DATABEHANDLINGSAFTALE (“DPA”)

DATABEHANDLINGSAFTALE (“DPA”)

I) Generelt

1. Anvendelsesområde

Databehandlingsaftalen er ved henvisning indarbejdet i og udgør en integreret del af aftalen (som defineret i vilkårene og betingelserne), medmindre parterne indgår en separat

databehandlingsaftale som en del af specifikke aftaler. I tilfælde af eventuel uoverensstemmelse mellem databehandlingsaftalen og eventuelle andre vilkår i aftalen, skal databehandlingsaftalen have forrang.

Denne databehandlingsaftale gælder, hvis TD SYNNEX, der handler i egenskab af databehandler, behandler personoplysninger på vegne af og i overensstemmelse med

købers anvisninger, der handler på egne vegne eller på vegne af sine kunder eller deres slutbrugere (“kunder”) i egenskab af dataansvarlig. Den gælder også, hvis køber, der handler

i egenskab af databehandler, behandler personoplysninger på vegne af og i overensstemmelse med instrukser fra TD SYNNEX, der handler [på egne vegne eller på vegne af tredjemand] i egenskab af dataansvarlig.

Denne databehandlingsaftale gælder ikke for TD SYNNEX og køber, der deler personoplysninger med hinanden som separate eller forbundne dataansvarlige.

TD SYNNEX fungerer typisk som separat dataansvarlig, hvis:

(a) de indsamler personoplysninger i forbindelse med købers aktiviteter (såsom personoplysninger vedrørende købers medarbejdere),

(b) TD SYNNEX behandler slutbrugers personoplysninger, der tilvejebringes af købers kunde, for:

(i) at udføre bedrageri, hvidvask af penge, sanktioner og andre kontroller, herunder screeninger af liste over afviste parter, og undersøge og retsforfølge bedrageri, hvidvask af penge eller overtrædelser af sanktioner

i forbindelse med etablering og vedligeholdelse af et kundeforhold og levering af tjenester,

(ii) overholdelse af juridiske og lovmæssige forpligtelser,

(iii) anonymisering og/eller dataanalyse, og

(iv) opfyldelse af aftalen, herunder direkte forsendelse og, om nødvendigt for opfyldelse af aftalen, overførsel

af sådanne personoplysninger til tredjeparter, der fungerer som dataansvarlig, såsom transportører, producenter eller tredjepartstjenesteudbydere.

2. Definitioner

Ethvert udtryk, der ikke er defineret i denne databehandlingsaftale eller i andre dele af aftalen, skal have den betydning, der er tilskrevet dem i henhold til Den generelle forordning om databeskyttelse (EU 2016/679) (“GDPR”).

Henvisninger til artikler i GDPR heri [artikel. GDPR] gælder

kun i det omfang, at behandlingen er underlagt GDPR – for alle andre relevante jurisdiktioner gælder de tilsvarende gældende databeskyttelseslove.

“Tredjeland” betyder ethvert land, der hverken er medlem af Den Europæiske Union (“EU”) eller Det Europæiske Økonomiske Samarbejdsområde (“EØS”) og heller ikke er bekræftet af Europa-Kommissionen til at yde tilstrækkelig beskyttelse af personoplysninger i henhold til artikel 45 stk. 3 i GDPR

“Behandling af personoplysninger fra EØS” betyder, med hensyn til denne databehandlingsaftale, behandling af personoplysninger, der falder inden for omfanget af GDPR eller databeskyttelseslovene i Storbritannien eller Schweiz.

“Standardkontraktbestemmelser” eller “SCC’er”

- betyder standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande med hensyn til

Kommissionens gennemførelsesafgørelse (EU) 2021/914 af

4. juni 2021 eller eventuel efterfølgende eller supplerende afgørelse,

“Lov om beskyttelse af personlige oplysninger” betyder alle gældende love og regler vedrørende behandling af personoplysninger og privatlivets fred, der måtte eksistere i de

relevante jurisdiktioner, for medlemslande i EU eller EØS dette omfatter i GDPR;

“TOM‘er” betyder de tekniske og organisatoriske foranstaltninger i henhold til lovgivningen om beskyttelse af privatlivets fred.

“Underdatabehandler” eller “under(under) databehandler” betyder tredjeparter, der er autoriseret i henhold til denne databehandlingsaftale til at have logisk

adgang til og behandle personoplysninger i overensstemmelse med aftalen,

“Dataoverførsel” betyder enhver part, der overfører eller giver adgang til personoplysninger.

“Eksportør” betyder enhver part i en dataoverførsel, der befinder sig i EØS, Storbritannien eller Schweiz.

II) Særlige vilkår for TD SYNNEX som databehandler

Dette afsnit II gælder, hvor TD SYNNEX, der handler i egenskab af databehandler, behandler personoplysninger på vegne af og bundet af købers instruktioner, der handler på egne vegne eller på vegne af kunder i egenskab af dataansvarlig.

Den gælder ud over afsnit III nedenfor. I tilfælde af uoverensstemmelser mellem afsnit II og III har dette afsnit II forrang.

1. Elektronisk kommunikation. TD SYNNEX kan give køber oplysninger og meddelelser i forbindelse med denne databehandlingsaftale elektronisk, herunder via e-mail, via TD SYNNEX-standardwebstedet eller via et websted, som TD SYNNEX identificerer.

2. Oplysninger om behandling. Ved at bruge tjenesterne accepterer køber detaljer om behandling, herunder

art, formål og genstand for behandling, kategorier af registrerede, typer af personoplysninger, særlige kategorier af personoplysninger, TOM’er og andre databehandlere

- hvor relevant - som defineret i aftalen (herunder denne databehandlingsaftale) og som ellers gjort tilgængelige og kommunikeret elektronisk af TD SYNNEX, herunder via e-mail, via TD SYNNEX-standardwebstedet eller via et websted, som TD SYNNEX identificerer.

3. Standardkontraktbestemmelser. SCC’er, hvis relevant mellem TD SYNNEX og køber, kan findes på TD SYNNEX- standardwebstedet eller via et websted, som TD SYNNEX identificerer.

4. TD SYNNEXs og købers forpligtelser.

4.1. TD SYNNEX vil overholde alle databeskyttelseslove, der gælder for dem i deres rolle som databehandler. TD SYNNEX er ikke ansvarlig for at overholde eventuelle

love eller forordninger, der gælder for købers eller dennes kunders branche, der ikke generelt gælder for udbydere af de respektive produkter. TD SYNNEX afgør ikke,

hvorvidt købers eller dennes kunders oplysninger omfatter oplysninger, der er underlagt eventuel specifik lov eller forordning.

4.2. Køber skal evaluere og afgøre egnetheden, hensigtsmæssigheden og overholdelsen af købers eller dennes kunders brug af produkterne med love og regler, herunder databeskyttelseslove, især med hensyn til TOM’er, andre involverede databehandlere,

datacenterplacering og relevant overførsel af data som beskrevet i aftalen, herunder databehandlingstillægget og detaljerne for behandling.

4.3. Hvis køber selv ikke er dataansvarlig for personoplysningerne, men behandler personoplysninger på vegne af kunder, garanterer køber at have alle kontrakter på plads og at have alle nødvendige tilladelser og autorisationer fra kunden(erne):

- til at handle i forbindelse med TD SYNNEX som den dataansvarlige i henhold til denne databehandlingsaftale og udøve alle rettigheder som dataansvarlig over for TD SYNNEX og dets andre databehandlere med hensyn til databehandlingsaftalen;

- til at bruge TD SYNNEX som databehandler til at behandle personoplysninger, som angivet i aftalen, herunder

denne databehandlingsaftale og detaljerne vedrørende behandling,

- til at være det eneste kontaktpunkt for TD SYNNEX for alle instruktioner, meddelelser, oplysninger og kommunikation i forbindelse med denne databehandlingsaftale og til at kommunikere relevant kommunikation mellem kunder og TD SYNNEX, hvor det er påkrævet ved lov. TD SYNNEX skal opfylde enhver forpligtelse til at informere eller underrette en kunde, når TD SYNNEX har tilvejebragt sådanne oplysninger eller meddelelse til køber. TD SYNNEX vil fungere som et enkelt kontaktpunkt i forhold til TD SYNNEXs andre databehandlere.

- til at udøve eksportørers rettigheder i henhold til standardkontraktbestemmelserne – hvor relevant – mod

(i) TD SYNNEX og/eller (ii) dets andre databehandlere via TD SYNNEX på vegne af eksportøren.

III) Generelle behandlingsbetingelser

Dette afsnit III gælder i udover afsnit II, hvor TD SYNNEX, der handler i egenskab af databehandler, behandler personoplysninger på vegne af og bundet af købers instruktioner, der handler på egne vegne eller på vegne af kunder i egenskab af dataansvarlig. Den gælder også, hvis køber, der handler i egenskab af databehandler, behandler personoplysninger på vegne af og i overensstemmelse med

instrukser fra TD SYNNEX, der handler [på egne vegne eller på vegne af tredjemand] i egenskab af dataansvarlig.

1. Den dataansvarliges forpligtelser

1.1. Den dataansvarlige er eneansvarlig for at overholde alle den dataansvarliges lovmæssige forpligtelser i forbindelse med behandlingen i henhold til databeskyttelseslove.

Den dataansvarlige skal, ved opsigelse eller udløb af aftalen og ved udstedelse af en instruktion, fastsætte foranstaltninger til at returnere databærermedier, herunder personoplysninger, eller til at slette opbevarede personoplysninger, og vil underrette databehandleren uden unødig forsinkelse om eventuelle fejl eller uregelmæssigheder, som den får kendskab til i forbindelse med databehandlerens behandling af personoplysninger.

1.2. Den dataansvarlige vil ikke bruge produkterne i forbindelse med personoplysninger i det omfang, at det ville være overtrædelse af databeskyttelseslove at gøre det, og vil forpligte sine kunder i overensstemmelse hermed.

2. Databehandlerens forpligtelser

2.1. Overholdelse af databehandlerens forpligtelser.

Databehandleren skal overholde alle forpligtelser, der gælder for databehandlere i henhold til EØS- databeskyttelseslovgivning. Databehandleren er ikke

ansvarlig for at fastslå kravene i love, der gælder for den dataansvarliges eller kundernes forretning eller branche, eller at databehandlerens levering af produkterne opfylder kravene i sådanne love.

2.2. Instruktioner. Databehandleren skal udelukkende behandle personoplysninger i overensstemmelse med den dataansvarliges skriftlige anvisninger, som er defineret

i aftalen, herunder denne databehandlingsaftale og dens bilag, hvis relevant, dataansvarliges autoriserede brug og konfiguration af produkterne eller på anden måde skriftligt. Databehandleren skal straks informere den dataansvarlige, hvis databehandleren mener, at den dataansvarliges instruktion overtræder gældende databeskyttelseslovgivning og/eller kontraktmæssige forpligtelser i henhold til aftalen, herunder denne databehandlingsaftale. Databehandleren har ret til at suspendere gennemførelsen af sådanne instruktioner, indtil de undersøges af den dataansvarlige og bekræftes eller ændres som følge heraf. Databehandleren tillades

at behandle personoplysninger uden den dataansvarliges instruktion, hvis det kræves i henhold til lovgivningen

i EU eller dens medlemsstater, som databehandleren er underlagt. I et sådant tilfælde skal databehandleren informere den dataansvarlige om det pågældende

juridiske krav før behandling, medmindre den pågældende lovgivning forbyder sådanne oplysninger af vigtige årsager af offentlig interesse.

2.3. Offentliggørelse/adgang. Databehandleren må ikke videregive personoplysninger til eventuel tredjepart, medmindre det er autoriseret af den dataansvarlige eller påkrævet ved lov i EU eller dens medlemsstater. Hvis en sådan lov kræver, at tredjepart eller en regering, domstol eller tilsynsmyndighed på grundlag af en sådan lov kræver adgang til personoplysninger, skal databehandleren underrette den dataansvarlige forud for videregivelse, medmindre det er forbudt ved lov af vigtige årsager af almen interesse. Medmindre databehandleren er forpligtet til at gøre det ved lov i EU eller dens medlemsstater, må denne ikke videregive eller frigive personoplysninger som svar på en sådan anmodning, der fremsættes for databehandleren uden først at rådføre sig med den dataansvarlige. Hvis den dataansvarliges personoplysninger bliver genstand for

ransagning og beslaglæggelse, konfiskering under konkurs

eller insolvensbehandling eller lignende hændelser eller foranstaltninger af tredjeparter, mens de behandles, skal databehandleren informere den dataansvarlige uden unødig forsinkelse.

2.4. Tillidspligt. Databehandleren kræver, at alt personale og personer, der er betroet behandling af personoplysninger, forpligter sig til fortrolighed - medmindre en passende lovbestemt fortrolighedsforpligtelse finder anvendelse - og ikke at behandle sådanne personoplysninger til noget andet formål undtagen efter instruktioner fra den dataansvarlige eller på anden måde påkrævet ved EU’s eller dens medlemsstaters lovgivning.

2.5. Den registreredes rettigheder. Databehandleren skal på rimelig vis bistå den dataansvarlige efter anmodning fra den dataansvarlige og som påkrævet ved lov, ved

at give den registrerede adgang og svare på eventuelle anmodninger, klager eller anden kommunikation fra en registreret, herunder anmodninger fra registrerede, der søger at udøve deres rettigheder i henhold til databeskyttelseslove. Hvis en sådan anmodning, klage eller kommunikation modtages af eller på anden måde sendes til databehandleren, skal databehandleren

informere den dataansvarlige uden unødig forsinkelse, om databehandleren er i stand til at samkøre den registrerede med den dataansvarlige.

2.6. Brud på datasikkerheden. Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse efter at være blevet opmærksom på ethvert brud på persondatasikkerheden (“Databrud”), der påvirker den dataansvarliges personoplysninger. Databehandleren skal træffe sådanne rimelige foranstaltninger og handlinger for at afhjælpe eller afbøde virkningerne af bruddet på persondatasikkerheden og skal bistå den dataansvarlige med at sikre overholdelse af sine forpligtelser i henhold til gældende databeskyttelseslovgivning for at underrette tilsynsmyndighederne og registrerede under hensyntagen til arten af behandlingen og de oplysninger, der er

tilgængelige for databehandleren. Databehandlere skal især samarbejde med den dataansvarlige ved at tilvejebringe regelmæssige opdateringer og andre rimeligt anmodede oplysninger. Enhver pressemeddelelse, meddelelse, offentlig eller lovmæssig meddelelse eller kommunikation vedrørende brud på persondatasikkerheden skal foretages

af den dataansvarlige efter den dataansvarliges eget skøn, medmindre andet kræves af gældende love.

2.7. Hjælp med forpligtelser vedrørende dataansvarlige. Databehandleren skal på rimelig vis bistå den dataansvarlige efter den dataansvarliges anmodning, med den dataansvarliges forpligtelser vedrørende datasikkerhed, konsekvensanalyser

vedrørende databeskyttelse og forudgående høringer under hensyntagen til de oplysninger, der er tilgængelige for

TD SYNNEX, og arten af behandling. Databehandleren skal yde bistand i forbindelse med revisioner af enhver kompetent tilsynsmyndighed i det omfang, en sådan revision vedrører databehandlerens behandling af personoplysninger i henhold til denne aftale, og som den dataansvarlige med rimelighed anmoder om.

Databehandlerens assistance kan være genstand for et rimeligt gebyr, medmindre databehandlerens assistance allerede er adresseret i aftalen i overensstemmelse hermed.

2.8. Afslutning af kontrakt. Databehandleren skal efter den dataansvarliges valg slette eller returnere alle

personoplysninger til den dataansvarlige ved opsigelse eller udløb af aftalen og slette eksisterende kopier, medmindre EU-ret eller medlemsstatens lovgivning kræver, at databehandleren opbevarer personoplysningerne.

3. Tekniske og organisatoriske sikkerhedsforanstaltninger

3.1. Databehandleren og den dataansvarlige skal implementere og vedligeholde TOM‘er som påkrævet af gældende databeskyttelseslovgivning. Dette omfatter

implementering og vedligeholdelse af TOM’er for at sikre et sikkerhedsniveau, der er passende for risici eller skader på personoplysninger, passende for den skade, der måtte opstå som følge af uautoriseret eller ulovlig behandling eller utilsigtet tab, destruering eller beskadigelse og arten af de oplysninger, der skal beskyttes, under hensyntagen til status for teknologisk udvikling og omkostningerne ved implementering af eventuelle foranstaltninger (disse foranstaltninger kan omfatte, hvor det er relevant, pseudonymisering og kryptering af personoplysninger, sikring af fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og tjenester).

3.2. TOM’er er underlagt tekniske fremskridt og yderligere udvikling. Databehandleren forbeholder sig ret til

at ændre de implementerede foranstaltninger og sikkerhedsforanstaltninger, forudsat at produkternes funktionalitet og sikkerhed ikke forringes. Eventuelle væsentlige sikkerhedsrelaterede beslutninger om organiseringen af databehandling og de anvendte procedurer meddeles den dataansvarlige.

3.3. Ved at bruge et produkt anerkender den dataansvarlige TOM’erne som beskrevet i aftalen og/eller leveret af databehandleren og bekræfter at TOM’erne leverer et tilstrækkeligt beskyttelsesniveau med hensyn til de risici, der er forbundet med behandlingen af personoplysninger.

4. Dokumentations- og revisionsforpligtelser

4.1. Efter den dataansvarliges anmodning herom, skal databehandleren stille oplysninger til rådighed for den dataansvarlige, der er nødvendige for, at den dataansvarlige eller kunderne kan overholde deres egne revisionsforpligtelser i henhold til gældende databeskyttelseslove eller en tilsynsmyndigheds anmodning, og skal give mulighed for og bidrage til

gennemgange og revisioner, herunder inspektioner som angivet nedenfor.

4.2. Den dataansvarlige kan anmode databehandleren om at tilvejebringe relevante oplysninger om TOM’erne, herunder

– hvis tilgængelige – auditors certifikater, rapporter eller uddrag fra rapporter, der er tilvejebragt af uafhængige organer (f.eks. auditor, databeskyttelsesrådgiver,

it-sikkerhedsafdeling, databeskyttelsesrådgiver, kvalitetsauditor).

4.3. I det omfang det ikke er muligt på anden måde at opfylde en revisionsforpligtelse, der er påkrævet i henhold

til gældende databeskyttelseslovgivning, kan den dataansvarlige eller dennes bemyndigede auditor foretage personlige revisioner på stedet for den dataansvarliges regning på individuel basis, normalt ikke hyppigere end en gang om året, i løbet af almindelig arbejdstid, med rimelig forstyrrelse af databehandlerens aktiviteter og efter rimeligt forudgående varsel. Databehandleren kan fastslå, at sådanne revisioner og inspektioner er underlagt udførelse af en fortrolighedsforpligtelse, der beskytter andre kunders oplysninger og fortroligheden af de implementerede TOM’er og sikkerhedsforanstaltninger.

4.4. Den dataansvarlige skal informere databehandleren uden unødig forsinkelse om eventuelle fejl eller uregelmæssigheder, der opdages under en revision.

5. Underdatabehandler

5.1. Den dataansvarlige bemyndiger hermed databehandleren til at overføre personoplysninger eller give adgang

til personoplysninger til andre databehandlere, som den ansætter (og giver andre databehandlere

tilladelse til at gøre det i overensstemmelse med denne klausul 5) med henblik på at levere produkterne underlagt den dataansvarliges forpligtelser i

henhold til denne klausul 5. Ovenstående tilladelse udgør den dataansvarliges forudgående skriftlige samtykke til databehandlerens involvering af andre databehandlere, hvis et sådant samtykke er påkrævet i henhold til standardkontraktbestemmelserne eller

databeskyttelseslovgivningen. Databehandleren forbliver ansvarlig for sine andre databehandleres overholdelse

af forpligtelserne i dette databehandlingstillæg. Databehandleren stiller en aktuel liste over andre databehandlere til rådighed, f.eks. på et databehandlerwebsted.

5.2 Den dataansvarlige er berettiget til at gøre indsigelse mod ansættelsen af en ny databehandler inden for 10 dage efter meddelelse herom. Ellers skal den dataansvarlige anses for at have godkendt en sådan ny tildeling eller ændring. Hvis der findes en væsentlig vigtig årsag til indsigelse,

og parterne ikke har fundet en mindelig løsning på dette

anliggende, har den dataansvarlige ret til at opsige aftalen vedrørende det pågældende produkt.

5.3 Databehandleren indgår skriftlige aftaler med andre databehandlere som den ansætter om ikke at yde mindre beskyttelse end den, der er fastsat i denne Databehandleraftale. En sådan kontrakt giver især tilstrækkelige garantier for at implementere passende TOM’er.

6. International dataoverførsel

6.1. Den dataansvarlige bemyndiger databehandleren til at overføre eller give adgang til personoplysningerne i forbindelse med tjenesterne som beskrevet

i aftalen, detaljerne om behandling og/eller standardkontraktbestemmelserne – hvor relevant.

6.2. Enhver behandling af personoplysninger uden for det land eller den region, hvor den dataansvarlige befinder sig, er underlagt en passende dataoverførselsmekanisme, hvis og som påkrævet af databeskyttelseslovgivningen.

6.3. For internationale dataoverførsler i forbindelse med behandling af persondata i EØS skal standardkontraktbestemmelserne udføres mellem TD SYNNEX og køber, hvis den part, der overfører eller giver adgang til persondata, befinder sig i EØS, Storbritannien eller Schweiz, og den anden part, som modtager eller har adgang til sådanne data, befinder sig i et tredje land. Vilkårene i dette databehandlingstillæg er ikke beregnet til at ændre eller modificere standardkontraktbestemmelserne,

men giver klarhed i forhold til processer og procedurer for overholdelse af standardkontraktbestemmelserne.

I tilfælde af eventuel uoverensstemmelse mellem vilkårene i dette databehandlingstillæg og standardkontraktbestemmelserne, skal standardkontraktbestemmelserne have forrang.

6.4. For dataoverførsler i forbindelse med databehandleres ansættelse af andre databehandlere, indgår databehandleren de gældende standardkontraktbestemmelser (databehandler til

databehandler) med de andre databehandlere og forpligter de andre databehandlere i overensstemmelse hermed med eventuel yderligere videreoverførsel.

7. Fortrolighed

Parterne må ikke videregive nogen fortrolige oplysninger, der deles i forbindelse med denne databehandlingsaftale, undtagen

(i) som påkrævet i denne databehandlingsaftale eller parternes instruktioner, (ii) som påkrævet ved lov, (iii) som svar til en kompetent myndighed eller tilsynsmyndighed eller offentlig myndighed, og (iv) for videregivelse til deres medarbejdere, agenter og kontrahenter, der er bundet af fortrolighed på et behov-for-at-vide-grundlag.