug auf die Rechte und Freiheiten natürlicher Personen festgelegt.
Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die mit der Verarbeitung verbundenen Risiken zu berücksichtigen, insbesondere versehentliche oder illegale Zerstörung, Verlust, Änderung, unbefugte Weitergabe oder Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden.
Der Auftragsverarbeiter ist dann berechtigt und verpflichtet, Entscheidungen darüber zu treffen, welche technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt werden müssen, um das erforderliche (und vereinbarte) Sicherheitsniveau herzustellen.
C.2.1 Allgemeine Sicherheitsmaßnahmen
Alle Mitarbeiter im Support des Auftragsverarbeiters (und Zulieferer des Auftragsverarbeiters) haben ein langes und nicht einfaches Passwort für das System generiert – mindestens 12 Zeichen und 2-Faktor-Authentifizierung.
Alle Mitarbeiter mit Support-Zugang sind für den VPN-Betrieb eingerichtet, und der Betrieb über fremde Netzwerkzugänge ist nur über VPN erlaubt.
Der Zugriff auf die Server erfolgt über Zulieferer. Der Zugriff auf Server erfolgt mithilfe von Schlüsseldateien.
Zulieferer arbeiten nicht mit Daten, es sei denn, der Verantwortliche hat hierfür die Erlaubnis erteilt.
C.2.2 Rechenzentrum und Netzwerksicherheit
Die Daten werden bei einem Hosting-Anbieter gehostet, vgl. Liste der Unterauftragsverarbeiter, Anhang B.
Eine Übermittlung der Daten an andere als die eingeloggten Nutzer erfolgt nicht.
Bei Zugriffsversuchen auf die Server des Auftragsverarbeiters erfolgt nach 3 erfolglosen Versuchen eine Sperrung.
C.2.3 Autorisierung und Zugriffskontrollen
Evovia ist eine Plattform, auf der verschiedene Benutzer Zugriff auf unterschiedliche Daten haben – ein Teil dieser Zugriffsverwaltung obliegt dem Verantwortlichen selbst. Und im Allgemeinen wird der Zugriff nur auf Anfrage/Anordnung des Verantwortlichen gewährt, der die Verantwortung für die Daten trägt.
Wenn der Verantwortliche dies verlangt, kann der Auftragsverarbeiter im Namen des Verantwortlichen damit arbeiten. Alle Handlungen werden protokolliert.
C.2.4 Datensicherheit
Sämtliche Eingaben und Auslesungen der Daten erfolgen über eine sichere Webverbindung (https) zu unseren Webservern. Die Server, auf denen die Website selbst läuft, sind virtuelle Server. Diese Server speichern keine Daten. Der Zugriff auf diese Server wird durch eine Firewall kontrolliert, die sich automatisch für genehmigte Mitarbeiter öffnet – andere haben überhaupt nicht die Möglichkeit, einen Anmeldeversuch zu unternehmen.
Von diesen Servern werden Daten an eine Reihe virtueller Datenbankserver übertragen. Die Daten befinden sich auf einem Server bei einem Hosting-Unternehmen und werden auf einen anderen Server bei demselben Hosting-Unternehmen gespiegelt. Täglich wird eine verschlüsselte Backup-Datei an einen weiteren Server in einem anderen EU-Land gesendet. Und schließlich wird eine weitere verschlüsselte Backup-Datei an ein drittes Hosting-Unternehmen gesendet. Der Zugriff auf die Datenbankserver ist ausgewählten Mitarbeitern vorbehalten.
Alle Mitarbeiter im Support des Auftragsverarbeiters (und Zulieferer des Auftragsverarbeiters) haben ein langes und nicht einfaches Passwort für das System generiert – mindestens 12 Zeichen.
Der Zugriff auf die Server erfolgt über Zulieferer. Der Zugriff auf Server erfolgt mithilfe von Schlüsseldateien.
Zulieferer arbeiten nicht mit Daten, es sei denn, der Verantwortliche hat hierfür die Erlaubnis erteilt.
C.2.5 Autorisierung und Zugriffskontrolle
Evovia greift nur dann auf Informationen im System des Verantwortlichen zu, wenn der Verantwortliche dies verlangt, z. B. in einer Support-Situation. Der Zugriff erfolgt dadurch, dass der Verantwortliche aktiv ein Häkchen in einem Kästchen setzt und dieses nach Nutzung wieder entfernt. Alle Handlungen werden protokolliert.
Bei Zugriffsversuchen auf unsere Server erfolgt nach 3 erfolglosen Versuchen eine Sperrung.
Die Protokollierung der Daten erfolgt so, dass am Anfang des Dokuments steht, wer das Dokument wann gesehen hat.
C.2.6 Löschung
Wenn ein Kunde einen Mitarbeiter löscht, der nicht mehr beschäftigt ist, wird der Mitarbeiter nach 14 Tagen gelöscht, während die in MUS usw. eingegebenen Daten im Archiv des Managers (als Ausgangspunkt für 5 Jahre) gespeichert werden, z. B. Punktestand und Vereinbarungen. Der Verantwortliche kann Evovia jedoch anweisen, die Speicherdauer der Daten zu ändern. Sie kann länger oder kürzer als 5 Jahre sein. Dies kann von Werkzeug zu Werkzeug differenziert werden.
Wenn ein Unternehmen mit Evovia aufhören möchte, wird das Unternehmen nach 14 Tagen gelöscht – und ist innerhalb von 90 Tagen vollständig aus jeglichem Backup verschwunden.
C.2.7 Sicherheit der Mitarbeiter
Der Lieferant nutzt Heimarbeitsplätze. Alle Daten werden online gespeichert und berühren den PC des Mitarbeiters normalerweise nur in dem Umfang, in dem die Website auf dem PC des Mitarbeiters zwischengespeichert wird.
Die zur Verarbeitung auf dem PC des Mitarbeiters übergebenen Daten werden – nach Absprache mit dem Verantwortlichen – vertraulich behandelt und nach Verwendung unverzüglich gelöscht.
Die Übermittlung der Daten zwischen Mitarbeitern erfolgt in verschlüsselten E-Mails oder verschlüsselten Dateianhängen.
C.2.8 Eingabedatenmaterial, das personenbezogene Daten enthält
Eingabedaten sind das, was der einzelne Benutzer in das System eingibt.
Nur wenn der Verantwortliche uns dazu auffordert, kann ein Support-Mitarbeiter eventuell darauf zugreifen. Dies findet statt, indem der Verantwortliche aktiv ein Häkchen in einem Kästchen setzt und dieses nach Nutzung wieder entfernt. Die Handlung wird protokolliert.
C.2.9 Ausgabedatenmaterial, das personenbezogene Daten enthält
Hier nicht relevant. Nur wenn der Verantwortliche uns in einer bestimmten Situation ausdrücklich die Erlaubnis dazu erteilt, kann ein Support-Mitarbeiter eventuell darauf zugreifen.
C.2.10 Beauftragung von Unterauftragsverarbeitern
Vor der Beauftragung eines Unterauftragsverarbeiters führt Evovia eine sorgfältige Prüfung oder Überwachung der Sicherheitsmaßnahmen und Datenschutzgrundsätze durch, die der Unterauftragsverarbeiter implementiert hat, um sicherzustellen, dass der betreffende Unterauftragsverarbeiter über ein Sicherheitsniveau verfügt, das den Verarbeitungstätigkeiten, die er für Evovia durchführen soll, entspricht. Wenn ein Unterauftragsverarbeiter als geeignet für die Durchführung von Verarbeitungstätigkeiten beurteilt wird, schließt Evovia eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter gemäß den Anforderungen der Auftragsverarbeiterbedingungen ab.
C.3 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter wird den Verantwortlichen im Rahmen seiner Möglichkeiten und im nachstehenden Umfang gemäß den Bestimmungen 8.1 und 8.2 durch die Umsetzung der folgenden technischen und organisatorischen Maßnahmen unterstützen:
Auf konkrete Anfrage des Verantwortlichen unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen so weit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtung, auf Anfragen zur Ausübung der Rechte der betroffenen Personen gemäß der Gesetzgebung zum Schutz personenbezogener Daten zu antworten.
Wenn eine betroffene Person einen Antrag auf Ausübung ihrer Rechte gegenüber dem Auftragsverarbeiter stellt, benachrichtigt der Auftragsverarbeiter unverzüglich den Verantwortlichen.
Unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen unterstützt der Auftragsverarbeiter auf konkrete Anfrage den Verantwortlichen auch dabei, die Einhaltung der Pflichten des Verantwortlichen in Bezug auf Folgendes sicherzustellen:
- Durchführung geeigneter technischer und organisatorischer Maßnahmen
- Verletzungen des Schutzes
- Benachrichtigung der betroffenen Person über eine Verletzung des Schutzes personenbezogener Daten
- Durchführung von Datenschutz-Folgenabschätzungen
- Vorherige Anhörungen der Aufsichtsbehörden
C.4 Speicherungsdauer/Löschungsverfahren
Bei Beendigung der Dienstleistung im Zusammenhang mit der Verarbeitung personenbezogener Daten muss der Auftragsverarbeiter die personenbezogenen Daten gemäß Bestimmung 10.1 entweder löschen oder zurückgeben, sofern zwischen den Parteien nichts anderes gesondert vereinbart wurde.
Die Umsetzung der Anweisungen des Verantwortlichen zur Löschung oder Herausgabe der Daten des Verantwortlichen durch Evovia erfolgt in Übereinstimmung mit den Bestimmungen der Datenschutz-Grundverordnung und so schnell wie praktisch möglich. Standardmäßig löscht Evovia Kundendaten 14 Tage nach Ende des Abonnementvertrags aus der Betriebsumgebung. Der Verantwortliche akzeptiert hiermit, dass die Daten des Verantwortlichen für 90 Tage in ein Backup-Verfahren einbezogen werden, wonach alle Kopien der Daten des Verantwortlichen gelöscht werden.
C.5 Ort der Verarbeitung
Die Verarbeitung der von den Bestimmungen umfassten personenbezogenen Daten darf ohne vorherige schriftliche Zustimmung des Verantwortlichen nicht an anderen Orten als den folgenden stattfinden:
Detaillierte Informationen zu den Verarbeitungsorten des Auftragsverarbeiters und seiner Unterauftragsverarbeiter erhalten Sie durch Kontaktaufnahme mit dem Auftragsverarbeiter. Die Bereitstellung der Informationen ist in dem Umfang möglich, in dem die Bereitstellung nach Einschätzung des Auftragsverarbeiters ohne Sicherheitsrisiko erfolgen kann. In solchen Fällen werden grundsätzlich lediglich Informationen über das Land und die Stadt des Datenverarbeitungsortes bereitgestellt.
C.6 Hinweise zur Übermittlung personenbezogener Daten in Drittländer
Sofern der Verantwortliche in diesen Bestimmungen oder nachträglich keine dokumentierte Anweisung zur Übermittlung personenbezogener Daten in ein Drittland erteilt, ist der Auftragsverarbeiter nicht berechtigt, solche Übermittlungen im Rahmen dieser Bestimmungen durchzuführen.
C.7 Verfahren für die Prüfungen des Verantwortlichen, einschließlich Inspektionen, bei der Verarbeitung personenbezogener Daten, die dem Auftragsverarbeiter anvertraut werden
Laut Artikel 24 und 28 der Datenschutz-Grundverordnung hat der Verantwortliche das Recht und die Pflicht, die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zu überwachen. Die Überwachung des Auftragsverarbeiters durch den Verantwortlichen kann dadurch erfolgen, dass der Verantwortliche eine der folgenden Handlungen durchführt:
- Selbstkontrolle anhand von Dokumenten, die der Auftragsverarbeiter dem Verantwortlichen zur Verfügung stellt
- Schriftliche Überprüfung oder
- Physische Inspektionen.
C.7.1 Selbstkontrolle
Der Auftragsverarbeiter muss jährlich auf eigene Kosten eine Prüferklärung von einem unabhängigen Dritten darüber einholen, ob der Auftragsverarbeiter die Datenschutz-Grundverordnung, Datenschutzbestimmungen in anderem EU-Recht oder dem nationalen Recht der Mitgliedsstaaten und diese Bestimmungen einhält.
Zwischen den Parteien wird vereinbart, dass die folgende Art von Prüfungserklärung gemäß diesen Bestimmungen verwendet werden kann: ISAE3000 – Typ 2.
Die Prüfungserklärung wird jedes Jahr im Juni auf der Verwaltungsseite des Verantwortlichen in Evovia veröffentlicht. Dabei hat der Verantwortliche die Möglichkeit, eine Selbstkontrolle durchzuführen.
Auf der Grundlage der Ergebnisse der Erklärung ist der Verantwortliche berechtigt, die Umsetzung zusätzlicher Maßnahmen zu verlangen, um die Einhaltung der Datenschutz-Grundverordnung, der Datenschutzbestimmungen in anderen EU-Rechtsvorschriften oder dem nationalen Recht der Mitgliedstaaten sowie dieser Bestimmungen sicherzustellen.
C.7.2 Schriftliche Überprüfung und physische Inspektion
Der Verantwortliche kann wählen, ob er eine Überprüfung entweder als schriftliche Überprüfung oder als physische Inspektion durchführen möchte. Die Überprüfung kann durch den Verantwortlichen selbst und/oder in Zusammenarbeit mit einem Dritten erfolgen. Grundlage einer Überprüfung sind die zwischen den Parteien vereinbarten Sicherheitsmaßnahmen. Verfahren und Berichterstattung für die schriftliche Überprüfung oder physische Inspektion:
- Der Verantwortliche kontaktiert den Auftragsverarbeiter per E-Mail an gdpr@evovia.com mit dem Wunsch, eine Überprüfung und/oder Inspektion durchzuführen.
- Der Auftragsverarbeiter bestätigt den Eingang und gibt einen endgültigen Termin für die Durchführung der Überprüfung und/oder Inspektion bekannt.
- Die Durchführung der Überprüfung und/oder Inspektion findet statt.
- Der Verantwortliche erstellt einen Bericht, der anschließend an den Auftragsverarbeiter weitergeleitet wird.
- Der Auftragsverarbeiter prüft den Berichtsentwurf und kommentiert ggf. die eventuellen Beobachtungen des Verantwortlichen (kann mehrmals wiederholt werden).
- Der endgültige Bericht wird vom Verantwortlichen erstellt.
- Die Überprüfung wird abgeschlossen.
C.8 Verfahren für Prüfungen, einschließlich Inspektionen, bei der Verarbeitung personenbezogener Daten, die Unterauftragsverarbeitern anvertraut werden
Der Auftragsverarbeiter führt auf der Grundlage der Risikobewertung des Auftragsverarbeiters und unter Berücksichtigung der spezifischen Verarbeitungsaktivitäten Prüfungen, einschließlich Inspektionen, der Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter durch, entweder in Form einer Selbstkontrolle von Prüfungserklärungen und entsprechend (sofern möglich) einer schriftlichen Überprüfung oder einer physischen Inspektion oder eine Kombination beider.
Der Verantwortliche kann auf Anfrage des Verantwortlichen zusätzliche Informationen darüber erhalten, welche Kontrollmaßnahmen gegenüber den einzelnen Unterauftragsverarbeitern eingeleitet und umgesetzt wurden.
Der Verantwortliche kann gegenüber dem Auftragsverarbeiter eine gesonderte Überprüfung eines Unterauftragsverarbeiters veranlassen. Diese Überprüfung erfolgt nach dem für diesen Zweck üblichen und festgelegten Verfahren des Unterauftragsverarbeiters und auf Kosten des Verantwortlichen.
Version Dezember 2022
Bekomme Antworten auf deine Fragen
Ansvar og ansvarsbegrænsning
Spørgsmål:
I har et helt afsnit 12, som Datatilsynets skabelon ikke har med. Hvad er jeres begrundelse for at have et afsnit om ansvar og ansvarsbegrænsning?
Svar:
Denne ansvarsbegrænsning er nødvendig for, at Evovia kan afgrænse og indkapsle risikoen for ydelsen – og dermed fastsætte prisen herfor. Med andre ord; Evovia er nødt til at afgrænse den samlede risikoeksponering og på den baggrund beregne prisen. Bestemmelsen er udtryk for dette. Tilføjelsen af afsnittet om ansvar og ansvarsbegrænsning regulerer og tydeliggøre ligeledes over for parterne, hvorledes databeskyttelsesforordningens regler om erstatning finder anvendelse. Det er f.eks. præciseret at bestemmelsen om solidarisk hæftelse, hvor muligheden for at gøre regres efter princippet i art. 82, stk. 5, tilsvarende finder anvendelse, når der er tale om godtgørelse af ikke-økonomiske tab jf. art. 82, stk. 1. Begrundelsen for afsnittets berettigelse er at sikre regulering af ansvarsfordelingen i alle databeskyttelsesretlige henseender mellem databehandleren og den dataansvarlige.
Arkivpligt og Arkivlov - Udlevering og sletning af kundens data?
Spørgsmål:
Vi er som offentlig organisation underlagt arkivloven og arkivpligt, derfor er det vel ikke korrekt, at data bare slettes?
Svar:
I vores Databehandlervilkår står følgende:
Efter Kundens valg sletter eller tilbageleverer Evovia alle personoplysninger til Kunden, efter at tjenesterne vedrørende behandling er ophørt – typisk ophør af Abonnement Aftalen - og Evovia sletter eksisterende kopier, medmindre Evovia er underlagt en retlig forpligtelse, som foreskriver at Evovia skal foretage opbevaring af personoplysningerne.
Evovias gennemførelse af Kundens instruks om at slette eller udlevere Kundens oplysninger sker i overensstemmelse med Databeskyttelsesforordningens regulering og så hurtigt, som det er praktisk muligt. Som standard sletter Evovia kundedata fra driftsmiljøet 14 dage efter Abonnement Aftalen er ophørt. Kunden accepterer herunder, at Kundens data indgår i en backup procedure i 90 dage, hvorefter alle kopier af Kundens data er slettet.
Det betyder konkret:
- Kunden har valget mellem at få tilbageleveret data (dvs. selv hente det ud, som skal hentes ud) eller blot slettet data. Hvis Evovia tilbageleverer/kunden selv henter ud, så sletter vi efterfølgende på en aftalt dato. Det er det, der står i bestemmelsen – og det er det, som databeskyttelsesforordningen stiller krav om.
- Kunden kan dermed frit vælge at få udleveret data/selv hente dem ud. Hvis kunden er underlagt arkivloven og arkivpligten, kan man således blot få udleveret data/selv hente dem ud til dette formål.
Der er derfor ikke noget problem i bestemmelsen. - Kunden kan efter skriftlig henvendelse og mod særskilt betaling på kundens instruks få Evovia til at bistå med at hente de relevante data ud til arkivering af data efter arkivloven, forinden sletning gennemføres i Evovia.
Begunstiget tredjemand i tilfælde af konkurs
Spørgsmål:
Hvem er begunstiget tredjemand i tilfælde af konkurs?
Svar:
Evovia har valgt at fravige Bestemmelsernes punkt 7.6, da det synes svært at se, hvordan dette skal udspille sig i praksis. I tilfælde af Evovias konkurs vil konkurslovens regler træde i kraft. Dette forhold bør ikke blive reguleret i en databehandleraftale og konkurslovens regler kan ikke blot fraviges. På trods af, at Datatilsynet har valgt at indsætte denne bestemmelse i standardkontraktsbestemmelserne, er det ikke et krav efter databeskyttelsesforordningens artikel 28. Det betyder, at databehandleraftalen fortsat lever op til databeskyttelsesforordningen selvom dette afsnit fraviges. Desuden er det en forpligtigelse, som Evovia med stor sandsynlighed ikke kan videreføre til eventuelle underdatabehandlere, hvilket vil bringe Evovia i misligholdelse med databehandleraftalen.
Data til forskningsformål i 100 % anonymiseret form
Spørgsmål:
Jeg skriver i Abonnementsvilkår og Forretningsbetingelser på Evovia, der stiller data til rådighed for forskning på Aarhus Universitet i 100% anonymiseret form. I skriver også, at kunden måske ønsker at blive undtaget fra dette. Derfor spørger vi: Kan I specificere, hvad man mister som kunde, hvis ikke ønsker at have vores data inkluderet i den anonymiserede statistik?
Svar:
Det er korrekt. I vores Abonnementsvilkår og Forretningsbetingelser skriver vi således: (link).
Evovia forbeholder sig retten til, i samarbejde med universitetsforskere, at bruge statistisk data i 100 % anonymiseret form til specifikke formål. Det er en mulighed, som vi altid har I vores Forretningsbetingelser, og det er følgende principper:
Evovia foretager en dataudtræk, som er 100% anonymt og ikke kan identificere en bestemt kunde eller gruppe, idet datauddragene kun vælges på følgende parametre:
- Lederens køn
- Medarbejderens køn
- Lederens kontrolpanel (antal medarbejdere, man er direkte leder for)
- Offentlig eller privat virksomhed
- Geografiske hovedkategorier
- Og i nogle overordnede branchesegmenter, når der er sikkerhed for en kritisk masse af kunder, så anonymitet kan opretholdes.
Hvis en kunde ikke ønsker at indgå i sådanne benchmarks, kan de kontakte Evovia. Så vil kunden ikke deltage eller selv kunne benytte denne benchmark.
I en række år har vi arbejdet sammen med blandt andet Statskunstskab på Aarhus Universitet. Læs mere her (link).
Det betyder,
- Hvis en kunde ønsker at blive ekskluderet fra dette, vil kundens data ikke blive brugt til forskning.
- Det vil heller ikke være muligt at lave en udtræk for virksomhedens data.
Databehandleraftale baseret på Datatilsynets standard – med tilføjelser
Spørgsmål:
Der er tale om en databehandleraftale baseret på datatilsynets standard, men hvor der er lavet en række redigeringer. Derfor kan aftalens lovlighed blive genstand for et tilsyn. Hvordan forholder I jer til det?
Svar:
Vi har anvendt Datatilsynets standard, da vi ønsker at følge minimumskravene. Og de er derfor opfyldt. Hvis Datatilsynet kommer og laver tilsyn, vil de godkende den del, som svarer til hele deres standard – og ja, så vil de kigge på det, der går ud over standarden. Men heri er der intet, der afviger fra artikel 28 i Forordningen. De tilføjelser, der er lavet, er uddybning til forståelse og kommercielle betragtninger, som vi erfaringsmæssigt vurderer er væsentlige og vigtige. Lad os bare give et par eksempler:
- I Præambelen henviser vi til de gældende abonnementsvilkår, som mange netop spørger efter – og som er godkendt, når man betaler første faktura
- Omkring underdatabehandlere har Datatilsynets standard to muligheder – enten forudgående specifik godkendelse eller forudgående generel godkendelse. Her viser praksis, at den første er en umulighed i vores verden, mens den sidste er kombineret med en klar ramme for skriftlig varsel ved evt. skift af underdatabehandler.
- Underretning ved evt. nedbrud følger standarden men er præciseret med uddybende indhold fra Forordningens artikel 33 og 34, som har vist sig nødvendigt for ikke at skulle svare specifikt på dette til hver enkelt kunde
- Revision herunder inspektion: Vi har netop forpligtet os til hvert eneste år i juni måned at uploade til alle kunders administrationsside en uvildig revisionserklæring på at sikkerheden er overholdt – en ISAE 3000 erklæring. Det sekscifrede beløb, vi her betaler for denne er vores bidrag til, at alle kunderne kan have vished om, at tingene er i orden. Hvis en kunde så ønsker yderligere inspektion, kan det ske efter teksten – men på kundens egen regning.
Dokumentation for ISAE-3000-revisionserklæring
Spørgsmål:
Kan dataansvarlig få tilsendt den underliggende dokumentation for ISAE 3000-erklæringen, som fx underdatabehandleraftaler, risikovurdering osv.?
Svar:
Nej. Ikke uden videre. Og slet ikke få tilsendt!
Vores system er omgærdet af ekstrem høj sikkerhed, så derfor kan og må vi slet ikke sende en masse af den slags ud af huset. Derfor bruger vi et 6-cifret beløb hvert år på at få BDO til som uvildig og anerkendt revisionsfirma at udarbejde den årlige ISAE 3000–revisionserklæring ultimo maj, som alle vores kunder får indsigt i. I virkeligheden på samme måde som ved et revideret regnskab, som offentliggøres. Der bliver bilag og lignende heller ikke offentliggjort.
Vores ISAE 3000 er revisionens dokumentation for og blåstempling af kontrolmålene i erklæringen. Hvis der er afvigelser på et eller flere kontrolmål, vil det tydeligt fremgå af revisors forbehold. Der er i erklæringen medtaget alle relevante kontrolmål udarbejdet af FSR, som er publiceret af Datatilsynet i februar 2019. Og det fremgår klart her, at de anførte kontrolmål er eksempler, som må tilpasses den enkelte virksomheds data, som behandles på kundernes vegne.
Hvis en kunde ikke er tilfreds med ISAE 3000-revisionserklæringen, kan en ledelseserklæring fra Evovias direktion, på temaer som evt. ikke findes tilstrækkeligt belyst i ISAE 3000, komme på tale. Og hvis det fortsat ikke er tilfredsstillende, kan kunden bede om en ekstern Audit – som så til gengæld foregår on location og mod honorar og omgærdet af stor sikkerhed og fortrolighedserklæringer o.l. Om priser se her fra vores databehandleraftale.
Forskningssamarbejde med Aarhus Universitet
Spørgsmål:
Er der et fælles dataansvar hos Evovia, når Evovia selv behandler data ved for eksempel at sende anonyme data til forskning på Aarhus Universitet?
Svar:
I Abonnementsvilkårene og Forretningsbetingelserne står som følger:
Evovia forbeholder sig ret til i samarbejde med universitetsforskere at anvende statistiske data i 100% anonymiseret form til videnskabelige formål. Dette er en mulighed, som vi altid har medtaget i vores forretningsbetingelser, og det følger følgende principper:
Evovia foretager et datauddrag, der er 100% anonymt og ikke kan identificere en bestemt kunde eller gruppe, da dataekstrakter kun vælges på følgende parametre:
- Lederens køn
- Medarbejderens køn
- Lederens kontrolpanel (antal medarbejdere, man er direkte leder for)
- Offentlig eller privat virksomhed
- Geografiske hovedkategorier
- Og i nogle overordnede branchesegmenter, når der er sikkerhed for en kritisk masse af kunder, så anonymitet kan opretholdes.
Hvis en kunde ikke ønsker at blive medtaget i et sådant benchmark, kan man fritages ved at kontakte Evovia. Derefter vil kunden hverken deltage eller kunne benytte sig af dette benchmark.
Det korte svar er herefter:
- Nej, der er ikke tale om fælles ansvar her
- Som kunde er du ansvarlig for det, du indtaster - og hvad du vil bruge de statistikker, der kan udtrækkes fra systemet, grafer og rapporter - og hvordan
- Evovia er ansvarlig for, hvordan data lagres og stilles til rådighed for kunden - herunder i statistikker og rapporter, og at det overholder lovgivningen
- Og i forhold til 100% anonyme data til forskningsformål på Aarhus Universitet - tilbyder vi ikke noget for dem, der ikke kan udtrække statistikker og rapporter, bare 100% anonymitet! Men vi har netop udvidet med geografi og overordnet industri + mand/kvinde leder, og her bruger vi et enkelt forskningsprogram, der "gætter" på køn med hensyn til fornavn med den risiko, at "Inge" er en drengs navn i Norge, mens det er et pigenavn i Danmark.
- Og endelig kan enhver kunde på anmodning fravælge at deltage i og benytte sig af sådanne benchmarkdata.
Garantier ved sikkerhedsbrud
Spørgsmål:
Der mangler noget, specielt i afsnittet "Rapportering af sikkerhedsbrud". Evovia giver ingen kontraktlige forsikringer om, at vi kan løfte 72 timers-kravet i forhold til en databrist fra dem, da Evovia ikke garanterer den slags information, Artikel 33 og 34 kræver.
Svar:
Nej, intet mangler. Begge dele er tydeligt indeholdt. Og Evovia giver de nødvendige garantier.
Vær opmærksom på, at dataansvarliges deadline for max 72 timer først regnes fra den meddelelse, der er modtaget fra databehandleren. Da databehandleren skal underrette uden unødig forsinkelse, og da databehandleren alene finder ud af, at der er sket en overtrædelse, vil dette i praksis giver meget begrænsede muligheder for databehandleren til at være opmærksom på overtrædelsen, så meddelelsen kan gives.
I Evovia databehandleraftale følger heraf, at databehandleren er forpligtet til at bistå den dataansvarlige med at opfylde sine forpligtelser efter artikel 33 og 34.
Der er derfor indeholdt de nødvendige garantier for, at Evovia assisterer i forhold til at løfte den dataansvarliges forpligtelser.
Yderligere dokumentation:
Betænkning angiver på side 496 at:
Som anført i bestemmelsens ordlyd, aktiveres den registeransvarliges forpligtelse til at anmelde personoplysninger til tilsynsmyndigheden, når den registeransvarlige er blevet opmærksom på brud på personoplysninger. En simpel formodning om, at brud på personoplysninger er sket eller en simpel opdagelse af en hændelse, anses ikke for tilstrækkelig til at betragte et brud på databeskyttelsen som værende "sket" i henhold til forordningen. En sådan simpel formodning kan dog forårsage, at den dataansvarlige skal overveje behandlingssikkerheden, jf. artikel 32.
I vurderingen af, om et brud er "sket", må antages at tage særligt hensyn til, om de oplysninger, der er nævnt i artikel 33, stk. 3, står til rådighed for udbyderen.
Og på side 497:
Hvad angår de tilfælde, hvor den registeransvarlige har forladt behandlingen af personoplysninger til en databehandler, henvises der til forordningens artikel 33, stk. 1. 2, som er beskrevet mere detaljeret nedenfor.
Justitsministeriets bekendtgørelse forbinder derfor ikke datastyrelsens deadline og en databehandlers deadline.
Disse afsnit gentages i den manual, der er udstedt af Datatilsynet vedrørende krænkelser af personoplysninger.
Artikel 29 gruppen har i deres WP250 om brud på persondatasikkerheden på side 13 anført:
Artikel 33, stk. 2, gør det klart, at hvis en databehandler benytter en databehandlers data, og databehandleren bliver opmærksom på en overtrædelse af de personoplysninger, vedkommende behandler på vegne af, skal vedkommende underrette administrationen ”uden unødig forsinkelse”. Det er vigtigt at bemærkes, at databehandleren ikke først skal vurdere sandsynligheden for risiko som følge af en overtrædelse, inden vedkommende underretter den dataansvarlige. Det er den dataansvarlige der må foretage den nødvendige vurdering for at blive opmærksom på overtrædelsen. Databehandleren skal konstatere, om der er sket en overtrædelse, og giver derefter besked til den dataansvarlige. Den dataansvarlige bruger databehandleren til at nå sine mål; Derfor bør den dataansvarlige i princippet betragtes som "opmærksom", når databehandleren har informeret om overtrædelsen. Databehandlerens forpligtelse til at underrette sin registeransvarlig gør det muligt for den dataansvarlige at afhjælpe overtrædelsen og afgøre, om det er nødvendigt at underrette tilsynsmyndigheden i overensstemmelse med artikel 33, stk. 1, og de berørte personer i overensstemmelse med artikel 34, stk. 1. Databehandleren vil måske også undersøge overtrædelsen, da vedkommende måske ikke er i stand til at kende alle relevante fakta i sagen, for eksempel hvis en kopi eller backup af persondata ødelagt eller tabt af databehandleren stadig er afholdt af databehandleren. Dette kan påvirke, om den dataansvarlige derefter skal underrettes.
Uanset hvad Datatilsynet angiver i deres præsentation af en databehandlingsaftale, regnes den dataansvarlige deadline først efter, at meddelelsen er modtaget fra databehandleren. Da databehandleren skal underrette uden unødig forsinkelse, og da databehandleren kun finder ud af, at der er sket en overtrædelse, vil dette i praksis give meget begrænsede muligheder for at opholde sig fra databehandleren for at være opmærksom på overtrædelsen af meddelelsen.
Det følger heraf, at databehandleren er forpligtet til at bistå den dataansvarlige med opfyldelse af sine forpligtelser efter artikel 33 og 34.
Det indeholder derfor tydeligt de nødvendige garantier, som Evovia bistår med, når de løfter den dataansvarliges forpligtelser.
Godkendelse af Databehandleraftalen
Spørgsmål:
Hvor og hvordan godkender man Databehandleraftalen?
Svar:
- Så snart, der oprettes topledelse i en organisation – eller den inkluderes i et topniveau – logges der ind i Evovia. Derefter åbner databehandlingsaftalen, og du kan ikke fortsætte, med mindre en af jer har godkendt den.
- Hvis ikke du har haft tid til at læse databehandlingsaftalen, bedes du venligst acceptere den. Så har du indtil d. 14. maj 2018 til at underskrive datavilkår og tjenester. Hvis ikke vi hører mere fra kunden inden 14. maj 2018 er godkendelsen gyldig.
- Nogle sekunder efter godkendelsen får du en mail i din indbakke, hvor der er vedhæftet en PDF-fil til hele databehandlingsaftalen, hvor din virksomheds navn er tilføjet – sammen med Evovias direktørers underskrifter.
Godkendelse af underdatabehandlere?
Spørgsmål:
Skal Evovia som databehandler ikke have en godkendelse fra den dataanvarlige, altså kunden før eventuel skift af underdatabehandler?
Svar:
Først vil vi beskrive, hvad den normale procedure er, hvis der skal skiftes underdatabehandler. Der vil det ske i ro og mag, og så er der 30 dages mulighed for, at kunderne ved den fælles henvendelse herom kan gøre indsigelse og evt. opsige abonnementet, hvis man ikke kan acceptere den nye underdatabehandler. Denne hovedvej står klart i vores Databehandleraftale.
Men i akutte sikkerhedsmæssige situationer må vi handle for at sikre bedst mulig sikkerhed for kunderne.
Her forklares nærmere hvorfor:
- Som ansvarlig databehandler er vi nødt til at se force majeure-situationer i øjnene. Hvis fx en underdatabehandler misligholder vores tillid, må vi af hensyn til vores +600 kunder handle øjeblikkeligt og udskifte.
- Hvis vi akut skal flytte til en større sikkerhed, ville vi blive nødt til at lade data, for de kunder som ikke vil acceptere en generel godkendelse, ligge hos den underdatabehandler, vi ikke længere kan stå inde for. Og det er selvfølgelig ikke holdbart.
Her er en præcisering af, hvordan proceduren i praksis vil være i en sådan akut situation:
- Hvis vi over night må skifte underdatabehandler, så gør vi det
- I samme nu det er sket, og alt er valideret hos os – sender vi en enslydende orientering til alle +600 kunder, hvor vi redegør for det og præsenterer den nye og validiteten
- Hvis en kunde ikke kan acceptere det, så tager vi en dialog om det – og stopper eventuelt samarbejdet og vi leverer data tilbage.
Vi må samtidig sige, at vi aldrig har været i nærheden af en sådan situation.
I Evovia har vi valgt den generelle godkendelse, jf. Forordningens artikel 28, da den specifikke af sikkerhedsmæssige hensyn ikke kan accepteres overfor jer som kunder. Ovennævnte lever op til Artikel 28 i Forordningen og er valideret af vores GDPR-advokater.
Hændelser - opbevaring og sletning af indberetning
Efter dialoger med Datatilsynet i efteråret 2022 står to ting klart,
- at Evovia som Databehandler har pligt til at stille legale rammer til rådighed for behandling og opbevaring af data vedr. hændelser. I udgangspunktet har vi sat det op, så sådanne data gemmes i 5 år, hvorefter de automatisk slettes, når de 5 år er gået
- at kunden som Dataansvarlig har pligt til ikke at gemme sådanne data længere end nødvendigt. Det kan være fx 3 eller 5 år. Rent praktisk sker det ved, at kunden henvender sig til Support og få os til at opsætte dette redskab, Hændelser, til kun at gemme i fx 3 eller 5 år, hvorefter data slettes. Men det betyder så, at hvis en enkelt sag skal gemmes længere, så må kunden selv hente den ud og gemme den uden for Evovia, da sletning ellers sker automatisk.
Information om brud på persondatasikkerheden til tilsynsmyndigheden
Spørgsmål:
Nogle har spurgt os, om vi kan sætte en deadline, så vi som databehandlere rapporterer brud på datasikkerhed inden for max 24 timer. I øjeblikket står der "uden unødig forsinkelse".
Svar:
Nej, det hverken kan eller vil vi. Men derimod "smider vi, hvad vi har i hænderne". Og uden unødig forsinkelse opklarer vi alle relevante elementer og rapporterer om muligt. Ønsket om fx 24 timer er derfor ikke relevant. For det skyldes en fejllæsning af selve Persondataforordningens artikel 33 (se nedenfor her). Databehandleren skal rapportere uden unødig forsinkelse. Og dataansvarlige skal rapportere inden for 72 timer. Disse to tidsrammer hænger ikke sammen. Den dataansvarlige har 72 timer fra det øjeblik, databehandleren informerer dem.
Sagen er:
- Hvis der er et brud på den personlige datasikkerhed, har vi som databehandler følgende ansvar:
- “Informer dataansvarlig (=kunden) uden unødig forsinkelse efter at være gjort opmærksom på, at der har været en overtrædelse af den personlige databeskyttelse” (citat fra artikel 33).
- Det betyder virkelig hurtigst muligt! Men også på en måde, så databehandler sikrer, at man ikke unødvendigt sår tvivl eller uro hos unødvendigt mange kunder, så databehandleren skal klargøre ting forsvarligt. Det sker hurtigst muligt! Og uden unødig forsinkelse.
- Og derefter, når så kunden (=dataansvarlige) får besked, har kunderne 72 timer til at opfylde deres forpligtelser.
- Det er selvfølgelig i alles interesse, at det sker så hurtigt som muligt! Eller: Uden unødig forsinkelse, som artikel 33 siger!
Her er selve teksten: EU's Persondataforordning, Artikel 33
Information om brud på persondatasikkerheden til tilsynsmyndigheden
- Ved brud på persondatasikkerheden anmelder den dataansvarlige uden uønsket forsinkelse og om muligt senest 72 timer efter at være blevet bekendt med det, krænkelsen af persondatasikkerheden til den tilsynsmyndighed, der er kompetent i overensstemmelse med artikel 55, med mindre det er usandsynligt at krænkelsen af persondatasikkerheden udgør en risiko mod en virkelig persons rettigheder og frihed. Foretages anmeldelsen til tilsynsmyndigheden ikke inden 72 timer, ledsages den af en begrundelse for forsinkelsen.
- Databehandleren informerer uden unødig forsinkelse den dataansvarlige, når vedkommende opdager, at der er sket en overtrædelse af den personlige datasikkerhed.
- Den i stk. 1 omhandlede anmeldelse skal mindst:
- beskrive oprindelsen af bruddet på persondatasikkerheden, inklusiv, hvor det er muligt, kategorierne og det estimerede antal registrerede personer, såvel som kategorierne og det estimerede antal optegnelser af de berørte persondata.
- angive navne og kontaktinformationer på datasikkerhedskonsulenten eller en anden kontakt, hvor der kan tilbydes yderligere information.
- beskriv de tænkelige konsekvenser af bruddet på persondatasikkerheden.
- beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger til begrænsning af mulige skadelige virkninger.
- Når det ikke er muligt at give informationerne på samme tid, må informationerne gives i faser uden unødig forsinkelse.
- Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder i forbindelse med brud på persondatasikkerheden, dens virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal gøre det muligt for tilsynsmyndigheden at kontrollere overholdelsen af denne artikel.
Instruksen fra Dataansvarlige til Databehandler
Spørgsmål:
Når det i henhold til forordningens artikel 28, stk. 3a hedder, at databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, hvad betyder det så? Skal der foreligge et særligt dokument for det?
Svar:
Nej, ikke nødvendigvis. Vi kan ikke forudsige alle tænkelige situationer, men når det sker, skal det dokumenteres/kunne dokumenteres.
Konkret: Hvis en leder eller medarbejder har et teknisk problem under MUS-dialogen og kontakter support, og support ikke kan løse kundens opgave uden at få adgang til spørgeskemaet, kan support kun gøre det, hvis en leder/medarbejder går ind på sin profil og giver support adgang via et afkrydsningsfelt, som kan fjernes så snart, problemet er løst. Denne instruktion er beskrevet i systemet.
Instruktionerne ligger i vilkårene under overskriften "Behandling", hvori det er angivet, ved kundens accept af Databehandervervilkårene, at kunden opfordrer Evovia til at behandle kundens personoplysninger til levering af Evovia lagringsservice på vilkår, som angives i Tilmeldingsaftalen og disse Databehandervilkår.
I selve databehandlervilkårene er der et afsnit vedr. behandlingens karakter og formål, hvor der bl.a. står: Det kan herudover være aftalt konkret mellem parterne, at behandlingernes art også omfatter levering af tjenester, der indebærer behandling af kundens oplysninger. Det giver mulighed for, at kunden kan give Evovia instruktioner til at tage sig af f.eks. en anonym trivselsundersøgelse for kunden. Derefter handler databehandleren på klare instruktioner fra dataansvarlige i den givne situation.
Det er sådan, det skal anskues.
Opbevaring af data efter ophør
Spørgsmål:
Hvad ligger til grund for bestemmelsen om, at databehandler kan opbevare data efter ophør af Abonnementsaftalen? Hvilken retslig forpligtelse kan der være tale om?
Svar:
Ordlyden følger af minimumskravene til en databehandleraftale efter databeskyttelsesforordningens artikel 28, stk. 3, litra g. Evovia kan retligt være forpligtet til at opbevare data. Det kan f.eks. være domstole eller andre offentlige myndigheder, som forpligter Evovia til at opbevare data. Der er på nuværende tidspunkt ikke meget praksis på området, hvorfor det er svært at give et præcis eksempel herpå.
Opbevaring af data på fratrådte medarbejdere
Spørgsmål:
Det fremgår af Evovias databehandleraftale, at når en medarbejder slettes fra kundens system, bliver medarbejderen slettet efter 14 dage, mens de indtastede data, aftaler og scorer er lagret i lederens arkiv i 5 år. Er det lovligt med de 5 år?
Svar:
Ja, det er lovligt at lagre personaledokumenter i +5 år ifølge Datatilsynets praksis, og lederens arkiv er et arkiv, som kun den pågældende leder har adgang til, og det skal betragtes som en "udvidet funktion" af medarbejdermappen.
Oplysningspligt over for medarbejdere
Spørgsmål:
Vi har som dataansvarlig en oplysningspligt over for vores medarbejderne. Kan I hjælpe med at opfylde den?
Svar:
Ja, det kan vi, og her har vi sammensat en tekst plukket fra eksisterende materiale:
Typer af oplysninger, som lagres.
Her fra Databehandleraftalens tekst:
Typen af oplysninger
De overladte behandlinger omfatter de typer af oplysninger, som Kunden indtaster og indlæser i Evovia cloudtjenesten. Dette omfatter navne, e-mail adresser, medarbejderes placering i organisationen, oplysninger om nærmeste leder samt de øvrige personoplysninger, som medarbejderen og dennes leder selv lægger ind i cloudtjenesten, fx forberedende notater, score, kommentarer af aftaler og handlingsplaner med deadline ved MUS, APV mv..
Hvor lagres data rent faktisk?
Her fra Bilag om Underdatabehandlere (står også i mere kortfattet tekst i Bilag om Implementerede sikkerhedsforanstaltninger):
UNDERDATABEHANDLERE
Al data opbevares i et tysk datacenter hos Hetzner Online GmbH.
Data forlader ikke hostingcentret med mindre dette er aftalt med Dataansvarlige. Data opbevares kun på Databehandlerens computere i det omfang indholdet måtte blive cachet i browseren. Personfølsomme data vil kun blive cachet på Databehandlerens computer, hvis der er givet tilladelse af Dataansvarlige til at arbejde med data.
1. Underdatabehandlere, som vi har Underdatabehandleraftale med:
Traels.it, Bøgevej 32, 5200 Odense V. Danmark, att. Simon Ravn
Hovedansvar for den tekniske udvikling af hele musskema.dk platformen og derfor har fuld adgang.
Hetzner Online GmbH, Industristrss. 25, 91710 Gunzenhausen
Hosting af alle servere
I forbindelse med driftsudfordringer kan de gives adgang til applikations-servere – men ikke database-servere, som indeholder fortrolig data
- Hetzner Online, Tyskland – har en afdeling i Finland, som ikke foretager egentlig databehandling men alene opbevarer vores krypterede backupfil.
- Hetzner Online, Tyskland har en underdatabehandleraftale med den finske afdeling: Hetzner Finland Oy, Huurrekuja 10, 04360 Tuusula, Finland
Hvor længe opbevares data?
Her fra FAQ, Personalemapper:
Normalt altid 5 år – i henhold til Datatilsynets praksis.
Personalemapper
- på fratrådte medarbejdere, hvor lang tid skal data ligge her?
Spørgsmål:
Det fremgår af Evovias databehandleraftale, at når en medarbejder slettes fra kundens system, bliver medarbejderen slettet efter 14 dage, mens de indtastede data, aftaler og scorer er lagret i lederens arkiv i 5 år. Er det lovligt med de 5 år?
Svar:
Ja, det er lovligt at lagre personaledokumenter i +5 år ifølge Datatilsynets praksis, og lederens arkiv er et arkiv, som kun den pågældende leder har adgang til, og det skal betragtes som en "udvidet funktion" af medarbejdermappen.
Hvem kan se hvad?
Her fra selve systemet, hvor alle dialogdokumenter øverst indeholder nedenstående data, så ingen medarbejder eller leder er i tvivl om, hvem der kan se hvad, inden man indtaster noget… Her eks. fra MUS:
- Hvem er denne medarbejder: Jørgine
- Hvilket team sidder hun i: Administrationen
- Hvem kan se de indtastede data i selve forberedelsesarket + referatet: Nærmeste leder/Poul L. (ved lederskift kan den nye leder IKKE se fortrolige data af denne slags – med mindre medarbejderen selv viser dem).
- OG Kasper M., det er nemlig muligt at inddrage flere personer til indsigt i data, men kun når medarbejderen forlods kan se det og aldrig bagudrettet.
- Indgåede aftaler og anonyme grafiske oversigter pr. team kan ses af overordnede chef og eventuelt HR, som kan inddrages, og det fordi Aftaler forpligter også organisationen ud over den nærmeste leder. Eventuel ny leder vil altid kunne se aftaler, idet de som sagt forpligter ud over den leder, som har indgået aftalen.
Privacy by default og Privacy by design
Spørgsmål:
Har Evovia beskrevet en Privacy by default og Privacy by design?
Svar:
Ja det har vi.
Hos Evovia har vi hele vejen igennem tænkt privacy. Der er valgt gode tekniske løsninger, som sikrer at data og filosofien gennem udviklingen har været at skabe et trygt rum, hvor medarbejderen ved, at det kun er den/de indvolverede ledere, der har adgang til de ting, der skrives.
Da vores filosofi fra starten har været at skabe et fortroligt rum mellem leder og medarbejder, er der heller ikke noget, man skal slå til for at sikre data - som eksempel skal en bruger give supportere tilladelse, før systemet lader dem gå ind på elementer, der tillader fortrolige data
Dette kan eksemplificeres således:
Privacy by design
Privacy by default
Hele arkitekturen i Evovia er bygget op med udgangspunkt i at sikre fortrolighed og den højeste persondatabeskyttelse. Samtidigt er det indarbejdet, at personlig information om en bruger kun bliver opbevaret, så længe som det er nødvendigt for at kunne levere vores service.
Hvem kan se hvad?
Her fra selve systemet, hvor alle dialogdokumenter øverst indeholder nedenstående data, så ingen medarbejder eller leder er i tvivl om, hvem der kan se hvad, inden man indtaster noget. Her et eksempel fra MUS:
- Hvem er denne medarbejder: Jørgine
- Hvilket team sidder hun i: Administrationen
- Hvem kan se de indtastede data i selve forberedelsesarket + referatet:
Nærmeste leder/Poul L. (ved lederskift kan den nye leder IKKE se fortrolige
data af denne slags med mindre medarbejderen selv viser dem). - OG Kasper M., det er nemlig muligt at inddrage flere personer til indsigt i data,
men kun når medarbejderen forlods kan se det og aldrig bagudrettet. - Indgåede aftaler og anonyme grafiske oversigter pr. team kan ses af overordnede
chef og eventuelt HR, som kan inddrages. Det er fordi aftaler også forpligter
organisationen ud over den nærmeste leder. Eventuel ny leder vil altid kunne se
aftaler, idet de som sagt forpligter ud over den leder, som har indgået aftalen.
Ret til at afslå eller acceptere instruks
Spørgsmål:
Hvad betyder det, når der i punkt 3.2. står, at I som databehandler frit kan vælge at afslå eller acceptere en instruks fra dataansvarlig?
Svar:
Det følger af databeskyttelsesforordningen, at databehandleren kun må behandle personoplysninger efter den dataansvarliges instruks. Det bør naturligvis være forudsat af, at databehandleren kan acceptere vilkårene for en sådan instruks. Tilføjelsen af ”som databehandleren har accepteret” såvel som bestemmelsernes 2.3, præciserer blot, at databehandleren alene bør efterleve de instruksbeføjelser, hvor der er opnået enighed herom mellem parterne. Dette for at databehandleren ikke fremtidig kan blive mødt med nye instrukser eller gjort ansvarlig over for disse, såfremt instruktionerne ikke i forvejen er accepteret af databehandleren. Databehandleren er derfor berettiget til at afslå yderligere instruktioner.
Revisionserklæring - hvorfor ISAE 3000?
Spørgsmål:
Hvorfor ISAE 3000?
Svar:
Evovia har sammen med BDO valgt ISAE 3000, som den bedste og mest dækkende europæiske standard for vores område. Og de enkelte kunder kan se den senest opdaterede på deres profil. Den opdateres årligt.
Den overordnede forskel mellem ISAE 3000 og andre lignende fx ISAE 3402 ligger i, at ISAE 3402 finder anvendelse, når erklæringen og de kontroller der indgår i erklæringen, omhandler finansiel rapportering. Hvis Evovias produkt var ex. at levere Axapta, så ville erklæringen skulle bruges af vores kunders revisorer til brug for aflæggelse af regnskabet for vores kunder. I det tilfælde, burde det være en ISAE 3402.
Men sådan er vores produkt jo ikke.
ISAE 3000 kan bruges til alt andet end finansiel rapportering, herunder eksempelvis rapportering på kontroller omkring persondata, som BDO har lavet hos os. Men generelt kan den bruges til alt der ikke behandler finansiel information, ex. service desk systemer, portaler etc.
Når det er sagt, så er der overlap i kontrollerne. Område B i vores erklæring omhandler generelle it-kontroller, som ofte også vil være omfattet af en ISAE 3402 erklæring. ISAE 3402 erklæringen vil dog ofte have endnu flere it-kontroller med, men ikke indeholde noget om persondata.
Så hvor vidt der skal leveres den ene eller den anden type erklæring, afhænger af den service, der leveres. Hvis vores kunder ønsker rapportering på, hvorvidt Evovia overholder databehandleraftalen og beskytter kundernes persondata, så er ISAE 3000 den rigtige. Havde vi nu været et datacenter, eller på anden vis drev kundens IT-systemer, ville ISAE 3402 måske være bedre.
Derfor har vi valgt ISAE 3000.
Risikovurdering - som grundlag for sikkerhedsniveauet
Spørgsmål:
Hvilken risikovurdering er baseret på sikkerhedsniveauet i systemet? Og er det taget i betragtning, at systemet muligvis kan indeholde sundhedsoplysninger?
Svar:
I risikovurderingen er der inkluderet en vurdering af risikokilderne: De sårbarheder, der kan eksistere i systemet, og hvordan dette trusselbillede kan føre til en begivenhed, der kan karakteriseres som en krænkelse af personoplysninger, i overensstemmelse med databeskyttelsesforordningen natur. 4 (12). Sandsynligheden og sværhedsgraden af et brud vurderes derefter for at bestemme det samlede risikobillede.
Der er klare instruktioner fra Evovia til brugerne om, at der ikke er behov for at indlæse sundhedsoplysninger i vores system. Evovia er ikke et journalsystem - men det kan bruges til en meget god dialog om, hvad der skaber og reducerer fravær. Det er et dialogsystem.
Samtykke for at trække anonyme grafisk data
Spørgsmål:
Skal medarbejdere give samtykke for, at der kan trækkes anonyme grafiske data?
Svar:
Nej, det skal medarbejderen ikke. Og medarbejderen kan heller ikke forlange det.
Juridisk set er der ikke hjemmel for at stille det krav.
Idet der kan ske anonymisering, kan der også udtages statistiske oplysninger, så længe det ikke er muligt at identificere personen ud fra oplysningerne. Vi følger dog klart de anbefalinger fra Datatilsynet, at ved fx udtræk af anonymiserede data til Excel, skal der altid være mindst 4 besvarelser for at opretholde anonymiteten i sådanne sager.
Når en virksomhed registrerer og behandler personoplysninger i forbindelse med gennemførelse af MUS-samtaler, så følger det af Datatilsynets retningslinjer, at
”I det omfang der […] afholdes medarbejderudviklingssamtaler på det private arbejdsmarked, vil almindelige oplysninger kunne behandles med samtykke eller på grundlag af artikel 6, stk. 1, litra f. Hvis der er tale om følsomme oplysninger, vil der som udgangspunkt kun kunne ske behandling med den ansattes udtrykkelige samtykke. Der kan dog også være tale om behandling af oplysninger med anden hjemmel, f.eks. forordningens artikel 9, stk. 2, litra f (fastlæggelse mv. af retskrav).”
Virksomheden kan derfor ud fra en interesseafvejning foretage behandling af personoplysninger i forbindelse med MUS-samtaler.
Der vil derfor heller ikke som udgangspunkt være tale om en samtykkebaseret behandling- eller en behandling, der kun kan ske på baggrund af et samtykke.
Juristerne diskuterer det med at lave statistiske oplysninger ud fra persondata. Juristerne fastslår for det første, at anonymisering af personoplysninger slet ikke er en behandling, idet det savner mening i forhold til grundprincippet i Forordningens art. 5 om opbevaringsbegrænsning. Forordningen angiver i præamblen direkte, at behandling af anonymiserede data falder udenfor forordningens anvendelsesområde. (Peter Blume har argumenteret for at det synspunkt).
Andre jurister fastslår, at anonymisering altid ligger indenfor det behandlingsformål, man oprindeligt har, idet det igen understøtter behandlingsprincippet om opbevaringsbegrænsning.
Endelig fastslår andre jurister, at anonymisering altid er foreneligt med det oprindelige formål, og at behandlingen derfor kan ske.
Evovia har normalt anbefalet de to først anførte vinkler på sagen.
Skifte af underdatabehandler – leveranceforpligtelse i varslingsperiode
Spørgsmål:
I fraskriver jer i punkt 6.3 ansvaret for manglende opfyldelse af leveranceforpligtelse i varslingsperioden for skifte af underdatabehandler. Hvordan stiller det os som dataansvarlig?
Svar:
Der er tale om en kommerciel beslutning af hensyn til bestemmelsernes 6.3, hvorfor Evovia henset til nyere praksis har besluttet at tilføje afsnittet. Vi forbeholder os retten til at fortsætte afkrævning af betaling, hvis særlige tilfælde, herunder nyere praksis, lovgivning, underleverandørs konkurs mv. forhindrer vores leveringen af ydelsen. I de særlige situationer der kan opstå i varselsperioden, vil den dataansvarlig skulle acceptere dette, således databehandleren holdes ansvarsfri for sådan manglende opfyldelse. Dette begrænser ikke den dataansvarliges mulighed for at ophæve aftalen efter almindelige vilkår i henhold bestemmelsernes 6.5 i øvrigt. Vi gør dog opmærksom på, at der er tale om særlige tilfælde og Evovia altid vil bestræbe sig på, at ydelsen leveres som aftalt.
Udstedelse af bøder - ansvarsbegrænsning?
Spørgsmål:
Hvis den bødeudstedende myndighed fastsætter en ansvarsfordeling, følger man så den, eller er der en intern afgørelse af det samme? Begrænsning af ansvar er ikke helt klart.
Svar:
Som udgangspunkt følges opdelingen af ansvaret udstedt af den bødeudstedende myndighed. 83 - hvilket naturligt ville være i overensstemmelse med principperne. 82 også. I den udstrækning en del under henvisning til garantierne mv., indgår det i aftalen, hvad det betyder, at den endelige ansvarsfordeling skal være forskellig. Dette kan forfølges, men i så fald vil det i sidste ende være en domstolsbeslutning.
Underdatabehandleres CVR-nummer
Nogle har efterspurgt underdatabehandleres CVR-nummer:
- Traels.it: CVR 22001884
- Hetzner: VAT Reg. No.: DE812871812
Underdatabehandleraftaler - kan kunden se dem?
Spørgsmål:
Er det muligt at se underdatabehandleraftalerne?
Svar:
Man har ikke adgang til at læse databehandlerens aftaler med underdatabehandlere. Evovia får hvert år senest ultimo maj måned udarbejdet en revisionserklæring, ISAE 3000, som lægges på secure-hjemmesiden til alle kunder.
Underskrivning af Databehandleraftalen: Skal den underskrives fysisk?
Spørgsmål:
Skal der foreligge en fysisk underskrift af Databehandleraftalen?
Svar:
- Nej, det er ikke nødvendigt.
- Vi kan ikke dokumentere, hvem I virksomheden der har accepteret – og hvornår.
- Det er nok.
- Men i samme øjeblik en kunde har accepteret Databehandleraftalen i vores system, modtager du en mail med en PDF-fil med hele aftalen, og med firmaets navn indsat + en dato og underskrift samt stempel fra Evovias direktion.
- Se også: Godkendelse af Databehandleraftalen
Vederlag for bistand eller tilsyn/revision
I skriver nogle steder, at I kan kræve ekstra vederlag – fx i forbindelse med tilsyn/revision. Hvad kan det fx være?
For alt som handler om vores bistand til den dataansvarliges forpligtelser efter databeskyttelsesforordningen art. 33-34 – kan ikke kræves honorar.
For andet kan der – fx hvis vi skal hjælpe on location o.l.
Med hensyn til tilsyn/revision bruger vi hvert år et 6-cifret beløb på at få BDO til som uvildig og anerkendt revisionsfirma at udarbejde den årlige ISAE 3000 erklæring. Erklæringen er revisionens dokumentation for og blåstempling af kontrolmålene i erklæringen. Hvis der er afvigelser på et eller flere kontrolmål, vil det tydeligt fremgå af revisors forbehold. Der er i erklæringen medtaget alle relevante kontrolmål udarbejdet af FSR, som er publiceret af Datatilsynet i februar 2019.
Hvis en kunde ikke er tilfreds med ISAE 3000-revisionserklæringen, kan en ledelseserklæring fra Evovias direktion, på temaer som evt. ikke findes tilstrækkeligt belyst i ISAE 3000, komme på tale. Og hvis det fortsat ikke er tilfredsstillende, kan kunden bede om en ekstern Audit – som så til gengæld foregår on location og mod honorar og omgærdet af stor sikkerhed og fortrolighedserklæringer o.l.
Ændring af databehandlervilkår
Spørgsmål:
Hvorfor står der i jeres databehandleraftale, at Evovia kan ændre dadtabehandlervilkårerne? Vi mener, at det som udgangspunkt er os som dataansvarlige, der er ansvarlig for databehandleraftalens indhold og dermed også ændringer.
Svar:
Der er tale om levering af en standardydelse på standardvilkår. Derfor kan vi ikke tage hensyn til den enkelte kundes ønsker og behov, medmindre kunden er villig til at betale for det. Hertil skal det understreges, at vi ikke har en interesse i at foretage ændringer, som vores kunder har svært ved at acceptere. Derfor vil sådanne ændringer alene blive foretaget, hvis der ligger tungtvejende grund til at foretage ændringen. Såfremt I som kunde ikke kan acceptere en evt. ændring, har I mulighed for at opsige aftalen efter bestemmelsernes 14.4.