Databehandleraftale
Databehandleraftale
mellem
| Som dataansvarlig: | Som defineret i Serviceaftalen |
| Cvr.nr.: | Som defineret i Serviceaftalen |
| Kontakt hos den Dataansvarlige, hvortil generelle henvendelser vedrørende aftalen (navn, titel, kontaktoplysninger) skal rettes: | Det kontaktpunkt som almindeligvis anvendes mellem den Dataansvarlige og Databehandleren. |
| Som databehandleren: | Marketingfabrikken ApS |
| cvr.nr.: | 41837128 |
| Stiftelsesland: | Danmark |
| Kontakt hos Databehandleren, hvortil generelle henvendelser vedrørende aftalen (navn, titel, kontaktoplysninger) skal rettes: | Ebbe Kjær Skau, Partner, +45 42 35 31 65, [email protected] |
| Kontakt hos Databehandleren, hvortil meddelelser om uautoriseret databehandling (navn, titel, kontaktoplysninger) skal rettes: | Ebbe Kjær Skau, Partner, +45 42 35 31 65, [email protected] |
I det følgende kaldet henholdsvis den “Dataansvarlige”, “Databehandleren”, eller “Part” og samlet kaldet “Parterne”.
Introduktion
Begge Parter bekræfter, at undertegnede har fuldmagt til at indgå denne databehandleraftale (“Aftalen”). Nærværende Aftale indgår i og regulerer bestemmelserne om behandling af personoplysninger, som følger af de mellem parterne indgåede serviceaftaler (“Serviceaftaler”):
▪ Aftale om adgang til CRM, CMS samt andre relevante platforme og dokumenter der kan indeholde kundedata.
Definitioner
Personoplysninger, Særlige kategorier af personoplysninger (Følsomme personoplysninger), Behandling af personoplysninger, den Registrerede, den Dataansvarlige og Databehandleren skal have den betydning, som følger af gældende lovgivning om behandling af personoplysninger, herunder Databeskyttelsesforordningen (EU) 2016/679 (GDPR) af den 27. april 2016.
Baggrund
Aftalen vedrører Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige og beskriver, hvordan Databehandleren skal bidrage til at sikre beskyttelse af personoplysninger på vegne af den Dataansvarlige og dennes Registrerede ved hjælp af tekniske og organisatoriske foranstaltninger i henhold til gældende lovgivning om behandling af personoplysninger, herunder Databeskyttelsesforordningen.
Formålet med Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige er at opfylde Serviceaftalerne og denne Aftale.
Denne Aftale har forrang for eventuelle modstridende bestemmelser om Behandling af personoplysninger i Serviceaftalerne eller andre mellem Parterne indgåede aftaler. Denne Aftale gælder, så længe Parterne har en gyldig Serviceaftale, der omfatter Behandling af personoplysninger.
Databehandlerens forpligtelser
Databehandleren forpligter sig til alene at behandle personoplysninger på vegne af og på baggrund af instrukser fra den Dataansvarlige. Ved indgåelse af denne Aftale giver den Dataansvarlige instrukser til Databehandleren om, at behandling af personoplysninger skal ske på følgende måde: i) alene i overensstemmelse med gældende lovgivning, ii) for at opfylde alle forpligtelser i henhold til bestemmelserne i Serviceaftalen, iii) som nærmere angivet via den Dataansvarliges almindelige brug af Databehandlerens tjenester, og iv) som angivet i denne Aftale.
Databehandleren har ingen grund til at tro, at gældende lovgivning forhindrer Databehandleren i at opfylde ovennævnte instrukser. Databehandleren skal, hvis Databehandleren bliver bekendt dermed, give den Dataansvarlige meddelelse om instrukser eller andre behandlingsrelaterede forhold fra den Dataansvarliges side, som efter Databehandlerens mening er i strid med gældende lovgivning om behandling af personoplysninger.
Kategorier af Registreredes og personoplysninger, der er underlagt behandling i henhold til denne Aftale, fremgår af Bilag A.
Databehandleren skal sikre, at personoplysningerne er underlagt fortrolighed, integritet og tilgængelighed i henhold til gældende lovgivning om behandling af personoplysninger. Databehandleren skal indføre systematiske, organisatoriske og tekniske foranstaltninger til sikring af et passende sikkerhedsniveau under hensyntagen til teknologien og omkostningerne til indførelse i forhold til de risici som behandlingen indebærer, samt arten af de personoplysninger der skal beskyttes.
Databehandleren skal bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, så vidt dette er muligt og under hensyntagen til arten af behandlingen og de oplysninger der er til rådighed for Databehandleren, for opfyldelse af den Dataansvarliges forpligtelser i henhold til gældende lovgivning om behandling af personoplysninger til at svare på anmodninger fra Registrerede og om generel udøvelse af Registreredes rettigheder i henhold til Databeskyttelsesforordningens Artikel 32 til 36.
Hvis den Dataansvarlige anmoder om oplysninger om sikkerhedsforanstaltninger, dokumentation eller andre former for oplysninger omkring, hvordan Databehandleren behandler personoplysninger, og sådanne overskrider de standardoplysninger som Databehandleren har stillet til rådighed for opfyldelse af gældende lovgivning om behandling af personoplysninger som Databehandleren, er Databehandleren berettiget til at opkræve den Dataansvarlige betaling for sådan anmodet ekstra arbejde.
Databehandleren og dennes medarbejdere skal sikre fortrolighed vedrørende de behandlede Personoplysninger i henhold til Aftalen. Denne bestemmelse gælder også efter Aftalens ophør.
Databehandleren giver, uden unødig forsinkelse, meddelelse til den Dataansvarlige om hændelser som den Dataansvarlige i henhold til lovgivningen er forpligtet til at meddele til Datatilsynet eller Registrerede.
Desuden giver Databehandler i det omfang det er hensigtsmæssigt og lovligt den Dataansvarlige meddelelse om:
i) anmodninger om videregivelse af personoplysninger modtaget fra en Registreret.
ii) anmodninger om videregivelse af personoplysninger fra offentlige myndigheder, såsom politiet.
Databehandleren besvarer ikke direkte henvendelser fra Registrerede, medmindre der foreligger samtykke fra den Dataansvarlige. Databehandleren videregiver ikke oplysninger personoplysninger til offentlige myndigheder, såsom politiet, medmindre der foreligger lovligt grundlag.
Databehandleren har ikke ejerskab over eller kontrol med hvorvidt eller hvordan den Dataansvarlige vælger at benytte sig af eventuelle tredjeparts integrationer via Databehandleren API, via direkte tilslutning til database eller lignende. Ansvaret for sådanne integrationer med tredjepart påhviler udelukkende den Dataansvarlige.
Den Dataansvarliges forpligtelser
Den Dataansvarlige bekræfter ved underskrivelsen af denne Aftale, at:
● Den Dataansvarlige har ret til at behandle og videregive de pågældende personoplysninger til Databehandleren (herunder alle underdatabehandlere, som benyttes af Databehandleren.)
● Den Dataansvarlige har alene ansvaret for at sikre nøjagtigheden, integriteten, indholdet, pålideligheden og lovligheden af de personoplysninger, der videregives til Databehandleren.
● Den Dataansvarlige har opfyldt alle obligatoriske krav og forpligtelser til at give oplysninger, meddelelse til eller indhente tilladelse fra de relevante tilsynsmyndigheder eller Registrerede i forbindelse med behandling af Personoplysningerne.
● Den Dataansvarlige er ved brug af de tjenester, som Databehandleren stiller til rådighed i henhold til Serviceaftalen, forpligtet til ikke at videregive Følsomme personoplysninger, medmindre dette udtrykkeligt er aftalt i Bilag A til nærværende Aftale.
Brug af underdatabehandlere og overførsel af data
Som en del af leveringen af tjenester til den Dataansvarlige i henhold til Serviceaftalerne og denne Aftale har Databehandleren generelt ret til at gøre brug af underdatabehandlere. Disse underdatabehandlere kan være andre eksterne tredjepartsleverandører. Databehandleren skal sikre, at underdatabehandlere pålægges de samme forpligtelser, som fastsat i denne Aftale.
Databehandleren skal opretholde en til enhver tid gældende liste (Se Bilag B) over underdatabehandlere på databehandlerens hjemmeside. Underdatabehandleraftalerne rekvireres via hjemmesiden eller ved skriftlig anmodning til databehandleren.
Hvis underdatabehandlerne befinder sig uden for EU, giver den Dataansvarlige samtykke til, at Databehandleren sikrer korrekt juridisk grundlag for overførsel af personoplysninger uden for EU på vegne af den Dataansvarlige, herunder ved indgåelse af EU-kommissionens Standardkontrakter.
Den Dataansvarlige skal på forhånd underrettes om eventuel udskiftning af underdatabehandlere, som behandler personoplysninger. Dersom den Dataansvarlige har indsigelser mod nye underdatabehandlere i denne forbindelse, skal parterne fremskaffe og gennemgå information og dokumentation om underdatabehandleren som påviser dens efterlevelse af Databeskyttelsesforordningen.
Sikkerhed
Databehandleren er forpligtet til at sikre et passende sikkerhedsniveau i sine produkter og tjenester. Databehandleren yder dette sikkerhedsniveau gennem organisatoriske, tekniske og fysiske sikkerhedsforanstaltninger i henhold til kravene til informationssikkerhedsforanstaltninger, som fremgår af Databeskyttelsesforordningens Artikel 32.
Desuden har de interne rammer for beskyttelse af personoplysninger, som er udarbejdet af Databehandleren, til formål at sikre fortroligheden, integriteten, sikkerheden og tilgængeligheden af personoplysninger. Følgende foranstaltninger har særlig betydning i denne forbindelse:
● Klassificering af personoplysninger for at sikre iværksættelse af sikkerhedsforanstaltninger svarende til risikovurderinger.
● Vurdering af brug af kryptering og anonymisering som risikobegrænsende foranstaltninger.
● Begrænsning af tilgang til personoplysninger for dem, som har brug for adgang til opfyldelse af forpligtelser i henhold til nærværende Aftale eller Serviceaftalen.
● Kontrolsystemer, der registrerer, genopretter, forebygger og rapporterer brud i forbindelse med behandling af personoplysninger.
● Brug af sikkerheds selvevalueringer for at analysere, om aktuelle tekniske og organisatoriske foranstaltninger er tilstrækkelige til at beskytte personoplysninger under hensyntagen til de krav, der fremgår af gældende lovgivning om behandling af personoplysninger.
Kontrol
Den Dataansvarlige kan foretage kontrol for at påse, at Databehandleren overholder denne Aftale, op til 1 gang om året. Hvis det er et lovkrav gældende for den Dataansvarlige, kan den Dataansvarlige anmode om hyppigere kontrol.
For at anmode om at foretage en kontrol skal den Dataansvarlige fremsende en detaljeret kontroloversigt mindst fire uger forud for den foreslåede kontroldato til Databehandleren med beskrivelse af det foreslåede omfang, varighed og starttidspunkt for kontrollen. Hvis tredjeparter skal foretage kontrollen, skal det som hovedregel aftales mellem Parterne. Hvis behandling sker i et “multitenant” miljø eller lignende, giver den Dataansvarlige Databehandleren ret til at bestemme, af sikkerhedsmæssige årsager, at kontrollerne skal foretages af en neutral tredjepart efter Databehandlerens valg.
Hvis det anmodede kontrolomfang er behandlet i ISAE, ISO eller lignende sikkerhedsrapport, varetaget af en kvalificeret tredjepartskontrollant inden for de sidste 12 måneder, og Databehandleren bekræfter, at der ikke er foretaget nogle væsentlige ændringer i de kontrollerede foranstaltninger, bekræfter den Dataansvarlige, at sådanne resultater accepteres i stedet for at anmode om en ny kontrol af de foranstaltninger, der er omfattet af rapporten.
I alle tilfælde skal kontroller foretages inden for normal arbejdstid på det pågældende sted, i medfør af Databehandlerens politikker, og må ikke på urimelig måde gribe forstyrrende ind i Databehandlerens forretningsdrift.
Den Dataansvarlige afholder alle omkostninger i forbindelse med den Dataansvarliges anmodede kontroller. Bistand fra Databehandleren, som overstiger den standardydelse, som Databehandleren stiller til rådighed for opfyldelse af gældende lovgivning om behandling af personoplysninger, vil blive pålagt et gebyr.
Varighed og ophør
Denne Aftale er gældende så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige i henhold til Serviceaftalerne. Aftalen ophører automatisk ved opsigelse af Serviceaftalen. Ved denne Aftales ophør sletter eller returnerer Databehandleren, de på vegne af den Dataansvarlige behandlede personoplysninger i henhold til de gældende bestemmelser i Serviceaftalen. Medmindre andet er skriftligt aftalt, tager omkostninger til sådanne foranstaltninger udgangspunkt i: i) timetakst for den tid Databehandleren har brugt, og ii) sværhedsgraden af den anmodede behandling.
Databehandleren kan tilbageholde personoplysninger efter opsigelse af Aftalen i det omfang det er påkrævet ved lov, som er underlagt samme tekniske og organisatoriske sikkerhedsforanstaltninger, som fremgår af denne Aftale.
Ændringer og tilføjelser
Ændringer til Aftalen sker på baggrund af underretning, hvor der foretages skriftlige meddelelse og/eller underretning på Databehandlerens hjemmeside hvorefter ændringer og/eller tilføjelser træder i kræft herefter.
Hvis nogen bestemmelse i denne Aftale bliver ugyldig, påvirker dette ikke gyldigheden af de øvrige bestemmelser. Parterne skal erstatte den ugyldige bestemmelse med en lovlig bestemmelse, der afspejler formålet med den ugyldige bestemmelse.
Ansvar
Begge Parter har et individuelt ansvar og skal holdes selvstændig ansvarlig for at betale alle administrative bøder og erstatning direkte til Registrerede som pålægges den respektive Part af myndighederne eller domstol i henhold til GDPR. Ansvaret mellem parterne reguleres af Serviceaftalen.
Lovvalg og værneting
Denne Aftale er underlagt gældende ret og værneting, som anført i den mellem parterne indgåede Serviceaftale.
Bilag A – Kategorier af Personoplysninger og Registrerede
- Kategorier af Registrerede og Personoplysninger, der er underlagt behandling, i henhold til nærværende Aftale
- Kategorier af registrerede
- Den dataansvarliges kunder
- Den dataansvarliges medarbejdere
- Den dataansvarliges kontaktpersoner
- Øvrige kategorier af registrerede, som der måtte forekomme behandling af personoplysninger af.
- Kategorier af personoplysninger
- Kontaktoplysninger såsom navn, e-mailadresse, telefonnummer, IP-adresse.
- Øvrige kategorier af personoplysninger, som der måtte forekomme behandling af.
- Typer af følsomme personoplysninger, der er underlagt behandling, i henhold til Aftalen
Dette afsnit er kun relevant, hvis Databehandleren skal behandle følsomme personoplysninger, på vegne af den Dataansvarlige som led i Serviceaftalen. For at Databehandleren kan behandle sådanne oplysninger på vegne af den Dataansvarlige, skal Databehandleren skriftligt underrettes herom, herunder hvilke typer af følsomme personoplysninger som der foretages behandling af.
Bilag B – Liste over underdatabehandlere
| Nr. | Virksomhed | Land | Aktivitet | Server Location |
| 1 | Supermetrics | Finland | Indhente tal til Dashboards | Ingen opbevaring af data |
| 2 | Azehosting ApS | Danmark | Vedligeholder server til hosting | Hetzner Online GmbH, Am Datacenter-Park 1, 08223 Falkenstein/Vogtland, Tyskland Amazon AWS, Frankfurt, hemmelig adresse grundet sikkerhed Amazon AWS, Tyskland, hemmelig adresse grundet sikkerhed Amazon AWS, Irland, hemmelig adresse grundet sikkerhed Amazon AWS, England, hemmelig adresse grundet sikkerhed Amazon AWS, Frankrig, hemmelig adresse grundet sikkerhed |