Indledning

Indledning

1.1. Denne aftale vedrørende behandling af personoplysninger (”Databehandleraftalen”) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den ”Dataansvarlige”) og udgør en integreret del af Pensopay´s Handelsbetingelser som Kunden bekræfter at have modtaget, læst og accepteret i forbin-

delse med aftaleindgåelsen . Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

1.2. Den Dataansvarlige og Databehandleren har indgået en aftale vedr en betalingsløsning indeholdende betalingsgateway og indløsning (“Aftalen").

1.3. Som led i Databehandlerens levering af Ydelserne (som defineret nedenfor) til den Dataansvarlige i hen- hold til Aftalen, skal Databehandleren behandle personoplysninger på vegne af den Dataansvarlige.

1.4. Gældende Databeskyttelseslovgivning (som defineret nedenfor) kræver, at der mellem en dataansvarlig og en databehandler, der behandler personoplysninger på vegne af den dataansvarlige, indgås en skriftlig kontrakt, som fastlægger omfanget af og kravene til den pågældende behandling. Parterne har derfor ind- gået denne Databehandleraftale (som defineret nedenfor).

2. Definitioner

2.1. De termer, der er defineret i Aftalen, skal have samme betydning i denne Databehandleraftale, medmindre andet udtrykkeligt fremgår heraf.

2.2. Medmindre andet fremgår af sammenhængen, har følgende termer følgende betydning:

1. "Aftalen" har den i pkt. 1.1 anførte betydning.

2. "Databehandleraftale" betyder denne aftale om behandling af personoplysninger, inklusiv bilag.

3. "Databeskyttelseslovgivning" betyder alle de love og regler, som finder anvendelse for behandling og beskyttelse af personoplysninger overalt i det Europæiske Økonomiske Samarbejdsområde (EØS) med de til enhver tid gældende ændringer og/eller tilføjelser, herunder direktiv 95/46/EF af 24. okto- ber 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, Persondataloven (som defineret nedenfor), Forordning om Databeskyttelse (som defineret nedenfor) og, hvor relevant, de retningslinjer og regelsæt, der udste- des af EØS og/eller andre relevante nationale myndigheder i EØS (herunder de nationale datatilsyn).

4. "Forordning om Databeskyttelse" betyder "Europa-Parlamentets og Rådets forordning (EU) nr. 2016/679 af 27. april 2016 om beskyt-

telse af fysiske personer i forbindel- se med behandling af personoplys- ninger og om fri udveksling af så- danne oplysninger og om ophævelse af direktiv 95/46/EF (generel forord- ning om databeskyttelse)" med de til enhver tid gældende ændringer og/ eller tilføjelser.

5. "Persondataloven" betyder lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med de til enhver tid gældende ændringer og/eller tilføjelser.

6. "Ydelserne" betyder de tjenesteydelser og leverancer, som Databehandleren som leverandør leverer til den Dataansvarlige som kunde i henhold til Aftalen.

2.3. Begreberne "personoplysninger", "særlige kategorier af personoplysninger", "behandling", "dataansvar- lig", "databehandler", "registrerede", "tilsynsmyndighed", "pseudonymisering", "tekniske og organisatori-

ske foranstaltninger" og "brud på persondatasikkerheden" skal i denne Databehandleraftale forstås i over- ensstemmelse med gældende Databeskyttelseslovgivning, herunder Forordning om Databeskyttelse.

3. Behandling af personoplysninger

3.1. Databehandleren skal behandle personoplysninger på vegne af den Dataansvarlige i overensstemmelse med gældende Databeskyttelseslovgivning.

3.2. De personoplysninger, der behandles af Databehandleren, samt kategorierne af registrerede er beskrevet i bilag 1 til denne Databehandleraftale.

3.3. Den Dataansvarlige fastlægger til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af Databehandleren. Databehandleren må kun behandle personoplysningerne på vegne af den Dataansvar- lige og handler alene efter dokumenteret instruks fra den Dataansvarlige.

3.4. Databehandleren skal sikre, at de personer, som er involveret i behandlingen af personoplysninger, enten har forpligtet sig til fortrolighed eller er underlagt en behørig lovbestemt tavshedspligt.

3.5. Databehandleren skal træffe de fornødne foranstaltninger til at sikre, at enhver person, der udfører arbejde for Databehandleren, og som har adgang til personoplysningerne, kun behandler disse personoplysninger efter instruks fra den Dataansvarlige.

3.6. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplys- ninger til, at den Dataansvarlige kan påse, at kravene i den gældende Databeskyttelseslovgivning over- holdes. Databehandleren skal endvidere give tilladelse og bidrage til eventuelle revisioner, herunder in- spektioner, der foretages af den Dataansvarlige eller en revisor, som er bemyndiget hertil af den Data- ansvarlige.

3.7. Databehandleren skal straks underrette den Dataansvarlige, hvis Databehandleren mener, at en anmod- ning i henhold til 1. led i punkt 3.6 ovenfor er i strid med gældende Databeskyttelseslovgivning.

3.8 Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges for- pligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af Databehandle- ren. Modtager Databehandleren sådan henvendelse fra den registrerede, orienterer Databehandleren den Dataansvarlige herom.

3.9 Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, jf. pkt. 3.8, herun- der til underdatabehandlere. Databehandlerens bistand afregnes til Databehandlerens til enhver tid gæl- dende timetakst for sådant arbejde.

4. Behandlinger uden instruks

Uanset bestemmelserne i denne Aftale, har Databehandleren ret til at behandle personoplysninger uden instruks fra den Dataansvarlige, såfremt og i det omfang det kræves i henhold til øvrig EU-ret og/eller medlemsstaternes nationale ret. I så fald skal Databehandleren dog først, i det omfang det er lovligt, un- derrette den Dataansvarlige om et sådant pålæg og, i det omfang det er muligt, give den Dataansvarlige mulighed for at gøre indsigelser herimod.

5. Sikkerhedsforanstaltninger

5.1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal Databehandleren træffe de fornødne tekniske og organisatoriske foranstaltninger til at sikre et sikkerhedsniveau, der passer til disse risici.

5.2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, skal Databehandleren navnlig tage hensyn til de risici, der er forbundet med behandlingen, herunder men ikke begrænset til risiciene for hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

5.3. Databehandleren skal ligeledes opfylde eventuelle sikkerhedskrav, der påhviler Databehandleren i hen- hold til gældende Databeskyttelseslovgivning, herunder gældende sikkerhedskrav i det land, hvori Data- behandleren er etableret.

5.4. Databehandleren skal ved hjælp af passende tekniske og organisatoriske foranstaltninger bistå den Data- ansvarlige med opfyldelse af den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder i henhold til gældende Databeskyttelseslovgivning.

5.5. Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige efter at være blevet op- mærksom på, at der er sket brud på persondatasikkerheden. Endvidere skal Databehandleren bistå den Dataansvarlige med at sikre overholdelse af den Dataansvarliges forpligtelser til at (i) dokumentere alle brud på persondatasikkerheden, (ii) anmelde eventuelle brud på persondatasikkerheden til de(n) kompe- tente tilsynsmyndighed(er) og (iii) underrette de registrerede om sådanne brud på persondatasikkerheden, det hele i overensstemmelse med artikel 33 og 34 i Forordning om Databeskyttelse.

6. Underdatabehandling

6.1. Databehandleren må generelt gøre brug af tredjeparter til behandlingen af Personoplysningerne for den Dataansvarlige (”Underdatabehandler”), i det omfang Databehandleren giver meddelelse herom til den Dataansvarlige for hver Underdatabehandler, før behandlingen påbegyndes af Underdatabehandleren, således at den Dataansvarlige har mulighed for at gøre saglig indsigelse over for Databehandlerens valg af Underdatabehandler. Hvis den Dataansvarlige ønsker at gøre indsigelser herimod, skal den Dataansvar- lige give skriftlig meddelelse herom inden for ti (10) kalenderdage efter modtagelse af Databehandlerens meddelelse om tilføjelsen eller ændringen af en Underdatabehandler. Manglende indsigelse fra den Data- ansvarlige vil blive anset for et stiltiende samtykke til underdatabehandlingen.

6.2. Databehandleren skal indgå skriftlig aftale med eventuelle Underdatabehandlere, som pålægger Underda- tabehandlerne de samme databeskyttelsesforpligtelser, som påhviler Databehandleren, herunder i medfør af denne Databehandleraftale. Databehandleren skal ligeledes føre løbende kontrol med sine Underdata- behandlere, og dokumentation herfor skal kunne forevises den Dataansvarlige.

6.3. Databehandleren er direkte ansvarlig for Underdatabehandlerens behandling af personoplysninger på samme vis, som var behandling foretaget af Databehandleren selv.

6.4. Databehandleren benytter på tidspunktet for indgåelsen af Databehandleraftalen de Underdatabehandlere, der fremgår af underbilag B. Ved Databehandlerens benyttelse af nye Underdatabehandlere, skal disse tilføjes i underbilag B.

7. Overførsel af personoplysninger til et tredjeland eller en international organisa- tion

Databehandleren må ikke overføre personoplysninger uden for EØS eller tilgå personoplysninger uden for EØS uden forudgående skriftligt samtykke fra den Dataansvarlige. Såfremt den Dataansvarlige giver et sådant samtykke, er Databehandleren forpligtet til at sikre sig, at (i) en sådan overførsel er lovlig, her- under at der er et tilstrækkeligt beskyttelsesniveau for overførslen af personoplysninger, f.eks. ved indgå- else af standardkontraktbestemmelserne for overførsel af personoplysninger til databehandlere, der er etableret i lande uden for EØS, i henhold til Kommissionens beslutning af 5. februar 2010 (eller en even- tuel senere beslutning, der erstatter den tidligere) mellem på den ene side den Dataansvarlige og på den

anden side Databehandleren og alle eventuelle underdatabehandlere, (ii) alle nødvendige godkendelser er indhentet, samt (iii) alle nødvendige meddelelser vedrørende den pågældende overførsel er blevet givet til den relevante tilsynsmyndighed.

8. Databehandlerens generelle forpligtelser

8.1. Databehandleren skal anvende og overholde gældende Databeskyttelseslovgivning og må ikke udføre sine forpligtelser i henhold til Aftalen på en måde, som kan medvirke til at den Dataansvarlige mislighol- der sine forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder ved f.eks. uden forud- gående varsel at introducere nye teknologier, som ville have forpligtiget den Dataansvarlige til at foretage en konsekvensanalyse i henhold til artikel 35 (Konsekvensanalyser vedrørende databeskyttelse) i Forord- ning om Databeskyttelse og, hvor relevant, forudgående høring af den tilsynsførende myndighed i hen- hold til artikel 36 (Forudgående høring) i Forordning om Databeskyttelse forud for behandlingen.

8.2. Databehandleren garanterer endvidere, at denne vil bistå den Dataansvarlige med at overholde den Data- ansvarliges forpligtelser i henhold til gældende Databeskyttelseslovgivning, herunder i forhold til artikel 35 (Konsekvensanalyser vedrørende databeskyttelse) og artikel 36 (Forudgående høring) i Forordning om Databeskyttelse.

8.3. Databehandleren skal, og skal sikre at dennes underdatabehandlere, på en åben og konstruktiv måde sam- arbejde(r) med den Dataansvarlige, den Dataansvarliges eksterne revisorer og tilsynsmyndighederne, herunder ved

a) at stille alle oplysninger vedrørende leveringen af Ydelserne til rådighed for den Dataansvarlige og enhver tilsynsmyndighed og/eller Dataansvarliges eksterne revisorer, hvis dette er nødvendigt for udførelsen af deres opgaver; og

b) at give enhver tilsynsmyndighed, der ifølge loven har ret til at få adgang til den Dataansvarliges faci- liteter eller den Dataansvarliges leverandørers faciliteter, adgang til sådanne faciliteter.

9. Ansvar

9.1. Hovedaftalens regulering af misligholdelse, ansvar og ansvarsbegrænsninger finder anvendelse for denne Databehandleraftale, som om denne Databehandleraftale var en integreret del heraf.

9.2. Parternes ansvar for alle kumulerede krav i henhold til denne Databehandleraftale er begrænset til de samlede forfaldne betalinger i henhold til Hovedydelserne for den 12 måneders periode, der går umiddel- bart forud for en eventuel skadegørende omstændighed. Hvis Databehandleraftalen ikke har været i kraft i 12 måneder, opgøres beløbet forholdsmæssigt på baggrund af den aftalte betaling i den periode, som Da- tabehandleraftalen har været i kraft.

9.3. Ansvarsbegrænsningen omfatter ikke følgende: (i) Tab som følge af den anden Parts groft uagtsomme eller forsætlige handlinger. (ii) Udgifter og ressourceforbrug ved opfyldelse af en Parts forpligtigelser over for en tilsynsmyndighed.

10. Ophør

10.1. Databehandleraftalen kan af begge parter kræves genforhandlet, hvis lovændringer eller omfanget/ind- holdet af behandlingen af personoplysninger ændrer sig væsentligt.

10.2. Opsigelse af Databehandleraftalen kan i øvrigt ske i henhold til de opsigelsesvilkår og det opsigelsesvar- sel som fremgår af Databehandlerens Handelsbetingelser.

10.3. Aftalen er gældende så længe, behandlingen består. Uanset ”Hovedaftalens” og/eller databehandlerafta- lens opsigelse, vil databehandleraftalen forblive i kraft frem til behandlingens ophør og oplysningernes sletning hos databehandleren og eventuelle underdatabehandlere. .

10.4. Parterne er enige om, at Databehandleren ved Aftalens ophør eller udløb efter den Dataansvarliges valg enten skal (i) returnere alle data, der er behandlet under Aftalen, samt eventuelle kopier heraf til den Da- taansvarlige, og/eller (ii) slette alle data, der er behandlet under Aftalen, og dokumentere over for den Dataansvarlige, at dette er sket, herunder for at undgå enhver tvivl slette sådanne data fra enhver compu- ter, server og/eller anden lagringsenhed eller -medie, medmindre EU-retten og/eller medlemsstaternes nationale ret kræver, at der sker opbevaring af sådanne data. Databehandlernes bistand i medfør af dette afsnit vil blive faktureret den dataansvarlige baseret på den medgåede tid forbundet med dette arbejde.

11. Kontakt

11.1. Kontaktoplysninger for den Dataansvarlige og Databehandleren følger af Hovedaftalen.

BILAG 1 - PERSONOPLYSNINGER

1. Databehandleren behandler følgende typer Personoplysninger som led i levering af Hovedydelsen:

(i) Almindelige kontaktoplysninger på den Dataansvarlige. Herunder Fornavn, Efternavn, E-mail, Tele- fon, Adres se, Postnummer, By.

(ii) Jf Antihvidvasklovgivningen skal Dataansvarliges CPR-nr og billedID behandles

2. Registrerede - Databehandleren behandler personoplysninger om følgende kategorier af registrerede på vegne af den Dataansvarlige, såfremt disse indgår i købsforløbet: Fornavn, Efternavn, E-mail, Tele- fon, Adresse, Postnummer, By og kortdata i krypteret form.

BILAG 2 - UNDERDATABEHANDLERE

Opdateret liste kan findes på xxxxxxxx.xxx/xxxxxxxxxxxxxxxxxxx