Denne aftale er indarbejdet ved henvisning (hvor det er relevant og med forbehold for enhver udtrykkelig aftale om det modsatte) i aftaler om levering af tjenester, hvor ASK4 Solutions Limited, ASK4 Business Limited eller ASK4 Data Centres Limited, som beskrevet i din aftale eller ordre om levering af tjenester, ("ASK4") fungerer som databehandler.

Denne aftale gælder ikke, hvor ASK4 Limited eller andre virksomheder i ASK4-gruppen leverer private eller administrerede internettjenester og fungerer som den dataansvarlige.

Definitioner

"Dataansvarlig", "Registreret", "Personoplysninger", "Databehandler" og "Underdatabehandler" har hver især den betydning, som de har i henhold til gældende lovgivning om beskyttelse af personlige oplysninger og databeskyttelse;

"Kunde" betyder den person, der har indgået kontrakt med ASK4 om levering af Tjenesterne;

"Kundens personoplysninger" har den betydning, der er angivet i punkt 2.1 i denne aftale;

"Behandlingsbilag" betyder bilaget til denne aftale, der indeholder detaljer om den behandling, der er involveret i leveringen af tjenesterne;

"Privatlivs- og databeskyttelseslovgivning" betyder gældende lovgivning, der beskytter fysiske personers personoplysninger og privatliv, herunder især UK GDPR, Data Protection Act 2018 og Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2426/2003) sammen med enhver gældende bindende vejledning og kodeks for praksis udstedt fra tid til anden af relevante tilsynsmyndigheder;

"Sikkerhedshændelse" betyder et brud på ASK4's sikkerhed, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til Kundens Personoplysninger;

"Tjenester" betyder IT-support, hosting, datacenter colocation, telekommunikation eller andre tjenester, som leveres til Kunden af ASK4;

"UK GDPR" har den betydning, der tillægges det i afsnit 3(10) (som suppleret af afsnit 205(4)) i databeskyttelsesloven 2018; og

"Mislykket sikkerhedshændelse" betyder en hændelse, der ikke resulterer i uautoriseret adgang til kundens persondata og kan omfatte, uden begrænsning, pings og andre broadcast-angreb på firewalls eller edge-servere, portscanninger, mislykkede log-on-forsøg, denial of service-angreb, pakkesniffing (eller anden uautoriseret adgang til trafikdata, der ikke resulterer i adgang ud over headers) eller lignende hændelser.

1. Omfang og roller
1.1 Denne aftale gælder kun, hvor Personoplysninger behandles som en del af Kundens levering af Ydelserne ("Kundens Personoplysninger").
1.2 ASK4 vil fungere som Databehandler eller Underdatabehandler for Kunden, der kan fungere enten som Dataansvarlig eller Databehandler med hensyn til Kundens Personoplysninger.

2. Databehandling
2.1 Denne aftale og Behandlingsbilaget udgør Kundens skriftlige Instrukser til ASK4 om Behandling af Personoplysninger, som for at undgå tvivl skal være begrænset til den Behandling, der er nødvendig for levering af Ydelserne ("Behandlingsinstrukser").
2.2 Kunden må ikke udstede yderligere eller alternative Behandlingsinstrukser for at ændre omfanget af denne aftale, medmindre andet er aftalt med ASK4.
2.3 Kunden indestår for, at: (a) Behandlingsvejledningen; (b) indsamlingen af Kundens Personoplysninger; og (c) med forbehold for ASK4's overholdelse af denne aftale, at Behandlingen af Kundens Personoplysninger hver især overholder Privatlivs- og Databeskyttelseslovgivningen. Kunden er eneansvarlig for at give sine medarbejdere eller andre relevante Registrerede oplysninger om ASK4's Behandling.

3. Fortrolighed af Kundens Personlige Data
3.1 ASK4 vil holde Kundens Personlige Data fortrolige og må ikke tilgå eller bruge, eller videregive til nogen tredjepart, nogen Kundens Personlige Data, undtagen, i hvert tilfælde, som nødvendigt for at opretholde eller levere Tjenesterne, eller som nødvendigt for at overholde loven eller en gyldig og bindende ordre fra en retshåndhævende, statslig eller retslig instans (såsom en stævning eller retskendelse). Hvis et statsligt organ sender ASK4 en anmodning om kundens personlige data, vil ASK4 forsøge at omdirigere det statslige organ til at anmode om disse data direkte fra kunden. Som en del af denne indsats kan ASK4 give kundens grundlæggende kontaktoplysninger til det offentlige organ. Hvis ASK4 tvinges til at videregive Kundens personlige data til en offentlig myndighed, vil ASK4 (hvor loven tillader det) give Kunden et rimeligt varsel om kravet for at give Kunden mulighed for at søge en beskyttelsesordre eller et andet passende middel.

4. Sikkerhed ved databehandling
4.1 ASK4 skal give tilstrækkelige garantier for, at ASK4 har implementeret alle nødvendige eller passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen.
4.2 Parterne anerkender og accepterer, at Kunden er forpligtet til at samarbejde med ASK4's sikkerhedsforanstaltninger og ikke må omgå eller undlade at følge nogen af ASK4's sikkerhedsprocesser.
4.3 Da ASK4 ikke har noget, eller begrænset, kendskab til Kundens Persondata, er Kunden eneansvarlig for enhver: (a) pseudonymisering og kryptering for at sikre et passende sikkerhedsniveau; (b) foranstaltninger til at sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af de behandlingssystemer og tjenester, der drives af Kunden; (c) foranstaltninger, der gør det muligt for Kunden at tage backup og arkivere på passende vis for at genoprette tilgængelighed og adgang til Kundens Personoplysninger rettidigt i tilfælde af en fysisk eller teknisk hændelse; og (d) processer til regelmæssigt at teste, vurdere og evaluere effektiviteten af de tekniske og organisatoriske foranstaltninger, der implementeres af Kunden (men ASK4 skal sikre, at den regelmæssigt tester effektiviteten af sine sikkerhedsforanstaltninger).

5. Underdatabehandling
5.1 Kunden accepterer, at ASK4 kan bruge Underdatabehandlere, der er anført i Behandlingsbilaget, til at opfylde sine kontraktlige forpligtelser til at levere Tjenesterne.
5.2 Hvis ASK4 engagerer en ny Underdatabehandler til at udføre behandlingsaktiviteter på Kundens Personoplysninger på vegne af Kunden, vil ASK4 underrette eller give Kunden en mekanisme til at få besked om denne opdatering. Hvis Kunden gør indsigelse mod en ny Underdatabehandler inden for 14 dage efter meddelelsen fra ASK4, skal Kunden og ASK4 i god tro drøfte, hvordan Kundens bekymringer kan imødekommes, forudsat at hvis Kunden har rimelige grunde til indsigelse, som ikke kan imødekommes af ASK4 inden for en rimelig periode fra datoen for indsigelsen, kan Kunden opsige kontrakten om Tjenesterne med 14 dages skriftligt varsel til ASK4. Bortset fra som anført i denne aftale, i tilfælde af en nødsituation, eller som Kunden ellers måtte give tilladelse til, vil ASK4 ikke tillade nogen Underdatabehandler at udføre behandlingsaktiviteter på Kundens Personoplysninger på vegne af Kunden.
5.3 ASK4 vil begrænse alle Underdatabehandleres adgang til Kundens Personoplysninger i det omfang, det er nødvendigt for at opretholde Tjenesterne eller levere Tjenesterne til Kunden, og ASK4 vil forbyde Underdatabehandlere at få adgang til Kundens Personoplysninger til noget andet formål.
5.4 ASK4 vil indgå en skriftlig aftale med Underdatabehandleren, og i det omfang Underdatabehandleren udfører de samme databehandlingstjenester, som leveres af ASK4 i henhold til denne aftale, vil ASK4 pålægge Underdatabehandleren de tilsvarende kontraktlige forpligtelser, som ASK4 har i henhold til denne aftale, og ASK4 vil forblive ansvarlig for sin overholdelse af forpligtelserne i denne aftale og for eventuelle handlinger eller undladelser fra Underdatabehandlernes side, der får ASK4 til at overtræde nogen af ASK4's forpligtelser i henhold til denne aftale.

6. Registreredes rettigheder
6.1 Under hensyntagen til Tjenesternes karakter anbefaler ASK4, at Kunden indfører sine egne processer for at sikre, at Kunden kan overholde sine forpligtelser over for Registrerede. ASK4 skal efter skriftlig anmodning bistå en Kunde med dennes forpligtelser over for Registrerede under hensyntagen til behandlingens art og de oplysninger, der er tilgængelige for ASK4, forudsat at ASK's forpligtelser over for Kunden med hensyn til eventuelle anmodninger om indsigt er begrænset til det minimum, der kræves i henhold til Privatlivs- og Databeskyttelseslovgivningen, og alt ansvar for anmodninger om indsigt forbliver hos Kunden.
6.2 Hvis en Registreret kontakter ASK4 med hensyn til rettelse eller sletning af sine Personoplysninger, vil ASK4 gøre en kommercielt rimelig indsats for at videresende sådanne anmodninger til Kunden.

7. Meddelelse om sikkerhedsbrud
7.1 ASK4 vil: (a) underrette Kunden om en Sikkerhedshændelse uden unødig forsinkelse efter at være blevet opmærksom på Sikkerhedshændelsen; og (b) tage rimelige skridt til at afbøde virkningerne og minimere enhver skade som følge af Sikkerhedshændelsen.
7.2 Kunden accepterer, at en mislykket Sikkerhedshændelse ikke er omfattet af dette punkt 8.
7.3 ASK4s forpligtelse til at rapportere eller reagere på en Sikkerhedshændelse i henhold til dette punkt 8 er ikke og skal ikke fortolkes som en anerkendelse fra ASK4s side af nogen fejl eller noget ansvar fra ASK4s side med hensyn til Sikkerhedshændelsen.
7.4 For at bistå Kunden i forbindelse med eventuelle meddelelser om brud på persondatasikkerheden, som Kunden er forpligtet til at foretage i henhold til gældende lovgivning om beskyttelse af personlige oplysninger og databeskyttelse, vil ASK4 i meddelelsen i henhold til punkt 1 medtage sådanne oplysninger om Sikkerhedshændelsen, som ASK4 med rimelighed kan videregive til Kunden, under hensyntagen til Tjenesternes art, de oplysninger, der er tilgængelige for ASK4, og eventuelle begrænsninger i videregivelsen af oplysningerne, såsom fortrolighed.

8. ASK4-certificeringer og -revisioner
8.1 ASK4 stiller sin ISO 27001-certificering til rådighed på anmodning.
8.2 ASK4 bruger eksterne revisorer til at kontrollere, at sikkerhedsforanstaltningerne er tilstrækkelige. Denne revision: (a) vil blive udført mindst en gang om året; (b) vil blive udført i henhold til ISO 27001-standarder eller andre alternative standarder, der i det væsentlige svarer til ISO 27001; (c) vil blive udført af uafhængige tredjeparts sikkerhedseksperter efter ASK4's valg og regning; og (d) vil resultere i udarbejdelsen af en revisionsrapport ("Rapport"), som vil være ASK4's fortrolige oplysninger.
8.3 På Kundens skriftlige anmodning skal ASK4 (forudsat at parterne har en gældende fortrolighedsaftale på plads) efter eget skøn enten: (a) give Kunden en kopi af Rapporten, så Kunden med rimelighed kan verificere ASK4's overholdelse af sine forpligtelser i henhold til denne aftale; eller (b) med rimeligt varsel og ikke mere end én gang i en 12-måneders periode give Kunden mulighed for at gennemføre en overvåget revision.

9. Vurdering af indvirkningen på privatlivets fred og forudgående høring
9.1 Under hensyntagen til Tjenesternes art og de oplysninger, der er tilgængelige for ASK4, vil ASK4 yde rimelig bistand til Kunden, hvor det er nødvendigt for Kunden at overholde eventuelle forpligtelser med hensyn til vurderinger af indvirkningen på privatlivets fred og forudgående høringer, der kræves i henhold til gældende lovgivning om privatlivets fred og databeskyttelse.

10. Overførsler
10.1 Enhver overførsel af data til lande uden for Storbritannien skal ske i overensstemmelse med den britiske GDPR, således at ASK4 sikrer, at det land, dataene overføres til, sikrer et tilstrækkeligt beskyttelsesniveau, eller ASK4 vil bruge standardkontraktbestemmelser til at sikre et tilstrækkeligt beskyttelsesniveau.

11. Returnering eller sletning af Kundens Persondata
11.1 Tjenesterne vil generelt enten: (a) give Kunden kontrolmuligheder, som Kunden kan bruge til at hente eller slette Kundens Persondata; eller (b) give Kunden mulighed for at bevare kontrollen over sin adgang til og sletning af Kundens Persondata. ASK4 vil efter skriftlig anmodning gøre en kommercielt rimelig indsats for at hjælpe Kunden med at hente eller slette Kundens Persondata.
11.2 ASK4 skal ophøre med at behandle Kundens Persondata umiddelbart efter ophør eller udløb af leveringen af Tjenesterne og (medmindre ASK4 har en legitim interesse i at opbevare Kundens Persondata eller er retligt forpligtet til at opbevare Kundens Persondata) efter Kundens valg enten returnere eller sikkert slette Kundens Persondata.

BILAG TIL BEHANDLING

Genstand for behandling: Genstanden for databehandlingen i henhold til denne aftale er kundens personlige data.

Behandlingens varighed: I forholdet mellem ASK4 og Kunden er varigheden af databehandlingen den periode, hvor Tjenesterne leveres.

Formål: Formålet med Behandlingen er levering af de Tjenester, som Kunden fra tid til anden initierer. Det er Kundens ansvar at informere ASK4 om eventuelle andre formål med Behandlingen og om eventuelle ændringer i denne art eller dette formål.

Behandlingens art: Beregning, lagring, IT-support og andre tjenester som beskrevet i kundens ordre eller initieret af kunden fra tid til anden.

Type af personlige kundedata: Medarbejdernavn, kontaktoplysninger, rolle (herunder tilladelser) og tekniske oplysninger (såsom oplysninger om supportforespørgsler, som måske eller måske ikke er personoplysninger) relateret til den tjeneste, der leveres. Kundens persondata uploadet til tjenesterne, hvor der leveres hosting- eller lagringstjenester. Hvor sådanne tjenester leveres, er det kundens ansvar at informere ASK4 om de typer af kundens personoplysninger, der skal behandles, og om eventuelle ændringer i disse typer af data.

Kategorier af registrerede: De Registrerede kan omfatte Kundens kunder, medarbejdere, leverandører og slutbrugere. Det er Kundens ansvar at informere ASK4 om eventuelle andre kategorier af Registrerede, som Kundens Personoplysninger vedrører, og om eventuelle ændringer i disse kategorier.

Underprocessorer:

  • DRD Communications Ltd (som køber af Inclarity Communications Limited (UK-baseret) - hvor VoiP-tjenester leveres
  • Gamma Telecomm Limited (UK-baseret) - hvor VoiP-tjenester leveres
  • Engrosudbyderen af telekommunikationslinjer - hvor der leveres lejede linjetjenester (dette oplyses på ordren eller på anmodning)
  • Formagrid, Inc. leverer Airtable - som vi bruger som software til forretningsprocesser.
  • Aspire Community Enterprise (Sheffield) Ltd - til sikker destruktion af elektrisk udstyr
  • Utopi Limited - hvor vi leverer intelligent måling og tilhørende ESG-rapportering via Utopi-platformen og -udstyret.

BEMÆRK: ASK4 kan videresælge softwareløsninger leveret af tredjeparter som en del af tjenesterne (f.eks. Microsoft-produkter). Den relevante EULA/Kundeaftale (og eventuelle databehandlingsbilag eller lignende, der er indarbejdet deri) mellem Kunden og Udbyderen skal gælde for behandlingen af personoplysninger, ikke denne aftale.