Forretningsbetingelser og Databehandleraftale for Financial Outsourcing ApS

Forretningsbetingelser og Databehandleraftale for Financial Outsourcing ApS

Vedhæftede forretningsbetingelser for Financial Outsourcing ApS er gældende for al assistance, der leveres i henhold til aftalen.

Vi skal særskilt henlede opmærksomheden på følgende bestemmelser i forretningsbetingelserne:

• Financial Outsourcing ApS er ansvarlig for den leverede ydelse under aftalen i overensstemmelse med dansk rets almindelige regler.

• Financial Outsourcing ApS er ikke ansvarlig for indirekte tab eller følgeskader, herunder tab af goodwill, image, indtjening, fortjeneste eller tab af data.

• Financial Outsourcing ApS kan ikke holdes ansvarlig for krav, der måtte opstå som et resultat af falsk, misvisende eller ufuldstændig information, data eller dokumentation.

Forretningsbetingelser for Financial Outsourcing ApS

1. Generelt

Financial Outsourcing ApS (i denne sammenhæng benævnt Financial Outsourcing) garanterer, at vores ydelser vil blive udført i overensstemmelse med gældende professionelle standarder, og at vi, under forudsætning af at reklamation modtages inden for en rimelig tid efter et arbejdes udførelse, vil omgøre ethvert arbejde, som ikke er i overensstemmelse med denne garanti.

Ovenstående er Financial Outsourcings eneste garanti i relation til assistance ydet i henhold til den indgåede samarbejdsaftale og træder i stedet for enhver anden form for udtrykkelig eller underforstået garanti.

2. Arbejdets omfang

Ved udførelse af vores arbejde påtager vi os ikke opgaver, som henhører under ledelsens ansvarsområder.

I det omfang vi assisterer med systemopsætning af regnskabssystemer mv., er det uden ansvar for Financial Outsourcing.

Vi forudsætter, at de informationer, som kunden modtager fra os, gennemgås af kunden uden ugrundet ophold efter modtagelsen heraf, således at kunden rettidigt kan træffe de beslutninger, der anses for hensigtsmæssige.

Enhver væsentlig ændring af arbejdsopgaven skal forudgående godkendes af kunden.

Vi vil ikke i vores arbejde kunne tegne kunden eller formelt ekspedere noget dokument og handler ikke direkte med tredjemand, medmindre vi får udtrykkeligt besked fra kunden om dette. I sådanne tilfælde vil dette ske på vegne af kunden i henhold til specifik fuldmagt.

Vores arbejde omfatter ikke modtagelse af betalinger eller varetagelse af kundens likvide

beholdninger. Financial Outsourcing-medarbejdere træffer ikke beslutninger eller vælger alternativer, der direkte involverer kundens virksomhed.

3. Ansvar

Financial Outsourcing påtager sig intet ansvar for forsinkelser, der opstår som følge af sygdom og arbejdsudygtighed, der rammer de involverede personer hos Financial Outsourcing, eller som følge af force majeure, herunder strejker, lockout og lign.

Financial Outsourcing fraskriver sig udtrykkeligt ethvert ansvar for tilskadekomst, beskadigelse eller bortkomst af data og programmer. Kunden bærer alene ethvert tab og ethvert ansvar som følge heraf. For programmer, hvortil Financial Outsourcing har en brugsret eller på anden måde har en licensret, vil Financial Outsourcing dog i muligt omfang transportere sine eventuelle krav og rettigheder mod licensgiver til kunden.

Information, som opnås af enhver af parterne fra personale eller fra andre, må ikke anvendes til en af parternes fordel. Følgelig forpligter hver part sig til ikke at deltage i drøftelser med den anden parts personale med henblik på at indgå aftale om ansættelse eller udførelse af arbejdsopgaver på kontrakt med dem samt til at afslå enhver henvendelse fra dette personale om samme. Denne forpligtelse forbliver i kraft, så længe arbejdsopgaven udføres og i en periode på to år derefter.

Hvis en part indgår aftale om ansættelse eller udførelse af arbejdsopgaver på kontrakt i strid med ovennævnte forpligtelse, vil denne være forpligtet til at betale den anden part en bod, som svarer til 3 måneders aktuel løn hos den ikke misligholdende part for det af kontrakten omfattede personale. Denne bod kan kræves hos parten på det tidspunkt, hvor parten indgår aftale om ansættelse eller udførelse af arbejdsopgaver på kontrakt med personale, som er omfattet af samarbejdsaftalen med den ikke misligholdende part.

Kunden anerkender, at (i) Financial Outsourcing og kunden må korrespondere og udveksle dokumentation via e-mail, medmindre kunden udtrykkeligt frabeder sig dette, (ii) at ingen af parterne er herre over funktionen, driftssikkerheden, rådigheden eller sikkerheden for internet eller e-mail, og (iii) at Financial Outsourcing skal ikke hæfte for noget tab eller nogen udgifter, skader eller gener, som måtte opstå som følge af tab, forsinkelse, opfangning, forvanskning eller ændring af indhold på portalen eller nogen e-mail af årsager, som Financial Outsourcing ikke har nogen rimelig indflydelse på.

Databehandleraftale for Financial Outsourcing ApS (20190601 v1.1)

1. Parterne

I den udstrækning Financial Outsourcing ApS efter kundens instruktion yder regnskabsmæssig- og/eller bogholderimæssig assistance, herunder og/eller lønbehandling er Financial Outsourcing ApS databehandler på vegne af Kunden.

Dette er en aftale mellem Financial Outsourcing ApS som databehandler (DB) på den ene side og de af kundeaftalen, jfr. side 1, omhandlende kunder som dataansvarlige (DA).

Tilsammen kaldet ”Parterne” hver for sig kaldet ”Part”. Der indgås herved følgende databehandleraftale:

2. Formålet

Parterne har jf. kundeaftalen indgået aftale om regnskabsmæssig- og/eller bogholderimæssig assistance, herunder opstilling af regnskaber og/eller lønbehandling, i det følgende kaldet Primæraftalen. Primæraftalen indebærer, at DB skal behandle persondata for DA, hvilket medfører at DB bliver databehandler og DA dataansvarlig, hvorfor det er påkrævet at indgå denne databehandleraftale. Databehandleraftalen skal sikre, at DB til enhver tid overholder gældende persondataretlig lovgivning og gældende vejledninger herom.

3. Bemyndigelse:

DB og enhver, der udfører arbejde for DB, og som har adgang til DA’s personoplysninger, må kun behandle personoplysningerne efter dokumenteret instruks fra DA, medmindre det kræves i henhold til EU-retten eller medlemsstaternes nationale ret. Databehandleraftalen udgør den imellem parterne gældende bemyndigelse og instruks for behandling af persondata. DB må ved behandlingen af personoplysningerne anvende sædvanlige og nødvendige hjælpemidler, såfremt andet ikke fremgår af denne databehandleraftale.

DA kan altid skriftligt ændre eller præcisere databehandleraftalen, herunder instruksen. DA bemyndiger således DB til at behandle følgende personoplysninger med henblik på, at den i pkt. 2 beskrevne primæraftale kan opfyldes:

• Almindelige personoplysninger herunder: Navn, kontaktoplysninger, kontooplysninger på medarbejdere, kunder og samarbejdspartnere.

• Særlige/Følsomme oplysninger: Xxx.xx. på medarbejdere.

DB bemyndiges til at behandle persondata omhandlende følgende grupper:

• Medarbejdere, kunder, samarbejdspartnere.

4. Ikrafttræden og ophør

Databehandleraftalen træder i kraft på tidspunktet for parternes underskrift af kundeaftalen. Databehandleraftalen kan kun ophæves eller opsiges i overensstemmelse med primæraftalens bestemmelser herom. Såfremt primæraftalen ophæves eller ophører, ophører databehandleraftalen samtidig. DB og dennes ansatte er forpligtet til at håndhæve og iagttage tavshedspligt, også efter databehandleraftalens ophør.

5. Betaling

DB kan være berettiget til særskilt betaling for det med databehandleraftalen udførte arbejde. Dette afhænger af opgavens omfang, og et eventuelle vederlag aftales løbende.

6. Sikkerhed

DB er forpligtet til at sikre de overdragne personoplysninger mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med den til enhver tid gældende persondatalovgivning, ved at foretage passende tekniske og organisatoriske foranstaltninger og således at et passende sikkerhedsniveau opnås. Dette sker under hensyntagen til

karakteren af de personoplysninger, som DB behandler for DA. DB sikrer personoplysningerne i overensstemmelse med den til enhver tid gældende persondataretlige lovgivning og bekendtgørelser, samt gennemfører passende tekniske og organisatoriske foranstaltninger således en passende sikkerhed opnås, jf. databeskyttelsesforordningen art. 32.

7. Opfølgning og dokumentation

DB skal stille alle oplysninger, der er nødvendige for at godtgøre overholdelse af kravene i databehandleraftalen og gældende persondataret, til rådighed for DA og give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af DA eller en tredjemand, som er bemyndiget af DA. DB skal omgående underrette DA, hvis en instruks efter DBs mening er i strid med gældende persondataret eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. DB skal på forlangende skriftligt kunne dokumentere overfor DA og relevante tilsynsmyndigheder, at DB overholder gældende persondataretlig lovgivning og databehandleraftalen. Dokumentationen skal kunne fremlægges for DA uden ugrundet ophold, dog maksimalt 48 timer fra DB har modtaget anmodningen, medmindre andet skriftligt aftales parterne imellem. DB er forpligtet til at deltage i fysiske møder, såfremt DA måtte fremsætte ønske herom, samt at stille sig til rådighed for DA´s inspektion af DB’s lokaliteter, herunder inspektioner af underdatabehandlere.

8. Registrering af behandlinger

DB er forpligtet til fra aftalens indgåelse at udarbejde fortegnelser over de behandlinger, der foretages med DAs personoplysninger i overensstemmelse med databeskyttelsesforordningens art. 30 stk. 2. DB og dennes eventuelle underdatabehandler skal føre fortegnelse over de behandlinger, der foretages med DAs personoplysninger.

Fortegnelsen skal i henhold til gældende persondataretlig lovgivning indeholde:

• Navn på og kontaktoplysninger for DB og eventuel databeskyttelsesrådgiver ved DB og det samme for eventuelle underdatabehandlere.

• Der skal føres en fortegnelse over alle de kategorier af behandlinger, der foretages på vegne af DA.

• Hvis personoplysningerne overføres til tredjelande eller internationale organisationer, skal der føres fortegnelser over overførsler af personoplysninger til tredjelande eller internationale organisationer med angivelse af det pågældende tredjeland eller den internationale organisation og i tilfælde af overførsler i henhold til art. 49, stk. 1, andet afsnit, dokumentation for passende garantier.

• En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som er truffet for at leve op til gældende persondataretlig lovgivning og risikoen forbundet med behandlingerne henset til kategorien af oplysningerne.

Fortegnelserne skal foreligge skriftligt, herunder elektronisk. DB eller DBs repræsentant skal efter anmodning stille fortegnelserne til rådighed for tilsynsmyndigheden og DA. Det samme gør sig gældende for eventuelle underdatabehandlere.

9. Personale

DB sikrer løbende, at de personer, herunder personale eller udefrakommende tredjemænd, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er

underlagt en passende lovbestemt tavshedspligt. DB fører log over medarbejdernes brug af personoplysningerne samt mislykkede forsøg på at få adgang til oplysningerne. DB sikrer at medarbejderne overholder databehandleraftalen, og løbende uddannes i håndtering af personoplysninger.

10. Samarbejde med tilsynsmyndigheden

DA såvel som DB er forpligtede til at samarbejde med tilsynsmyndigheden, og DB er ansvarlig for at sikre at evt. underdatabehandlere ligeledes samarbejder med tilsynsmyndigheden.

11. Instruks

DB og enhver, der udfører arbejde for DA eller DB og som har adgang til personoplysninger, må kun behandle disse oplysninger efter instruks fra DA. DB er ansvarlig for, at underdatabehandlere behandler oplysningerne i overensstemmelse med denne databehandleraftale, og gældende persondataret. DB må alene behandle personoplysninger uden dokumenteret instruks fra DA, såfremt det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som DB er underlagt. Behandles personoplysningerne som følge af det ovenfor anførte, skal DB underrette DA om det/de retlige krav, der berettiger til den pågældende behandling, inden behandling sker, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.

12. Tredjelande og internationale organisationer

DB må ikke under nogen omstændigheder behandle personoplysninger udenfor EU eller EØS, uden DA’s udtrykkelige skriftlige samtykke, og alene såfremt der findes specifik og udtrykkelig hjemmel hertil i gældende persondataret. DA skal til enhver tid orienteres af DB forinden der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.

13. Sikkerhedsbrud

Ved brud på sikkerheden forstås, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med den til enhver tid gældende persondataret.

DB skal uden ugrundet ophold underrette DA efter at være blevet opmærksom på, at der er sket et sikkerhedsbrud. Underretningen skal indeholde følgende oplysninger:

• DB’s underretning skal beskrive karakteren af bruddet på persondatasikkerheden, herunder kategorierne og det omtrentlige antal berørte registrerede, og identiteten på de berørte.

• En beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden.

• En beskrivelse af de foranstaltninger, som DB har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

• En status på hvornår en fuldstændig rapport omhandlende sikkerhedsbruddet kan forventes, samt estimat omhandlende hvornår driften forventes normaliseret.

DB er forpligtet til skriftligt, indenfor 48 timer, at dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, virkningerne heraf og de trufne afhjælpningsforanstaltninger. DB er forpligtet til ved meddelelse om sikkerhedsbrud at foretage en vurdering af og begrunde, hvorvidt det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. DB skal, såfremt DA anmoder herom, bistå DA ved underretning af de registrerede om brud på sikkerheden.

14. Underbehandlere

DA giver DB godkendelse til at gøre brug af underdatabehandlere. DB er ansvarlig for underdatabehandleren og ifalder ansvar overfor DA såfremt databehandleraftalen og gældende persondataret ikke overholdes af underdatabehandleren. Underdatabehandleren må alene handle efter databehandleraftalens indhold og skal til enhver tid overholde databehandleraftalen. DB er ansvarlig for kommunikationen med underdatabehandleren, og skal orientere underdatabehandleren i den udstrækning dette er nødvendigt af hensyn til databehandleraftalens overholdelse. DB underretter DA om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af underbehandlere, således at DA har mulighed for at gøre indsigelse mod sådanne ændringer. I tilfælde af at underdatabehandleren misligholder databehandleraftalen, er DA berettiget til at stille krav om at den pågældende underdatabehandler udskiftes, uden DB kan kræve vederlag herfor.

15. Ændringer

DA er til enhver tid berettiget til at foretage ændringer i databehandleraftalen, under iagttagelse af gældende persondataret.

Når DA foretager ændringer i bemyndigelsen/instruksen, skal DB hurtigst muligt og uden ugrundet ophold foretage ændringerne og implementere de tiltag, som ændringerne kræver. DB og DA aftaler en tidsfrist, indenfor hvilken DB skal have gennemført ændringerne, og DB udarbejder en tidsplan for arbejdets gennemførelse, som forinden ændringerne implementeres, skriftligt godkendes af DA. Indenfor tidsfristen vil DB være at anse som handlende i overensstemmelse med databehandleraftalen. Kan DB ikke leve op til de ønskede ændringer er DA berettige til at opsige databehandleraftalen, og såfremt dette medfører, at DB ikke kan opfylde primæraftalen, kan primæraftalen ligeledes opsiges.

16. Den dataansvarliges ansvar

DA skal til enhver tid overholde gældende persondataret og løbende opdatere databehandleraftalen i overensstemmelse hermed. DA skal sørge for, at de pågældende persondata løbende opdateres.

17. Misligholdelse

Primæraftalens bestemmelser om misligholdelse skal ligeledes gælde for denne databehandleraftale. Såfremt primæraftalen ikke forholder sig til misligholdelse, gælder dansk rets almindelige bestemmelser og beføjelser i relation til misligholdelse.

18. Ansvar

Det imellem parterne i primæraftalen aftalte omhandlende ansvar og begrænsningen heraf skal også være gældende for denne databehandleraftale. Har parterne ikke forholdt sig til ansvar og begrænsning heraf i primæraftalen, gælder følgende:

• Parternes ansvar fastlægges i overensstemmelse med gældende persondataret på misligholdelsestidspunktet og dansk rets almindelige regler på området.

• Indirekte tab kan ikke gøres gældende parterne imellem, medmindre der er tale om groft uagtsomme eller forsætlige handlinger.

Xxxxxxx misligholdelsen force majeure, kan parterne ikke ifalde erstatningsansvar i det tidsrum force majeure forligger. Under force majeure henhører enhver opfyldelseshindring, Parterne på aftaletidspunktet ikke med rimelighed kunne forudse og forvente, herunder – men ikke udelukkende – arbejdsnedlæggelse, blokader, naturkatastrofer, krig, terror, brand og optøjer.

Er det i primæraftalen aftalt, hvorledes parterne skal forholde sig ved force majeure, gælder dette forud for det ovenfor anførte.

19. Sletning og tilbagelevering

DB er forpligtet til ved databehandleraftalens ophør, og efter DAs valg, enten at overdrage personoplysningerne til en af DA udpeget tredjemand eller at tilbagelevere disse til DA, for derefter at slette personoplysningerne. Inden DB sletter personoplysningerne skal DA skriftligt bekræfte at personoplysningerne må slettes.

Ved tilbagelevering eller overlevering skal DB tilbagelevere/overdrage personoplysningerne i et struktureret og standardiseret format, som er læsbart for databehandlingsmaskiner og sikkert at udveksle. DB skal efterfølgende slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne.

DB må opbevare og behandle personoplysningerne i 30 dage efter databehandleraftalens ophør til sletning, tilbagelevering eller videregivelse skal være foretaget. I denne periode må personoplysningerne alene behandles på følgende måde: sletning, tilbagelevering eller overdragelse.

Ved sletning af personoplysningerne garanterer DB, at disse ikke kan genskabes, og at de ikke efter meddelelse om sletning vil være at forefinde på DB backup system eller på underdatabehandleres systemer. Der kan ikke udøves tilbagehold i personoplysningerne, og DB er uberettiget hertil uanset parternes forhold i øvrigt.

20. Tvister

Det i primæraftalen anførte omkring løsning af tvister, skal også være gældende for denne databehandleraftale. Er der ikke taget stilling hertil i primæraftalen gælder, at enhver tvist mellem parterne i anledning af databehandleraftalen skal, såfremt parterne ikke ved

forhandling kan nå til enighed, med endelig bindende og eksigibel virkning afgøres efter dansk ret ved parternes værneting.

21. Ændringer og tilføjelser

Alle ændringer eller tilføjelser til denne databehandleraftale skal foretages skriftligt. Denne databehandleraftale erstatter tidligere, i relation til primæraftalen indgåede databehandleraftaler.