Databehandleraftale

Databehandleraftale


Kunden (”Dataansvarlige”)

og


TRUSTMATE ApS

(”Tryghedsmærket”) Xxxxxxxxxx 0

7120 Vejle Øst

CVR nr. 40320458

(”Databehandleren”)


Hver for sig kaldet en "Part" og samlet "Parterne", har indgået nærværende databehandleraftale:


1. Formål og instruks


1.1. Denne aftale er indgået i forbindelse med Databehandlerens levering af:


Kundetilfredshedsundersøgelser, kundetilfredsscore og feedback fra personer, der har købt ydelser og/eller produkter hos Dataansvarlige.


Projektstyringsværktøj med elektronisk registrering af arbejdsopgaver, samt dokumentation af forløbet.


Værktøj til håndtering af klagesager, samt Tryghedsmærkets hjælp og rådgivning som mediator i klagesager mod Dataansvarlige.


Tryghedsmærket’s certificering til Dataansvarlige.

1.2. Databehandleren behandler de typer af personoplysninger, som fremgår af denne aftales bilag 1, på vegne af Dataansvarlige. Personoplysningerne angår de kategorier af personer, der er oplistet i bilag 1.


1.3. Databehandleren må kun behandle personoplysninger, som er nødvendige som led i at levere ydelserne.


1.4. Enhver instruktion vedrørende behandling af personoplysninger i henhold til denne aftale skal forelægges Databehandleren.


2. Databehandlerens forpligtelser


2.1. Databehandleren må alene behandle de personoplysninger, som Dataansvarlige har overført, i overensstemmelse med Dataansvarliges dokumenterede instrukser, jf. afsnit 1.1 og aftalens bilag 1.


2.2. Databehandleren er i øvrigt forpligtet til at overholde den til enhver tid gældende databeskyttelseslovgivning. Databehandleren underretter omgående Dataansvarlige, hvis en instruks efter Databehandlerens mening er i strid med databeskyttelseslovgivningen i EU-retten eller en medlemsstats lovgivning.


2.3. Databehandleren skal iværksætte alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens artikel 32, herunder tekniske og organisatoriske sikkerhedsforanstaltninger. Dette omfatter foranstaltninger mod, at de i bilag 1 anførte personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med databeskyttelseslovgivningen.


2.4. Databehandleren skal sikre, at de medarbejdere, der er involveret i at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

2.5. Databehandleren bistår så vidt muligt Dataansvarlige med opfyldelse af dennes forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder efter databeskyttelsesforordningens kapitel 3.


2.6. Databehandleren sender anmodninger og indsigelser fra registrerede mv. til Dataansvarlige med henblik på Dataansvarliges videre behandling. Databehandleren skal efter anmodning fra Dataansvarlige bistå Dataansvarlige med besvarelse af anmodningen og/eller indsigelsen.


2.7. Databehandleren er forpligtet til at give Dataansvarlige meddelelse om driftsforstyrrelser, mistanke om brud på databeskyttelseslovgivningen eller andre uregelmæssigheder i forbindelse med behandlingen af personoplysningerne. Databehandlerens frist for at underrette Dataansvarlige om et sikkerhedsbrud er 24 timer fra det tidspunkt, hvor Databehandleren får kendskab til et sikkerhedsbrud. Databehandleren skal efter anmodning fra Dataansvarlige bistå Dataansvarlige i forhold til afklaring af sikkerhedsbruddet, herunder i forbindelse med eventuel underretning af Datatilsynet og/eller registrerede personer. Dataansvarlige afholder Databehandlerens eventuelle omkostninger forbundet hermed.


2.8. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af databeskyttelsesforordningens artikel 28, aftalen og i databeskyttelseslovgivningen i øvrigt, til rådighed for Dataansvarlige. Databehandleren giver i denne forbindelse mulighed for og bidrager til revisioner og tilsyn, herunder inspektioner, der foretages af Dataansvarlige eller en anden revisor, som er bemyndiget af Dataansvarlige. Den Dataansvarlige afholder eventuelle omkostninger forbundet hermed.


2.9. Databehandleren bistår ud over det ovenfor anførte Dataansvarlige med at sikre overholdelse af Dataansvarliges forpligtelser efter databeskyttelses- forordningens artikel 32-36.


2.10. Den Dataansvarlige giver Databehandleren en generel fuldmagt til at indgå aftaler med underdatabehandlere. Databehandleren sørger for at pålægge

underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der er fastsat i aftalen. Databehandleren skal på vegne af den Dataansvarlige indgå skriftlige databehandleraftaler med underdatabehandlere inden for EU/EØS. I forhold til underdatabehandlere uden for EU/EØS skal Databehandleren indgå standardaftaler i overensstemmelse med Kommissionens beslutning 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til data behandlere etableret i tredjelande ("Standardaftale"). Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver Databehandleren fuldt ansvarlig over for den Dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Ved aftalens indgåelse anvender Databehandleren de underdatabehandlere, der er oplistet i bilag 2.


3. Sletning og ophør


3.1. Personoplysningerne opbevares så længe Dataansvarlige opretholder sit Tryghedsmærke, hvorefter de slettes hos Databehandleren. Ved ophør af ydelser/tjenester under afsnit 1.1 forpligtes Databehandleren til, efter Dataansvarliges valg, at slette eller tilbagelevere alle personoplysninger til Dataansvarlige samt at slette eksisterende kopier, medmindre EU-retten eller national ret foreskriver opbevaring af personoplysningerne.


3.2. Aftalen er gældende så længe Databehandleren behandler personoplysninger på vegne af Data-ansvarlige.


4. Lov og værneting


4.1. Denne aftale reguleres af dansk ret.


4.2. Værneting for ethvert krav og enhver tvist, der udspringer af eller på anden måde er forbundet med denne aftale skal indbringes for Københavns Byret.

Bilag 1

Kategorier af registrerede personer, typer af personoplysninger, instruks og sikkerhed


1. Typer af personoplysninger


a) Der behandles følgende personoplysninger om forbrugere (personer, der køber ydelser og/eller hos Dataansvarlige):


For handler gennem Dataansvarliges webshop:

- Ordre nummer

- Dato for køb

- Dato for afslutning af ordre

- Ordrebeløb

- E-mailadresse der bruges ved købet

- Sprog


Ved brug af projektstyringsværktøjet:

- Modtagers navn

- Modtagers e-mailadresse

- Adressen hvor projektet udføres på

- Beskrivelse af hvad der skal udføres

- Aftalt beløb for projektet


Ved forbrugerens oprettelse af en klagesag mod Dataansvarlige:

- Forbrugerens beskrivelse af sagens forløb

- Dataansvarliges beskrivelse og håndtering af sagen

- Tryghedsmærket kommentar til sagen i rolle som mediator


Alle oplysninger er i kategorien: Almindelige personoplysninger. Ved fritekst indtastning opfordres brugeren til ikke at indtaste følsomme oplysninger.

2. Instruks


a) Ydelse


Databehandleren må behandle personoplysninger vedrørende de registrerede personer med de formål oplistet i aftalens afsnit 1.1.


b) Sikkerhed


Databehandleren er berettiget og forpligtet til at træffe nærmere beslutninger om hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal anvendes for at skabe det nødvendige (og forudsatte) sikkerhedsniveau omkring personoplysningerne.

Bilag 2

Underdatabehandlere


Virksomhed

CVR-nr.

Beskrivelse af behandling

INTSOFT ApS

Xxxxxxxxxxxx 0

0000 Xxxxx Xxxxxxx

DK35678727

IntSoft tager backup af Tryghedsmærket’s database, samt varetager formidlingen mellem Tryghedsmærket og DigitalOcean.

DigitalOcean, LLC

000 Xxxxxx xx xxx Xxxxxxxx 00xx Xxxxx

Xxx Xxxx, XX 00000 Xxxxxx Xxxxxx

EU528002224

DigitalOcean er en global cloud server leverandør og leverer infrastrukturen hvorpå Tryghedsmærkets platform køres. Datacenteret som benyttes, er placeret i Frankfurt, Tyskland (FRA1).

Mailgun Technologies, Inc.

000 X Xxxxx Xx. #1135

San Antonio, TX 78205 United States

32062902609

(Texas TIN)

Mailgun er en virksomhed der tilbyder udsendelse af e-mails. Tryghedsmærket benytter virksomheden til at sende e-mails fra vores platform. Alle e-mails sendes gennem Mailgun’s EU-region.

Microsoft Ireland Operations Ltd

One Microsoft Place

South County Business Park Leopardstown

Dublin 18

X00 X000 Ireland

IE8256796U

Tryghedsmærket benytter Microsoft’s Office 365 cloud tjeneste som e-mail udbyder og til lagerplads i skyen. Som en del af opsætningen er placeringen af data valgt til at være i EU.

Document Metadata

Filed: October 2nd, 2020