FORRETNINGSBETINGELSER

FORRETNINGSBETINGELSER

Nærværende forretningsbetingelser, eventuelt aftalebrev samt eventuelle skriftlige ændringer hertil udgør den samlede aftale (Aftalen) mellem kunden (Kunden) og STB Regnskab ApS, CVR nr. 40 71 64 40 (STBR). I tilfælde af afvigelser mellem forretningsbetingelserne og aftalebrev skal vilkårene i aftalebrevet gælde.

1. STBR’s ydelser

STBR’s ydelser (Ydelsen) er beskrevet på xxx.xxxx.xx. I tilfælde, hvor der er udarbejdet aftalebrev, vil dette supplere den beskrivelse, der fremgår af hjemmesiden. Udvidelse eller indskrænkning i omfanget og arten af den aftalte ydelse skal aftales skriftligt mellem parterne. Merarbejde, som STBR i den forbindelse udfører, vil være omfattet af Aftalen og underlagt samme vilkår, dog med forbehold for justeringer af STBRs honorar og tidsplan.

STBR vil bestræbe sig på at levere Ydelsen i overensstemmelse med en mellem parterne aftalt tidsplan. Medmindre Kunden og STBR udtrykkeligt og skriftligt angiver et endeligt leveringstidspunkt, er alle angivne datoer alene skønsmæssige.

I det omfang det af Aftalen fremgår, hvorledes Ydelsen er bemandet med partnere og medarbejdere, som er ansvarlige for levering af Ydelsen, er STBR berettiget til at erstatte anførte personer med andre partnere og medarbejdere.

STBR er ikke forpligtet til at ajourføre anbefalinger, konklusioner, rapporter, notater eller andre produkter, hverken i mundtlig eller skriftlig form, efter at disse er overdraget og kommunikeret til Kunden i endelig form.

2. Kvalitetssikring

Alle ydelser, der leveres af STBR, er underlagt virksomhedens interne kvalitetssikring, herunder procedurer for bemanding, kvalitetskontrol og klageadgang.

STBR forpligter sig til at undersøge enhver klage omhyggeligt og hurtigt. Har STBR leveret en mindre tilfredsstillende eller mangelfuld ydelse, kan Kunden som et alternativ til en drøftelse med den sædvanlige kontaktperson hos STBR rette henvendelse til STBRs direktion. Kunden er i denne sammenhæng forpligtet til, straks og skriftligt efter at have konstateret eventuelle fejl og mangler ved den leverede ydelse, at kontakte STBR. I den forbindelse har STBR ret til at afhjælpe eventuelle fejl og mangler inden for rimelig tid.

3. Samarbejde

Parterne skal holde hinanden orienteret om ethvert væsentligt forhold vedrørende levering af Ydelsen.

Det er Xxxxxxx og dennes personales rolle på enhver relevant måde at bistå STBR i forbindelse med levering af Ydelsen, herunder:

 At stille alt nødvendigt materiale til rådighed, give de nødvendige oplysninger og træffe nødvendige beslutninger inden for rimelig tid henset til opgavens art og omfang

 At tilknytte medarbejdere med tilstrækkelige kompetencer og ressourcer

 At sikre, at Kundens øvrige samarbejdspartnere i nødvendigt omfang samarbejder med STBR

 At medvirke aktivt til, at STBR kan overholde al relevant national og international lovgivning

Det er Kundens ansvar rettidigt og fuldstændigt at afgive alle relevante oplysninger og bære risikoen for de konsekvenser, som upræcise, ukorrekte eller ufuldstændige oplysninger medfører for STBRs ydelse.

Medfører Xxxxxxx forhold merarbejde for STBR i forhold til, hvad man kunne forudsætte ved aftalens indgåelse, er STBR berettiget til kompensation herfor baseret på almindelig timepris, uanset eventuel aftale om fast honorar.

STBRs rolle er:

 At levere ydelser i overensstemmelse med Aftalen samt eventuelle skriftlige korrektioner hertil

 At efterleve relevant lovgivning samt standarder og vejledninger

4. Pris og betaling

STBRs honorar beregnes efter medgået tid inkl. tid til transport/rejse baseret på STBRs til enhver tid fastsatte timesatser for de partnere og medarbejdere, der udfører arbejdet, medmindre andet udtrykkeligt fremgår af aftalebrev og eventuelle skriftlige korrektioner hertil.

Timesatser reguleres som udgangspunkt en gang årligt uden særskilt varsel eller meddelelse herom.

STBRs angivelse af et honorar ved aftaleindgåelse bygger på de forudsætninger, som parterne har angivet. Det følger heraf, at selv om der er aftalt et fast honorar for Ydelsen, er STBR berettiget til i følgende situationer at foretage korrektioner til det beregnede honorar:

a) Forudsætningerne for levering af Ydelsen er ændret

b) Forudsætningerne var ikke korrekte eller fuldstændige

c) Omstændighederne jf. a) og b) kan tilskrives Kunden eller forhold, som Kunden er ansvarlig for

Er der forud for arbejdets påbegyndelse ikke indgået aftale om fast honorar, beregnes honoraret efter medgået tid, jf. ovenfor. Moms er ikke inkluderet i honorar og timesatser, medmindre dette udtrykkeligt fremgår af aftalebrev og eventuelle skriftlige korrektioner hertil.

Omkostninger, der relaterer sig til levering af Ydelsen, såsom udlæg, rimelige rejseomkostninger, indkvartering og leveomkostninger betales af Xxxxxx udover det aftalte honorar, medmindre andet er aftalt i et aftalebrev og eventuelle skriftlige korrektioner hertil. STBR er berettiget til at tilbageholde Ydelsen, såfremt kunden er i misligholdelse med betaling/sikkerhedsstillelse, eller der foreligger anticiperet misligholdelse.

STBR er berettiget til at fakturere honorar (herunder aconto honorar), omkostninger og udlæg månedsvis bagud, dog kan større omkostninger og udlæg faktureres straks ved afholdelse. STBR forbeholder sig ret til i særlige situationer at kræve forudbetaling eller anden sikkerhed for betalingen.

Betalingsbetingelserne er netto kontant 8 dage fra fakturadato. Ved betaling efter forfald beregnes renter med 1,25% pr. påbegyndt måned, medmindre andet er aftalt i aftalebrev.

5. Ansvarsbegrænsning

STBR er ansvarlig for den leverede ydelse under Aftalen i overensstemmelse med dansk rets almindelige regler.

STBR er ansvarlig over for kunden for ydelser efter dansk rets almindelige regler med de begrænsninger, som fremgår nedenfor.

STBR kan ikke holdes ansvarlig for krav, der måtte opstå som et resultat af falsk, misvisende eller ufuldstændig information, data eller dokumentation, som er tilvejebragt af andre end STBR.

STBR kan ikke holdes til ansvar for mundtlige rapporteringer eller udkast til produkter, som efterfølgende skal erstattes af endelige produkter.

STBR er ikke ansvarlig for

- indirekte tab og/eller følgeskader, herunder driftstab, tidstab, tab af goodwill, image, indtjening, fortjeneste eller tab af data,

-

- formueskade og/eller skade tilføjet personer eller ting som følge af rådgivning indenfor områderne –

a. Kapitalforvaltning herunder lånefinansiering

b. investeringer,

c. sikkerhedsstillelse,

x. xxx og salg af ejendomme og virksomheder,

e. juridisk rådgivning herunder skatterådgivning, samt

f. opgaver udført i overensstemmelse med § 1 i Lov om godkendte revisorer og revisionsvirksomheder.

STBRs ansvar i forbindelse med levering af ydelser er begrænset til et beløb svarende til 5 gange det afregnede honorar for ydelsens udførelse, dog maksimalt kr. 50.000 uanset ydelsens omfang og honorarets størrelse og kun indtil maksimalt 5 år fra arbejdets udførelse.

STBR påtager sig ikke ansvar over for andre parter (herunder tredjemand), som benytter den af STBR leverede ydelse eller viden. Kunden forpligter sig til at godtgøre STBR forpligtelser, udgifter og andre omkostninger, som STBR med rimelighed måtte pådrage sig i forbindelse med krav fra sådanne andre parter samt krav mod STBR som følge af Kundens misligholdelse af aftalen.

Ovenstående ansvarsbegrænsninger gælder, uanset om skaden skyldes grov eller simpel uagtsomhed, men ikke forsæt.

6. Fortrolighed

Parterne er gensidigt forpligtet til at behandle den viden, alt materiale og alle oplysninger om den anden part samt oplysninger modtaget fra den anden part i forbindelse med arbejdets udførsel fortroligt.

Alle medarbejdere i STBR er pålagt tavshedspligt.

Parterne må ikke i nogen form videregive den anden parts fortrolige oplysninger til tredjemand, medmindre:

 Der gives samtykke hertil

 Oplysningerne er af en sådan karakter, at de er bestemt til videregivelse

 Videregivelse sker til anden rådgiver under fortrolighedsforpligtelse, og videregivelse er nødvendig for opgavens udførsel

 Videregivelse sker til opfyldelse af en lovbestemt pligt

Uanset fortrolighedsforpligtelsen er STBR berettiget til at anvende Kundens navn og en kort beskrivelse af opgaven i forbindelse med markedsføring af STBR.

Det er STBRs politik at opretholde et højt sikkerhedsniveau omkring enhver kommunikation, hvad enten den er i brevform eller elektronisk, men STBR kan dog ikke gøres ansvarlig for sikkerheds- og fortrolighedsbrister ved transmission via elektroniske kommunikationsmidler.

7. Brugs-, ejendoms- og ophavsret

STBR har og beholder alle ophavsrettigheder og immaterielle rettigheder til programmer, systemer, metoder og modeller i overensstemmelse med gældende lovgivning. Sådanne programmer, systemer, metoder og modeller må ikke videregives til tredjemand, uden at STBR har givet skriftlig tilladelse hertil.

8. Interessekonflikt

Det er STBRs praksis at kontrollere, om der foreligger en interessekonflikt, før STBR leverer den pågældende ydelse. STBR leverer mange forskellige ydelser og kan ikke garantere, at alle situationer, hvor der kan foreligge en interessekonflikt, straks afdækkes. STBR henstiller derfor til Kunden om straks at underrette STBR, hvis denne skulle blive opmærksom på en mulig interessekonflikt.

Såfremt en aktuel eller formodet interessekonflikt er identificeret, og STBR vurderer, at Kundens interesser kan varetages tilstrækkeligt ved iværksættelse af relevante procedurer, vil STBR drøfte sådanne procedurer med Kunden.

PERSONDATAPOLITIK

9. Persondata og foranstaltninger mod hvidvask

STBR indsamler og behandler persondata i overensstemmelse med gældende lovgivning, herunder, persondataloven og EU´s generelle forordning om databeskyttelse, når denne træder i kraft per 25. maj 2018.

STBR respekterer sine kunders forventninger om databeskyttelse og fortrolighed. STBR kan videregive kundernes oplysninger til koncernrelaterede selskaber, samt medlemsfirmaer i STBRs netværk, i den udstrækning, det er nødvendigt for at levere den aftalte ydelse og/eller i forbindelse med varetagelse af kundens interesser.

9.1 Dataansvarlig

STB Regnskab ApS Xxxxxxxxxxxx 00 X, 0. tv.

2800 Kongens Lyngby Kontakt e-mail: xxx@xxxx.xx CVR-nr. 40 71 64 40

9.2 Indsamling af personoplysninger

Vi indsamler personoplysninger om dig og dine ansatte for at kunne opfylde vores aftale med dig. Behandlingsgrundlaget for dette er opfyldelsen af en kontrakt med dig og kan derudover være, at det følger af lov, at vi har behov for dine personoplysninger eller personoplysninger på kapitalejere og/eller ansatte i de juridiske virksomheder, som vi har som kunde.

NB: Du kan ikke være kunde hos os, hvis du ikke giver os de mindste-oplysninger, vi beder om.

Hvis du har en personligt ejet virksomhed, indsamler vi følgende personoplysninger om dig og din virksomhed:

Vi indsamler din virksomheds navn, adresse, e-mail, mobilnummer og andre nødvendige kontaktinformationer, samt dit navn, cpr-nr., og din virksomheds xxx.xx.

Vi indsamler kun de personoplysninger, som du selv giver os eller som er offentligt tilgængelige, ved oprettelse af dit kundeforhold.

Hvis din virksomhed er et selskab, indsamler vi din virksomheds navn, cvr-nr., adresse, e-mail, mobilnummer og andre nødvendige kontaktinformationer, samt dit navn, mobilnummer og e-mail.

Vi indsamler også de personoplysninger du giver os om dine ansatte, som skal have kontakt med STBR. Det gør vi alene for at yde den bedst mulige service for din virksomhed.

Vi indsamler ikke personoplysninger om dig som person fra tredjemand. Dog indsamler vi informationer via vores cookies.

De personoplysninger vi indsamler via vores brug af cookies, indsamler vi for at forfølge vores legitime interesse i at markedsføre os overfor dig, for at kunne tilpasse vores indhold af ydelser specifikt til dig og for at kunne optimere STBR.

Deltager du i de undersøgelser vi gennemfører, indsamler vi de oplysninger som indgår i undersøgelsen, herunder, køn, alder, interesser, holdninger og kendskab til forskellige emner. Deltagelse i undersøgelser er altid frivillig.

Vi bruger undersøgelserne til dels at forbedre vores tjenester, men også for at kunne tilbyde dig og din virksomhed andre ydelser, herunder at målrette vores tilbud bedre til dig og din virksomhed.

Behandlingsgrundlaget for indsamlingen og behandlingen af personoplysninger via vores undersøgelser er dit samtykke.

Du kan til enhver tid trække dit samtykke tilbage. Trækker du dit samtykke tilbage, sletter vi de oplysninger, som vi alene har indsamlet som følge af din deltagelse i vores undersøgelser.

Er du endnu ikke kunde hos os, indsamler vi oplysninger om dig/din virksomhed til brug for vores markedsføring overfor dig.

Det gør vi for at kunne forfølge vores legitime interesse i at markedsføre os overfor dig.

Vi anvender kun din e-mail etc. til markedsføring, hvis vi har fået dit udtrykkelige forudgående samtykke hertil.

9.3 Brug af personoplysninger

Vi bruger dine personoplysninger til at afvikle vores kundeforhold med dig/din virksomhed.

Vi bruger dem også til at forbedre vores tjenesteydelser og til at kunne målrette vores budskaber til dig og din virksomhed, herunder målrette reklamer og indhold til dig/din virksomhed.

Dine personoplysninger videregives ikke til tredjemand medmindre, at du selv udtrykkeligt har samtykket hertil.

9.4 Indsigt i personoplysninger m.v.

Hvis du ønsker adgang til de oplysninger, som er registreret om dig hos STBR, skal du rette henvendelse på xxx@xxxx.xx.

Er der registreret forkerte oplysninger om dig, og kan du ikke selv rette dem, eller hvis du har andre indsigelser mod vores behandling af dine personoplysninger, så skriv til os på xxx@xxxx.xx.

Du har mulighed for at få indsigt i hvilke informationer, der er registreret om dig, og du er berettiget til at komme med indsigelser mod vores behandling af dine personoplysninger.

Såfremt det viser sig, at personoplysninger om dig er urigtige eller vildledende, så har du ret til at få dem rettet.

Du kan til enhver tid gøre indsigelse mod, at oplysninger om dig gøres til genstand for behandling. Blot skriv til os på xxx@xxxx.xx.

Du kan også til enhver tid tilbagekalde dit samtykke til de behandlinger, vi foretager med dit samtykke.

Du har mulighed for at klage over vores behandling af dine personoplysninger, hvis vi ikke giver dig ret I dine indsigelser. Klagen skal sendes til Datatilsynet. Se mere på xxx.Xxxxxxxxxxxx.xx

9.5 Sletning af personoplysninger

Personoplysninger slettes eller anonymiseres løbende efterhånden som det formål, de blev indsamlet til, afsluttes.

Vi gemmer dine personoplysninger så længe vi har et aktivt kundeforhold med dig/din virksomhed.

Når kundeforholdet er ophørt, gemmer vi dine personoplysninger så længe vi er forpligtet hertil efter lovgivning, herunder regnskabslovgivningen.

9.6 Ændring af vores persondatapolitik

I tilfælde af væsentlige ændringer af denne persondatapolitik, giver vi dig besked i form af en synlig meddelelse på vores websites.

9.7 Databehandler

I det omfang STBR er databehandler henvises der til Bilag A (afsnit 14) i nærværende forretningsbetingelser.

9.8 – Foranstaltninger mod hvidvask

Kundeforholdet kan afhængig af de leverede ydelser til kunden være er omfattet af hvidvasklovgivningen. Det indebærer, at STBR:

1. indhenter oplysninger om identitets- og kontroloplysninger samt kopi af foreviste legitimationsdokumenter ved etablering af kundeforholdet,

2. indhenter dokumentation for og registreringer af transaktioner, der gennemføres som led i en forretningsforbindelse, eller en enkeltstående transaktion,

3. i tilfælde af mistanke om at kunden begår hvidvask, vil indhente dokumenter og registreringer vedrørende gennemførte undersøgelser,

4. anvender de indhentede oplysninger om kunden til at opfylde STBR’s forpligtelser efter hvidvaskloven og ikke til formål som fx markedsføringsformål,

5. kan videregive oplysninger til SØIK i tilfælde af mistanke om at kunden begår overtrædelser af gældende hvidvasklovgivning,

6. giver kunden ret til indsigt i de registrerede oplysninger og

7. opbevarer oplysningerne, herunder legitimering, i mindst 5 år efter ophør af kundeforholdet.

10. Elektronisk kommunikation

STBR og Kunden accepterer brugen af elektronisk kommunikation i forbindelse med levering af ydelser, godkendelse af materiale (årsregnskaber, skatteopgørelser, selvangivelser mv.) og løbende korrespondance. Enhver part er ansvarlig for at beskytte egne systemer og interesser i forbindelse med elektronisk kommunikation.

STBR eller STBRs underleverandører er ikke ansvarlige for fejl, tab, uautoriseret adgang, virus, forsinkelse, ødelæggelse mv. i forbindelse med eller forårsaget af elektronisk kommunikation og information.

11. Aftalens ophør

Medmindre der i aftalebrevet er angivet et opsigelsesvarsel, ophører Aftalen når Ydelsen er leveret.

Ved Aftalens ophør skal Kunden betale STBR for de indtil da leverede ydelser og/eller uafregnet tidsforbrug samt påløbne omkostninger og udlæg. Kunden skal desuden betale STBR rimelige omkostninger affødt af Aftalens ophør.

STBR er berettiget til som led i hel eller delvis overdragelse af STBRs virksomhed at overdrage rettigheder og forpligtelser i henhold til STBRs aftaler med Xxxxxx til anden regnskabsvirksomhed, herunder som led i intern omstrukturering, betinget af, at dette ikke påfører kunden væsentlig ulempe eller meromkostninger.

12. Misligholdelse

Såfremt en af parterne misligholder sine forpligtelser væsentligt i henhold til Xxxxxxx og/eller disse betingelser, er den anden part berettiget til at ophæve Aftalen.

Væsentlig misligholdelse af Kundens betalingsforpligtelser er gyldig grund til, at STBR berettiget kan ophæve Aftalen.

I tilfælde af væsentlig misligholdelse er en part berettiget til erstatning i henhold til dansk rets almindelige regler, jf. dog punktet om ansvarsbegrænsning.

13. Lovvalg og værneting

Enhver uenighed eller tvist mellem parterne om forståelsen af Aftalen og/eller disse forretningsbetingelser afgøres under anvendelse af dansk ret ved de danske domstole og med STBRs hjemsted som værneting.

14. Bilag A – Databehandleraftale

14.1 BAGGRUND, FORMÅL OG OMFANG

14.1.1 Som led i den Dataansvarliges (STBRs kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (STBR) behandling af personoplysninger, som den Dataansvarlige er ansvarlig for.

14.1.2 Databehandleren skal overholde Databeskyttelsesloven med senere ændringer) med tilhørende bekendtgørelser.

14.1.3 Databehandleren skal fra 25. maj 2018 overholde Persondataforordningen (Europa-Parlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger) med tilhørende retsakter samt heraf afledt national lovgivning.

14.1.4 Det er et krav i såvel Databeskyttelsesloven som Persondataforordningen, at der mellem den Dataansvarlige og Databehandleren indgås skriftlig aftale om den behandling, som skal foretages; en såkaldt ’Databehandleraftale’. Denne Aftale udgør sådan Databehandleraftale.

14.2 PERSONOPLYSNINGER OMFATTET AF AFTALEN

14.2.1 Denne Aftale omfatter alle typer personoplysninger, som er nødvendige i forbindelse med opfyldelse af samarbejdsaftale med Parterne.

14.3. GEOGRAFISKE KRAV

14.3.1 Den behandling af persondata, som Databehandleren foretager efter aftale med den Dataansvarlige, må alene foretages af Databehandleren eller underdatabehandlere, jf. pkt. 14.5, indenfor det Europæiske Økonomiske Samarbejde (EØS). Databehandleren er ingenlunde berettiget til at lade databehandling foregå udenfor EØS uden den Dataansvarliges skriftlige samtykke.

14.4 INSTRUKS

14.4.1 Omfanget af de opgaver, som den Dataansvarlige skal levere og understøtte, betyder, at der i medfør af Parternes aftale vil ske forskellige former for behandling af personoplysninger. De forskellige former for behandling af personoplysninger er beskrevet i samarbejdsaftalen mellem Parterne.

14.4.2 Databehandleren handler alene efter dokumenteret instruks fra den Dataansvarlige. Databehandleren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af den Dataansvarliges instruks. Alle de for levering af de finansielle ydelser jf. samarbejdsaftale nødvendige og beskrevne behandlinger betragtes som dokumenterede.

14.4.3 Såfremt en instruktion efter Databehandlerens opfattelse er i strid med Databeskyttelsesloven eller Persondataforordningen, skal Databehandleren orientere den Dataansvarlige herom.

14.4.4 Denne Aftale og samarbejdsaftale omkring levering af finansielle ydelser omfatter de kategorier af registrerede oplysninger, som er nødvendige for levering af finansielle ydelser.

14.4.5 Såfremt behandlingen af personoplysninger hos Databehandleren sker helt eller delvist ved anvendelse af fjernopkobling, herunder hjemmearbejdspladser, skal Databehandleren fastsætte retningslinjer for medarbejdernes behandling af personoplysninger ved anvendelse af fjernopkobling, som i øvrigt skal opfylde de i Aftalen stillede krav.

14.4.6 Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af Databehandleren. Modtager Databehandleren sådan henvendelse fra den registrerede person, orienterer Databehandleren den Dataansvarlige herom.

14.4.7 Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, jf. pkt. 14.4.6, herunder til underdatabehandleren. Databehandlerens bistand afregnes til Databehandlerens til enhver tid gældende timetakst for sådant arbejde.

14.5 BRUG AF UNDERDATABEHANDLER

14.5.1 Den Dataansvarlige giver Databehandleren samtykke til anvendelse af underdatabehandlere forudsat, at de i Aftalen stillede betingelser for dette er opfyldt. Databehandleren er jf. Aftalen ikke forpligtet til at underrette den Dataansvarlige om sådanne underdatabehandlere.

14.5.2 Underdatabehandleren er under Databehandlerens instruks. Databehandleren har indgået skriftlig databehandleraftale med underdatabehandleren, hvori det er sikret, at underdatabehandleren opfylder krav tilsvarende dem, som stilles til Databehandleren af den Dataansvarlige i medfør af Aftalen.

14.5.3 Omkostninger forbundet med etablering af aftaleforholdet til en underdatabehandler, herunder omkostninger til udarbejdelse af databehandleraftale og eventuel etablering af grundlag for overførsel til tredjelande, afholdes af Databehandleren og er således den Dataansvarlige uvedkommende.

14.5.4 Såfremt den Dataansvarlige måtte ønske at instruere underdatabehandlere direkte, bør dette alene ske efter drøftelse med og via Databehandleren. Hvis den Dataansvarlige afgiver instruks direkte overfor underdatabehandlere, skal den Dataansvarlige senest samtidig underrette Databehandleren om instruksen og baggrunden for denne. Hvor den Dataansvarlige instruerer underdatabehandlere direkte, a) er Databehandleren fritaget for ethvert ansvar, og enhver følge af sådan instruks er alene den Dataansvarliges ansvar, b) hæfter den Dataansvarlige for enhver omkostning, som instruksen måtte medføre for Databehandleren, herunder er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al arbejdstid, som en sådan direkte instruks måtte medføre for Databehandleren og

c) den Dataansvarlige er selv ansvarlig overfor underdatabehandlere for enhver omkostning, vederlag eller anden betaling til underdatabehandleren, som den direkte instruks måtte medføre.

14.5.5 Databehandleren forbeholder sig retten til anvendelse af underdatabehandlere til at forestå den tekniske drift til levering af finansielle ydelser.

14.5.6 Den Dataansvarlige accepterer ved indgåelsen af nærværende Aftale, at Databehandleren er berettiget til at skifte underdatabehandler forudsat, at a) en eventuel ny underdatabehandler overholder tilsvarende betingelser, som stilles i nærværende pkt. 5 til den nuværende underdatabehandler og, at b) den Dataansvarlige senest ved en eventuel anden underdatabehandlers påbegyndelse af behandlingen af personoplysninger, som den Dataansvarlige er dataansvarlig for, af Databehandleren orienteres om den nye underdatabehandlers identitet.

14.6 BEHANDLING OG VIDEREGIVELSE AF PERSONOPLYSNINGER

14.6.1 Den Dataansvarlige indestår for at have fornøden hjemmel til behandling af personoplysningerne omfattet af nærværende Aftale.

14.6.2 Databehandleren må ikke uden skriftligt samtykke fra den Dataansvarlige videregive oplysninger til tredjemand, medmindre sådan videregivelse følger af lovgivningen eller af en bindende anmodning fra en retsinstans eller en databeskyttelsesmyndighed, eller det fremgår af denne Aftale.

14.7 SIKKERHED

14.7.1 Databehandleren skal træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 14.1.2 og pkt.

14.1.3 ovenfor.

14.7.2 Sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, som ændret ved

bekendtgørelse nr. 201 af 22. marts 2001) skal tillige overholdes, såfremt der er tale om behandling af personoplysninger for den offentlige forvaltning.

14.7.3 Databehandleren er altid berettiget til at implementere alternative sikkerhedsforanstaltninger under forudsætning af, at sådanne sikkerhedsforanstaltninger som minimum opfylder eller giver større sikkerhed end de nuværende sikkerhedsforanstaltninger og i øvrigt opfylder de stillede krav til sikkerhed. Databehandleren kan ikke uden den Dataansvarliges skriftlige forudgående godkendelse foretage forringelse af sikkerhedsforholdene.

14.7.4 Hvis Databehandleren er etableret i en anden EU-medlemsstat, skal de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den EU-medlemsstat, hvor Databehandleren er etableret, derudover gælde for Databehandleren. Hvis Databehandleren er etableret i en anden EU- medlemsstat, skal Databehandleren således overholde såvel sikkerhedskrav omfattet af gældende lovgivning i Danmark som sikkerhedskrav i Databehandlerens hjemland. Det samme gælder for underdatabehandlere.

14.7.5 Databehandleren skal efter nærmere aftale med den Dataansvarlige så vidt muligt bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i forordningens artikel 32 (gennemførelse af passende tekniske og organisatoriske foranstaltninger), 35 (foretagelse af konsekvens-analyse vedrørende databeskyttelse) og 36 (forudgående høring). I den forbindelse er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådan aftale måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.

14.7.6 Såfremt det i pkt. 14.7.5 anførte fører til skærpede sikkerhedsforanstaltninger i forhold til det allerede aftalte mellem Parterne i medfør af denne Aftale, implementerer Databehandleren, så vidt det er muligt, sådanne foranstaltninger forudsat, at Databehandleren modtager betaling herfor, jf. pkt. 14.7.7 nedenfor.

14.7.7 Omkostninger forbundet med sådan implementering af foranstaltninger, jf. pkt. 14.7.6, afholdes af den Dataansvarlige og er således Databehandleren uvedkommende. Databehandleren er endvidere berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådan implementering måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.

14.8 TILSYNSRET

14.8.1 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige informationer til, at denne kan påse, at Databehandleren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger.

14.8.2 I det omfang den Dataansvarlige tillige ønsker, at dette skal omfatte den behandling, som sker hos underdatabehandlere, oplyses Databehandleren om dette. Databehandleren indhenter herefter tilstrækkelige oplysninger fra underdatabehandleren.

14.8.3 Såfremt den Dataansvarlige ønsker at foretage tilsyn, som anført i dette pkt. 14.8, skal den Dataansvarlige altid give Databehandleren et varsel på mindst 30 dage i sådan forbindelse.

14.8.4 Såfremt Databehandleren får udarbejdet en sikkerhedsrevisionsrapport, som beskriver sikkerhedsforholdene hos underdatabehandleren i overensstemmelse med pkt. 14.8.1, er den

Dataansvarlige berettiget til at få udleveret en kopi heraf. Kopi af sådan sikkerhedsrevisionsrapport fremsendes på anmodning til den Dataansvarlige, såfremt Databehandleren får udarbejdet en sådan.

14.8.5 Såfremt den Dataansvarlige ønsker at få udarbejdet anden eller yderligere sikkerhedsrevisionsrapport udover de i pkt. 14.8.4 omtalte, eller at der i øvrigt ønskes foretaget tilsyn af Databehandlerens eller underdatabehandlerens persondatabehandling, herunder såfremt den Dataansvarlige ønsker sikkerhedsrevisionsrapport udarbejdet på et nærmere bestemt tidspunkt, aftales dette nærmere med Databehandleren. Databehandleren eller underdatabehandleren kan til enhver tid kræve, at en sådan sikkerhedsrevisionsrapport udarbejdes i overensstemmelse med en anerkendt revisionsstandard (fx ISAE 3402 med referenceramme til ISO 27002:2014 eller lignende) af en alment anerkendt og uafhængig tredjepart, som beskæftiger sig med sådanne forhold.

14.8.6 Den Dataansvarlige afholder alle omkostninger i forbindelse med tilsyn af sikkerhedsforhold hos Databehandleren samt i forhold til underdatabehandleren, herunder er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådant tilsyn måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.

14.9 PERSONDATASIKKERHEDSBRUD

14.9.1 Såfremt Databehandleren måtte blive bekendt med et persondatasikkerhedsbrud, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, er Databehandleren forpligtet til uden unødig forsinkelse at søge at lokalisere sådant brud og søge at begrænse opstået skade i videst muligt omfang, samt i det omfang det er muligt reetablere eventuelt mistede data.

14.9.2 Databehandleren er endvidere forpligtet til uden unødig forsinkelse at underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Databehandleren skal herefter uden unødig forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til den Dataansvarlige, som så vidt muligt skal indeholde:

a) En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede og registreringer af personoplysninger.

b) Navn på og kontaktoplysninger for databeskyttelsesrådgiveren.

c) En beskrivelse af de sandsynlige konsekvenser af bruddet.

d) En beskrivelse af de foranstaltninger, Databehandleren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger.

14.9.3 For så vidt det ikke er muligt at give de i pkt. 14.9.2 anførte oplysninger samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

14.9.4 Tilsvarende er underdatabehandlere pålagt uden unødig forsinkelse at underrette Databehandleren i overensstemmelse med pkt. 14.9.2 og 14.9.3.

14.10 TAVSHEDSPLIGT

14.10.1 Databehandleren skal holde personoplysningerne fortrolige, og er således alene berettiget til at anvende personoplysningerne som led i opfyldelsen af sine forpligtelser og rettigheder i henhold til Aftalen.

14.10.2 Databehandleren skal sikre, at de medarbejdere og eventuelle andre, herunder underdatabehandlere, der er autoriseret til at behandle de i Aftalen omfattede personoplysninger, er pålagt tavshedspligt.

14.11 VARIGHED OG OPHØR AF DATABEHANDLERAFTALEN

14.11.1 Aftalen træder i kraft ved Parternes underskrift af samarbejdsaftalen eller på anden vis indgåelse af samarbejdsaftale.

14.11.2 I tilfælde af, at samarbejdsaftalen ophører, uanset årsag, ophører Aftalen også. Databehandleren er dog forpligtet af denne Aftale, så længe Databehandleren behandler personoplysninger på vegne af den Dataansvarlige, idet den Dataansvarlige snarest muligt og senest 14 dage efter ophør af samarbejdsaftalen skal oplyse Databehandleren skriftligt, hvorledes Databehandleren skal forholde sig til de behandlede personoplysninger. 30 dage efter ophøret af samarbejdsaftalen er Databehandleren berettiget til at slette alle personoplysninger, som er blevet behandlet under den ophørte samarbejdsaftale på vegne af den Dataansvarlige.