Databehandleraftale

Denne aftale gælder for behandling af persondata såfremt du anvender services tilbudt af Tacaly til behandling af persondata.

Tacaly er forpligtiget til at overvåge vores systemer og holde vores servere opdateret, samt til at holde kunder og datatilsynet informeret såfremt der skulle ske et muligt læk af persondata. Kun relevante medarbejdere hos Tacaly har adgang til kundedata.

Tacaly er forpligtiget til løbende at vurdere sikkerhedsniveauet i vores egne systemer, samt løbende at vurdere evt. underdatabehandlere og deres håndtering af persondata.

Kunden er forpligtiget til at holde egen software opdateret, have sikre kodeord og ikke udlevere kodeord til tredjepart. Hvis kunden oplever et muligt læk af persondata skal Tacaly informeres øjeblikkeligt.

Underdatabehandlere

Tacaly har ret til og gør brug af flere underdatabehandlere.
Listen opdateres løbende og kan findes på https://tacaly.com

Tavshedspligt

Tacaly’s medarbejdere er underlagt en generel tavshedspligt for evt. persondata som de måtte have adgang til og som behandles på vegne af vores kunder.

DNS

DNS er ikke beregnet til persondata og det er kundens eget ansvar hvis der lagres persondata i DNS. Alle DNS records er offentlige tilgængelige og sendes uden for EU.

Domæneadministration

Vores rolle som registrator/forhandler er at videreformidle de registreringsdata du giver os til de registries du ønsker at registrere et domæne i. I det omfang det er os muligt vil vi skjule persondata i de offentlige databaser, men det kan ikke garanteres og kunden er derfor selv ansvarlig for at levere registreringsdata til domæneregistreringen som ikke er personhenførbar, men som fortsat overholder reglerne for registrering af domænet.

For .com og .net domæner registreret direkte af Tacaly hos Verisign sendes dine persondata ikke til Verisign. Den offentligt ejerdatabase (whois) administreres af os for disse domæner og persondata vil være skjult medmindre andet er aftalt.

De forskellige registries har deres egne regler for privatliv og offentliggørelse af registreringsdata. F.eks. er det fastsat i dansk lov at der skal være en offentlig tilgængelig whois database for alle .dk domæner.

Domæner på 2 bogstaver som f.eks. .dk .se .no .eu kaldes ccTLD’er og er tildelt et land eller i .eu’s tilfælde et område og det er landets lovgivning eller det enkelte registry selv der sætter reglerne. Hvis det land du ønsker at registrere i er uden for EU skal du derfor være opmærksom på at du ikke kan være sikker på normal beskyttelse af persondata.

Domæner på mere end 2 bogstaver som f.eks. .com .net .link .global .cloud .app kaldes gTLD’er og er underlagt regler bestemt af ICANN og af de enkelte registries. Størstedelen af disse typer domæner administreres udenfor EU og persondata sendes derfor ud af EU i forbindelse med registreringen.

For alle gTLD’er sendes en kopi af registreringsdata også til en escrow provider. Dette sikrer dig som registrant hvis det skulle ske at der var seriøse tekniske eller juridiske problemer med enten registry eller registrar.

For mange domænetyper har vi en aftale direkte med det enkelte registry hvilket vil sige at når du bestiller et domæne hos os sendes data direkte til dette registry, men for nogle domænetyper har vi ikke en direkte aftale og i disse tilfælde anvender vi en anden registrator til at gennemføre registreringerne.

Web-, mail- og cloudhosting

Hvis der lagres personoplysninger i en e-mail konto er kunden selv forpligtiget til at sørge for at der ikke er offentlig adgang til denne mailboks. Det er kun tilladt at forbinde til mailserveren ved brug af SSL.

Hvis der lagres personoplysninger på et webhotel eller en cloud server er kunden forpligtiget til at sørge for at der ikke er offentlig adgang til disse data, samt at websider med personoplysninger kun kan tilgås via en SSL sikret forbindelse.

Alt software der er installeret på webhotellet eller cloudserveren skal holdes opdateret af kunden selv. Dette gælder også WordPress og lignende systemer som installeres via kontrolpanelet.

Hvis Tacaly bliver gjort opmærksom på sikkerhedsmæssige problemer på en kundes hosting konto vil vi hurtigst muligt spærre adgangen til kontoen.

Kunden har selv adgang til at slette alt data på en hosting konto eller slette hele kontoen inkl. alt data.

Vi tager backup af alle web- og mailhoteller og denne slettes automatisk senest efter 6 måneder. Vores web- og mailhoteller er hostet i Tyskland. Databehandleraftale er indgået mellem udbyder og kan læses på vores kontor efter aftale.

Vores cloud hosting udbydes i samarbejde med Hetzner. Kunden er selv ansvarlig for at vedligholde sikkerheden på sine cloud servere. Både Tacaly og Hetzner har adgang til kundens kontrolpanel og dermed adgang til diskimages og adgang til serverne. Kunden skal kryptere sine data, samt sikre sine cloud servere med et sikkert login og kodeord eller lignende. Alle Hetzner’s datacentre er indenfor Europa.

Spamfilter

Vores spamfilter løsning hostet i vores egne racks i Danmark og tyskland. Serversoftwaren opdateres løbende af Hetzner i Tyskland og Hetzner har derfor adgang til alle data inkl. logdata for hostede mailboxe.

SSL certifikater

SSL certifikater udstedes af en CA. CA er forkortelse for Certificate authority. Digicert, Globalsign og Comodo er CA og behandler personoplysninger blandt andet i forbindelse med validering og udstedelse af certifikater. Vores rolle som forhandler er at videreformidle de bestillingsdata du giver os til den CA du har valgt.

Vi har direkte forhandler aftaler med Digicert og Globalsign. For Comodo certifikater anvender vi en anden forhandler til at købe dine certifikater igennem.

Som din certifikat forhandler har vi efterfølgende adgang til ordredata og status på dine certifikater inkl. nogle af de personoplysninger der behandles. F.eks. personnavn, tlf. nr. og e-mail adresse.

For organisations validerede certifikater og EV certifikater (udvidet organisations validering), validerer udsteder alle bestillingsdata. Dette gør de blandt andet ved at tjekke bestillingsdata op imod offentlige databaser, lave verifikationskald og meget andet. Virksomhedens navn vil blive en del af certifikatet og vil være offentligt tilgængeligt hvis certifikatet installeres på en offentligt tilgængelig server.

For domænevaliderede certifikater sender vi så lidt data som muligt til udstederen. De øvrige bestillingsdata anvendes derfor kun til vores egen fakturering.

Data sendes og behandles uden for EU.

Backup

Vi kører løbende backup af alle systemer. Backup slettes automatisk efter 1 måneder.

Mht. Pulseway backup på vores RMM løsning, er det en lokal løsning på selve den kunde som har bestilt

Ændring af databehandleraftalen

Tacaly har ret til at ændre i databehandleraftalen uden varsel såfremt ændringen ikke kan anses som værende en væsentlig forringelse i forbindelse med behandlingen af personoplysninger. Den til enhver tid gældende version kan findes på http://tacaly.com/

Såfremt ændringen vil betyde en væsentlig forringelse for kunden er Tacaly forpligtiget til at informere kunderne via e-mail inden ændringen træder i kraft.

Kontaktoplysninger

Tacaly
Østergade 6C ST 3
7800 Skive, Denmark

Tlf. 60249028

E-mail: frederick@tacaly.com

Aftaledata

Denne aftale er godkendt af Tacaly
Aftaletekst er senest ændret 30/09/2019

 

Bliv klogere på den nye persondataforordning og din ret.

Hvis du gerne vil vide mere om den nye persondataforordning, så henviser vi til EU forordningen, hvor du blandt andet fra side 47 kan læse meget mere om forholdet mellem dataansvarlig og databehandler.

Du har ret til at:

  • information om behandlingen af dine personoplysninger
  • adgang til de personoplysninger, der opbevares om dig
  • bede om at få rettet forkerte, unøjagtige eller ufuldstændige personoplysninger
  • anmode om at få personoplysninger slettet, når de ikke længere skal bruges, eller hvis det er ulovligt at behandle dem
  • gøre indsigelse mod behandling af dine personoplysninger til markedsføringsformål eller af årsager, der omhandler bestemte forhold, der gælder for dig
  • anmode om begrænsning af behandlingen af dine personoplysninger i bestemte tilfælde
  • få udleveret dine personoplysninger i et maskinlæsbart format og sende dem til en anden dataansvarlig (»dataportabilitet«)
  • anmode om, at afgørelser på baggrund af automatisk databehandling, som omhandler eller i betragtelig grad påvirker dig, og som er baseret på dine personoplysninger, træffes af fysiske personer og ikke kun af computere. I dette tilfælde har du også ret til at fremlægge dine synspunkter og bestride beslutningen.