Databehandleraftalen med Musskema.dk, standardvilkår

Her finder du den tekst, som Kundens topchef og evt. inddragede på topniveau alle møder i selve login-processen, for at godkende og acceptere den, inden man kan gøre mere i Musskema.dk. Straks modtager man derefter en mail med den godkendte Databehandleraftale.
 

Aftalte betingelser for databehandling

Kunden som tiltræder disse vilkår og Musskema.dk ApS, CVR-nr. 31285305 (Musskema) har indgået aftale om Kundens adgang til og brug af Musskema.dk (Abonnement Aftalen). Musskema.dk er en standard it-service udbudt af Musskema som en cloudtjeneste til brug for gennemførelse af MUS-samtaler mv.

Musskema vil være databehandler for Kunden under de anførte Abonnementsvilkår, i henhold til Databeskyttelsesforordningens definitioner, idet Musskema opbevarer og behandler personoplysninger som led i, at Musskema.dk cloudtjenesten gøres tilgængelig for Kunden. Parterne anerkender, at Databeskyttelsesforordningen og Databeskyttelses-loven finder anvendelse for Musskemas behandling af personoplysninger på vegne af Kunden.

Databehandlervilkårene er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen).

Databehandlervilkårene har virkning fra det tidspunkt Kunden accepterer dem, og Databehandlervilkårene erstatter fra dette tidspunkt enhver tidligere databehandleraftale indgået mellem parterne i relation til de aftalte behandlingsaktiviteter under Aftalen.

Databehandlervilkårene supplerer herudover Abonnement Aftalen og har forrang for deri konfliktende vilkår.

Databehandleraftale

Disse databehandlervilkår (Databehandlervilkår) udgør parternes databehandleraftale for de af Kunden overladte behandlinger af personoplysninger, og som Musskema har påtaget sig som led i levering Musskema.dk cloudtjenesten. 

Databehandlervilkårene fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Musskema foretager behandling af personoplysninger på vegne af Kunden, og Databehandlervilkårene angiver de sikkerhedsforanstaltninger, som Musskema iagttager.

For de behandlingsaktiviteter, der er overladt til Musskema at udføre for Kunden, er Musskema databehandler i overensstemmelse med de gældende databeskyttelsesregler, mens Kunden enten er dataansvarlig eller databehandler i overensstemmelse med de gældende databeskyttelsesregler. Parterne skal hver især overholde de forpligtelser, som de gældende databeskyttelsesregler fastsætter og Databehandler-vilkårene frigør dermed ikke hverken Musskema eller Kunden for sådanne forpligtelser.

Varighed

Databehandlervilkårene er gældende, fra de får virkning, og indtil Musskema har slettet Kundens data i overensstemmelse med disse Databehandlervilkår. Databehandlervilkårene og Abonnement Aftalen er indbyrdes afhængige, og Databehandlervilkårene kan derfor ikke opsiges særskilt.

Musskemas særlige garantier

Musskema garanterer overfor Kunden, at Musskema besidder tilstrækkelig ekspertise, pålidelighed og ressourcer til at gennemføre fornødne foranstaltninger for at overholde Databeskyttelsesforordningen for så vidt angår de behandlingsaktiviteter, Musskema skal gennemføre for Kunden efter Abonnement Aftalen.

Kundens særlige ansvar

Kunden er ansvarlig for at overholde den til enhver tid gældende persondatalovgivning i forhold til de personoplysninger, som overlades til Musskemas behandling. Kunden er herunder overfor Musskema navnlig ansvarlig for og indestår for, at:

- Kunden har fornøden hjemmel til at behandle og til at overlade det til Musskema at behandle de personoplysninger, der indlæses i Musskema.dk. I de tilfælde hvor Kunden er databehandler for de personoplysninger, som overlades til Musskemas behandling, garanterer Kunden overfor Musskema, at Kundens instrukser, sådan som de kommer til udtryk gennem disse Databehandlervilkår og Abonnement Aftalen samt anvendelsen af Musskema inklusive underdatabehandlere som anden databehandler, er autoriseret af den dataansvarlige.

- Den afgivne Instruks, i henhold til hvilken Musskema skal behandle personoplysninger på vegne af Kunden, er lovlig. Kunden er herudover ansvarlig for at have gennemført fornødne sikkerhedsvurderinger i forhold til Kundens brug af Musskema.dk cloudtjenesten, herunder erklærer Kunden, at Kunden under hensyntagen til det aktuelle tekniske niveau i Musskema.dk og hos Musskema i øvrigt i forhold til de beskrevne foranstaltninger i Databehandlervilkårene, implementeringsomkostningerne og de overladte behandlings karakter, omfang, sammenhæng og formål samt risiciene for fysiske personers rettigheder og frihedsrettigheder har vurderet, at de af Musskema gennemførte sikkerheds-foranstaltninger er passende, og at de sikrer et sikkerhedsniveau, der passer til de identificerede risici for de registrerede personer, som de overladte oplysninger vedrører.

Behandlingernes karakter og formål

De aftalte behandlingers karakter er fastsat af parterne til levering af en standardiseret cloudtjeneste fra Musskema til Kunden, og hvori Kundens data opbevares og lagres, og hvor Kunden kan initiere supplerende behandlinger, så som eksempelvis generering af statistik, som gennemføres af Musskema på automatiseret vis.

Det kan herudover være aftalt konkret mellem parterne, at karakteren af behandlingerne også omfatter levering af tjenesteydelser, som medfører behandling af Kundens oplysninger.

Musskema vil dermed behandle de overladte oplysninger med det aftalte formål at levere servicen Musskema.dk til Kunden, herunder at facilitere den aftalte funktionalitet som fastlagt i Aftalen.  

Typen af oplysninger

De overladte behandlinger omfatter de typer af oplysninger, som Kunden indtaster og indlæser i Musskema.dk cloudtjenesten. Dette omfatter navne, e-mail adresser, medarbejderes placering i organisationen, oplysninger om nærmeste leder samt de øvrige personoplysninger, som medarbejderen og dennes leder selv lægger ind i cloudtjenesten, fx forberedende notater, score, kommentarer af aftaler og handlingsplaner med deadline ved MUS, APV mv..

Kategorier af registrerede

Kategorierne af registrerede personer omfatter de kategorier, som Kunden lader omfatte af brugen af Musskema.dk. er designet til, at der kan indtastes oplysninger om navnlig Kundens medarbejdere.

Hvis en kunde ønsker at anvende Musskema.dk funktionen 360 graders lederevaluering, hvori fx også indgår bidrag fra eksterne interessenter, så vil kategorierne af registrerede også omfatte sådanne eksterne interessenter.

Tilsvarende hvis Kunden ønsker at anvende en GRUS-gruppe, som inkluderer en eller flere eksterne interessenter.

Omfang af behandlingsaktiviteter

Ved Kundens accept af Databehandlervilkårene, instruerer Kunden Musskema til at foretage behandling af Kundens personoplysninger til levering af Musskema.dk cloudtjenesten på vilkår som angivet i Abonnement Aftalen og disse Databehandlervilkår.

Kunden kan herudover anmode Musskema om at modtage yderligere skriftlige instrukser for behandling af personoplysninger for Kunden, idet Musskema frit kan vælge at acceptere eller afslå sådanne yderligere instrukser. Musskema accepterer dog altid en instruks om at ophøre med at foretage videre behandling, hvilket medfører at Musskema sletter Kundens data indenfor de frister, som er angivet under punktet om sletning af data nedenfor. Musskemas forpligtelser efter Abonnement Aftalen, som ikke kan leveres som konsekvens heraf, ophører dermed også.

Musskema vil efterkomme Kundens instrukser, som Musskema har godkendt, medmindre behandling af oplysninger efter instruksen vil være i strid med den gældende databeskyttelseslovgivning, som Musskema er underlagt. I så fald underretter Musskema Kunden herom, medmindre også sådan underretning vil være i strid med gældende retsregler.   

Musskema må kun behandle Kundens personoplysninger efter de instrukser fra Kunden, som Musskema har accepteret. Musskema er dog forpligtet til at foretage behandlinger, hvis dette følger af en retlig forpligtelse, som Musskema er underlagt. Musskema underretter i så fald Kunden herom inden behandlingen gennemføres, med mindre sådan underretning er ulovlig.

Varighed af behandlingsaktiviteter

Musskema foretager behandling af Kundens personoplysninger så længe Musskema er forpligtet under Abonnement Aftalen til at udføre behandlinger – typisk så længe Abonnement Aftalen er i kraft - og i en periode derefter indtil Musskema sletter Kundens data i overensstemmelse med reguleringen fastsat nedenfor i disse Databehandlervilkår.

Sikkerhedsforanstaltninger

Musskema iværksætter alle foranstaltninger, som kræves i henhold til Databeskyttelsesforordningen artikel 32, herunder vil Musskema gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de overladte personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne.

De gennemførte foranstaltninger er yderligere beskrevet i Musskemas Beskrivelse af implementerede sikkerhedsforanstaltninger, version marts 2018 (Her), som Musskema løbende kan opdatere, idet ændringer i sikkerhedsforanstaltninger dog aldrig må føre til en forringelse af sikkerhedsniveauet. Opdaterede versioner af Beskrivelse af implementerede sikkerhedsforanstaltninger indgår automatisk som del af Databehandlervilkårene og erstatter tidligere versioner.

Rapportering af sikkerhedsbrud

Hvis Musskema bliver opmærksom på, at der er sket brud på persondatasikkerheden i forhold til de personoplysninger, Kunden har overladt til Musskema at behandle, skal Musskema underrette Kunden om bruddet på persondatasikkerheden uden unødig forsinkelse efter af Musskema er blevet bekendt med, at der er sket et sådant brud.

Musskema skal uden unødig forsinkelse efter at være blevet bekendt med at der er sket et brud på persondatasikkerheden tage rimelige og proportionelle skridt for at begrænse skaden ved bruddet.

Underretning til Kunden skal om muligt indeholde en beskrivelse af omstændighederne ved bruddet, bruddets karakter, hvilke skridt Musskema har taget eller påtænker at tage for at begrænse skaden ved bruddet, og hvilke forhold Musskema mener, Kunden skal være særlig opmærksom på i forbindelse med bruddet.

Musskema angiver i underretningen også kontaktoplysninger for Musskema, hvor yderligere oplysninger kan indhentes af Kunden.

Underretning kan fremsendes på e-mail til den kontaktadresse Musskema har noteret på Kunden.

Musskemas meddelelse om brud på persondatasikkerheden udgør ikke en anerkendelse af skyld eller ansvar i forhold til et indtruffet brud på persondatasikkerheden.

Musskema bistår på anmodning Kunden med at sikre overholdelse af Kundens forpligtelserne i medfør af Databeskyttelsesforordningens artikel 33 og artikel 34 under hensyntagen til den overladte behandlings karakter og de oplysninger, der er tilgængelige for Musskema i forhold til et brud på persondatasikkerheden, som indtræffer hos Musskema.

Brug af underdatabehandlere

Kunden giver ved sin accept af disse Databehandlervilkår sin generelle godkendelse til at Musskema må gøre brug af andre databehandlere (underdatabehandler). Information om anvendte underdatabehandlere, inklusive deres funktion, og i hvilket land underdatabehandleren er etableret, er tilgængelig på (Her).

Musskema sikrer ved antagelse af en underdatabehandler, at der indgås en skriftlig aftale med underdatabehandleren hvorigennem det sikres at

  1. der stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i Databeskyttelsesforordningen.
  2. Underdatabehandleren pålægges de samme databeskyttelsesforpligtelser som dem, der er fastsat i disse Databeskyttelsesvilkår, hvilket vil sige at kravene i Databeskyttelsesforordningen art. 28(3) skal efterleves samt at
  3. Underdatabehandleren alene behandler Kundens persondata i den udstrækning, det er påkrævet for at opfylde de leveranceforpligtelser, underdatabehandleren har påtaget sig overfor Musskema, samt at behandlingen sker i overensstemmelse med de aftalte instrukser.

Opfylder en underdatabehandler ikke sine databeskyttelsesforpligtelser, forbliver Musskema fuldt ansvarlig over for Kunden for opfyldelsen af underdatabehandlerens databeskyttelsesforpligtelser.

Musskema kan løbende opdatere listen over anvendte underdatabehandlere. Opdatering skal ske mindst 30 dage forinden eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af en underdatabehandler gennemføres. Ved opdatering af listen, gives Kunden særskilt besked, for derved at give Kunden mulighed for at gøre indsigelse mod de planlagte ændringer. Hvis Kunden har indsigelser mod de planlagte ændringer, kan Kunden opsige sin Abonnement Aftale med Musskema med virkning enten øjeblikkelig eller fra udløb af den på opsigelsestidspunktet igangværende kalender måned. Det er en forudsætning for opsigelse efter dette punkt, at opsigelsen afgives overfor Musskema inden for 30 dage efter der er givet underretning om de planlagte ændringer. Opsigelse af Abonnement Aftalen er Kundens eneste beføjelser overfor Musskema i denne situation.

Overførsler af data

Medmindre Kunden giver Musskema særlig instruks herom, må Kundens data ikke overføres til et område udenfor EU.

Musskema kan dog overføre Kundens data til et tredjeland eller en international organisation når det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Musskema er underlagt. I så fald underrettes Kunden om dette retlige krav inden overførslen, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

Kundens egen tilgang til personoplysninger indlagt i Musskema.dk cloudtjenesten fra en lokation, som medfører at der sker en overførsel af personoplysninger til et tredjeland, anses som Kundens egen overførsel, og er dermed ikke omfattet af Musskemas ansvar eller forpligtelser.

Bistand til Kunden

Musskema er forpligtet til på Kundens skriftlige anmodning herom, at yde Kunden følgende bistand:

Musskema bistår, under hensyntagen til de overladte behandlingers karakter, så vidt muligt Kunden ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af Kundens forpligtelse til at besvare anmodninger om udøvelsen af registreredes rettigheder som fastlagt i Databeskyttelsesforordningens kapitel 3 og som suppleret af Databeskyttelsesloven. Modtager Musskema en anmodning direkte fra en registreret eller potentielt registreret om udøvelse af dennes rettigheder, formidler Musskema straks henvendelsen videre til Kunden, som herefter afgør, om Musskemas assistance skal rekvireres.

Musskema bistår også Kunden med at sikre overholdelse af Kundens forpligtelser i medfør af Databeskyttelsesforordningens artikel 32-36 under hensyntagen til de til Musskema overladte behandlingers karakter og de oplysninger, der er tilgængelige for Musskema.

Musskema er berettiget til et særskilt vederlag for den bistand, der ydes til opfyldelse af Kundens anmodninger under dette punkt ”Bistand til Kunden”. For så vidt angår bistand til opfyldelse af Kundens forpligtelser efter Databeskyttelsesforordningen art. 33-34 har Musskema dog ikke krav på vederlag for opfyldelse af de forpligtelser Musskema har efter punktet ”Rapportering af sikkerhedsbrud”.

Et vederlag efter dette punkt beregnes på grundlag af det tidsforbrug Musskema har anvendt samt Musskemas almindelige timesats for sådant arbejde. De aktuelle priser er oplyst på (Her).

Ansvar og ansvarsbegrænsning

For erstatning og anden kompensation, som skal betales til registrerede, som følge af en ulovlig behandling af personoplysninger, finder Databeskyttelsesforordningen artikel 82 og Databeskyttelsesloven § 40 anvendelse. I det indbyrdes forhold mellem parterne, er hver part dermed ansvarlig for at udrede den del af sådanne beløb, som svarer til partens del af ansvaret for skaden. Om nødvendigt fastsættes ansvarsfordelingen gennem domstolsprøvelse.

En part er ansvarlig for bøder og anden straf der pålægges parten som følge af en ulovlig behandling af personoplysninger, og uden mulighed for regres.

Musskemas førelse af fortegnelser

Musskema er forpligtet til at føre fortegnelser over de kategorier af behandlingsaktiviteter, som udføres for Kunden i overensstemmelse med Databeskyttelses-forordningen art. 30. Kunden er forpligtet til at oplyse Musskema om navn og kontaktoplysninger på Kundens eventuelle repræsentant og databeskyttelsesrådgiver og ajourføre sådanne oplysninger, så fortegnelserne kan føres korrekt af Musskema.

Fortrolighedsforpligtelse

Musskema skal sikre, at de personer, Musskema har autoriseret til at behandle Kundens personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Musskema og enhver, der udfører arbejde for Musskema, og som har adgang til Kundens personoplysninger, må kun behandle disse oplysninger efter Kundens instruks, medmindre anden behandling kræves i henhold til en retlig regulering, som Musskema er underlagt.

Musskema må alene autorisere personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Musskemas forpligtelser overfor Kunden. Musskema skal løbende vurdere autorisationer og lukke adgange, når autorisationer udløber eller ophører.

Tilsyn og revision

Musskema stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i Databeskyttelses-forordningen artikel 28 samt kravene til Musskema, som disse Databehandlervilkår fastsætter, til rådighed for Kunden. Musskema giver herunder mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Kunden eller en anden revisor, som er bemyndiget af Kunden.

En gang årligt gennemgår Musskemas revisor, Deloitte, sikkerhedssetup og udsteder en revisionserklæring, som Musskema stiller til rådighed for Kunden på hjemmesiden.

Kunden kan anmode om gennemførelse af fysisk inspektion hos Musskema. Anmodning skal fremsendes skriftlig til Musskema med angivelse af, hvad Kunden ønsker at lade omfatte af inspektionen. Parterne aftaler herefter de nærmere omstændigheder og omfang for inspektion, herunder tidspunkt for gennemførelse og rapporteringsform.

Inspektion kan alene ske af en person, som underlægger sig Musskemas almindelige sikkerhedsforanstaltninger, og som tiltræder en fortrolighedsklausul direkte overfor Musskema.

Musskema kan fremsætte indsigelse mod en af Kunden udpeget person til gennemførelse af inspektion, hvis den udpegede person efter Musskemas rimelige vurdering ikke er egnet eller kvalificeret til at kunne gennemføre inspektionen, herunder at personen (1) ikke er uafhængig, (2) er en direkte konkurrent til Musskema eller (3) af anden grund oplagt er uegnet til varetagelse af opgaven.

Fremsætter Musskema indsigelse mod den udpegede person, må Kunden udpege anden person til gennemførelse af inspektionen.

Tilsyn med Musskemas anvendte underdatabehandlere sker gennem Musskema. Kunden kan dog vælge at initiere og deltage på en fysisk inspektion også hos underdatabehandleren. Tilsyn skal her ske under overholdelse af underdatabehandlerens opsatte vilkår for inspektion.

Musskema og underdatabehandleres eventuelle udgifter i forbindelse med afholdes af et fysisk tilsyn/en inspektion hos enten Musskema eller underdatabehandleren, afholdes af Kunden. Musskema og en eventuel underdatabehandler er herudover berettiget til vederlag for den medgåede tid til inspektionen, fastsat ud fra gældende prisliste (Her).

For så vidt angår dette punkt om ”Tilsyn og revision” underretter Musskema omgående Kunden, hvis en instruks efter Musskemas mening er i strid med Databeskyttelsesforordningen eller anden gældende databeskyttelseslovgivning, som Musskema er underlagt.

Udlevering og sletning af Kundens data

Efter Kundens valg sletter eller tilbageleverer Musskema alle personoplysninger til Kunden, efter at tjenesterne vedrørende behandling er ophørt – typisk ophør af Abonnement Aftalen - og Musskema sletter eksisterende kopier, medmindre Musskema er underlagt en retlig forpligtelse, som foreskriver at Musskema skal foretage opbevaring af personoplysningerne.

Musskemas gennemførelse af Kundens instruks om at slette eller udlevere Kundens oplysninger sker i overensstemmelse med Databeskyttelsesforordningens regulering og så hurtigt, som det er praktisk muligt. Som standard sletter Musskema kundedata fra driftsmiljøet 14 dage efter Abonnement Aftalen er ophørt. Kunden accepterer herunder, at Kundens data indgår i en backup procedure i 90 dage, hvorefter alle kopier af Kundens data er slettet.

Ændringer til Databehandlervilkårene

Musskema kan med et varsel på 90 dage ændre disse Databehandlervilkår. Oplysninger om planlagte ændringer fremsendes til Kunden. Hvis Kunden ikke ønsker at acceptere de varslede ændringer, kan Kunden opsige sin Abonnement Aftale. Kunden har ikke herudover nogen beføjelser som konsekvens af ændringer til Databeskyttelsesvilkårene.

Musskemas kontaktoplysninger

Kundens henvendelser til Musskema omkring databeskyttelse, herunder også anmodninger om tilsyn og inspektion skal fremsendes til:

Musskema.dk ApS

INCUBA, Åbogade 15,

8200 Aarhus N

E-mail: info@musskema.dk

Attention: CEO, adm. direktør

Tlf.: 8675 1242.

Parternes opbevaringspligt

Musskema og Kunden er forpligtet til at opbevare elektronisk hver sin version af disse Databehandlervilkår og Abonnement Aftalen, som fastsætter de supplerende aftalte instrukser og eventuelle øvrige oplysninger, som er af betydning for, eller supplerer disse Databehandlervilkår.

 

Version, marts 2018

Lad os tage en snak om mulighederne Lad os ringe dig op, så vi sammen kan finde en løsning