Databehandleraftale
1. Indledning
1.1. Denne aftale vedrørende behandling af personoplysninger (”Databehandleraftalen”) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den ”Dataansvarlige”) og er et bilag til de generelle betingelser. Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".
1.2. Den Dataansvarlige og Databehandleren har indgået en aftale vedr en betalingsløsning inde- holdende betalingsgateway og indløsning (“Aftalen").
1.3. Som led i Databehandlerens levering af Ydelserne (som defineret nedenfor) til den Dataansvar- lige i henhold til Aftalen, skal Databehandleren behandle personoplysninger på vegne af den Dataansvarlige.
1.4. Gældende Databeskyttelseslovgivning (som defineret nedenfor) kræver, at der mellem en data- ansvarlig og en databehandler, der behandler personoplysninger på vegne af den dataansvarli- ge, indgås en skriftlig kontrakt, som fastlægger omfanget af og kravene til den pågældende behandling. Parterne har derfor indgået denne Databehandleraftale (som defineret nedenfor).
2. Definitioner
2.1. De termer, der er defineret i Aftalen, skal have samme betydning i denne Databehandleraftale, medmindre andet udtrykkeligt fremgår heraf.
2.2. Medmindre andet fremgår af sammenhængen, har følgende termer følgende betydning:
1. "Aftalen" har den i pkt. 1.1 anførte betydning.
2. "Databehandleraftale" betyder denne aftale om behandling af personoplysninger, inklusiv bilag.
3. "Databeskyttelseslovgivning" betyder alle de love og regler, som finder anvendelse for behandling og beskyttelse af personoplysninger overalt i det Europæiske Økonomiske Samarbejdsområde (EØS) med de til enhver tid gældende ændringer og/eller tilføjelser, herunder direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbin- delse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, Persondataloven (som defineret nedenfor), Forordning om Databeskyttelse (som defineret nedenfor) og, hvor relevant, de retningslinjer og regelsæt, der udstedes af EØS og/eller andre relevante nationale myn-
digheder i EØS (herunder de nationale datatilsyn).
4. "Forordning om Databeskyt- telse" betyder "Europa-Parla- mentets og Rådets forordning (EU) nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådan- ne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyt- telse)" med de til enhver tid gældende ændringer og/eller tilføjelser.
5. "Persondataloven" betyder lov nr. 429 af 31. maj 2000 om behandling af personoplysnin- ger med de til enhver tid gældende ændringer og/eller tilføjelser.
6. "Ydelserne" betyder de tjenesteydelser og leverancer, som Databehandleren som leveran- dør leverer til den Dataansvarlige som kunde i henhold til Aftalen.
2.3. Begreberne "personoplysninger", "særlige kategorier af personoplysninger", "behandling", "da- taansvarlig", "databehandler", "registrerede", "tilsynsmyndighed", "pseudonymisering", "tekniske og organisatoriske foranstaltninger" og "brud på persondatasikkerheden" skal i denne Databe- handleraftale forstås i overensstemmelse med gældende Databeskyttelseslovgivning, herunder Forordning om Databeskyttelse.
3. Behandling af personoplysninger
3.1. Databehandleren skal behandle personoplysninger på vegne af den Dataansvarlige i overens- stemmelse med gældende Databeskyttelseslovgivning.
3.2. De personoplysninger, der behandles af Databehandleren, samt kategorierne af registrerede er beskrevet i bilag 1 til denne Databehandleraftale.
3.3. Den Dataansvarlige fastlægger til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af Databehandleren. Databehandleren må kun behandle personoplysningerne på vegne af den Dataansvarlige og handler alene efter dokumenteret instruks fra den Dataansvar- lige.
3.4. Databehandleren skal sikre, at de personer, som er involveret i behandlingen af personoplys- ninger, enten har forpligtet sig til fortrolighed eller er underlagt en behørig lovbestemt tavsheds- pligt.
3.5. Databehandleren skal træffe de fornødne foranstaltninger til at sikre, at enhver person, der ud- fører arbejde for Databehandleren, og som har adgang til personoplysningerne, kun behandler disse personoplysninger efter instruks fra den Dataansvarlige.
3.6. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkeli- ge oplysninger til, at den Dataansvarlige kan påse, at kravene i den gældende Databeskyttel- seslovgivning overholdes. Databehandleren skal endvidere give tilladelse og bidrage til eventu- elle revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en revisor, som er bemyndiget hertil af den Dataansvarlige.
3.7. Databehandleren skal straks underrette den Dataansvarlige, hvis Databehandleren mener, at en anmodning i henhold til 1. led i punkt 3.6 ovenfor er i strid med gældende Databeskyttelses- lovgivning.
3.8 Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Data- ansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysnin- ger behandles af Databehandleren. Modtager Databehandleren sådan henvendelse fra den registrerede, orienterer Databehandleren den Dataansvarlige herom.
3.9 Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, jf. pkt. 3.8, herunder til underdatabehandlere. Databehandlerens bistand afregnes til Databehandle- rens til enhver tid gældende timetakst for sådant arbejde.
4. Behandlinger uden instruks
Uanset bestemmelserne i denne Aftale, har Databehandleren ret til at behandle personoplys- ninger uden instruks fra den Dataansvarlige, såfremt og i det omfang det kræves i henhold til øvrig EU-ret og/eller medlemsstaternes nationale ret. I så fald skal Databehandleren dog først, i det omfang det er lovligt, underrette den Dataansvarlige om et sådant pålæg og, i det omfang det er muligt, give den Dataansvarlige mulighed for at gøre indsigelser herimod.
5. Sikkerhedsforanstaltninger
5.1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varieren- de sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal Databe- handleren træffe de fornødne tekniske og organisatoriske foranstaltninger til at sikre et sikker- hedsniveau, der passer til disse risici.
5.2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, skal Databehandleren navnlig tage hensyn til de risici, der er forbundet med behandlingen, herunder men ikke begrænset til risiciene for hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
5.3. Databehandleren skal ligeledes opfylde eventuelle sikkerhedskrav, der påhviler Databehandle- ren i henhold til gældende Databeskyttelseslovgivning, herunder gældende sikkerhedskrav i det land, hvori Databehandleren er etableret.
5.4. Databehandleren skal ved hjælp af passende tekniske og organisatoriske foranstaltninger bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodnin- ger om udøvelse af de registreredes rettigheder i henhold til gældende Databeskyttelseslovgiv- ning.
5.5. Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Endvidere skal Databe- handleren bistå den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtel- ser til at (i) dokumentere alle brud på persondatasikkerheden, (ii) anmelde eventuelle brud på persondatasikkerheden til de(n) kompetente tilsynsmyndighed(er) og (iii) underrette de registre- rede om sådanne brud på persondatasikkerheden, det hele i overensstemmelse med artikel 33 og 34 i Forordning om Databeskyttelse.
6. Underdatabehandling
6.1. Databehandleren må generelt gøre brug af tredjeparter til behandlingen af Personoplysningerne for den Dataansvarlige (”Underdatabehandler”), i det omfang Databehandleren giver meddelel- se herom til den Dataansvarlige for hver Underdatabehandler, før behandlingen påbegyndes af Underdatabehandleren, således at den Dataansvarlige har mulighed for at gøre saglig indsigel- se over for Databehandlerens valg af Underdatabehandler. Hvis den Dataansvarlige ønsker at gøre indsigelser herimod, skal den Dataansvarlige give skriftlig meddelelse herom inden for ti
(10) kalenderdage efter modtagelse af Databehandlerens meddelelse om tilføjelsen eller æn- dringen af en Underdatabehandler. Manglende indsigelse fra den Dataansvarlige vil blive anset for et stiltiende samtykke til underdatabehandlingen.
6.2. Databehandleren skal indgå skriftlig aftale med eventuelle Underdatabehandlere, som pålæg- ger Underdatabehandlerne de samme databeskyttelsesforpligtelser, som påhviler Databehand- leren, herunder i medfør af denne Databehandleraftale. Databehandleren skal ligeledes føre løbende kontrol med sine Underdatabehandlere, og dokumentation herfor skal kunne forevises den Dataansvarlige.
6.3. Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplys- ninger på samme vis, som var behandling foretaget af Databehandleren selv.
6.4. Databehandleren benytter på tidspunktet for indgåelsen af Databehandleraftalen de Underdata- behandlere, der fremgår af underbilag B. Ved Databehandlerens benyttelse af nye Underdata- behandlere, skal disse tilføjes i underbilag B.
7. Overførsel af personoplysninger til et tredjeland eller en international organisation
Databehandleren må ikke overføre personoplysninger uden for EØS eller tilgå personoplysnin- ger uden for EØS uden forudgående skriftligt samtykke fra den Dataansvarlige. Såfremt den Dataansvarlige giver et sådant samtykke, er Databehandleren forpligtet til at sikre sig, at (i) en sådan overførsel er lovlig, herunder at der er et tilstrækkeligt beskyttelsesniveau for overførslen af personoplysninger, f.eks. ved indgåelse af standardkontraktbestemmelserne for overførsel af personoplysninger til databehandlere, der er etableret i lande uden for EØS, i henhold til Kom- missionens beslutning af 5. februar 2010 (eller en eventuel senere beslutning, der erstatter den tidligere) mellem på den ene side den Dataansvarlige og på den anden side Databehandleren og alle eventuelle underdatabehandlere, (ii) alle nødvendige godkendelser er indhentet, samt
(iii) alle nødvendige meddelelser vedrørende den pågældende overførsel er blevet givet til den relevante tilsynsmyndighed.
8. Databehandlerens generelle forpligtelser
8.1. Databehandleren skal anvende og overholde gældende Databeskyttelseslovgivning og må ikke udføre sine forpligtelser i henhold til Aftalen på en måde, som kan medvirke til at den Data- ansvarlige misligholder sine forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder ved f.eks. uden forudgående varsel at introducere nye teknologier, som ville have for- pligtiget den Dataansvarlige til at foretage en konsekvensanalyse i henhold til artikel 35 (Konse- kvensanalyser vedrørende databeskyttelse) i Forordning om Databeskyttelse og, hvor relevant, forudgående høring af den tilsynsførende myndighed i henhold til artikel 36 (Forudgående hø- ring) i Forordning om Databeskyttelse forud for behandlingen.
8.2. Databehandleren garanterer endvidere, at denne vil bistå den Dataansvarlige med at overholde den Dataansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder i forhold til artikel 35 (Konsekvensanalyser vedrørende databeskyttelse) og artikel 36 (Forudgå- ende høring) i Forordning om Databeskyttelse.
8.3. Databehandleren skal, og skal sikre at dennes underdatabehandlere, på en åben og konstruktiv måde samarbejde(r) med den Dataansvarlige, den Dataansvarliges eksterne revisorer og til- synsmyndighederne, herunder ved
a) at stille alle oplysninger vedrørende leveringen af Ydelserne til rådighed for den Data- ansvarlige og enhver tilsynsmyndighed og/eller Dataansvarliges eksterne revisorer, hvis dette er nødvendigt for udførelsen af deres opgaver; og
b) at give enhver tilsynsmyndighed, der ifølge loven har ret til at få adgang til den Dataansvar- liges faciliteter eller den Dataansvarliges leverandørers faciliteter, adgang til sådanne facili- teter.
9. Ansvar
9.1. Hovedaftalens regulering af misligholdelse, ansvar og ansvarsbegrænsninger finder anvendelse for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.
9.2. Parternes ansvar for alle kumulerede krav i henhold til denne Databehandleraftale er begrænset til de samlede forfaldne betalinger i henhold til Hovedydelserne for den 12 måneders periode, der går umiddelbart forud for en eventuel skadegørende omstændighed. Hvis Databehandleraf-
talen ikke har været i kraft i 12 måneder, opgøres beløbet forholdsmæssigt på baggrund af den aftalte betaling i den periode, som Databehandleraftalen har været i kraft.
9.3. Ansvarsbegrænsningen omfatter ikke følgende: (i) Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger. (ii) Udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtigelser over for en tilsynsmyndighed.
10. Ophør
10.1. Denne Databehandleraftale ophører automatisk i forbindelse med Aftalens ophør eller udløb eller på den Dataansvarliges anmodning.
10.2. Parterne er enige om, at Databehandleren ved Aftalens ophør eller udløb efter den Dataansvar- liges valg enten skal (i) returnere alle data, der er behandlet under Aftalen, samt eventuelle ko- pier heraf til den Dataansvarlige, og/eller (ii) slette alle data, der er behandlet under Aftalen, og dokumentere over for den Dataansvarlige, at dette er sket, herunder for at undgå enhver tvivl slette sådanne data fra enhver computer, server og/eller anden lagringsenhed eller -medie, medmindre EU-retten og/eller medlemsstaternes nationale ret kræver, at der sker opbevaring af sådanne data.
11. Kontakt
11.1. Kontaktoplysninger for den Dataansvarlige og Databehandleren følger af Hovedaftalen.
BILAG 1 - PERSONOPLYSNINGER
1. Databehandleren behandler følgende typer Personoplysninger som led i levering af Hovedy-
delsen:
(i) Almindelige kontaktoplysninger på den Dataansvarlige. Herunder Fornavn, Efternavn, E-mail, Tele fon, Adresse, Postnummer, By.
(ii) Jf Antihvidvasklovgivningen skal Dataansvarliges CPR-nr og billedID behandles
2. Registrerede - Databehandleren behandler personoplysninger om følgende kategorier af registrerede på vegne af den Dataansvarlige, såfremt disse indgår i købsforløbet: Fornavn, Efternavn, E-mail, Telefon, Adresse, Postnummer, By og kortdata i krypteret form.
BILAG 2 - UNDERDATABEHANDLERE
Opdateret liste kan findes på xxxxxxxx.xxx/xxxxxxxxxxxxxxxxxxx