BILAG nr. 3 til brugsvilkårene: Databehandlingsaftale

Gældende fra den 26. november 2025

Denne databehandlingsaftale gælder mellem dig og ESET, når du behandler personlige data som dataansvarlig gennem brugen af ESET-tjenester, der leveres i henhold til vilkårene, og ESET behandler sådanne personlige data på dine vegne som databehandler.

I henhold til kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personlige data og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF ("GDPR") indgår ESET ("databehandleren") og du ("dataansvarlige") et kontraktmæssigt forhold om databehandling for at definere vilkårene og betingelserne for behandling af personlige data, måden de beskyttes på, samt for at definere andre rettigheder og forpligtelser for begge parter i behandling af de registreredes personlige data på vegne af den dataansvarlige, mens emnet for disse vilkår udføres i henhold til hovedaftalen.

1. Behandling af personoplysninger. De tjenester, der leveres i overensstemmelse med disse vilkår, omfatter behandling af oplysninger vedrørende en identificeret eller identificerbar fysisk person på vegne af den dataansvarlige som anført i fortrolighedspolitikken ("personlige data").

2. Godkendelse. Den dataansvarlige bemyndiger databehandleren til at behandle personoplysninger, inklusive følgende instruktioner:

(i) Formålet med behandling betyder levering af tjenester i overensstemmelse med disse vilkår og denne dokumentation. Databehandleren må kun behandle personlige data på vegne af den dataansvarlige vedrørende levering af tjenester, som den dataansvarlige anmoder om. Alle oplysninger, der indsamles til yderligere formål, behandles uden for kontraktforholdet mellem den dataansvarlige og databehandleren.

(ii) Behandlingsperiode betyder perioden fra indgåelse af samarbejde i henhold til disse vilkår indtil ophør

(iii) Omfang og kategorier af personlige data betyder alle personlige data, der leveres eller stilles til rådighed af den dataansvarlige under leveringen af tjenesterne. Tjenesterne er kun beregnet til behandling af almindelige personlige data. Den dataansvarlige er dog eneansvarlig for fastlæggelsen af personlige datas omfang.

(iv) Registreret person betyder en fysisk person som en autoriseret bruger af den dataansvarliges enheder, som tjenesterne leveres til

(v) Behandlingsaktiviteter betyder enhver handling, der er nødvendig for behandlingen

(vi) Dokumenterede instruktioner betyder instruktioner beskrevet i disse vilkår, bilagene hertil, fortrolighedspolitikken og dokumentationen. Den dataansvarlige er ansvarlig for den juridiske vurdering af databehandlerens behandling af personoplysninger i henhold til de respektive gældende bestemmelser i databeskyttelseslovgivningen.

3. Databehandlerens forpligtelser. Databehandleren er forpligtet til:

(i) kun behandle personlige data på grundlag af dokumenterede instruktioner og i overensstemmelse med behandlingsformålet

(ii) instruere de personer, der er autoriseret til at behandle personlige data("autoriserede personer") om deres rettigheder og pligter i henhold til GDPR, om deres ansvar i tilfælde af overtrædelse og sikre, at autoriserede personer har forpligtet sig til fortrolighed og følger de dokumenterede instruktioner

(iii) træffe alle foranstaltninger, der er relateret til sikkerheden for behandling, som kræves i henhold til artikel 32 i GDPR, under hensyntagen til den aktuelle teknik, implementeringsomkostningerne samt behandlingens art, omfang, kontekst og formål samt risikoen for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder, for at sikre et sikkerhedsniveau, når den dataansvarlige behandler personlige data, der er passende i forhold til risikoen.

(iv) under hensyntagen til behandlingens karakter, bistå den dataansvarlige med at besvare anmodninger fra registrerede personer vedrørende deres rettigheder. Databehandleren må ikke rette, slette eller begrænse behandlingen af personoplysninger uden instruks fra den dataansvarlige. Alle anmodninger fra den registrerede vedrørende personoplysninger, der behandles på vegne af den dataansvarlige, skal straks videresendes til den dataansvarlige.

(v) at bistå den dataansvarlige med underretning af tilsynsmyndigheden og den registrerede om brud på persondatasikkerheden. Databehandleren skal underrette den dataansvarlige om ethvert brud på behandling af personoplysninger eller persondatasikkerheden umiddelbart efter opdagelsen. Databehandleren skal i rimeligt omfang samarbejde i en undersøgelse og ved afhjælpning af et sådant brud og træffe rimelige foranstaltninger for at begrænse yderligere negative konsekvenser.

(vi) at, efter den dataansvarliges valg, at slette eller returnere alle personoplysninger til den dataansvarlige efter behandlingsperiodens udløb. Den dataansvarlige forpligter sig til at informere databehandleren om sin beslutning inden for ti (10) dage efter udløbet af behandlingsperioden. Denne bestemmelse påvirker ikke databehandlerens ret til at opbevare personoplysningerne i det nødvendige omfang til arkiveringsformål i offentlighedens interesse, videnskabelige forskningsformål, statistiske formål eller med henblik på etablering, udøvelse eller forsvar af juridiske krav.

(vii) at føre et ajourført register over alle kategorier af behandlingsaktiviteter, der udføres på vegne af den dataansvarlige

(viii) at stille alle oplysninger, der er nødvendige for at demonstrere overholdelse som en del af vilkårene, bilagene hertil, fortrolighedspolitikken og dokumentationen, til rådighed for den dataansvarlige. I tilfælde af revision eller kontrol af behandlingen af personoplysninger fra den dataansvarliges side er den dataansvarlige forpligtet til at informere databehandleren skriftligt mindst tredive (30) dage før den planlagte revision eller kontrol.

4. Engagering af en anden databehandler. Databehandleren er generelt berettiget til at engagere en anden databehandler til at udføre specifikke behandlingsaktiviteter, såsom levering af cloud-lagring og infrastruktur til tjenesten i overensstemmelse med vilkårene, bilagene hertil, fortrolighedspolitikken og tjenestedokumentationen. I et sådant tilfælde forbliver databehandleren det eneste kontaktpunkt og den part, der er ansvarlig for overholdelsen. Databehandleren forpligter sig hermed til at informere den dataansvarlige om enhver tilføjelse eller udskiftning af en anden databehandler med henblik på muligheden for at gøre indsigelse mod en sådan ændring. De underbehandlere, der i øjeblikket er involveret, er angivet i databehandlerens fortrolighedspolitik.

5. Behandlingsområde. Databehandleren sikrer, at behandlingen finder sted i Det Europæiske Økonomiske Samarbejdsområde eller et land, der er udpeget som sikkert af Europa-Kommissionen, baseret på den dataansvarliges beslutning. Standardkontraktbestemmelser gælder i tilfælde af overførsler og behandling uden for Det Europæiske Økonomiske Samarbejdsområde eller et land, der er udpeget som sikkert af Europa-Kommissionen, efter anmodning fra den dataansvarlige.

6. Sikkerhed. Databehandleren er ikke ISO 27001-certificeret og bruger ISO 27001-rammearbejdet til at implementere en forsvarssikkerhedsstrategi i flere lag ved anvendelse af sikkerhedskontroller på laget med netværk, operativsystemer, databaser, programmer, medarbejdere og driftsprocesser. Overholdelse af de lovgivningsmæssige og kontraktmæssige krav vurderes og gennemgås regelmæssigt på samme måde som databehandlerens øvrige infrastruktur og drift, og der tages de nødvendige skridt til løbende at sikre overholdelse. Processoren har organiseret datasikkerheden ved hjælp af ISMS baseret på ISO 27001. Sikkerhedsdokumentationen omfatter hovedsageligt politikdokumenter for informationssikkerhed, fysisk sikkerhed, udstyrssikkerhed, hændelsesstyring, håndtering af datalækager og sikkerhedshændelser mv.

7. Tekniske og organisatoriske foranstaltninger. Databehandleren skal beskytte personoplysningerne mod tilfældig og ulovlig skade og ødelæggelse, tilfældigt tab, ændring, uautoriseret adgang og videregivelse. Til dette formål skal databehandleren vedtage passende tekniske og organisatoriske foranstaltninger svarende til behandlingsmåden og den risiko, som behandlingen udgør for de registreredes rettigheder i overensstemmelse med kravene i GDPR. En detaljeret beskrivelse af de tekniske og organisatoriske foranstaltninger fremgår af sikkerhedspolitikken.

8. Databehandlerens kontaktoplysninger. Alle meddelelser, anmodninger, krav og anden kommunikation vedrørende beskyttelse af personoplysninger skal rettes til ESET, spol. s.r.o.: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.