Behandling af persondata

 

Dette skriv fastsætter de rettigheder og forpligtelser, der finder anvendelse, når databehandleren – Peak Warehousing ApS – foretager behandling af personoplysninger på vegne af kunder – dataansvarlige.

Dokumentet er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (Databeskyttelsesforordningen), som stiller specifikke krav til databehandler og dataansvarlig.

Peak Warehousing ApS’ behandling af personoplysninger sker med henblik på brugen af det digitale lagerstyringssystem PeakWMS, og dettes funktioner.

 

1 Den dataansvarliges forpligtelser

 

Den dataansvarlige har som udgangspunkt ansvaret for, at behandlingen af personoplysninger sker indenfor rammerne af databeskyttelsesloven og databeskyttelsesforordningen.

Den dataansvarlige har derfor både rettighederne og forpligtelserne til, at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling.

Den dataansvarlige er bl.a. ansvarlig for, at der foreligger hjemmel til den behandling, som databehandleren – Peak Warehousing ApS – instrueres i at foretage.

2 Databehandleren

 

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige. Denne instruks gives, når den dataansvalige har accepteret handelsbetingelser ved køb af adgang til lagerstyringssystemet PeakWMS, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

Peak Warehousing ApS underretter omgående den dataansvarlige, hvis en instruks efter databehandlerens mening er i strid med databeskyttelsesloven eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

Peak Warehousing ApS håndterer udelukkende personoplysninger efter dataansvarliges instruks, samt i henhold til gældende lovgivninger i dansk ret og i EU.

Peak Warehousing ApS må i henhold til databeskyttelsesforordningen artikel 28 stk. 2 og stk. 4 ikke gøre brug af anden databehandler, medmindre der foreligger en specifik og generel skriftlig godkendelse fra den dataansvarlige. Databehandleren må af den grund ikke gøre brug af underdatabehandlere til databehandling, medmindre disse er skriftligt godkendt af den dataansvarlige. Giver dataansvarlig sin tilladelse til at benytte anden databehandler, er det databehandlers ansvar at sørge for, at denne vil være underlagt og efterlever de samme databeskyttelsesvilkår som primære databehandler. Peak Warehousing ApS er således ansvarlig for – igennem indgåelsen af en underdatabehandler aftale – at pålægge en eventuel underdatabehandler mindst de forpligtelser, som Peak Warehousing ApS selv er underlagt efter databeskyttelsesreglerne.

3 Fortrolighed

 

Peak Warehousing ApS sikrer ydermere, at det kun er personer, der er autorisreret hertil, der har adgang til de personoplysninger, der behandles på vegne af dataansvarlige. Adgangen til oplysningerne skal af den grund straks lukkes ned, hvis autorisationen fratages eller udløber.

Der må udelukkende autoriseres personer, for hvem adgangen til personoplysningerne er nødvendig, for at kunne opfylde databehandlerens forpligtelser overfor den dataansvarlige.

Peak Warehousing ApS sikrer, at de, der er autoriseret til at behandle personoplysningerne på vegne af den dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

Dataansvarlige kan til enhver tid anmode Peak Warehousing ApS om, at kunne påvise, at de relevante medarbejdere er underlagt ovennævnte tavshedspligt.

4 Behandlingssikkerhed

 

Databehandleren iværksætter alle foranstaltninger, der kræves i henhold til databeskyttelsesforordningens artikel 32. Her beskrives det blandt andet, at der under hensyntagen til det aktuelle niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

Ovenstående forpligtelser indebærer, at Peak Warehousing ApS, som databehandler, skal foretage en risikovurdering, og herefter genneføre foranstaltninger for at imødegå identificerede risici. Her kan der bl.a. være tale om følgende foranstaltninger:

 

a. pseudonymisering og kryptering af personoplysninger

b. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester

c. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

d. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed

5 Overførsel af oplysninger til tredjelande eller internationale organisationer

 

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. art 28, stk. 3, litra a.

6 Bistand til den dataansvarlige

 

6.1 Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

Dette indebærer, at Peak Warehousing ApS så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

 

a. oplysningspligten ved indsamling af personoplysninger hos den registrerede

b. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede

c. den registreredes indsigtsret

d. retten til berigtigelse

e. retten til sletning (»retten til at blive glemt«)

f. retten til begrænsning af behandling

g. underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandlingSide 8 af 15

h. retten til dataportabilitet

i. retten til indsigelse

j. retten til at gøre indsigelse mod resultatet af automatiske individuelle afgørelser, herunder profilering

 

6.2 Databehandleren bistår den dataansvarlige med at sikre overholdelse af den dataansvarliges forpligtelser i medfør af databeskyttelsesforordningens artikel 32-36 under hensynstagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, jf. art 28, stk. 3, litra f.

Dette indebærer, at Peak Warehousing ApS under hensynstagen til behandlingens karakter skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:

 

a. forpligtelsen til at gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen

b. forpligtelsen til at anmelde brud på persondatasikkerheden til tilsynsmyndigheden (Datatilsynet) uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

c. forpligtelsen til – uden unødig forsinkelse – at underrette den/de registrerede om brud på persondatasikkerheden, når et sådant brud sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder

d. forpligtelsen til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder

e. forpligtelsen til at høre tilsynsmyndigheden (Datatilsynet) inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltning er truffet af den dataansvarlige for at begrænse risikoen

7 Underretning om brud på persondatasikkerheden

 

Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos databehandleren eller en eventuel underdatabehandler.

Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 48 timer efter at denne er blevet bekendt med bruddet, sådan at den dataansvarlige har mulighed for at efterleve sin eventuelle forpligtelse til at anmelde bruddet til tilsynsmyndigheden indenfor 72 timer.

8 Sletning og tilbagelevering af oplysninger

 

Ved ophør af tjenesterne vedrørende behandling forpligtes Peak Warehousing ApS til, efter den dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til den dataansvarlige, samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysninger.

9 Tilsyn og revision

 

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvar

10 Ikrafttræden og ophør

 

Forpligtigelserne i dette dokument angående håndtering af persondata træder i kraft i det øjeblik, at den datanansvarlige har oprettet en brugerkonto på www.peakwms.com og accepteret de gældende handelsbetingelser.