1 Den dataansvarliges forpligtelser

Den dataansvarlige har som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesloven og databeskyttelsesforordningen.

Den dataansvarlige har derfor både rettighederne og forpligtelserne til, at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling.

Den dataansvarlige er bl.a. ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren – Peak Systems ApS – instrueres i at foretage.

2 Databehandleren

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige. Denne instruks gives, når den dataansvalige har accepteret handelsbetingelser ved køb af adgang til lagerstyringssystemet PeakWMS, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

Peak Systems ApS underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesloven eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

Peak Systems ApS håndterer udelukkende personoplysninger efter dataansvarliges instruks, samt i henhold til gældende lovgivninger i dansk ret og i EU.

Peak Systems ApS må i henhold til databeskyttelsesforordningen artikel 28 stk. 2 og stk. 4 ikke gøre brug af anden databehandler, medmindre der foreligger en specifik og generel skriftlig godkendelse fra den dataansvarlige. Databehandleren må af den grund ikke gøre brug af underdatabehandlere til databehandling, medmindre disse er skriftligt godkendt af den dataansvarlige. Giver dataansvarlig sin tilladelse til at benytte anden databehandler, er det databehandlers ansvar at sørge for, at denne vil være underlagt og efterlever de samme databeskyttelsesvilkår som primære databehandler. Peak Systems ApS er således ansvarlig for – igennem indgåelsen af en underdatabehandler aftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som Peak Systems ApS selv er underlagt efter databeskyttelsesreglerne.

3 Fortrolighed

Peak Systems ApS sikrer ydermere, at det kun er personer, der er autorisreret hertil, der har adgang til de personoplysninger, der behandles på vegne af dataansvarlige. Adgangen til oplysningerne skal af den grund straks lukkes ned, hvis autorisationen fratages eller udløber.

Der må udelukkende autoriseres personer, for hvem adgangen til personoplysningerne er nødvendig, for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.

Peak Systems ApS sikrer, at de, der er autoriseret til at behandle personoplysningerne på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

Dataansvarlige kan til enhver tid anmode Peak Systems ApS om, at kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.

4 Behandlingssikkerhed

Databehandleren iværksætter alle foranstaltninger, der kræves i henhold til databeskyttelsesforordningens artikel 32. Her beskrives det blandt andet, at der under hensyntagen til det aktuelle niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

Ovenstående forpligtelser indebærer, at Peak Systems ApS, som databehandler, skal foretage en risikovurdering, og herefter genneføre foranstaltninger for at imødegå identificerede risici. Her kan der bl.a. være tale om følgende foranstaltninger:

a. pseudonymisering og kryptering af personoplysninger

b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester

c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed

5 Overførsel af oplysninger til tredjelande eller internationale organisationer

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

6 Bistand til den dataansvarlige

6.1 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

Dette indebærer, at Peak Systems ApS så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

a. oplysningspligten ved indsamling af personoplysninger hos den registrerede

b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede

c. den registreredes indsigtsret

d. retten til berigtigelse

e. retten til sletning (»retten til at blive glemt«)

f. retten til begrænsning af behandling

g. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandlingSide 8 af 15

h. retten til dataportabilitet

i. retten til indsigelse

j. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering

6.2 Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.

Dette indebærer, at Peak Systems ApS under hensynstagen til behandlingens karakter skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

a. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen

b. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

c. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder

d. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder

e. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltning er truffet af den dataansvarlige for at begrænse risikoen

7 Retten til sletning og sletteproceduren

I henhold til GDPR artikel 17 har den registrerede (den dataansvarliges kunde) ret til at få slettet sine personoplysninger. Det er den dataansvarliges ansvar at efterleve denne rettighed. Som databehandler understøtter vi dette gennem følgende procedure:

Anmodning om sletning
Den dataansvarlige skal kontakte Peak Systems ApS’ supportafdeling på support@peaksystems.dk med en præcis anmodning om sletning af de specifikke data.

Dokumentation og behandling af anmodningen
For at sikre korrekt behandling af anmodningen kan vi anmode om yderligere oplysninger for at identificere de relevante data. Når vi modtager en anmodning, påbegynder vi behandlingen hurtigst muligt i henhold til vores aftale og gældende lovgivning.

Sikker sletning
De pågældende oplysninger slettes sikkert og permanent fra vores systemer, inkl. eventuelle sikkerhedskopier, hvor det er teknisk muligt.

Bekræftelse
Efter sletningen er udført, sender vores supportteam en skriftlig bekræftelse til den dataansvarlige.

Ansvarsfordeling
Den dataansvarlige (vores kunde):
Har ansvaret for at fremsætte anmodninger om sletning af persondata og sikre, at disse anmodninger er i overensstemmelse med gældende lovgivning.
Peak Systems ApS som databehandler:
Er ansvarlig for at implementere anmodninger om sletning i overensstemmelse med de tekniske og organisatoriske foranstaltninger, der er aftalt, samt GDPR.

8 Underretning om brud på persondatasikkerheden

Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.

Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 48 timer efter at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.

9 Sletning og tilbagelevering af oplysninger

Ved ophør af tjenesterne vedrørende behandling forpligtes Peak Systems ApS til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysninger.

10 Tilsyn og revision

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvar

11 Ikrafttræden og ophør

Forpligtigelserne i dette dokument angående håndtering af persondata træder i kraft i det øjeblik, at den datanansvarlige har oprettet en brugerkonto på www.peakwms.com og accepteret de gældende handelsbetingelser.