Databehandleraftale

Databehandleraftale

Denne databehandleraftale er indgået dags dato mellem:

xxxxxxxxxxxxxxxxxxxx.xxxxxx.xx (CVR: 00000000) xxxxxxx@xxxxxxxxxxxxxxxxxxxx.xx xxxxxxxxxxxxxxxxxxxx.xxxxxx.xx

(herefter kaldet "Kunden") og

EasyMe ApS (CVR: 28 71 26 18)

Schlegels Allé 5, 4. tv.

DK-1807 Frederiksberg C

(herefter kaldet "Databehandleren")

(Xxxxxx og Databehandleren herefter hver for sig kaldet ”en Part” eller ”Parten” og tilsammen ”Parter” eller ”Parterne”)

1. Baggrund og formål

1. Databehandleren bistår behandlere, undervisere, konsulenter og foreninger (herunder Kunden) med at håndtere bookinger, betalinger, faktureringer, journalisering og elektronisk kommunikation med deres kunder. Denne bistand nødvendiggør, at Databehandleren har adgang til de oplysninger, som Kunden indtaster i Kundens webløsning.

2. Denne aftale vedrører Databehandlerens forpligtelse til at efterleve de krav om sikkerhed, fortrolighed mv., der fremgår af databeskyttelsesforordningen og øvrig persondataretlig lovgivning og regulering.

3. I forbindelse med sin bistand behandler Databehandleren til enhver tid personoplysninger i overensstemmelse med god databehandlingsskik og i henhold til de til enhver tid gældende regler og forskrifter, herunder særligt databeskyttelsesforordningen og den relevante danske lovgivning.

4. I forbindelse med leveringen af sin bistand kommer Databehandleren til at behandle Kundens data, og som følge deraf er der krav om, at denne databehandleraftale udarbejdes, idet Parterne heri fastlægger vilkår og betingelser for Databehandlerens bistand, særligt sikring af personoplysninger.

2. Formål

1. Databehandleren bistår som anført Kunden med at håndtere bookinger, betalinger, faktureringer, journalisering og elektronisk kommunikation med deres kunder via den onlineplatform, Databehandleren har udviklet (herefter kaldet ”Ydelserne”), og de

modtagne data anvendes således alene i forbindelse med leveringen af Ydelserne.

2. Som følge af de leverede Ydelser sker Databehandlerens behandling af personoplysninger på vegne af kunden primært ved, at Databehandleren har adgang til alle Kundens oplysninger om Kunden selv og om Kundens kunder, der er indtastet på platformen. Databehandleren har derfor adgang til de fleste elektroniske oplysninger om Kunden, og om Kundens kunder. Der behandles således oplysninger om såvel Xxxxxx som Kundens kunder.

3. Da Databehandleren har adgang til stort set alle Kundens data, herunder tillige i givet fald Kundens journaloplysninger om Kundens kunder (der er indtastet via platformen), har Databehandleren adgang til såvel almindelige som følsomme oplysninger. Databehandleren vil ofte ikke have viden om omfanget af personoplysninger, der er adgang til, da Databehandleren som udgangspunkt ikke undersøger de enkelte data i Kundens system, men hovedsageligt arbejder med selve systemet.

4. I forbindelse med sin bistand behandler Databehandleren til enhver tid personoplysninger i overensstemmelse med god databehandlingsskik og i henhold til de til enhver tid gældende regler og forskrifter, herunder særligt databeskyttelsesforordningen og den relevante danske lovgivning.

3. Kundens pligter

1. Kunden er dataansvarlig for de personoplysninger, som Kunden instruerer Databehandleren om at behandle. Det er således Xxxxxx, der har ansvaret for, at de personoplysninger, som Kunden instruerer Databehandleren om at behandle, må behandles af Databehandleren, herunder at behandlingen er nødvendig og saglig i forhold til Kundens virksomhed. Databehandleren har med andre ord intet ansvar i forhold til, om Xxxxxx lovligt må behandle de oplysninger, Xxxxxx har.

4. Databehandlerens pligter

1. Databehandleren er databehandler for de personoplysninger, som behandles på vegne af Xxxxxx. Databehandleren er underlagt de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen samt denne databehandleraftale.

2. Databehandleren behandler alene de overladte personoplysninger efter instruks fra Xxxxxx og alene med henblik på at levere Ydelserne. Databehandleren må således ikke under nogen omstændigheder anvende Kundens data til andre formål og må ikke uden Kundens forudgående skriftlige samtykke videregive personoplysninger fra Kunden til tredjemand.

3. Databehandleren skal løbende føre en fortegnelse over behandlingen af personoplysninger samt en fortegnelse over alle sikkerhedsbrud.

4. Databehandleren sikrer personoplysningerne via passende tekniske og organisatoriske sikkerhedsforanstaltninger.

5. Databehandleren skal hjælpe med at opfylde Xxxxxxx forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger om indsigt i egne oplysninger, udlevering af oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling, samt Kundens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud. Ved eventuelle sikkerhedsbrud er Databehandleren tillige forpligtet til at bistå Kunden aktivt i forhold til Datatilsynet mv.

6. Databehandleren bistår Xxxxxx med at sikre overholdelse af dennes forpligtelser efter Databeskyttelsesforordningens artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren, jf. art 28, stk. 3, litra f.

7. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt Xxxxxx ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af Kundens forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.

8. Databehandleren har tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Kundens behandling af Kundens personoplysninger opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

9. Databehandleren er forpligtet til at oplyse med præcis adresseangivelse, hvor Kundens personoplysninger opbevares. Databehandleren skal ajourføre oplysningerne over for Kunden ved enhver ændring.

5. Underdatabehandlere

1. Ved underdatabehandler forstås en underleverandør, til hvem Databehandleren har overladt hele eller dele af den behandling, som Databehandleren foretager på vegne af Kunden. Det er i den forbindelse et krav, for at Databehandleren kan gøre brug af en underdatabehandler, at Databehandleren opfylder de betingelser, der fremgår af databeskyttelsesforordningen art. 28, stk. 2 og 4, for at gøre brug af en underdatabehandler.

2. Kunden giver Databehandleren samtykke til anvendelse af underdatabehandlere, forudsat at de i denne aftale stillede betingelser for dette er opfyldt. Databehandleren underretter den Dataansvarlige om sådanne underdatabehandlere. På tidspunktet for denne aftales underskrift anvendes følgende underdatabehandlere:

PIL: F.G.E. Rostrups Xxx 0, 0000 Xxxxx X, xxxx@xxx.xx

Postmark: 000 Xxxxxxxx Xx., Xxxxxxxxxxxx, XX, 00000, xxxxxxx@xxxxxxx.xxx

Sparkpost: 0000 Xxxxxxxx Xxxx, Xxxxxxxx, XX 00000, xxxxx@xxxxxxxxx.xxx Twilio: 000 Xxxxx Xxxxxx, Xxxxx 000 Xxx Xxxxxxxxx, XX 00000, xxxx@xxxxxx.xxx AWS: P.O. Box 81226 Seattle, WA 98108-1226,

xxxxx://xxxxx.xxxxxxxx.xxx/xxxxxxxxxx-xxxxxxx-xx.xxxx

Intercom: 2nd Floor, Xxxxxxx Xxxxx, 00-00 Xx. Xxxxxxx'x Xxxxx, Dublin, xxxxxxxxxx@xxxxxxxx.xxx

3. Ved planlagte ændringer om tilføjelse eller erstatning af underdatabehandlere underretter Databehandleren Kunden herom. Kunden kan herefter gøre indsigelse mod sådanne ændringer indenfor 14 dage efter underretning.

4. Når Databehandleren overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, skal Databehandleren indgå en skriftlig (under)databehandleraftale med underdatabehandleren.

5. Underdatabehandleraftalen skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Databehandleren er pålagt efter denne databehandleraftale, databeskyttelsesforordningen eller anden gældende lovgivning, herunder særligt at også underdatabehandleren skal stille de fornødne garantier for, at underdatabehandleren vil gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen.

6. Når Databehandleren overlader behandlingen af personoplysninger, som Kunden er dataansvarlig for, til underdatabehandlere, har Databehandleren over for Kunden det fulde ansvar for underdatabehandlernes overholdelse af gældende regler og forpligtelser.

7. Al kommunikation mellem Kunden og underdatabehandleren sker via Databehandleren.

6. Instrukser

1. Databehandlerens behandling af personoplysninger på vegne af Kunden sker udelukkende efter skriftlig instruks, jf. det aftalte formål ovenfor, medmindre det kræves i henhold til lovgivning, som Databehandleren er underlagt. I så fald underretter Databehandleren Kunden om dette retlige krav inden behandling, medmindre lovgivningen forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser, jf. databeskyttelsesforordningen art 28, stk. 3, litra a.

2. Såfremt en instruks efter Databehandlerens opfattelse er i strid med gældende regler, underrettet Databehandleren straks Kunden.

7. Tekniske og organisatoriske sikkerhedsforanstaltninger

1. Databehandleren skal iværksætte alle sikkerhedsforanstaltninger, der kræves for at

sikre et passende sikkerhedsniveau, og skal i øvrigt mindst én gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget.

2. Databehandleren samt dennes eventuelle ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver.

8. Overførsel til tredjelande udenfor EU/SØS

1. Kunden giver ved underskrift på denne aftale Databehandleren samtykke til at foretage behandling af personoplysninger udenfor det Europæiske Økonomiske Samarbejde (EØS) forudsat, at Databehandleren garanterer, at der foreligger tilstrækkelig hjemmel til overførslen, herunder ved at det pågældende tredjeland har et tilstrækkeligt beskyttelsesniveau, eller ved at Databehandleren på vegne af den Dataansvarlige indgår aftale med underdatabehandleren ved anvendelse af de af EU Kommissionen vedtagne standardkontraktbestemmelser om overførsel til tredjelande.

9. Tavshedspligt og fortrolighed

1. Parterne har – under denne aftales forløb og efter dens ophør – gensidigt fuld tavshedspligt omkring alle oplysninger, de bliver bekendte med gennem samarbejdet.

2. Databehandleren skal sikre, at alle, der er autoriseret til at behandle Kundens personoplysninger, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

10. Kontroller

1. Xxxxxx, en repræsentant for Kunden eller dennes revision (såvel intern som ekstern) har adgang til med et passende varsel at foretage inspektioner og revision hos Databehandleren, at få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Databehandleren overholder de krav, der følger af lovgivningen og denne aftale.

2. I tilfælde af, at Kunden og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter Databehandleren sig til uden yderligere omkostninger for Xxxxxx at stille tid og ressourcer til rådighed herfor.

11. Sletning af data

1. Kunden træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt. I det tilfælde, hvor personoplysningerne tilbageleveres til Kunden, skal Databehandleren ligeledes slette eventuelle kopier. Databehandleren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kundens meddelelse.

12. Ikrafttræden og varighed

1. Denne databehandleraftale indgås ved begge Parters underskrift og fortsætter indtil den opsiges af én af Parterne. Behandlingen af data fortsætter således også i en eventuel opsigelsesperiode.

2. Aftalen kan af begge Parter opsiges med 3 måneders varsel til udløbet af en måned.