Databehandleraftale

1. BAGGRUND

1.1. Parterne har aftalt levering af visse ydelser (”Hovedydelsen”) fra Databehandleren til den Dataansvarlige, jf. Bilag 1.

1.2. Parterne har vurderet, at samhandelsforholdet har en sådan karakter, at Databehandleren i den forbindelse ”behandler” personoplysninger på vegne af den Dataansvarlige, bl.a. på baggrund af, at:

1.2.1.  Databehandleren er underlagt instruks fra den Dataansvarlige.

1.2.2. Den Dataansvarlige kan kræve, at Databehandleren ophører med behandling af personoplysningerne og sletter eventuelt opbevarede personoplysninger, jf. punkt 9.

1.2.3. Databehandleren skal varetage en opgave, som i princippet kunne være udført af den Dataansvarlige selv.

1.2.4. Den Dataansvarlige instruerer Databehandleren om formålet med Databehandlerens ydelse og de hjælpemidler, der skal anvendes af Databehandleren i den forbindelse, jf. også Bilag 1-4.

 

1.3. Formålet med Databehandleraftalen er at sikre, at Databehandleren til enhver tid overholder gældende persondatalovgivning, herunder Persondataloven (lov nr. 429 af 31/05/2000 med senere ændringer samt Persondataforordningen (Europa-Parlamentets Og Rådets Forordning 2016/679 af 27. april 2016 – herefter ”Persondataforordningen”).

 

1.4. Databehandleraftalen fastsætter de rettigheder og forpligtelser, som finder anvendelse, når Databehandleren foretager behandling af personoplysninger på vegne af den Dataansvarlige.

 

1.5. Databehandleraftalen kan ikke opsiges særskilt i tidsrummet, hvor Databehandleren leverer Hovedydelsen til den Dataansvarlige, jf. punkt 1.1. Databehandleraftalen kan dog erstattes af en anden gyldig Databehandleraftale.

 

1.6. Databehandleraftalen har forrang i forhold til eventuelle aftaledokumenter mellem parterne, medmindre andet følger konkret af Databehandleraftalen.

 

1.7. Til Databehandleraftalen hører Bilag 1-4. Bilagene fungerer som en integreret del af Databehandleraftalen.

 

1.8. Databehandleraftalen med tilhørende bilag opbevares skriftligt, herunder elektronisk af begge parter.

 

2. INSTRUKS

2.1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt; i så fald underretter Databehandleren den Dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. Persondataforordningen art. 28, stk. 3, litra a.

 

2.2. Databehandleraftalen inklusiv bilagene hertil udgør instruksen på underskrifttidspunktet.

 

2.3. Databehandleren bemyndiges hermed til at foretage behandling af personoplysninger på vegne af den Dataansvarlige på vilkår fastsat i Databehandleraftalen samt tilhørende bilag.

 

2.4. Databehandleren underretter omgående den Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med Persondataforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

 

2.5. Hvis ikke andet følger af Databehandleraftalen, må Databehandleren benytte alle relevante hjælpemidler, herunder IT-systemer.

 

3. FORTROLIGHED

3.1. Databehandleren sikrer, at kun de personer, der aktuelt er autoriseret hertil, har adgang til de personoplysninger, der behandles på vegne af den Dataansvarlige. Adgangen til oplysningerne skal derfor straks lukkes ned, hvis autorisationen fratages eller udløber.

 

3.2. Der må alene autoriseres personer, for hvem det er nødvendigt at have adgang til personoplysningerne for at kunne opfylde Databehandlerens forpligtelser overfor den Dataansvarlige.

 

3.3. Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger på vegne af den Dataansvarlige, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt samt at medarbejderne overholder Databehandleraftalen.

 

4. BEHANDLINGSSIKKERHED

4.1. Databehandleren iværksætter alle foranstaltninger, som kræves i henhold til Persondataforordningens artikel 32.

 

4.2. I artikel 32 fremgår bl.a., at der skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risici forbundet med behandling af personoplysninger under hensyntagen til:

4.2.1. Det aktuelle niveau

4.2.2. Implementeringsomkostningerne

4.2.3. Den pågældende behandlings karakter, omfang, sammenhæng og formål (herunder hensyntagen til kategorien af personoplysninger i Bilag 1)

4.2.4. Risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder

 

4.3. Databehandleren skal i forbindelse med ovenstående – i alle tilfælde – som minimum iværksætte det sikkerhedsniveau og de foranstaltninger, som er specificeret nærmere i Bilag 3.

 

4.4. Parterne er enige om, at disse garantier er tilstrækkelige på tidspunktet for indgåelse af denne Databehandleraftale.

 

5. ANVENDELSE AF UNDERDATABEHANDLERE

5.1. Databehandleren skal opfylde de betingelser, der er omhandlet i Persondataforordningens artikel 28, stk. 2 og 4, for at gøre brug af en anden Databehandler (Underdatabehandler).

 

5.2. Parterne har aftalt, at Databehandleren generelt kan anvende Underdatabehandlere, jf. Bilag 2, hvor også de allerede godkendte Underdatabehandlere er anført.

 

5.3. Databehandleren skal underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre Databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

 

5.4. Databehandleren pålægger Underdatabehandleren minimum de samme databeskyttelsesforpligtelser som dem, der er fastsat i denne Databehandleraftale gennem en kontrakt eller andet retligt dokument, således at kravene til tekniske og organisatoriske foranstaltninger i Persondataforordningen og/eller anden relevant gældende regulering til enhver tid overholdes.

 

5.5. Hvis Underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af Underdatabehandlerens forpligtelser.

 

6. OVERFØRSEL AF OPLYSNINGER TIL TREDJELANDE ELLER INTERNATIONALE ORGANISATIONER

6.1. Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, herunder for så vidt angår overførsel (overladelse, videregivelse samt intern anvendelse) af personoplysninger til tredjelande eller internationale organisationer, medmindre undtagelserne hertil i Persondataforordningen og/eller anden relevant gældende regulering er opfyldt.

 

6.2. Den Dataansvarliges eventuelle instruks eller godkendelse af, at der foretages overførsel af personoplysninger til et tredjeland, skal fremgå af Bilagene eller særskilt instruks.

 

6.3. Hvis den Dataansvarlige ikke i Bilagene eller i særskilt instruks har angivet en instruks eller godkendelse vedrørende overførsel af personoplysninger til et tredjeland eller internationale organisationer, må Databehandleren ikke inden for rammerne af Databehandleraftalen foretage en sådan overførsel.

 

6.4. I det omfang, der sker overførsel til et tredjeland, bistår den Dataansvarlige uden vederlag herfor Databehandleren ved indgåelse af nødvendige aftaler, eller den Dataansvarlige udsteder bemyndigelse til at indgå de fornødne aftaler på den Dataansvarliges vegne og for dennes regning.

 

7. BISTAND TIL DEN DATAANSVARLIGE

7.1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den Dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i Persondataforordningens kapitel 3.

 

7.2. Databehandleren bistår den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser i medfør af Persondataforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. Persondataforordningen art. 28, stk. 3, litra f.

 

7.3. Parternes aftale om betaling for Databehandlerens bistand til den Dataansvarlige herfor fremgår af bilag 4.

 

8. UNDERRETNING OM BRUD PÅ PERSONDATASIKKERHEDEN

8.1. Databehandleren underretter uden unødig forsinkelse den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden hos Databehandleren eller en eventuel Underdatabehandler.

 

8.2. Et sådant sikkerhedsbrud omfatter ethvert brud, der potentielt kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne behandlet for den Dataansvarlige (”Sikkerhedsbrud”).

 

8.3. Databehandleren skal føre og opbevare en fortegnelse over alle Sikkerhedsbrud. Fortegnelsen skal indeholde minimum de faktiske omstændigheder omkring Sikkerhedsbruddet, virkningerne og de trufne afhjælpningsforanstaltninger.

 

9. SLETNING OG TILBAGELEVERING AF OPLYSNINGER

9.1. Databehandleren har ved Databehandleraftalens indgåelse alene adgang til personoplysninger via Facebook Business Manager, CMS, E-commerce systemer og Google Analytics. Adgang til personoplysningerne sker via kodeord og brugernavn udleveret af den Dataansvarlige.

 

9.2. Den Dataansvarlige er dataansvarlig for personoplysningerne hos de nævnte leverandører.

 

9.3. Personoplysningerne må ikke uden accept fra den Dataansvarlige lagres hos Databehandleren, hverken lokalt eller i en Cloud-løsning.

 

9.4. Databehandleren erklærer, at Databehandleren ikke gør brug af det udleverede kodeord og adgangskode fra tidspunktet for aftalens ophør. Det påhviler den Dataansvarlige selv at skifte kodeordet med løbende mellemrum og orientere Databehandleren herom for at overholde gældende persondatalovgivning.

 

9.5. Ved ophør af Samarbejdet og tilhørende behandling af personoplysninger skal Databehandleren, efter den Dataansvarliges valg, slette eller tilbagelevere alle personoplysninger til den Dataansvarlige, samt slette eksisterende kopier og kodeord, som eventuelt måtte være lagret hos Databehandleren efter instruks fra den Dataansvarlige, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.

 

10. TILSYN OG REVISION

10.1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af Persondataforordningens artikel 28 og denne aftale, til rådighed for den Dataansvarlige på anfordring af denne.

 

10.2. Databehandleren giver bl.a. mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden revisor, som er bemyndiget hertil af den Dataansvarlige.

 

10.3. Den nærmere procedure for den Dataansvarliges tilsyn med Databehandleren – samt omkostninger relateret hertil – fremgår af denne aftales Bilag 4.

 

11. MISLIGHOLDELSE

11.1. Reguleringen af misligholdelse i aftalen om levering af Hovedydelserne finder anvendelse også for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

 

11.2. I tilfælde af at aftalen om levering af Hovedydelserne ikke tager stilling hertil, skal gældende rets almindelige misligholdelsesbeføjelser finde anvendelse på denne Databehandleraftale.

 

12. ANSVAR OG ANSVARSBEGRÆNSNINGER

12.1. Parterne er ansvarlige i overensstemmelse med gældende rets almindelige regler, dog med de begrænsninger der følger af dette afsnit.

 

12.2. Parterne fraskriver sig ethvert ansvar for indirekte tab og følgeskader, herunder driftstab, tab af goodwill, tab af besparelser og indtægter, inklusive udgifter til at indvinde mistede indtægter og tab af data.

 

12.3. Parternes ansvar for alle kumulerede krav i henhold til denne Databehandleraftale er begrænset til de samlede forfaldne betalinger i henhold til Hovedydelsen for den 3 måneders periode, der går umiddelbart forud for den skadegørende handling.

 

12.4. Hvis Databehandleraftalen ikke har været i kraft i 2 måneder, opgøres beløbet som den aftalte betaling ved Hovedydelserne i den periode Databehandleraftalen har været i kraft divideret med antallet af måneder, Databehandleraftalen har været i kraft og derefter multipliceret med 2.

 

12.5. Følgende er ikke omfattet af ansvarsbegrænsningen i dette punkt 12:

12.5.1. Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger.

12.5.2. Udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtigelser over for en tilsynsmyndighed eller den registrerede samt bøder pålagt af en tilsynsmyndighed eller en domstol, i det omfang sådanne er forårsaget af den anden Parts misligholdelse.

 

13. VARIGHED OG OPHØR

13.1. Databehandleraftalen er gældende, indtil Hovedydelsen ophører eller Databehandleraftalen erstattes af anden Databehandleraftale, jf. punkt 1.5.

 

13.2. Databehandlerens behandling af personoplysninger på vegne af den Dataansvarlige kan påbegyndes efter denne aftales ikrafttræden.

 

13.3. Aftalen er gældende, så længe behandlingen af personoplysninger består.

 

13.4. Databehandleraftalen kan ikke opsiges eller ophæves individuelt, jf. punkt 1.5.

 

13.5. Uanset Databehandleraftalens ophør skal aftalens punkt 3 (fortrolighed), 9 (sletning/tilbagelevering), 12 (ansvar og ansvarsbegrænsning) og 14 (tvister) fortsat have virkning efter Databehandleraftalens ophør.

 

13.6. Databehandleraftalens bemyndigelse til at behandle persondataene på vegne af den Dataansvarlige bortfalder ved Databehandleraftalens ophør uanset årsag.

 

13.7. Databehandleren må fortsat behandle persondataene i op til tre måneder efter Databehandleraftalens ophør i det omfang, det er nødvendigt for at foretage nødvendige lovpligtige foranstaltninger. I samme periode er Databehandleren berettiget til at lade persondataene indgå i Databehandlerens sædvanlige backupprocedure. Databehandlerens behandling i denne periode anses fortsat for at ske under overholdelse af instruksen i Databehandleraftalen.

 

14. TVISTER

14.1. Håndtering af tvister relateret til Databehandleraftalen følger det, der eventuelt er særskilt aftalt i aftalen om levering af Hovedydelsen, jf. punkt 1.1.

 

14.2. Er intet andet aftalt, er Databehandleraftalen underlagt dansk ret og Parterne er berettiget til at kræve tvisten afgjort ved de almindelige domstole. Retten i Aarhus er valgt som værneting i første instans.

 

Bilag 1

1. AFTALEN

1.1. Dette bilag beskriver overordnet indholdet i Parternes aftale om levering af Hovedydelse fra Databehandleren til den Dataansvarlige, jf. Databehandleraftalens punkt 1.1. medmindre andet er aftalt særskilt.

 

2. FORMÅLET

2.1.                           Formålet med Databehandlerens behandling af personoplysninger er at tilgå den Dataansvarliges CMS-system, Facebook-side, Linkedin-profil, Shop-system, Google Analytics, Bing Ads og Google Ads, for at kunne optimere og markedsføre den Dataansvarliges forretning digitalt.

 

3. TYPER AF PERSONDATA

3.1. Aftalen indebærer, at Databehandleren behandler følgende persondata:

·      Navn

·      E-mailadresse

·      Adresse

·      Betalingsoplysninger

·      Interesser

 

3.2. Oplysningerne omfattes alene, såfremt der er tale om personhenførbare data.

 

4. BEHANDLINGEN OMFATTER FØLGENDE KATEGORIER AF PERSONER

• Personer som har vist interesse på de sociale medier
• Personer som har deltaget i konkurrencer afholdt (ultimativt) af den Dataansvarlige
• Personer som har skrevet sig op til et nyhedsbrev
• Personer som har købt på webshop
• Personer som har udfyldt kontaktformularer

 

Bilag 2

1. UNDERDATABEHANDLERE

1.1. Databehandleren har den Dataansvarliges generelle godkendelse til at gøre brug af Underdatabehandlere.

 

1.2. Databehandleren skal dog underrette den Dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre Databehandlere og derved give den Dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.

 

1.3. En sådan underretning skal være den Dataansvarlige i hænde minimum 30 dage før anvendelsen eller ændringen skal træde i kraft.

 

1.4. Såfremt den Dataansvarlige har indsigelser mod ændringerne, skal den Dataansvarlige give meddelelse herom til Databehandleren inden 14 dage efter modtagelsen af underretningen.

 

1.5. Den Dataansvarlige kan alene gøre indsigelse, såfremt den Dataansvarlige har rimelige, konkrete årsager hertil.

 

2. LISTE OVER UNDERDATABEHANDLERE

1. Google
2. Facebook
3. Bing Ads
4. MailChimp
5. DataFeedWatch
6. WakeUpData
7. Microsoft Office
8. Geckobooking
9. Simplybook
10. Pricerunner
11. PartnerAds
12. Dashthis
13. Unoeuro
14. Plecto
15. Clickup
16. Citrix (Podio)
17. Zapier
18. Uniqkey

 

Bilag 3

1. TEKNISKE OG ORGANISATORISKE SIKKERHEDSKRAV OG GARANTIER

1.1. Nedenfor er angivet de mellem parterne aftalte tekniske og organisatoriske sikkerhedsforanstaltninger, som Databehandleren skal anvende og udføre for at skabe det nødvendige, passende og aftalte sikkerhedsniveau omkring personoplysninger behandlet på vegne af den Dataansvarlige.

 

2. FYSISK SIKKERHED

2.1. Databehandleren skal foretage almindelig sikring af kontorlokaler.

 

2.2. Dog skal der specifikt være:

2.2.1. Adgangskontrol/kodelås

2.2.2. Tyverialarm

2.2.3. I arbejdstiden låst dør i stueetagen

 

3. TEKNISK SIKKERHED

3.1. Databehandleren skal anvende opdaterede antivirus, antispamsoftware og firewalls.

 

3.2. Databehandleren skal mindst 4 gange årligt skifte kodeord i Databehandlerens IT-systemer, som ultimativt giver adgang til den Dataansvarliges personlysninger.

 

3.3. Databehandleren benytter sig af Uniqkey til opbevaring af adgangskoder, der sikrer optimal sikkerhed for cyberkriminalitet. Denne benytter 2FA godkendelse og hashing af adgangsoplysninger.

 

4. ORGANISATORISK SIKKERHED

4.1. Databehandleren skal indrette dagligdagen og arbejdsopgaverne i virksomheden således, at medarbejdere hos Databehandleren, som ikke har behov for at blive involveret ved levering af Hovedydelsen afskæres herfra og ikke bliver bekendt med personoplysninger herfra.

 

5. SLETNING AF PERSONDATA

5.1. På nuværende tidspunkt ingen særlige krav under Databehandleraftalens løbetid.

 

Bilag 4

1. PARTERNES REGULERING AF ANDRE FORHOLD

OMKOSTNINGER VEDR. ÆNDRING AF INSTRUKS

1.1. Såfremt den Dataansvarlige instruerer Databehandleren i at foretage behandling af persondataene på anden vis end forudsat ved Databehandleraftalens indgåelse, er Databehandleren berettiget til at opkræve ekstra omkostninger forbundet hermed eller at kræve fornyet behandling af såvel aftalen om Hovedydelsen samt Databehandleraftalen.

 

1.2. Omkostningerne omfatter, men er ikke begrænset til:

1.2.1. Omkostninger direkte forbundet med ændring af instruksen i Databehandleraftalen, herunder i forhold til medgået tid hos Databehandleren

1.2.2. Implementeringsomkostninger (direkte og indirekte)

1.2.3. Forøgede omkostninger til levering af Databehandlerens ydelser

 

TILSYN

1.3. Databehandleren skal – såfremt den Dataansvarlige ønsker det – én gang årligt indhente en sædvanlig og anerkendt revisionserklæring fra en uafhængig tredjepart angående Databehandlerens overholdelse af denne Databehandleraftale med tilhørende bilag. Revisionserklæringen udarbejdes for den Dataansvarliges regning

 

1.4. Den Dataansvarlige eller en repræsentant for den Dataansvarlige har herudover adgang til at føre tilsyn, herunder fysisk tilsyn, hos Databehandleren, når den Dataansvarlige ønsker det. Et tilsyn varsles dog med minimum 15 arbejdsdage.

 

1.5. Databehandleren er forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig for, at den Dataansvarlige kan gennemføre sit tilsyn.

 

1.6. Databehandlerens udgifter i forbindelse med et fysisk tilsyn (herunder intern tid) afholdes af den Dataansvarlige og afregnes i forhold til det af Databehandleren medgåede tidsforbrug.

 

1.7. Dette gælder ligeledes, såfremt den Dataansvarlige begærer dokumenter eller andet materiale udleveret fra Databehandleren med henblik på at kontrollere, at Databehandleraftalen overholdes.